網絡研討會要點：加強對網絡威脅的防御

隨著信息安全威脅、網絡攻擊和數據泄露的增加，管理這些風險對企業(yè)來說從未像現在這樣重要。

AS/NZS ISO/IEC 27001:2023《信息安全、網絡安全和隱私保護 信息安全管理系統 要求》是世界上最著名的信息安全管理體系（ISMS）標準。作為一個全球公認的框架，該標準有助于企業(yè)建立、推廣、維護和改進信息安全、網絡安全和隱私保護。

澳大利亞標準局最近舉辦了一場在線活動，重點關注AS/NZS ISO/IEC 27001:2023。該活動旨在為該標準如何幫助保護組織的信息和資產免受網絡威脅提供重要參考。網絡研討會由澳大利亞技術委員會IT-012（信息安全、網絡安全和隱私保護）委員會成員、維多利亞州信息專員辦公室信息安全首席顧問Anna Harris主持。在會議期間，Harris女士介紹了該標準，并就組織如何有效管理與信息安全威脅相關的風險給出了建議。

該活動還包括現場問答環(huán)節(jié)，為與會者提供了提問與標準及其實施相關問題的機會。

問：一個組織是否可以在沒有獲得正式認證的情況下實施AS/NZS ISO/IEC 27001:2023？

答: 是的，組織可以采用AS/NZS ISO/IEC 27001:2023作為最佳實踐，而無需正式認證。正式認證可以為利益相關者或客戶提供獨立驗證，但不是強制性的。?

問：為什么一個組織應該考慮采用AS/NZS ISO/IEC 27001:2023，而不是ASD Essential 8？

答: ASD Essential 8專注于特定技術，主要關注微軟系統。它不適用于其他系統或非數字信息。而AS/NZS ISO/IEC 27001:2023更廣泛，涵蓋了信息安全的各個方面，使其成為一個更全面的選擇。

問：您對希望實施AS/NZS ISO/IEC 27001:2023的中小企業(yè)有什么建議？

答：中小企業(yè)應首先了解需要保護的信息。這涉及到與業(yè)務部門進行研討，以確定有價值的信息，并優(yōu)先考慮保護工作。高管的認同對于成功實施至關重要。

問：ISO 27000和ISO 27002標準是否免費提供？

答：是的，ISO 27000提供了概述和術語詞匯，可以免費下載。ISO 27000系列中的其他標準不是免費的。

問：AS/NZS ISO/IEC 27001:2023將如何與操作技術（OT）系統標準協調？

答：如果OT系統采用管理系統標準（MSS），則可以使用相同的結構應用AS/NZS ISO/IEC 27001:2023。如果沒有，因為AS/NZS ISO/IEC 27001:2023它是通用的標準，所以適用于所有類型的信息，，包括OT環(huán)境。

問：是否最好將AS/NZS ISO/IEC 27001:2023與COBIT 5一起應用于IT風險管理？

答：AS/NZS ISO/IEC 27001:2023和COBIT 5都涉及IT風險管理，但它們的用途不同。COBIT 5是一個整體的IT治理框架，而AS/NZS ISO/IEC 27001:2023是一個全面的信息安全框架。關鍵是要了解您的具體需求，并從任一標準中應用必要的控制措施。AS/NZS ISO/IEC 27001:2023涵蓋了更廣泛的信息安全，而不僅僅是IT系統上的電子信息，而COBIT 5則更廣泛地關注IT治理。

問：ISO 27017和ISO 27018是否仍然是更新后的ISO 27000系列的一部分？

答：是的，涵蓋云服務控制的ISO 27017和專注于公共云中個人信息的ISO 27018仍然是ISO 27000系列的一部分。

問：AS/NZS ISO/IEC 27001:2023和IEC 62443之間有什么區(qū)別，為什么承包商可以同時使用這兩種標準？

答：IEC 62443側重于工業(yè)自動化和控制系統（IACS），而AS/NZS ISO/IEC 27001:2023描述了一種用于業(yè)務系統的信息安全管理系統。承包商可能會使用這兩種標準來涵蓋更廣泛的安全控制，特別是如果他們?yōu)樗⑻烊粴饣螂娏Φ裙檬聵I(yè)以及公司/企業(yè)環(huán)境的客戶提供服務。IEC 62443強調需要與AS/NZS ISO/IEC 27001:2023實踐保持一致，指出IACS安全風險可能會對健康、安全和環(huán)境產生影響，應與現有風險管理實踐相結合。

?問：如果我的組織將IT外包，那么采用AS/NZS ISO/IEC 27001:2023有什么好處？

答：即使外包IT服務，組織仍然對其信息負責。AS/NZS ISO/IEC 27001:2023有助于組織管理與外包信息相關的風險，包括硬拷貝和口頭信息。

問：在獲得AS/NZS ISO/IEC 27001:2023認證后，是否還需要ISO 27002認證？

答：否，AS/NZS ISO/IEC 27001:2023認證包括ISO 27002中詳細說明的要求。這是一個涵蓋管理體系和具體控制的認證。

問：如果AS/NZS ISO/IEC 27001:2023的修訂版包括氣候行動，將如何參考？

答：如果在2024年最終確定，該修訂版將被稱為ISO 27001:2023 Amd 1:2024。它將包括與2023年版一起閱讀的補充內容。

問：在供應鏈和分包商中應用AS/NZS ISO/IEC 27001:2023需要深入到什么程度？

答：應用的深度取決于與供應鏈共享信息的風險和價值。更關鍵的信息可能需要對更廣泛的供應鏈進行更深入的審查、更嚴格的控制和定期審計。

問：我們如何評估云托管應用程序的安全控制？

答：同樣，控制的評估和測試類型將取決于云托管應用程序處理的信息、其對業(yè)務的價值及其相關風險。評估云應用程序的安全控制可能涉及旁聽、檢查、滲透測試以及與第三方的定期審查。與云提供商的溝通對于理解和管理風險至關重要。

問：AS/NZS ISO 27001:2023和ISO/IEC 27001:2022之間有什么區(qū)別？

答：AS/NZS ISO 27001:2023完全采用了國際ISO/IEC 27001:2022標準。這意味著AS/NZS ISO/IEC 27001:2022的內容、要求和指南與ISO 27001:2023相同。這確保了澳大利亞的組織在信息安全管理系統方面遵循與世界各地相同的國際標準。