实施和运作信息安全管理体系

依照ISO27001的指导思想,部署信息安全管理体系ISMS的第一阶段,包括完成适用性声明SoA。SoA必须识别出控制目标和选定的控制措施,以及选定它们的原因,它又同时回应到风险评估和风险应对计划。标准还要求识别出目前已实施的控制,以及识别出信息安全管理体系日常运作中涉及到的绝大多数控制。昆明亭长朗然科技有限公司信息安全管理专员董志军对此表示,很多安全人员以为信息安全就是安装各种安全系统,然而安装安全系统也需要有指导纲领,也需要有方法论。

差距分析

下一步的关键是进行差距分析。差距分析的目的是确定风险评估进程中识别出的控制和SoA中记录的控制,以及实际部署的控制之间的差距。在大多数组织中,实际上拥有的控制措施和它们所需要的并不一致,这种情况并非罕见。这种不一致并非仅仅包含说组织缺乏相应的控制措施,而且也包含已有的控制措施没有得到恰当正确的操作,或者一些控制根本没有必要。差距分析需要同时对信息安全管理体系和流程管理方面进行评估,同时还要对已经实施的技术控制进行评估,最好是由独立于被评估领域之外的专家进行。

差距分析使本组织能够将风险处置计划的第二也是最重要的部分放在一起,“管理信息安全风险的管理行动、资源、责任和优先级别”是一套详细的行动计划,运用它们,可使组织切实实施其信息安全管理体系。如前所述,风险处理计划是联接信息安全管理体系PDCA循环的四个阶段的关键文件,并确保一切需要做的得到了贯彻执行。

部署实施

信息安全管理体系的设计和实施的剩余第二阶段包括以下五项活动:

  1. 实施风险处理计划和SOA中确定的控制;
  2. 定义如何衡量和评估所有控制的有效性;
  3. 实施信息安全意识,教育和培训和宣传活动方案。从高处看,信息安全管理体系的成功,离不开人们的行为。有效的信息安全是技术、人员和流程三大要素的紧密配合,少了任何一项,都不足够。
  4. 管理信息安全管理体系,所有的联锁控制和程序必须继续工作,新的威胁需要得到识别、评估和进行必要的处理。人员需要招募和训练,要监督他们的绩效表现,以及按照业务不断变化的需求开发他们的技能。ISMS的有效性必须加以管理,长期的持续改进必须得到计划和领导;
  5. 实施事件检测和响应程序,它连接到ISO27002的信息安全事件管理。它包含两项控制目标和五项控制措施。开发和实施信息安全事件管理流程合乎标准的要求,并且经常开始于信息安全管理体系项目的启动。

总结与补充

信息安全人员要注意站在全局角度看安全控制系统,这样才能走出狭窄封闭的小圈子。大的图景在心中,在部署落实控制措施时心中有数,对控管目标和总体方向有适当的把握,就不会走偏,也不会钻牛角尖。要补充强调的是,信息安全管理是人员、技术和流程的有效结合,很多事情仅靠技术解决不行,可能成本过高、难被理解、易被突破或存在争议,这时需要更多使用流程和人员方面的控制措施和手段进行弥补。

管理层需要确保有广泛而充分的安全意识和培训计划,以让所有人员对信息安全的认知满足最低的标准,同时不断引导新入职人员,并且保持所有人员对最新安全威胁、风险和防范措施的认知刷新。在这方面,昆明亭长朗然科技有限公司专注于帮助安全管理人员强化针对全员的信息安全意识宣教活动。我们有大量的方案和素材,可供选择使用。欢迎有兴趣和需求的安全人员联系我们。

昆明亭长朗然科技有限公司

  • 电话:0871-67122372
  • 手机/微信:18206751343
  • 邮箱:[email protected]
  • QQ:1767022898

智能锁并不安全

如下是新近发生的一起行业安全事件。

一家高科技公司的指纹安全锁可以被智能手机用户秒开。

一名英国的安全专家 Andrew Tierney 通过博客公开了他通过45分钟,研究出轻松解锁Tapplock方法的消息。Tapplock自称是“世界上首款智能指纹锁”,该公司确认了这个安全漏洞,并称其准备发布一项“重要的安全补丁”。

据称,不需要什么技术或知识,任何拥有智能手机的用户,都可以秒开任何一部Tapplock。问题是该APP没有采取任何保护其广播的数据的安全措施。其“主要缺陷”是设计中的问题,设备的解锁键很容易被发现,因为它是由锁的蓝牙低能量ID广播而生成的。

另外,安全锁可以通过智能手机进行管理,因此也可以被远程打开,让其他可有权限的程序或人员获取受其保护的内容。

安全专家给了高科技公司足够的时间,以便其纠正这一安全问题,然后才公开了这一发现。安全专家也敦促智能锁公司向客户发出警告,以便及时更新APP,修复安全漏洞。

这起事件之所以能够发生,原因并不意外。

粗心大意,不仔细,自由散漫,缺乏对安全威胁的敏感度。

为什么这么说呢?

高科技公司制造指纹安全锁,从名字上看,似乎是可以提升安全性的,但是旨在保障安全的设备本身存在严重的能被轻易越过的安全漏洞,这不是好笑么?为什么其他安全人员都能在45分钟内想到破解方法,而科技公司里大把人,很长时间却没有认识到呢?他们没有足够的发现安全问题的天赋?没有这么简单,别人一指出问题,他们就理解了,说明他们并不笨,而是他们不够尽心,不够尽职尽责!

从这起事件中,我们能得到什么安全教训呢?

及时修复安全漏洞(弱点),降低被他人恶意攻击和利用的机会。

看到这则新闻,国内安全专家几乎都想到了“乌云”平台。昆明亭长朗然科技有限公司网络安全研究员董志军对“乌云”平台被关闭表示遗憾,同时也表示:纯民间的漏洞平台控管不够,对于国家安全是一项威胁,这是不争的事实。重点在于很多安全弱点需要被及时发现,并被厂商及时修复。官办的漏洞库往往不会出于对民间草根黑客们开放,而安全专家们也出于对自身的保护,不愿向官方提供自己的发现。这就让很多被国内安全人员们(及黑客们)探测出来的系统漏洞不能被及时通报、修复和公开,而被一波一波地私下利用。

最后,让我向您分享一些与此文相关的安全入门知识。

在万物互联的时代,各种联网小玩艺儿越来越多,中国创制的ioT设备安全问题更是不容忽视。因为总体来说,比起英国来讲,我国工业化和信息化起步较晚,国民普遍的安全意识更为落后,中国设计中国创造的安全性令人担忧。而提升中国设计和创造的安全性,并不仅仅是培训一些设计研发人员就可以搞定的,这是一项关系到全民安全素质的工程,需要广泛的针对全员的安全意识宣导。

昆明亭长朗然科技有限公司专注于全民信息安全意识素养的提升,欢迎您联系我们洽谈业务合作。

昆明亭长朗然科技有限公司

电话:0871-67122372

手机/微信:18206751343

邮箱:[email protected]

QQ:1767022898