ISO27000信息安全标准背景

不管从事哪个行业,哪项工作,了解行业标准不失为一项必修功课。即使泛泛地了解,在一个大的全景下,审视我们所从事的日常工作。当然,有的标准很概要,有的很细致,不同的标准对具体工作的指导作用不同,有的是强制性的,有的仅具参考。但是无论如何,了解它们,尤其是那些总括性的行业标准,对于从业人员开拓行业视野,都有莫大的帮助。信息安全行业是一个综合性的行业,传统上有管理和技术两类岗位可选,对于管理岗位来讲,信息安全管理体系标准是必须深入学习和了解的。

关于信息安全标准,昆明亭长朗然科技有限公司安全专员董志军说:如同所有标准一样,信息安全标准也经历了并且继续经历着一个历史和发展的过程,如下,我们简单地回顾一下过往,以便我们了解更多相关的历史背景。

信息安全标准,BS7799最初是在1999年4月份作为两个部分进行发布。

第一部分,《信息安全管理实施细则》,Code Of Practice for Information Security Management,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定各类信息系统通用控制范围的唯一参考基准,并且适用于 大、中、小组织。

第二部分,《信息安全管理体系规范》,Specification for Information Security Management Systems.,它规定信息安全管理体系要求与信息安全控制要求,它是一个组织的全面或部分信息安全管理体系评估的基础,它可以作为一个正式认证方案的根据。两部分标准的关联是第二部分的附件A中列出了所有的信息安全控制措施,以供组织考虑和加以选择。这些控管措施和标准的第一部分中的控管措施是一致的,并且第二部分要求用户到第一部分中寻找详细的关于实施和部署的指导意见。

由于BS7799第一部分开始被其它国家的标准化组织吸收和采用,并发布类似的标准。所以2000年12月,BS7799-1:1999《信息安全 管理实施细则》通过了国际标准化组织ISO/IEC的认可,正式成为国际标准——ISO/IEC17799:2000《信息技术—信息安全管理实施细 则》。2002年,BSI对BS7799-2:2000《信息安全管理体系规范》进行了改版,发布了BS7799-2:2002《信息安全管理体系规范》。这次的重大修订包括:

  • 统一了标准两个部分章节的排序;
  • 引入并应用PDCA过程模式到标准中;
  • 添加了ISMS的持续改进;
  • 改进标准及附属章节,以便与其他管理标准协调一致,这些标准如ISO9001:2000以及ISO14001:1996

2005年6月,ISO组织对ISO/IEC 17799进行了改版,新版标准为 ISO/IEC 17799:2005《信息技术—安全技术—信息安全管理实施细则》。不少发达的国家如捷克、丹麦、荷兰、芬兰、法国、德国、冰岛、日本、韩国、挪威、葡萄牙和瑞典等等对这一标准进行了本地语言的翻译,中国也对此做了翻译。2005年10月,BS7799-2:2002通过了国际标准化组织ISO的认可,正式成为国际标准 ISO/IEC 27001:2005《信息技术—安全技术—信息安全管理体系—要求》。

ISO27001用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系提供模型。(Information Security Management System,简称ISMS)采用ISMS应当是一个组织的一项战略性决策。一个组织的ISMS的设计和实施受业务需求和目标、安全需求、所采用的过程以 及组织的规模和结构的影响。上述因素及其支持过程会不断发生变化。期望信息安全管理体系可以根据组织的需求而测量,例如简单的情形可采用简单的ISMS解 决方案。

ISO27001标准可以作为评估组织满足顾客、组织本身及法律法规的信息安全要求的能力的依据,无论是组织自我评估还是评估供方能力,都可以采用,也可以用作独立第三方认证的依据。2007年4月ISO/IEC 17799:2005标准直接更改标准编号为ISO/IEC 27002。

当下,信息安全管理体系ISO 27000系列共包括10个标准,分别为:

  • ISO/IEC 27000:2009《信息安全管理体系基础和词汇》;
  • ISO/IEC 27001:2013《信息安全管理体系要求》;
  • ISO/IEC 27002:2013《信息安全管理实用规则》;
  • ISO/IEC 27003:2010《信息安全管理体系实施指南》;
  • ISO/IEC 27004:2009《信息安全管理测量》;
  • ISO/IEC 27005:2008《信息安全风险管理》;
  • ISO/IEC 27006:2007《认证机构要求》;
  • ISO/IEC 27007《信息安全管理体系审核指南》;
  • ISO/IEC 27008《控制审核员指南》;

可以确定的是,随着时代的进步,ISO/IEC 27000系列标准还将继续发展和演变下去,不过未来的所有变化,也不会有太大的偏离。万变不离其宗,对于大部分信息安全管理从业人员来讲,深入了解27001、27002、27003的精要,掌握其中的方法论,是可以享用一辈子知识财富。昆明亭长朗然科技有限公司帮助各类型的客户加强与工作人员们的信息安全沟通,这是信息安全管理体系标准的明文要求,也是所有建立信息安全管理体系的组织机构的基础工作,原因很简单,信息安全离不开人员。我们有大量的信息安全意识宣教内容,可以帮助工作人员在日常工作时了解安全威胁、掌握安全知识、付诸安全行为。欢迎有兴趣了解更多的信息安全从业人员联系我们,预览作品和洽谈采购合作。

昆明亭长朗然科技有限公司

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898

保持在线安全的几项最佳做法

如今,网络安全技术蓬勃发展,支持安全浏览的技术、程序和工具有很多,不同的工具可帮助保护互联网使用的各个方面,从浏览网页时的恶意代码防范,到从互联网下载文件,以及内容的分类和过滤。相信很多互联网用户不会对如下三招传统的互联网安全技术工具陌生:

  • 防病毒软件,此解决方案可以检测到木马、蠕虫和病毒等恶意软件,并向用户发出有关恶意网站和有害文件的警报。
  • 防火墙软件,此解决方案阻止未经授权或有害的流量进入电脑或内部网络,并通过及时发现软件的联网企图,来确保网络安全。
  • 互联网安全套件,这是一组软件解决方案,可保护您免受恶意软件、间谍软件、广告软件和勒索软件的攻击,同时还包含防火墙、防垃圾邮件、网站内容过滤等等。

当年,互联网安全套件让很多企业场所的计算机受到了安全保护,让用户们高枕无忧地触网用网。可是如今,互联网发生了翻天覆地的革命,员工们使用互联网进行着各种商业和个人交易,比如搜索潜在客户、下载免费的营销模板、通过电子邮件或社交媒体与潜在的商业伙伴联系、查看电子邮件、处理线上工作流程、观看视频等等。尽管互联网安全工具也在不断改进,但是SSL加密浏览等让很多传统的安全侦测、扫描和过滤技术失效。对此,昆明亭长朗然科技有限公司互联网安全研究员董志军表示:不可否认的是,安全和智能的互联网浏览方法将帮助各类型的机构和企业增加收入、降低成本并扩大客户群。但是,如果用户们落入网络犯罪分子精心编织的陷阱,将给业务带来严重的损害,可能意味着业务的结束。

网络浏览相关的技术架构在不断演变,狡猾的犯罪分子们一方面不断利用技术的漏洞,同时越来越多地利用人性的弱点,以期领先于各类技术防范措施,进而借助各种优势,危害互联网用户的安全。企业网络安全管理者,则需打破这种不对等的互联网安全战争,利用网络安全意识培训计划,为在员工们实施安全互联网浏览实践的机会。以下是我们总结出来的几项互联网安全浏览提示,每一项全面的安全培训计划必须涵盖它们。

  • 定期更新浏览器和操作系统软件:运行浏览器或操作系统的旧版本会使计算设备容易受到新型恶意软件的攻击。因此,请确保每次有新补丁出现时都尽快更新软件工具。
  • 定期更新和运行防病毒软件:防病毒软件解决方案可检测到恶意文件并向用户发出警报。定期更新防病毒软件很重要,这样它才能检测到所有最新形式的恶意软件和间谍软件。此外,请养成定期执行病毒计划扫描的习惯,以确保不断改善安全状况。
  • 下载文件时扫描病毒:网络犯罪分子试图诱骗人们下载带有恶意软件的恶意文件。切勿从未知网站下载文件。安装防病毒软件,该软件可以帮助检测将要下载的文件是否是潜在有害的。
  • 检查HTTPS和挂锁符号:HTTPS连接会加密浏览器与被浏览的网站的通讯连接。当您在网上付款时或共享机密信息(例如财务详细信息)时,这一点尤其重要。仅在具有HTTPS证书的网站上提交机密详细信息。此外,网站管理员还必须确保使用HTTPS证书来保护自己的企业网站,以增强其安全性并防止黑客入侵。
  • 远程工作时,使用虚拟专用网络连接到办公室网络:虚拟专用网络有助于保护远程(移动)计算设备与办公室或企业网络的连接,即使是从公用网络登录也是如此。它可以保护和加密远程(移动)终端计算设备与企业网络的通信,从而确保数据传输的安全性。
  • 优化Cookie存储:Cookie是浏览器缓存中的临时文件,用于存储用户名和密码等详细信息。虽然这使浏览变得方便,但它也是黑客窃取用户身份凭据的一个目标。使用浏览器提供的各种选项来管理网站Cookie,包括每周或每月删除它们,具体取决于信息的敏感性和使用频率。
  • 使用多个强健的密码:绝大部分的黑客攻击事件都利用了被盗的或脆弱的密码,因为黑客可以轻松地闯入使用了弱密码的帐户。在多个网站上使用相同的密码还可以使黑客更轻松地利用相同的帐户和密码侵入所有网站。可以使用密码管理器工具安全地存储多个不同的密码。
  • 检查网址和网页内容是否存在网络钓鱼迹象:仔细检查所有网址以确保真实性。将鼠标悬停在文档中的超链接文本上,以查看其指向的位置。警惕那些提供免费游戏、索要金钱、想要您招募人员的网站等,因为它们可能是有害的网站或有网络钓鱼企图。如有疑问,请立即寻求主管或IT团队的帮助。
  • 优化隐私设置:保持隐私设置为“开启”状态。这有助于减少数字足迹。否则,黑客和垃圾邮件发送者将试图窃取人们的个人信息。
  • 在社交媒体上发布消息时保持警惕:人们可以将他们生活展示在社交媒体网站上发布的内容之中。发布涉密的专业信息或详细的个人隐私信息只会让黑客更接近成功。因此,避免在社交媒体上公布工作消息和个人隐私信息。

总之,持续保持警惕是保持互联网安全的关键。诸如防病毒软件和防火墙软件之类的工具对保持互联网安全会有帮助,但同时也可能会发生故障或发出虚假的警报。因此,互联网安全常识、经验和教育会帮助人们始终保持在安全区域使用互联网。昆明亭长朗然科技有限公司专注于帮助各类型组织机构提升职员们的网络安全意识,我们帮助客户策划和制定安全意识培训及沟通计划,并提供各种安全意识课程内容资源,以及安全宣教教育活动的支持。欢迎有兴趣和有需要的客户,以及合作伙伴联系我们,洽谈业务合作。

昆明亭长朗然科技有限公司

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898