熱門排行
2019
07/31
09:06
果果小編
評論
0
隨著在世界范圍內,信息化水平的不斷發(fā)展,信息安全逐漸成為人們關注的焦點,世界各地的相關機構、組織、個人都在探尋如何保障信息安全的問題。英國、美國、挪威、瑞典、芬蘭、澳大利亞等國均制定了有關信息安全的本國標準。目前,在信息安全管理方面,ISO27001已經成為世界上應用最廣泛與典型的信息安全管理標準。企業(yè)遵循ISO27001信息安全管理體系進行建設,可有效地保護企業(yè)信息系統安全,確保信息安全體系的持續(xù)發(fā)展。
企業(yè)信息安全是保障企業(yè)業(yè)務系統不被非法訪問、利用和篡改,為企業(yè)員工提供安全、可信的服務,保證信息系統的可用性、完整性和保密性。主要包括兩方面的內容:
企業(yè)安全管理類的評估
評估內容包括ISO27001所涵蓋的與信息安全管理體系相關的11個方面,包括信息安全策略、安全組織、資產分類與控制、人員安全、物理和環(huán)境安全、通信和操作管理、訪問控制、系統開發(fā)與維護、安全事件管理、業(yè)務連續(xù)性管理。通過對企業(yè)的安全控制現狀與ISO27001的最佳實踐進行對比,檢查企業(yè)在安全控制層面上存在的弱點,從而為改進安全措施提供依據。
企業(yè)安全技術類評估
針對企業(yè)具有代表性的關鍵應用進行安全評估。關鍵應用的評估方式采用滲透測試的方法,在應用評估中將對應用系統的威脅、弱點進行識別,分析其和應用系統的安全目標之間的差距,為后期改造提供依據。以ISO27001為核心,并借鑒國際常用的幾種評估模型的優(yōu)點,同時結合企業(yè)自身的特點,建立風險評估模型:在風險評估模型中,主要包含信息資產、弱點、威脅和風險四個要素。
根據業(yè)務需求建立業(yè)務模塊化:整體網絡建立模塊化的網絡結構,各業(yè)務使用獨立的核心交換骨干網絡,將非關鍵業(yè)務區(qū)域與關鍵交易業(yè)務區(qū)域的交換網絡分離,避免關聯風險的影響,便于實施分級保護。同時建立層次化的網絡結構,根據風險級別區(qū)分不同的網絡層次,便于實施重點防護。
針對不同級別的WEB、APP、數據庫、存儲等邏輯區(qū)域,設計不同的安全防護級別,同時采用不同的安全設備進行安全防護。
發(fā)表評論 0條
發(fā)表
相關推薦
賬號登錄