ISO/IEC 27032:2023 サイバーセキュリティ - インターネットセキュリティガイドライン: まるちゃんの情報セキュリティ気まぐれ日記

November 2023
Sun	Mon	Tue	Wed	Thu	Fri	Sat
			1	2	3	4
5	6	7	8	9	10	11
12	13	14	15	16	17	18
19	20	21	22	23	24	25
26	27	28	29	30

2023.07.02

ISO/IEC 27032:2023 サイバーセキュリティ - インターネットセキュリティガイドライン

こんにちは、丸山満彦です。

ISO/IEC 27032:2012 Information technology — Security techniques — Guidelines for cybersecurityが11年たって、タイトルも変わって公表されていますね。。。

また、Previewで見ええる範囲だけですが、変更履歴を見ると、かなり変更されていますね。。。

新しいタイトルは...

● ISO

・2023.06 ISO/IEC 27032:2023 Cybersecurity — Guidelines for Internet security

主な変更点は、

— the title has been modified;	・タイトルの変更
— the structure of the document has been changed;	・文書の構造の変更
— the risk assessment and treatment approach has been changed, with the addition of content on threats, vulnerabilities and attack vectors to identify and manage the Internet security risks;	・インターネットのセキュリティリスクを特定し,管理するために,脅威,脆弱性,攻撃ベクトルに関する内容の追加
— a mapping between the controls for Internet security cited in 9.2 and the controls contained in ISO/IEC 27002 has been added to Annex A.	・9.2で引用されているインターネットセキュリティ管理策とISO/IEC 27002に含まれる管理策との対応表の附属書Aへの追加

目的

・インターネットセキュリティの脅威に対処するためのガイドライン

例示されているインターネットセキュリティの脅威

— social engineering attacks;	・ソーシャル・エンジニアリング攻撃
— zero-day attacks;	・ゼロデイ攻撃
— privacy attacks;	・プライバシー攻撃
— hacking; and	・ハッキング
— the proliferation of malicious software (malware), spyware and other potentially unwanted software.	・悪意のあるソフトウェア(マルウェア),スパイウェア,その他の望ましくないソフトウェアの拡散。

範囲

This document provides:	本文書は以下を提供する：
— an explanation of the relationship between Internet security, web security, network security and cybersecurity;	・インターネットセキュリティ、ウェブセキュリティ、ネットワークセキュリティ、サイバーセキュリティの関係について説明する；
— an overview of Internet security;	・インターネット・セキュリティの概要
— identification of interested parties and a description of their roles in Internet security;	・利害関係者の特定とインターネットセキュリティにおける役割の説明；
— high-level guidance for addressing common Internet security issues.	・インターネットセキュリティの一般的な問題に対処するための高レベルのガイダンス。

目次...

Foreword	まえがき
Introduction	序文
1 Scope	1 適用範囲
2 Normative references	2 引用規格
3 Terms and definitions	3 用語と定義
4 Abbreviated terms	4 略語
5 Relationship between Internet security, web security, network security and cybersecurity	5 インターネットセキュリティ、ウェブセキュリティ、ネットワークセキュリティ、サイバーセキュリティの関係
6 Overview of Internet security	6 インターネットセキュリティの概要
7 Interested parties	7 利害関係者
7.1 General	7.1 一般
7.2 Users	7.2 利用者
7.3 Coordinator and standardization organisations	7.3 調整機関および標準化機関
7.4 Government authorities	7.4 政府当局
7.5 Law enforcement agencies	7.5 法執行機関
7.6 Internet service providers	7.6 インターネット・サービス・プロバイダ
8 Internet security risk assessment and treatment	8 インターネットセキュリティリスクのアセスメントと処置
8.1 General	8.1 一般
8.2 Threats	8.2 脅威
8.3 Vulnerabilities	8.3 脆弱性
8.4 Attack vectors	8.4 攻撃ベクトル
9 Security guidelines for the Internet	9 インターネットのセキュリティガイドライン
9.1 General	9.1 一般事項
9.2 Controls for Internet security	9.2 インターネットセキュリティのためのコントロール
9.2.1 General	9.2.1 一般
9.2.2 Policies for Internet security	9.2.2 インターネットセキュリティのためのポリシー
9.2.3 Access control	9.2.3 アクセス制御
9.2.4 Education, awareness and training	9.2.4 教育、意識向上およびトレーニング
9.2.5 Security incident management	9.2.5 セキュリティインシデント管理
9.2.6 Asset management	9.2.6 資産管理
9.2.7 Supplier management	9.2.7 サプライヤー管理
9.2.8 Business continuity over the Internet	9.2.8 インターネット上での事業継続性
9.2.9 Privacy protection over the Internet	9.2.9 インターネット上での防御
9.2.10 Vulnerability management	9.2.10 脆弱性管理
9.2.11 Network management	9.2.11 ネットワーク管理
9.2.12 Protection against malware	9.2.12 マルウェアからの防御
9.2.13 Change management	9.2.13 変更管理
9.2.14 Identification of applicable legislation and compliance requirements	9.2.14 適用される法律及びコンプライアンス要件の特定
9.2.15 Use of cryptography	9.2.15 暗号の使用
9.2.16 Application security for Internet-facing applications	9.2.16 インターネットに面したアプリケーションのアプリケーションセキュリティ
9.2.17 Endpoint device management	9.2.17 エンドポイントデバイスの管理
9.2.18 Monitoring	9.2.18 監視
Annex A Cross-references between this document and ISO/IEC 27002	附属書 A 本文書と ISO/IEC 27002 との相互参照事項
Bibliography	参考文献