ISO27001認證可以抵御分為外部網絡和內部網絡的攻擊。外部網絡:各種互聯(lián)網違法犯罪�、病毒傳播、重要信息泄露�、網絡不良行為、黑客惡意攻擊���、垃圾郵件等����;內部網絡:各種非法網站瀏覽�、在線游戲 、P2P下載��、聊天工具泛濫�、內部、內部信息泄露����、員工上網行為無法有效管理等ITO/BPO以及系統(tǒng)集成服務供應商在運營過程中,由于內部管理和物理環(huán)境管理不到位�����,相關信息資產的丟失和破壞失控���。
ISO27001認證為客戶提供以下解決方案:
1��、 ISO建立27001認證管理體系�����,確保管理體系在軟件開發(fā)過程中有一套標準化的體系作為有效的運行體系���。如建立信息風險識別、評估、確定控制計劃���、實施有效安全組織職責����、媒體處理�����、外部訪問����、防止惡意和移動代碼、符合性評估等有效管理體系�����。
2��、 ISO27001認證的IT建立服務管理系統(tǒng)�,確保管理系統(tǒng)中有一套標準化的系統(tǒng)作為軟件開發(fā)過程的有效運行系統(tǒng)。例如�,建立有效的管理系統(tǒng),如信息交換過程和遠程訪問��。
3.通過制定風險評估和相關對策,降低病毒防護系統(tǒng)和漏洞掃描等風險�����。
4.通過建立包括災難恢復在內的完整業(yè)務連續(xù)性計劃�,降低業(yè)務風險����,提供企業(yè)形象。
組織按照ISO建立27001標準的信息安全管理體系將有一定的投資���,但如果能夠通過認證機構的審查和認證�����,將獲得有價值的回報����。
“信息”作為一種重要的商業(yè)資產����,其所擁有的價值對于一個組織而言毋庸置疑,重要性也是與日俱增�����。信息安全,按照國際標準化組織提出的ISO/IEC 27000中的概念���,需要保證信息的“保密性”�、“完整性”和“可用性”�。通俗地講,就是要保護信息免受來自各方面的威脅��,從而確保一個組織或機構可持續(xù)發(fā)展�。
企業(yè)面臨的問題
組織對于信息系統(tǒng)依賴性不斷增長,以及在信息系統(tǒng)上運作業(yè)務的風險�,使得信息安全越來越得到重視。
然而事實上�,目前組織所面對的信息安全狀況愈加復雜。病毒木馬�����、非法入侵�、數(shù)據泄密、服務癱瘓���、漏洞攻擊等安全事件時有發(fā)生�。從便攜設備到可移動存儲,再到智能手機����、PDA,以及無線網絡等�����,安全問題出現(xiàn)的途徑也是千奇百怪���。每一項新技術,每一類新產品的推廣伴隨著新的問題�。組織在面臨著日趨復雜的威脅的同時,遭受的攻擊次數(shù)也日益增多���。
正因為如此��,信息安全管理體系標準(ISO/IEC27000)的出現(xiàn)成為歷史必要���,該標準經過十多年的發(fā)展,已經形成了一個完整規(guī)范的體系����。對組織而言�����,建立信息安全管理體系��,是一個非常系統(tǒng)的過程�����,從資產評估����、風險分析�、引入控制到后期的改進,呈現(xiàn)出一個非常邏輯的架構���。
調查顯示����,企業(yè)高管普遍面對的問題是:“我們很清楚的知道內部的安全風險問題���,可是我們不知道怎么去識別并規(guī)避風險�?����!?/span>
信息安全管理體系的建立和健全,目的就是降低信息風險對經營帶來的危害�����,并將其投資和商業(yè)利益最大化�。
信息安全管理體系標準
2005年改版后的ISO/IEC 27001共有133個控制點,39個控制措施�����,11個控制域����。其中11個控制域包括:
1)安全策略
2)信息安全的組織
3)資產管理
4)人力資源安全
5)物理和環(huán)境安全
6)通信和操作管理
7)訪問控制
8)系統(tǒng)采集�、開發(fā)和維護
9)信息安全事故管理
10)業(yè)務連續(xù)性管理
11)符合性
可見,信息安全不僅僅是個技術問題����,而是管理、章程����、制度和技術手段以及各種系統(tǒng)的結合�。實現(xiàn)信息安全不僅需要采用技術措施�����,還需要借助于技術以外的其它手段��,如規(guī)范安全標準和進行信息安全管理���。
因此�,組織在選擇合作伙伴的時候�����,就該找那種理解需求��、真正能幫助解決問題的��,只有那種有著多年的咨詢和項目經驗�、豐富的服務和產品的公司,才夠格成為可信任的伙伴�����。
解決方案
參照ISO/IEC 27001���,總結出了完整的信息安全模型���。依據模型���,組織可以得到一個細致的流程,再也不用摸黑走路����。
通過咨詢,為客戶提供高端的信息安全咨詢與評估服務�����,識別出信息資產以及存在的風險����,找出所存在的問題和深層次的需求���,以便明確后續(xù)應采取什么行動去解決問題���。
可以采用相關安全產品,能保護組織的任意區(qū)域���,如移動用戶��、遠程分支�、內部網絡、很難管理的桌面和服務器��、個人的行為狀況等�����。具有完善的功能模塊���,有防火墻���、VPN、IPS/IDS�、內容過濾、網絡行為管理等���。利用這些功能模塊����,組織能全局有效地管理安全,并跨系統(tǒng)�����、平臺和區(qū)域實施一致的策略��。
委托運營����,針對一些自我管理和技術能力不強的組織,委托運營是其最佳選擇�����。組織不再被具體的細節(jié)拖入泥沼中�����,只需提出問題和希望的結果���,所有的中間過程都由委托承擔者完成����。
后續(xù)服務���,安全管理的實現(xiàn)肯定是個長期的過程���,那種完成項目就開溜的做法,對組織來說是種災難�����。只有通過后續(xù)的服務��,不斷地改進���,不斷地發(fā)現(xiàn)新問題��,才能推動目標不斷地前進��。
總之�����,我們欣喜的看到�����,國內組織通過積極努力����,探索尋求整體解決方案,增強了組織主動管理其信息安全的能力����,降低組織信息所面臨的風險。
結語
建立信息安全管理體系并獲得認證����,能提高組織自身的安全管理水平,將組織的安全風險控制在可接受的范圍內����,減少因安全事件帶來的破壞和損失。更重要的����,是可以保證組織業(yè)務的持續(xù)性。
另一方面����,合作在如今的商業(yè)社會是非常普遍。如果組織能向客戶及利益相關方展示對信息安全的承諾�����,不但能增強合作伙伴��、投資方的信心�,也可以向政府及行業(yè)主管部門證明對相關法律法規(guī)的符合,并能得到國際上的認可����。
客服咨詢
158-0008-7775 
