论文部分内容阅读
网络攻击是一个组织可能遇到的最大风险之一。因此,促使相关标准和系统发挥效用,成为当今数字世界最重要的事情。对ISO/IEC 27000族信息安全技术标准进行更新,就是为了给组织提供附加价值和自信。
国际信息系统审计协会(ISACA)在129个国家进行的一项调查显示,尽管有83%的调查对象认为网络攻击是当前组织面临的三大威胁之一,仅仅有38%的调查对象为应对网络攻击做了准备。如此多的个人信息和敏感信息处在电子化处理之中,如果没做好信息安全管理,这些信息将处于危险之中。
ISO信息安全管理体系(ISMS)标准工作组召集人Edward Humphreys教授强调:“若要确保今天数字世界的安全,所有的组织,不论规模大小,都应该把着手建立一个管理架构作为网络风险管理的开始。ISO/IEC 27001标准的制定,就是为了帮助组织完成这项工作。对于评估、应对和管理信息相关风险方面的问题,此标准是世界的‘通用语言’”。
下面是2015年发布的ISO/IEC 27000族标准的最新修订版和新补充内容,也是ISO/IEC 27001 “网络风险工具箱”的组成部分,它们将有助于控制风险。
保护云端信息(ISO/IEC 27017)
一项关于云服务信息安全的实施指南——ISO/IEC 27017《云服务信息安全控制实用规则》刚刚发布。云服务是今天快节奏的商务和贸易世界中应用最广泛的创新之一。由于云服务带来通货收益,用户要求存储于云端的数据及其处理的安全是有保证的。正是由于云服务的本质,云服务的市场是全球性的,供应商分散广,数据经常需要被跨国境进行传输。因此,国际信息安全管理指南尤其重要。
参与了该标准制定工作的Satoru Yamasaki认为:“ISO/IEC 27017将有助于服务提供商与其客户达成共识——重视充足的安全控制和其实施指南。此项关于云服务安全控制的国际标准,将促进安全的云计算系统的发展和扩展。”
为了保证标准具有广泛的适用性,该标准由IEC、ISO和ITU共同推动完成。
服务整合实施方案(ISO/IEC 27013)
更多的组织选择将信息安全管理体系(ISO/IEC 27001)与服务管理体系(ISO/IEC 20000-1)整合起来。一个整合的系统意味着组织可以在保持信息安全的情况下,高效地管理服务质量、处理客户反馈和解决问题。
ISO/IEC 27013提供了促进信息安全管理体系与服务管理体系整合的系统方法,不仅实施成本更低,而且在组织需要进行认证的时候,还可避免重复进行审核。
领域间和组织间的沟通(ISO/IEC 27010)
在一个组织与另一个组织分享信息的时候,怎样保证信息安全?ISO/IEC 27010是ISO/IEC 27000工具箱的一个特定行业附加,它为领域间、组织间信息安全工作启动、实施、维护和改进方面的沟通工作提供指南。包括如何借助于已建立的消息传递手段和其他技术方法,满足这些要求的一般原则。该标准将促进全球信息共享社区的发展。
Mike Nash博士说:“ISO/IEC 27010是为适应ISO/IEC 27001和ISO/IEC 27002,在不同组织之间的沟通而制定。 以标准的形式,增加组织之间的信任度,他们共享的信息将不会被无意泄露。” 该标准在保护国家关键基础设施的时候显得尤其重要,因为确保交换敏感信息的安全是至关重要的。该标准还会被安全应急响应小组广泛使用。
检测和预防网络攻击(ISO/IEC 27039)
组织如何检测和阻止黑客攻击其网络系统和应用呢?最佳实践表明组织必须知道黑客何时攻击,以及入侵其网络、系统和应用的攻击如何发生。他们还应该检测是什么漏洞被利用,以及需要实施什么控制措施以防止未来再次发生类似的事情。可以做到这些的唯一方法是,借助于入侵检测保护系统(IDPS)。
ISO/IEC 27039为IDPS的准备和部署提供指南,内容覆盖了选择、部署和运维等方面的工作。当今市场中存在很多基于不同技术和方法的、开放源代码,并且市场中可买得到的IDPS产品和服务,该标准对于当今市场尤其有用。ISO/IEC 27039将在这整个过程中为组织提供工作指南。
审核和认证(ISO/IEC 27006)
越来越多的组织开始通过获得第三方机构的认证,表明他们拥有可靠的信息安全管理体系(ISMS),并且他们的ISMS符合ISO/IEC 27001的要求。 ISO/IEC 27006对认证和注册机构提出要求,认证和注册机构要满足相关要求后,才可以向其他组织提供ISO/IEC 27001认证服务。
“ISO/IEC 27006是一项针对认证机构的认可基准,它规范提供ISO/IEC 27001认证服务的第三方机构,” Humphreys教授如此解释。他还补充道:“这是相当重要的,因为认证机构提供的认可,将在审核过程中,增加其获得认证的可信度。”
(原文标题:Security toolbox protects organizations from cyber-attacks,译自ISO官网)
国际信息系统审计协会(ISACA)在129个国家进行的一项调查显示,尽管有83%的调查对象认为网络攻击是当前组织面临的三大威胁之一,仅仅有38%的调查对象为应对网络攻击做了准备。如此多的个人信息和敏感信息处在电子化处理之中,如果没做好信息安全管理,这些信息将处于危险之中。
ISO信息安全管理体系(ISMS)标准工作组召集人Edward Humphreys教授强调:“若要确保今天数字世界的安全,所有的组织,不论规模大小,都应该把着手建立一个管理架构作为网络风险管理的开始。ISO/IEC 27001标准的制定,就是为了帮助组织完成这项工作。对于评估、应对和管理信息相关风险方面的问题,此标准是世界的‘通用语言’”。
下面是2015年发布的ISO/IEC 27000族标准的最新修订版和新补充内容,也是ISO/IEC 27001 “网络风险工具箱”的组成部分,它们将有助于控制风险。
保护云端信息(ISO/IEC 27017)
一项关于云服务信息安全的实施指南——ISO/IEC 27017《云服务信息安全控制实用规则》刚刚发布。云服务是今天快节奏的商务和贸易世界中应用最广泛的创新之一。由于云服务带来通货收益,用户要求存储于云端的数据及其处理的安全是有保证的。正是由于云服务的本质,云服务的市场是全球性的,供应商分散广,数据经常需要被跨国境进行传输。因此,国际信息安全管理指南尤其重要。
参与了该标准制定工作的Satoru Yamasaki认为:“ISO/IEC 27017将有助于服务提供商与其客户达成共识——重视充足的安全控制和其实施指南。此项关于云服务安全控制的国际标准,将促进安全的云计算系统的发展和扩展。”
为了保证标准具有广泛的适用性,该标准由IEC、ISO和ITU共同推动完成。
服务整合实施方案(ISO/IEC 27013)
更多的组织选择将信息安全管理体系(ISO/IEC 27001)与服务管理体系(ISO/IEC 20000-1)整合起来。一个整合的系统意味着组织可以在保持信息安全的情况下,高效地管理服务质量、处理客户反馈和解决问题。
ISO/IEC 27013提供了促进信息安全管理体系与服务管理体系整合的系统方法,不仅实施成本更低,而且在组织需要进行认证的时候,还可避免重复进行审核。
领域间和组织间的沟通(ISO/IEC 27010)
在一个组织与另一个组织分享信息的时候,怎样保证信息安全?ISO/IEC 27010是ISO/IEC 27000工具箱的一个特定行业附加,它为领域间、组织间信息安全工作启动、实施、维护和改进方面的沟通工作提供指南。包括如何借助于已建立的消息传递手段和其他技术方法,满足这些要求的一般原则。该标准将促进全球信息共享社区的发展。
Mike Nash博士说:“ISO/IEC 27010是为适应ISO/IEC 27001和ISO/IEC 27002,在不同组织之间的沟通而制定。 以标准的形式,增加组织之间的信任度,他们共享的信息将不会被无意泄露。” 该标准在保护国家关键基础设施的时候显得尤其重要,因为确保交换敏感信息的安全是至关重要的。该标准还会被安全应急响应小组广泛使用。
检测和预防网络攻击(ISO/IEC 27039)
组织如何检测和阻止黑客攻击其网络系统和应用呢?最佳实践表明组织必须知道黑客何时攻击,以及入侵其网络、系统和应用的攻击如何发生。他们还应该检测是什么漏洞被利用,以及需要实施什么控制措施以防止未来再次发生类似的事情。可以做到这些的唯一方法是,借助于入侵检测保护系统(IDPS)。
ISO/IEC 27039为IDPS的准备和部署提供指南,内容覆盖了选择、部署和运维等方面的工作。当今市场中存在很多基于不同技术和方法的、开放源代码,并且市场中可买得到的IDPS产品和服务,该标准对于当今市场尤其有用。ISO/IEC 27039将在这整个过程中为组织提供工作指南。
审核和认证(ISO/IEC 27006)
越来越多的组织开始通过获得第三方机构的认证,表明他们拥有可靠的信息安全管理体系(ISMS),并且他们的ISMS符合ISO/IEC 27001的要求。 ISO/IEC 27006对认证和注册机构提出要求,认证和注册机构要满足相关要求后,才可以向其他组织提供ISO/IEC 27001认证服务。
“ISO/IEC 27006是一项针对认证机构的认可基准,它规范提供ISO/IEC 27001认证服务的第三方机构,” Humphreys教授如此解释。他还补充道:“这是相当重要的,因为认证机构提供的认可,将在审核过程中,增加其获得认证的可信度。”
(原文标题:Security toolbox protects organizations from cyber-attacks,译自ISO官网)