亚洲国产精品久久久婷婷-成人免费av高清在线观看-国产中文精品色婷婷综-国产精品中文字幕在线不卡

基于新版ISO27000對軟件行業(yè)信息安全的解讀

   時(shí)間:2024-06-26 18:21:35     來源:華企認(rèn)證咨詢網(wǎng)     作者:小認(rèn)     瀏覽:900    評論:0    
核心提示:基于新版ISO27000對軟件行業(yè)信息安全的解讀  信息安全管理體系是在組織內(nèi)部建立信息安全管理目標(biāo),以及完成這些目標(biāo)所用方法的體系。ISO/

基于新版ISO27000對軟件行業(yè)信息安全的解讀

  信息安全管理體系是在組織內(nèi)部建立信息安全管理目標(biāo),以及完成這些目標(biāo)所用方法的體系。ISO/LEC27001是建立、實(shí)施和維持信息安全管理體系的標(biāo)準(zhǔn),通過確定信息安全管理體系范圍、制定信息安全方針、明確管理職責(zé)、以風(fēng)險(xiǎn)評估為基礎(chǔ),選擇控制目標(biāo)與控制方式等活動建立信息安全管理體系。有效的企業(yè)安全體系將成為現(xiàn)代企業(yè)發(fā)展的基本要求。作為軟件行業(yè),好的信息安全體系已是企業(yè)的核心競爭力。

  本文從ISO27000的改版,企業(yè)將如何針對新的標(biāo)準(zhǔn)與新的控制措施調(diào)整與改進(jìn)自身信息安全管理體系作出相應(yīng)解讀。

  1、引言

  如今隨著信息化的步伐日益加速以及信息相關(guān)技術(shù)的飛猛發(fā)展,信息資源也日漸成為所有企業(yè)維持正常運(yùn)轉(zhuǎn)的重要資源。信息以及載體信息系統(tǒng)、網(wǎng)絡(luò)等已經(jīng)成為了企業(yè)生存和發(fā)展的重要資產(chǎn)。然而企業(yè)的信息安全和數(shù)據(jù)泄露仍然是企業(yè)管理者關(guān)注的主要問題之一。大部分企業(yè)基于企業(yè)實(shí)際情況,通過引入國際信息安全管理體系IS027000以及通過最佳的業(yè)務(wù)實(shí)踐,建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)文件化的信息安全管理體系(即ISMS),實(shí)現(xiàn)對信息安全的預(yù)控、在控、可控、能控。

  而隨著2013年發(fā)布的ISO27000的改版,各行各業(yè)勢必會根據(jù)自身信息安全的情況對信息安全體系作出調(diào)整。本文將針對軟件行業(yè)在調(diào)整下的信息安全管理體系下,如何更好地保持和改進(jìn)信息安全體系作出解讀,使企業(yè)更好地依據(jù)標(biāo)準(zhǔn)體系和方法論,制定出符合企業(yè)長久發(fā)展的信息安全管理體系。

  2、ISO標(biāo)準(zhǔn)

  2.1ISO標(biāo)準(zhǔn)及變化

   ISO/IEC27000(Information Security Management System Fundamentals And Vocabulary)是信息安全管理體系基礎(chǔ)和術(shù)語,ISO/IEC27000提供了ISMS標(biāo)準(zhǔn)族中所涉及的通用術(shù)語及基本原則,是ISMS標(biāo)準(zhǔn)族中最基礎(chǔ)的標(biāo)準(zhǔn)之一。最新版本于2013年9月25日發(fā)布。

  相對于2005版,新版本對于ISMS建立的基礎(chǔ)進(jìn)行了調(diào)整和明確,相較于2005年版本以資產(chǎn)和技術(shù)為主題,新版標(biāo)準(zhǔn)則把更多的目光投向組織業(yè)務(wù)關(guān)系,更多地考慮到組織自身及利益相關(guān)方的需求,這也是時(shí)代發(fā)展的整體趨勢。新版控制措施ISO27002從舊版的11個(gè)領(lǐng)域更新為14個(gè)領(lǐng)域,刪除了舊版中一些重復(fù)的和操作級的控制項(xiàng)。具體是舊版通信與操作管理被劃分成為兩個(gè)獨(dú)立的領(lǐng)域操作安全和通信安全,足以見新版對這兩個(gè)領(lǐng)域的重視;新增密碼學(xué)和供應(yīng)關(guān)系兩個(gè)獨(dú)立領(lǐng)域。新版ISO27001將舊版中4.1章節(jié)即有關(guān)建立和管理ISMS的總要求獨(dú)立成出來;為了使邏輯性更加嚴(yán)謹(jǐn),人力資源安全、資產(chǎn)管理以及訪問控制位置發(fā)生一定改變;從章節(jié)上講,由8個(gè)章節(jié)拓展到10個(gè)章節(jié),重新構(gòu)建了ISO標(biāo)準(zhǔn)PDCA的章節(jié)構(gòu)架。

  2.2關(guān)于PDCA模型

  此處對于PDCA模型以及新版標(biāo)準(zhǔn)的劃分做一簡單說明:PDCA模式是國際認(rèn)可的模型,很多著名的標(biāo)準(zhǔn)和管理體系都遵循這一模式。該模型是一個(gè)很好的周期性框架,每個(gè)階段都與其他階段相關(guān)聯(lián)。

   PDCA模型分別由四部分組成:P(Plan)——建立ISMS,根據(jù)組織的整體策略和目標(biāo),確定活動的計(jì)劃,包括第四至七章(組織背景、領(lǐng)導(dǎo)力、計(jì)劃、支持);D(Do)——實(shí)施和運(yùn)作ISMS,實(shí)際地去完成計(jì)劃中的內(nèi)容,包括第八章(運(yùn)行);C(Check)——監(jiān)視和評審ISMS,總結(jié)實(shí)施和運(yùn)作的結(jié)果,查找問題,包括第九章(績效評價(jià));A(Action)——保持和改進(jìn)ISMS,對評審的結(jié)果做出處理,成功的經(jīng)驗(yàn)要進(jìn)行保持和推廣,失敗的教訓(xùn)要尋找原因,避免下次再出現(xiàn)同樣的錯(cuò)誤,沒有解決的問題放到下一個(gè)PDCA循環(huán)中,包括第十章(改進(jìn))。

   PDCA模型是管理學(xué)中常用的一個(gè)模型。該模型在運(yùn)作過程中,按照P-D-C-A的順序依次進(jìn)行,一次完整的循環(huán)可以看作是管理學(xué)上的一個(gè)管理周期,每經(jīng)過一次循環(huán),管理情況就會得到改善,同時(shí)進(jìn)入更高的P-D-C-A周期循環(huán),組織的管理體系不斷的得到提升,管理水平也不斷提高。而這四個(gè)步驟成為一個(gè)閉環(huán),通過這個(gè)環(huán)的不斷運(yùn)轉(zhuǎn),使信息安全管理體系得到持續(xù)改進(jìn),使信息安全績效螺旋上升。

   新的內(nèi)容將使企業(yè)的側(cè)重點(diǎn)不同,從上面的論述中明顯可以看出新標(biāo)準(zhǔn)在企業(yè)建立信息安全體系之前加重了對企業(yè)內(nèi)外環(huán)境信息安全的重視,在構(gòu)建信息安全體系之前需要企業(yè)全方位考慮其組織環(huán)境、企業(yè)資源、管理現(xiàn)狀,了解其發(fā)展所面臨的機(jī)遇與風(fēng)險(xiǎn),從而高標(biāo)準(zhǔn)、高精度、高要求來對待信息安全管理工作。

   對于軟件行業(yè)來說,信息安全體系已初步建立和實(shí)施,主要是監(jiān)視評審并持續(xù)改進(jìn)自身信息安全體系的工作——PDCA模型的C和A。

  3、軟件行業(yè)信息安全現(xiàn)狀及新標(biāo)準(zhǔn)變化下應(yīng)對策略

   軟件行業(yè)是對信息安全要求最高的行業(yè),也是企業(yè)引入國際信息安全管理體系IS027000通過認(rèn)證最多的行業(yè)。前面已經(jīng)提到,軟件行業(yè)已經(jīng)初步建立和實(shí)施自己的信息安全體系,面對新版ISO27000的要求,大刀闊斧地重新開始構(gòu)建體系勢必會給企業(yè)帶來大的浪費(fèi)和困擾。因此,在新的要求下如何監(jiān)視并改進(jìn)ISMS是軟件行業(yè)中企業(yè)面臨的最大的問題。ISO27001新標(biāo)準(zhǔn)中把舊版4.1獨(dú)立成章作為建立體系之前的組織環(huán)境的了解,將原來的領(lǐng)導(dǎo)力、可實(shí)現(xiàn)信息安全的計(jì)劃、資源等的支持都放入構(gòu)建ISMS之前,也就是說軟件行業(yè)在監(jiān)控并改進(jìn)信息安全管理體系上要從這些方面完善自身。而這些方面在其信息安全管理措施上簡單歸納為兩個(gè)方面:管理和技術(shù)。企業(yè)需要通過管理和技術(shù)的雙方面進(jìn)行控制和管理來改善信息安全體系。

  3.1管理角度分析

  從管理角度考慮,企業(yè)信息安全管理體系中所需采取的安全管理方面的措施主要包括物理安全管理、數(shù)據(jù)安全管理、人員安全管理、軟件安全管理、運(yùn)行安全管理、系統(tǒng)安全管理、技術(shù)文檔安全管理,通過對風(fēng)險(xiǎn)的技術(shù)性控制和管理的實(shí)施、部署后,在風(fēng)險(xiǎn)控制管理中能保證防御大量存在的威脅,技術(shù)性的控制管理手段不僅包括從簡單直至復(fù)雜的各種具體的技術(shù)手段,還包括系統(tǒng)架構(gòu)、系統(tǒng)培訓(xùn)以及一系列的軟件、硬件的安全設(shè)備,這些措施和方式應(yīng)該配套使用,從而保護(hù)關(guān)鍵數(shù)據(jù)、敏感信息及信息系統(tǒng)的功能。而這些也是ISO27001中第四章組織的背景、第五章領(lǐng)導(dǎo)力、第六章計(jì)劃、第七章支持對企業(yè)的具體要求。

  主要管理措施可以從幾個(gè)方面出發(fā)。

 ?。?)建立信息安全管理體系監(jiān)督機(jī)制、在體系運(yùn)行期間,要進(jìn)行有效的檢查、監(jiān)督、反饋和溝通,保證信息安全管理體系能夠按照公司制訂的方針策略,滿足公司業(yè)務(wù)的需求。

 ?。?)根據(jù)企業(yè)自身的特點(diǎn),制訂可行的獎(jiǎng)懲制度,將信息安全的管理納入到績效考核,直接與工作和獎(jiǎng)金掛鉤,將對違反信息安全管理體系規(guī)定進(jìn)行懲罰。

 ?。?)建立內(nèi)部審核制度,各部門應(yīng)按照信息安全管理體系的要求,進(jìn)行自查和由負(fù)責(zé)部門進(jìn)行隨時(shí)抽查,并在每年定期組織檢查,對表現(xiàn)好的單位給予嘉獎(jiǎng),同時(shí)對違反的單位進(jìn)行懲罰,并進(jìn)行公示;同時(shí)對信息安全審計(jì)、安全事件處理和外部組織進(jìn)行反饋溝通,檢查信息安全管理體系的有效性和合理性。

  (4)考慮組織和技術(shù)等的變化對信息安全管理體系的影響,應(yīng)實(shí)時(shí)更新相關(guān)的規(guī)章制度,具體變化情況如:組織變化、技術(shù)變革、業(yè)務(wù)目標(biāo)流程的改變、新的威脅和風(fēng)險(xiǎn)點(diǎn)的出現(xiàn)、法律法規(guī)的變化等;通過不斷的優(yōu)化和改善,使信息安全管理體系能夠永遠(yuǎn)適合企業(yè)業(yè)務(wù)的需要。

  3.2技術(shù)角度分析

  新版ISO270002控制措施中新增和調(diào)整了一些措施,涉及信息系統(tǒng)開發(fā)、信息安全事件管理、業(yè)務(wù)連續(xù)性管理等部分,這些要求對軟件行業(yè)中企業(yè)的具體實(shí)行至關(guān)重要。從技術(shù)角度考慮,軟件行業(yè)企業(yè)信息安全管理體系中所需采取的安全技術(shù)體系包括幾個(gè)方面。

  3.2.1物理環(huán)境安全信息系統(tǒng)硬件安全

  這是無論舊版控制措施還是新版都沒有絲毫改變的控制項(xiàng),也是軟件行業(yè)中企業(yè)應(yīng)加強(qiáng)管理的基礎(chǔ)。在公司的信息系統(tǒng)硬件管理上,首先對機(jī)房的硬件環(huán)境進(jìn)行安全管理,包括溫度、濕度、消防、電力等安全管理,對關(guān)鍵的應(yīng)用需要采取UPS供電,同時(shí)采取相應(yīng)的備份,對硬件的使用率進(jìn)行實(shí)時(shí)地監(jiān)控,避免硬件的使用率過高造成業(yè)務(wù)持續(xù)性的影響,另外需要對硬件的物理環(huán)境進(jìn)行監(jiān)控,避免非法人員的進(jìn)入,同時(shí)也是對管理員的日常行動進(jìn)行監(jiān)控,最后需要對機(jī)房人員和物品的出入進(jìn)行權(quán)限的管理和等級制度。

  3.2.2操作系統(tǒng)與應(yīng)用程序安全

  這是新版控制措施新增的安全開發(fā)策略和系統(tǒng)開發(fā)程序等對企業(yè)新的要求,保證操作系統(tǒng)與應(yīng)用程序的安全會保護(hù)企業(yè)在系統(tǒng)開發(fā)和集成工作的安全開發(fā)環(huán)境,使企業(yè)整個(gè)開發(fā)周期安全。

?。?)操作系統(tǒng)安全。除了進(jìn)行必要的補(bǔ)丁和漏洞的管理和更新外,最主要的是進(jìn)行防病毒管理,通過殺毒軟件來防止非法的木馬、惡意代碼、軟件對操作系統(tǒng)的安全影響;應(yīng)用程序安全——直接關(guān)系信息系統(tǒng)的安全性,通過硬件、軟件的安全保護(hù)來保證應(yīng)用程序的安全。

 (2)密碼算法技術(shù)。密碼學(xué)在新版控制措施中獨(dú)立成為一個(gè)領(lǐng)域,這就是企業(yè)必須要引起重視的理由,密碼算法技術(shù),密碼算法技術(shù)應(yīng)用主要是確保信息在傳送的過程中不被非法的人員竊取、篡改和利用,同時(shí)接收方能夠完整無誤的解讀發(fā)送者發(fā)送的原始信息。

 (3)安全傳輸技術(shù)與安全協(xié)議技術(shù)。這是針對新增供應(yīng)關(guān)系領(lǐng)域企業(yè)需要加強(qiáng)的技術(shù)。為減緩供應(yīng)商以及其他用戶訪問企業(yè)資產(chǎn)帶來的風(fēng)險(xiǎn),對于重要的系統(tǒng)和對外的訪問,進(jìn)行安全的傳輸技術(shù),以此來保證信息在傳輸過程中的安全,避免被非法用戶竊取、篡改和利用。

 (4)安全協(xié)議技術(shù)。主要是指身份認(rèn)證功能,目前企業(yè)系統(tǒng)的安全保護(hù)主要都是依賴于操作系統(tǒng)的安全,這樣入侵系統(tǒng)就非常容易,因此需要建立一套完善的身份認(rèn)證系統(tǒng),其目的是保證信息系統(tǒng)能確認(rèn)系統(tǒng)訪問者的真正身份,身份認(rèn)證協(xié)議都是使用數(shù)據(jù)加密或數(shù)字簽名等方法來確認(rèn)消息發(fā)送方的身份。

?。?)信息處理設(shè)備冗余部署。這在新版控制措施第十七章信息安全方面的業(yè)務(wù)連續(xù)性管理中作為新增的控制措施,要求企業(yè)識別信息系統(tǒng)可用性的業(yè)務(wù)需求,如果現(xiàn)有系統(tǒng)框架不能保證可用性,應(yīng)該考慮冗余組建或架構(gòu)。在適當(dāng)情況下,對冗余信息系統(tǒng)進(jìn)行測試,保證在發(fā)生故障時(shí)可以從一個(gè)組件順利切換到另外一個(gè)組件。

  4、結(jié)束語

  信息安全管理體系的建設(shè)改進(jìn)工作是持續(xù)進(jìn)行的,是會隨著公司業(yè)務(wù)的發(fā)展、技術(shù)的更新、以及新標(biāo)準(zhǔn)的要求等不斷變化的。它需要采用科學(xué)的方法來保證體系的持續(xù)穩(wěn)定運(yùn)行,從而使信息安全管理體系化、常態(tài)化的保持下去。而新版ISO27000在信息安全體系的工作上,使各行各業(yè)都有了新的指導(dǎo)。本文主要針對軟件行業(yè)做出一定解讀??傮w來講,我們需要對己經(jīng)建立的信息安全管理體系進(jìn)行監(jiān)督、完善、優(yōu)化,這實(shí)際上還是要求企業(yè)貫徹執(zhí)行PDCA模型,無論從管理還是具體操作上不斷進(jìn)行PDCA循環(huán),才能使得企業(yè)信息安全管理體系不斷改進(jìn)和優(yōu)化。

ISO27001認(rèn)證輔導(dǎo)|ISO27001認(rèn)證和ISO20000認(rèn)證的區(qū)別

信息安全管理實(shí)用規(guī)則ISO/IEC27001的前身為英國的BS7799標(biāo)準(zhǔn),該標(biāo)準(zhǔn)由英國標(biāo)準(zhǔn)協(xié)會(BSI)于1995年2月提出,并于1995年5月修訂而成的。1999年BSI重新修……

ISO27001認(rèn)證的實(shí)施

ISO27001認(rèn)證的實(shí)施關(guān)于ISO27001信息安全管理體系,很多人都以為信息安全,只是有關(guān)于IT行業(yè)中的問題,不是IT行業(yè)的企業(yè)沒必要做。其實(shí)這是一個(gè)錯(cuò)誤的……

ISO27001認(rèn)證步驟

ISO27001認(rèn)證一般要經(jīng)過以下幾個(gè)主要步驟:1、ISO27001認(rèn)證策劃與準(zhǔn)備策劃與準(zhǔn)備階段主要是做好建立信息安全管理體系的各種前期工作。內(nèi)容包括教育培……

ISO27001認(rèn)證咨詢輔導(dǎo)|iso27001針對信息安全中系統(tǒng)漏洞黑客入侵病毒感染等內(nèi)容進(jìn)行保護(hù)

ISO27001認(rèn)證咨詢輔導(dǎo)|iso27001針對信息安全中系統(tǒng)漏洞黑客入侵病毒感染等內(nèi)容進(jìn)行保護(hù)ISO27001即信息安全管理體系,它以其嚴(yán)格的審查標(biāo)準(zhǔn)和權(quán)威的認(rèn)……

中企認(rèn)證咨詢網(wǎng)積累了豐富的國際質(zhì)量認(rèn)證工作經(jīng)驗(yàn),各項(xiàng)業(yè)務(wù)均成果卓著。始終以服務(wù)國家經(jīng)濟(jì)社會發(fā)展和提升人民生活品質(zhì)為己任,依托產(chǎn)品認(rèn)證(包括服務(wù)認(rèn)證、自愿性認(rèn)證)、管理體系認(rèn)證和認(rèn)證培訓(xùn)業(yè)務(wù),著力開展節(jié)能。在積極促進(jìn)國際貿(mào)易,調(diào)整經(jīng)濟(jì)結(jié)構(gòu),保護(hù)消費(fèi)者安全健康,構(gòu)建社會誠信體系,參與"兩型"社會建設(shè)等方面做出了積極貢獻(xiàn)。同時(shí),自身獲得了跨越式發(fā)展,已成為業(yè)務(wù)門類全、服務(wù)網(wǎng)絡(luò)廣、工作手段新、技術(shù)力量強(qiáng)、人員素質(zhì)高的一流認(rèn)證機(jī)構(gòu),可以方便快捷地為世界各地的客戶提供高效、優(yōu)質(zhì)的"一站式"服務(wù)。中企認(rèn)證咨詢網(wǎng)秉承"和諧、進(jìn)取、責(zé)任"的理念,正在朝著建立社會公信力高,有較強(qiáng)創(chuàng)新能力、市場競爭能力和可持續(xù)發(fā)展能力,向業(yè)界有較高知名度的國際型認(rèn)證機(jī)構(gòu)的目標(biāo)努力前行,優(yōu)質(zhì)的服務(wù)、雄厚的技術(shù)力量、先進(jìn)的管理水平保障了中企認(rèn)證咨詢網(wǎng)業(yè)務(wù)的順利開展,為順利實(shí)現(xiàn)中企認(rèn)證咨詢網(wǎng)的質(zhì)量目標(biāo)、為認(rèn)證機(jī)構(gòu)的品牌提供了有力保障。

中企認(rèn)證咨詢網(wǎng)專業(yè)從事ISO9001、ISO14001、OHSAS18001、IATF16949、ISO27001、ISO13485、ISO22000、HACCP、ISO20000、ISO45001、QC080000、GB/T50430、GB/T27922售后服務(wù)體系認(rèn)證、GB/T29490知識產(chǎn)權(quán)管理體系、ISO37001、ISO50001、ISO22163、兩化融合體系、系統(tǒng)集成資質(zhì)、十環(huán)認(rèn)證、SMETA、SEDEX、BSCI、SA8000、FSC、ICTI、GSV、C-TPAT、WRAP、EICC、GMP、GMPC、ETI、BRC、驗(yàn)廠咨詢、商務(wù)部信用等級、誠信信用等級、ISO體系、CE、3C、AAA等認(rèn)證咨詢服務(wù)。認(rèn)證價(jià)格實(shí)惠,證書真實(shí)有效,認(rèn)監(jiān)委可查,如有疑問,可點(diǎn)擊garryr.com了解詳情,竭誠為您服務(wù)!

 
展開閱讀
打賞
 
更多>同類iso27001認(rèn)證知識
0相關(guān)評論

中文字幕日韩一区二区不卡| 草草视频福利在线观看| 中文字幕欧美精品人妻一区| 男女午夜福利院在线观看| 男人把女人操得嗷嗷叫| 欧美午夜一级艳片免费看| 最好看的人妻中文字幕| 国产精品久久香蕉国产线| 神马午夜福利免费视频| 欧美午夜国产在线观看| 真实偷拍一区二区免费视频| 午夜精品一区免费视频| 果冻传媒在线观看免费高清| 九九九热在线免费视频| 日韩精品在线观看一区| 老司机激情五月天在线不卡| 国产日韩久久精品一区| 极品熟女一区二区三区| 九九热视频免费在线视频| 大尺度剧情国产在线视频| 午夜小视频成人免费看| 久久精品伊人一区二区| 亚洲精品福利视频你懂的| 久久精品国产一区久久久| 视频一区二区 国产精品| 粉嫩内射av一区二区| 国产一区二区三区成人精品| 欧美丰满人妻少妇精品| 亚洲精品一区三区三区| 污污黄黄的成年亚洲毛片| 国产精品亚洲一级av第二区| 欧美成人精品国产成人综合| 中文字幕日韩一区二区不卡| 精品国产亚洲av久一区二区三区| 国产亚洲精品俞拍视频福利区| 麻豆tv传媒在线观看| 国产情侣激情在线对白| 午夜福利激情性生活免费视频| 欧美色欧美亚洲日在线| 在线观看免费午夜福利| 噜噜中文字幕一区二区|