![ISO27001信息安全管理系统常见风险的分类,ISO27001信息安全认证](https://qyyi.cn//aiimages/21/287244.png)
ISO27001信息安全管理系统常见风险的分类
ISO27001信息安全风险的管理是关于实现和维护信息系统机密性、完整性和可用性的与安全相关的所有方面,理想的安全风险标准应该是1个集成的、一致的、可分析的、切合实际的、成本效益平衡的方法。从信息安全风险管理分类的介绍能够看出,信息安全风险除安全技术风险外,还涉及安全政策、标准、意识、战略等方面。例如ISO27001和 NISTSP800-26安全自评估指南(Security Self Assessment Guide),则注重安全管理方面多于安全产品和系统,是能够经过调整适合组织必须,进行自我评估的良好标准,已在各种类型组织、公共和私人部门,以及工商业得到广泛的应用。但由于上述标准涉及的安全方面都缺乏定量的安全测度方法,因此不同评估人员,则会由于主观的原因,给出不同的风险等级,使结果缺乏可信度,不能直接拿来使用。
ISO27001信息安全风险分类不仅要考虑风险发生的可能性和由此而引起的可能后果,并且要在单一风险基础上,同时考虑各项风险之间的相互关系,对综合安全风险进行分析和评估。论文从信息安全科学的角度,在对上述安全风险管理标准的比较基础上,综合环境、人员、管理、技术、法律、经济等系统风险问题,把信息安全风险分为:人员风险、组织风险、物理环境风险、信息机密性/完整性风险、系统风险、通信操作风险、基础设施风险、业务连续性风险、第三方风险、风险评估风险、法律风险和风险决策风险共十2个方面。
1)人员风险
由于组织缺乏人员安全管理、明确的职责和意识教育,内部无意或恶意人员的失误或攻击,以及来自外部恶意或好奇人员或组织的攻击,会使组织业务面临大的风险。
2)组织风险
假如组织在信息安全组织管理方面基础薄弱、职责不清、技术服务能力差等原因,使组织在信息安全管理方面处于失控状态,加大了信息安全风险。
3)物理环境风险
由于缺乏对组织场所的安全保卫,或是防水、防火、防雷等保护措施,在面临偷盗、自然灾难时,有时会造成极大的损失。
4)信息机密性/完整性风险
信息是组织信息技术系统装载的业务数据,是一种非常重要价值的资产,甚至一些观点认为信息是组织的血液,是“一种在资产负债表之外,经过逐渐积累的,能够被用于提升组织竞争优势的信息。同实物资产相比,信息非常分散并且易于复制,是组织业务流程的重要输入和输出数据,例如顾客资料、产品设计等,假如得不到正确的识别、评估、保存和管理,就面临可能被窃取、损毁、丢失的风险,不但使依赖于这些关键信息的核心业务造成严重损坏,还会对组织的信誉、声望造成巨大损失,甚至会摧毁整个组织。
信息风险管理,主要是保证信息的机密性、完整性和可用性。
5)系统风险
通常所用的计算机操作系统,以及大量应用软件在组织业务交流中的使用,尤其是定制应用产品,来自这些系统和应用软件的问题和缺陷会对一系列系统造成影响,尤其是多个应用系统互联时,影响会涉及整个组织的多个系统。例如有的系统维护困难、结构不完善、缺乏文档、设计漏洞等多种问题,有时会在系统升级和安装补丁时引入较高的风险。
系统风险要求机构对系统应用具备协同、维护、测试、版本管理、配置管理、系统管理、监控等方面具备管理能力。
6)通信操作风险
假如在通讯加密、应用分区、防病毒、IDS 等安全措施出现技术或管理问题时,被攻击者利用后,会引发信息安全风险。
7)基础设施风险
基础设施包含支撑业务应用系统的网络(局域网、广域网、互联网、专线网、无线网)、硬件(服务器、主机、应用终端、共享设备)、物理环境,它们是组织业务赖以生存的基础(如电力、WEB服务器、数据库服务器等),一旦出现故障或中断,它所承载的应用也会出现问题或停顿。
基础设施风险要求组织在应用层、网络层、链路层、物理层面进行综合防御。
8)业务连续性风险
依赖于信息系统服务的组织关键业务可能因系统的“宕机而中断,或是因系统服务效能的降低(如响应时间过长)造成新顾客的流失或老顾客的转移。
业务连续性风险,要求机构具备信息技术服务、安全事件处理和灾难恢复能力。
9)第三方合作风险
第三方指服务供应商、销售商。随着外包业务的兴起,许多组织业务依赖于供应商和销售商的服务提供,由于不完备的合同、第三方服务能力性能下降、不适应快速增长的业务需求、缺乏第三方的管理经验、产品支持失效、过短的升级周期、功能性不足等多种风险因素,导致第三方服务失效。
第三方合作风险要求在合同谈判、转换服务上加强风险管理。
10)风险评估风险
假如不专业的风险评估人员、不科学的评估方法、不一致的评估标准常常会造成系统风险评估的不一致、不正确的风险评估结果,造成风险决策出现失误。
11)法律风险
在信息系统的运行过程中,由于不知晓国家法律,或是明知故犯,使组织面临由于个人隐私泄露所造成的风险。
12)决策风险
应用风险评估的结果进行风险决策和控制选择是信息安全风险管理的核心,也是最终的目标。假如在风险分析、评估、控制方面不能全面、科学反映组织的安全状态,决策者可能会在安全投资方面出现重大失误。决策风险主要是依据风险评估的结果在风险避免、风险减缓、风险转移和风险承受4个方面进行权衡决策,避免决策失误。
ISO27001信息安全认证
ISO27001信息安全认证
SO/IEC 27001 是唯一1个规定了信息安全管理体系 (ISMS) 要求的可审核国际标准。 该标准旨在确保选择充分而合适的安全控制措施。这有助于保护您的信息资产,并使任何利益相关方(尤其是顾客)增加信心。 该标准采用“过程方法”以建立、实施、运行、监控、审查、维护和改进您的 ISMS。 任何组织,不论其规模大小,所属行业或地理位置怎样,均可使用 ISO/IEC 27001。 该标准尤其适合信息保护占重要地位的行业,例如金融、健康、公共及 IT 行业。ISO/IEC 27001 对于代表他方管理信息的组织(例如 IT 外包公司)也十分有效: 它可用于使顾客确信其信息处于受保护状态。
ISO/IEC 27001由国际标准化组织(ISO)制定发布,可用于认证目的。标准基于过程方法并采用PDCA的模式,在所有信息安全管理过程中得到应用
ISO/IEC 27001适用于所有类型的组织(例:商业公司,政府机构。非赢利组织)。ISO/IEC 27001从组织的整体业务风险的角度,为建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求。它规定了为适应不同组织以及下属部门的必须而定制的安全控制措施的实施要求。ISO/IEC 27001要求确保充分适宜的安全控制措施来保护信息资产及建立相关方的信心信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准, BS7799标准是由英国标准协会制定的,国际公认针对信息安全管理的一套国际标准。它分为两个部分,BS7799-1和BS7799-2,前者是实施细则,被颁布为国际标准ISO/IEC17799:2005《信息技术-信息安全管理实施细则》;后者是认证标准,被颁布为ISO/IEC 27001:2005 《信息科技-安全技术-信息安全管理体系规范》, BS7799已经发展成为一套以风险管理为基础的信息安全管理体系。
2000年,国际标准化组织(ISO)在BS7799-1的基础上制定通过了ISO 17799标准。BS7799-2在2002年也由BSI进行了重新的修订。ISO组织在2005年对ISO 17799再次修订,BS7799-2也于2005年被采用为ISO27001:2005,更加注重标准的通用性和实用性。实施证明:ISO/IEC17799关于信息安全策略,资产管理,薄弱点、故障、事故的管理,业务连续性管理方面都为组织提供了很好的实践指南。ISO/IEC17799和ISO/IEC27001提倡了一套先进的信息安全管理理念,以“体系文件规范实施要点”的方式,引导组织实施有效的信息安全管理。实施信息安全管理体系的组织在树立了风险管理的理念后,不论在组织的IT治理还是信息系统安全性上都有显著的提升。
ISO27001是国际上最流行的信息安全管理系统(ISMS)认证标准,在全球范围内ISO27001认证正飞速发展。参加认证的组织也越来越多,目前,全球已经有4千多家企业通过了该认证,国内也有超过一百多家家企业通过该认证。
今日通过对《ISO27001信息安全认证》的学习,相信你对认证有更好的认识。假如要办理相关认证,请联络我们吧。