标准2025进入新的一年,互联网安全问题毫无疑问继续成为各国相关组织、企业和政府工作的重中之重。标准化组织将致力于制定解决方案,帮助这场持续的战斗。美国国家标准协会(ANSI)自豪地强调了来自其国际和国内成员和合作伙伴的一些最近活动,利用标准化作为打击网络威胁的工具。
最近国际标准化组织(ISO)和国际电工委员会(IEC)共同制定的最新更新的标准ISO/IEC 27004:2016,信息技术-安全技术-信息安全管理-监测、检测、分析和评估,该标准为评价ISO/IEC 27001系列标准的绩效提供了指导。ISO / IEC 27001是提出信息安全管理体系(ISMS)要求的国际标准。
为了更加有效地实施ISO/IEC 27001标准,新修订的ISO/IEC 27004标准可就如何搭建信息安全评价项目、如何选择安全评价对象、如何操作必要的评估过程等方面提供指导。该系列标准包含了不同类型评价措施、大量操作实例以及检验这些措施有效性的方法。
根据ISO要求,安全计量可对有关ISMS提供有效性见解,因此已占据中心位置。制定该项标准的工作组召集人爱德华.汉弗莱斯(Edward Humphreys)指出:“ 网络攻击是各组织所面临的一系列风险之一,因此,各组织必须首先检查本组织在信息安全管理方面的投资是否有效,是否能够应对并防御不断变化的网络攻击环境。以上所说也正是ISO/IEC 27004标准的优势所在。”
ISO/IEC 27004:2016是由德国DIN牵头的ISO/IEC第一联合技术委员会(JTC1)信息技术第27分技术委员会(SC 27)制定的,共有53个国家参与该项工作。其中,美国担任了ISO/IEC联合技术委员会级别的领导。美国牵头ISO / IEC JTC 1的技术委员会工作,惠普公司的Karen Higginbottom连续第三任期担任该技术委员会的主席,ANSI承担秘书处工作。ANSI是ISO的美国成员体,并是IEC的美国国家委员会。ANSI指定的美国技术咨询组负责管理ISO/IEC/JTC1及其分技术委员会的是国际信息技术标准委员会(INCITS),该委员会是ANSI的成员。
就国内方面,美国国家标准技术研究院(NIST)–ANSI的政府成员最近发布了一版免费的网络安全事故恢复指南,旨在帮助各组织制定一个包括网络攻击和快速恢复受影响系统的游戏计划。作为指南的作者之一,计算机科学家Murugiah Souppaya指出,随着网络安全事件的数量上升,网络攻击类型多样,也难怪有人说网络安全事故的出现只是时间问题。
新指南整合了现有的NIST网络攻击恢复指南,包括关于处理事故和应急计划的出版物。。新指南还提供了一个过程,每个组织可以使用它来创建自己的综合恢复计划,并提供与以前发布的框架中的“恢复”功能相关的其他信息,以改进关键基础设施网络安全(称为“网络安全框架”)。
ANSI在发起和支持协作性网络安全倡议活动表现积极良好,这些网络安全倡议可以应对不断改变的网络安全态势。以下为部分最近的倡议活动:
2016年ANSI法律事务论坛—就如何降低网络风险进行分组讨论
ANSI成员论坛在线会议—着重关注最新的网络安全看法
美国白宫方面宣布加强政府在国际网络安全标准制定方面的作用并对ANSI的贡献和努力表示认可
ANSI将网络安全门户纳入到美国网络安全意识月活动中