玉林ISO27001信息安全管理认证

更新:2016-12-2 13:37:25点击:
  • 产品品牌
  • 产品型号
  • 在线订购
产品介绍

玉林办事处:
电话号码:0775-3131939    手机:15977997344
联系地址:玉林市玉州区一环东路47号正泰花园

iso27001:2013信息安全策略需要从16个方面着手考虑
企业在建立iso27001:2013信息安全管理体系中的信息安全策略在解决组织信息安全问题具有十分重要的地位。在一个大的企业中,iso27001:2013信息安全策略的制定者可能是由一个多方人员组成的小组,而在一个中小企业中,信息安全策略的制定者一般是组织的技术管理者。信息安全策略定义了一个框架,用以保护组织的信息资产。iso27001:2013安全策略是所有保护措施的基础,它是对整个企业优先权的描述,明确了驱动安全活动的基本假设。信息安全策略是一组规则,它们定义了一个组织要实现的安全目标和实现这些安全目标的途径。这些规则表明了企业高级管理者关于信息安全的决定和管理者对信息安全的承诺。
        基于iso27001:2013信息安全策略所做出的与安全相关的决定,应该提供一个高层次的原则性观点,在范围上是全面的。信息安全策略的内容不涉及具体做什么和如何做的问题,与技术方案相比,信息安全策略只是描述一个组织保证信息安全的途径的指导性文件,只需指出在信息安全管理方面要完成的目标。iso27001:2013信息安全策略对于整个组织提供全局性指导,为具体的安全措施和规定提供一个全局性框架。
       iso27001:2013信息安全策略的制定者综合风险评估、信息对业务的重要性,考虑组织所遵从的安全标准,中小企业的iso27001:2013信息安全策略主要需要考虑以下具体策略:
        1.使用策略——描述设备使用、计算机服务使用和内部员工安全规定、以保护企业的信息和资源安全。
        2.加密策略——描述企业对数据加密的安全要求。
        3.访问策略——定义访问权力,指定用户、工作团体和管理者可接受的使用准则,以便从失败或者泄密中保护资产。它应该提供指导性的原则,用以指导外部连接、数据通信、向网络中连接设备和向系统中添加新的软件。它还需要指明任何需要通知的信息。
        4.职责策略——定义用户、工作团体和管理者的职责。它应该规定审计能力并提供事故处理准则(也就是说,如果检测到一个可能的入侵的话,需要做什么以及联系谁)。
        5.线路连接策略——描述诸例如传真发送和接收、模拟线路与计算机的连接、拨号连接等安全要求。
        6.反病毒策略——给出有效减少计算机病毒对企业的信息安全威胁的一些指导方针,明确在哪些环节必须进行病毒检测。
        7.审计策略——描述信息安全审计要求,包括审计小组的人员组成、权限、事故调查、信息安全风险估计、信息安全策略符合程度评价、对用户和系统活动进行监控等活动的要求。
        8.敏感信息策略——对于组织的机密信息进行分级,按照它们的敏感度描述安全要求。
        9.电子邮件使用策略——描述组织内部和外部电子邮件接收、传递的安全要求。
        10.数据库策略——描述信息的存储、检索、更新等管理数据库数据的安全要求。
        11.内部策略——描述对组织内部的各种活动信息安全的要求,使组织的产品、服务和利益受到充分保护。
        12.互联网接入策略——定义在组织防火墙之外的设备和操作的安全要求。
        13.远程访问策略——定义从组织外部计算机或者网络连接到组织内部网络进行外部访问的安全要求。
        14.口令防护策略——定义创建、保护和改变口令的要求。
        15.路由器安全策略——定义组织内部路由器与交换机的最低安全配置要求。
        16.服务器安全策略——定义组织内部的服务器的最低安全配置要求。
        必须要意识到制定和落实信息安全策略是一个长期、艰苦的工作,需要付出艰苦的努力,并且由于牵扯到信息系统许多部门和绝大多数人员,可能需要改变工作方式和流程,所以推行起来的阻力会相当大。同时信息安全策略本身存在的缺陷,包括不切实可行,太过复杂和繁琐,部分规定有缺陷等等,都会导致整体策略难以落实。

目前,全球的IT服务业正逐渐走向专业化和外包化。随着企业和政府组织的业务运作越来越依赖于IT,越来越多的组织考虑将其IT服务运营外包给专业的IT服务提供商或对内部的IT支持部门提出更明确的服务要求,以确保提高服务质量,降低服务成本,降低因IT服务中断所导致的业务风险。如何控制这个IT服务的整体风险(无论是内部还是外部),提高IT的整体服务水平是一个需要高度重视的问题,而ISO/IEC20000就是解决该问题的一个很好的指南。国内通过ISO20000注册的企业并不多,但ISO20000标准的核心ITIL已经被越来越多的公司所认可和引入,逐渐的越来越多的企业也开始对ISO20000标准越来越重视,对于企业来讲,越早的引入ISO 20000国际标准,企业将会越早的受益,将会提高企业在行业中的竞争力。



更多产品