ISO27001標(biāo)準(zhǔn)對IT運維安全的要求

2019

07/31

09:06

果果小編

評論

　　隨著在世界范圍內(nèi)，信息化水平的不斷發(fā)展，信息安全逐漸成為人們關(guān)注的焦點，世界各地的相關(guān)機構(gòu)、組織、個人都在探尋如何保障信息安全的問題。英國、美國、挪威、瑞典、芬蘭、澳大利亞等國均制定了有關(guān)信息安全的本國標(biāo)準(zhǔn)。目前，在信息安全管理方面，ISO27001已經(jīng)成為世界上應(yīng)用最廣泛與典型的信息安全管理標(biāo)準(zhǔn)。企業(yè)遵循ISO27001信息安全管理體系進行建設(shè)，可有效地保護企業(yè)信息系統(tǒng)安全，確保信息安全體系的持續(xù)發(fā)展。

　　企業(yè)信息安全是保障企業(yè)業(yè)務(wù)系統(tǒng)不被非法訪問、利用和篡改，為企業(yè)員工提供安全、可信的服務(wù)，保證信息系統(tǒng)的可用性、完整性和保密性。主要包括兩方面的內(nèi)容：

　　企業(yè)安全管理類的評估

　　評估內(nèi)容包括ISO27001所涵蓋的與信息安全管理體系相關(guān)的11個方面，包括信息安全策略、安全組織、資產(chǎn)分類與控制、人員安全、物理和環(huán)境安全、通信和操作管理、訪問控制、系統(tǒng)開發(fā)與維護、安全事件管理、業(yè)務(wù)連續(xù)性管理。通過對企業(yè)的安全控制現(xiàn)狀與ISO27001的最佳實踐進行對比，檢查企業(yè)在安全控制層面上存在的弱點，從而為改進安全措施提供依據(jù)。

　　企業(yè)安全技術(shù)類評估

　　針對企業(yè)具有代表性的關(guān)鍵應(yīng)用進行安全評估。關(guān)鍵應(yīng)用的評估方式采用滲透測試的方法，在應(yīng)用評估中將對應(yīng)用系統(tǒng)的威脅、弱點進行識別，分析其和應(yīng)用系統(tǒng)的安全目標(biāo)之間的差距，為后期改造提供依據(jù)。以ISO27001為核心，并借鑒國際常用的幾種評估模型的優(yōu)點，同時結(jié)合企業(yè)自身的特點，建立風(fēng)險評估模型：在風(fēng)險評估模型中，主要包含信息資產(chǎn)、弱點、威脅和風(fēng)險四個要素。

　　根據(jù)業(yè)務(wù)需求建立業(yè)務(wù)模塊化：整體網(wǎng)絡(luò)建立模塊化的網(wǎng)絡(luò)結(jié)構(gòu)，各業(yè)務(wù)使用獨立的核心交換骨干網(wǎng)絡(luò)，將非關(guān)鍵業(yè)務(wù)區(qū)域與關(guān)鍵交易業(yè)務(wù)區(qū)域的交換網(wǎng)絡(luò)分離，避免關(guān)聯(lián)風(fēng)險的影響，便于實施分級保護。同時建立層次化的網(wǎng)絡(luò)結(jié)構(gòu)，根據(jù)風(fēng)險級別區(qū)分不同的網(wǎng)絡(luò)層次，便于實施重點防護。

　　針對不同級別的WEB、APP、數(shù)據(jù)庫、存儲等邏輯區(qū)域，設(shè)計不同的安全防護級別，同時采用不同的安全設(shè)備進行安全防護。

發(fā)表評論 0條