熱門排行
2019
07/31
09:06
果果小編
評論
0
隨著在世界范圍內,信息化水平的不斷發展,信息安全逐漸成為人們關注的焦點,世界各地的相關機構、組織、個人都在探尋如何保障信息安全的問題。英國、美國、挪威、瑞典、芬蘭、澳大利亞等國均制定了有關信息安全的本國標準。目前,在信息安全管理方面,ISO27001已經成為世界上應用最廣泛與典型的信息安全管理標準。企業遵循ISO27001信息安全管理體系進行建設,可有效地保護企業信息系統安全,確保信息安全體系的持續發展。
企業信息安全是保障企業業務系統不被非法訪問、利用和篡改,為企業員工提供安全、可信的服務,保證信息系統的可用性、完整性和保密性。主要包括兩方面的內容:
企業安全管理類的評估
評估內容包括ISO27001所涵蓋的與信息安全管理體系相關的11個方面,包括信息安全策略、安全組織、資產分類與控制、人員安全、物理和環境安全、通信和操作管理、訪問控制、系統開發與維護、安全事件管理、業務連續性管理。通過對企業的安全控制現狀與ISO27001的最佳實踐進行對比,檢查企業在安全控制層面上存在的弱點,從而為改進安全措施提供依據。
企業安全技術類評估
針對企業具有代表性的關鍵應用進行安全評估。關鍵應用的評估方式采用滲透測試的方法,在應用評估中將對應用系統的威脅、弱點進行識別,分析其和應用系統的安全目標之間的差距,為后期改造提供依據。以ISO27001為核心,并借鑒國際常用的幾種評估模型的優點,同時結合企業自身的特點,建立風險評估模型:在風險評估模型中,主要包含信息資產、弱點、威脅和風險四個要素。
根據業務需求建立業務模塊化:整體網絡建立模塊化的網絡結構,各業務使用獨立的核心交換骨干網絡,將非關鍵業務區域與關鍵交易業務區域的交換網絡分離,避免關聯風險的影響,便于實施分級保護。同時建立層次化的網絡結構,根據風險級別區分不同的網絡層次,便于實施重點防護。
針對不同級別的WEB、APP、數據庫、存儲等邏輯區域,設計不同的安全防護級別,同時采用不同的安全設備進行安全防護。
發表評論 0條
發表
相關推薦
賬號登錄