网络安全（cybersecurity）国际标准进展与解读

谢宗晓 甄杰 董坤祥

网络安全（cybersecurity）已经成为ISO/IEC JTC 1/SC27（信息安全、网络安全与隐私保护分技术委员会）的重要方向之一，在最新公布的SD11中1），信息安全管理体系工作组（WG1）会承担相应的工作。截至2019年5月，开发中的或发布的相关标准共有4项，如表1所示。

1 概述与概念

ISO/IEC 27100于2018年10月立项，目前正在开发中，状态为工作组草案。计划在2021年11月发布。该标准提供了网络安全的概述，以及相关的术语和定义。

网络安全已成为一个重要话题。虽然它看起来与信息安全相似，并且许多信息安全控制、方法和技术可以用于管理网络安全风险，但网络安全与信息安全还是存在诸多不同。尤其之前存在的狭义的网络安全（network security），这与网络安全术语的使用方式不一致[1，2]。需要一个标准来定义网络安全，建立其情境，并描述相关概念，包括网络安全与信息安全的关系和区别。

需要注意的是，在目前可以获取的版本中，对于网络空间（cyberspace）的定义并没有强调其虚拟性，而是强调基础设施，其中认为：网络空间是一个全球互联的空间，包括互联网和其他网络、数字设备、系统、服务和流程，为个人、企业和政府的广泛活动和互动提供了全球性的基础设施。当然，这与“虚拟性”也不矛盾。

2 框架开发指南

ISO/IEC 27101于2018年4月立项，目前正在开发中，状态为工作组草案。计划在2020年4月发布。该标准为网络安全框架开發提供了指南，适用于组织内网络安全框架的开发者使用，计划适用于所有类型的组织。

目前已经发布的网络安全框架主要有：

a）ISO/IEC 27032：2012《信息技术 安全技术 网络安全指南》[3];

b）《NIST网络安全框架》（NIST 4） Cybersecurity Framework）[4]。

考虑到ISO/IEC 27032：2012的提案者为美国，应该会大量参考《NIST网络安全框架》，当然，在目前可以参考的文献中，最详细、最有参考价值的也是《NIST网络安全框架》。

3 网络保险指南

ISO/IEC 27102目前正在开发中，状态为国际标准草案阶段。从已经发布的ISO/IEC DIS 27102来看，该标准中所讨论的网络保险是甲方视角的，即讨论怎么购买网络保险，而不是如何售卖网络保险。从这个角度讲，ISO/IEC 27102与ISO/IEC 27001：2013《信息安全管理体系 要求》就结合起来了，在ISO/IEC 27001：2013的4.2.1 f）中讨论风险处置选项，其中一个选项就是将风险转移至相关方，例如，保险商或供应商。

ISO/IEC DIS 27102定义了一系列的网络（cyber）相关词汇，例如，网络事件、网络保险、网络威胁和网络空间等。

ISO/IEC DIS 27102包含8章正文、1个附录。前3章为通用条款，第4章为标准结构说明，第5章为概述，第6章讨论了网络风险与网络保险，既然是讨论保险，最相关的就是网络事件，因此，在该章中还讨论了网络事件的类型及其影响等。但是原则上讲，对网络事件的刻画，应该是保险供应商的问题，而不是用户的责任。这是一个新兴的研究领域，例如，文献[5]就对网络安全事件进行了数学建模。第7章，描述了一个支持网络保险的风险评估过程。第8章，专门讨论了信息安全管理体系（Information Security Management System，ISMS）在网络保险中的角色。

总之，ISO/IEC DIS 27102所讨论的网络保险，不是指线上保险，而是指针对网络安全事件的保险，从这个角度讲，与信息安全保险区别不大。

4 ISO与IEC关于网络安全的标准

ISO/IEC 27103目前发布的状态为技术报告阶段，该标准实际类似于一个ISO/IEC 27000标准族的索引，其中第5章也开门见山地提出，虽然网络安全是个新生事物，但是ISO、IEC以及ISO/IEC标准发展了至少25年了，已经成为有用的参考。况且，ISO/IEC 27001已经提供了一个风险管理框架，可用于确定组织内网络安全活动的优先级和实施。

ISO/IEC TR 27103：2018给出了一个网络安全框架，包括：识别（Identify）、保护（Protect）、检测（Detect）、响应（Respond）与恢复（Recover）。围绕这个框架，则是相应的ISO、IEC或者ISO/IEC标准的索引。这个框架沿用自上文中所提到的《NIST网络安全框架》，索引结构的形式也是如此[6]。

在引言中，用到了“最佳实践（Best Practice，BP）”这个词汇，但是并没有明确地指出哪些是最佳实践。基本的逻辑是，在面对网络安全这样的新生事物，利用已有的最佳实践和基线（baseline）是大有裨益的。

此外，ISO/IEC TR 27103：2018引用了ISO/IEC 27000：2016《信息安全管理体系 概述与词汇》关于“信息安全”的定义，并没有定义“网络安全”。对两者的区别，有提及，但是没有深入。该标准中提到：风险管理的视角和方法受到“网络安全”和“信息安全”术语的影响。在处置类似风险时，“网络安全”侧重于外部威胁和为组织目的使用信息的需要，而“信息安全”则考虑来自内部或外部的所有风险。还有一种看法是，网络安全风险主要与对抗性威胁有关，缺乏“网络安全”对组织造成的后果可能比缺乏“信息安全”更严重。因此，网络安全比信息安全更与组织相关。这种认知会导致混淆，也会降低风险评估和处置的有效性。

5 小结

本文介绍了与网络安全相关的4个国际标准，包括ISO/IEC 27100、ISO/IEC 27101、ISO/IEC 27102以及ISO/IEC 27103，虽然上述标准基本都在开发中，但是其框架和主要内容已经比较明确。由于ISO和IEC等机构已经发布的信息安全标准众多，而且体系完备，加上网络安全和信息安全虽然不同，但毕竟存在诸多重合，在后续的标准研发中，网络安全标准应该会大量引用已有的“最佳实践”和“安全基线”。

（注：本文仅做学术探讨，与作者所在单位观点无关）

参考文献

[1] 谢宗晓. 关于网络空间（cyberspace）及其相关词汇的再解  析[J].中国标准导报， 2016（2）： 26-28.

[2] 谢宗晓. 信息安全、网络安全及赛博安全相关词汇辨析[J].     中国标准导报， 2015（12）： 30-32.

[3] 谢宗晓，张菡. 网络安全指南国际标准（ISO/IEC 27032：     2012）介绍[J].中国标准导报， 2016（10）： 22-24+29.

[4] 谢宗晓，董坤祥，张菡. NIST关键基础设施网络安全改进框     架介绍[J]. 中国质量与标准导报， 2017（5）：46-49.

[5] Bouveret A. Cyber Risk for the Financial Sector： A     Framework for Quantitative Assessment [J]， IMF     Working Papers 18/143， International Monetary      Fund. 2018.

[6] 谢宗晓，甄杰，林润辉，等. 网络空间安全管理[M]. 北京：中      国标准出版社， 2017.