ISO27001认证
热线:
Q Q:信息安全体系框架设计的新思路中,何为“管理是核心,技术是关键?”
发布时间:2020-08-25 作者:广汇联合 来源:广汇联合
随着在世界范围内信息化水平的不断发展,信息安全逐渐成为人们关注的焦点,各家企业,尤其是软件企业对于信息安全管理体系标准(ISO27001)认证非常重视,所以,ISO27001是信息安全领域的管理体系标准,已得到了很多国家的认可,是国际上具有代表性的信息安全管理体系标准。软件企业通过认证,也归功于自身体系建设。安全无小事,信息安全更是无小事!
信息系统安全体系框架的设计是基于安全系统的设计原则的,并结合信息系统的实际风险,实现信息安全管理体系。
1、物理层安全:物理环境,硬件平台的安全(含运行安全和信息安全);该层次的安全包括通信线路的安全,物理设备的安全,机房的安全等。物理层的安全主要体现在通信线路的可靠性(线路备份、网管软件、传输介质),软硬件设备安全性(替换设备、拆卸设备、增加设备),设备的备份,防灾害能力,防干扰能力,设备的运行环境(温度、湿度、烟尘),不问断电源保障等。
2、系统层安全:操作系统、数据库系统的安全(含运行安全和信息安全);该层次的安全问题来自网络内使用的操作系统的安全,如Unix,windwosNT等。主要表现在三方面,一是操作系统本身的缺陷带来的不安全因素,主要包括身份认证、访问控制、系统漏洞等。二是对操作系统的安全配置问题。三是病毒对操作系统的威胁。还包括网络系统软件、服务器系统软件、访问控制、权限分配、漏洞扫描、防病毒、防入侵、加密和认证。
3、网络层安全:网络系统安全(含运行安全和信息安全);L26J该层次的安全问题主要体现在网络方面的安全性,包括网络层身份认证,网络资源的访问控制,数据传输的保密与完整性,远程接入的安全,域名系统的安全,路由系统的安全,入侵检测的手段,网络设施防病毒等。
4、应用层安全:应用系统安全(含运行安全和信息安全);该层次的安全问题主要由提供服务所采用的应用软件和数据的安全性产生,包括应用程序和平台安全,加密和认证,Wbe服务、电子邮件系统、DNS、防病毒等。
5、管理层安全:系统安全管理(含操作管理和行政管理)。 安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则,对安全设备的访问控制措施、安全设备配置和设置的政策、审批的权限。管理的制度化极大程度地影响着整个网络的安全,严格的安全管理制度、明确的部门安全职责划分、合理的人员角色配置都可以在很大程度上降低其它层次的安全漏洞。该层次模型涵盖了了安全管理、技术平台等多个层面。
在安全层次上,该模型强调安全问题首先是管理制度问题和人的问题,其次才是技术问题。安全管理是统揽其他层次的最主要层次。即信息安全的结构中,管理是核心,技术是关键,意识与需求是动力。
