德州ISO認(rèn)證�����,建立ISO27000認(rèn)信息安全管理體系認(rèn)證有什么好處
李老師18854128585 qq152184192
建立iso27000信息安全管理體系應(yīng)對公司面對的信息安全風(fēng)險
信息安全是一個重要的討論主題�,眼下那些依靠內(nèi)部計算機(jī)系統(tǒng)和互聯(lián)網(wǎng)來開展業(yè)務(wù)的公司���,很難承受其業(yè)務(wù)運(yùn)營中斷所帶來的損失。一次安全事故可以對公司的收益流���、客戶信心和公共關(guān)系產(chǎn)生大范圍的消極影響����。因此這種狀況使得信息安全成為一個有效的整體 業(yè)務(wù)戰(zhàn)略的基本組成部分之一。建立iso27001信息安全管理體系來應(yīng)對公司面對的信息安全風(fēng)險應(yīng)該是非常緊要的�。
在美國銀行聯(lián)盟(ABA)近期的一次會議中�,四位首席執(zhí)行官在會面期間談起了他們近正面臨的一些挑戰(zhàn)�����;羧A德講述了近期一次由蠕蟲王(Slammer)引 起的安全事故���,這次事故使得他的銀行的13,000臺自動取款機(jī)(ATM)停止向客戶服務(wù)達(dá)24小時左右�����。這個蠕蟲傳播如此之快�����,以至于信息技術(shù)(IT) 部門根本無法及時反應(yīng)�����。蠕蟲是一種能夠自我復(fù)制的有害程序���,它不需要用戶的干預(yù)��,就可以在計算機(jī)和網(wǎng)絡(luò)間傳播��?焖購(fù)制的蠕蟲可以消耗資源,降低計算機(jī)和 網(wǎng)絡(luò)的速度�,使其性能大大下降,甚至完全崩潰��。
薩姆和霍華德的不幸遭遇差不多,因?yàn)橛?nbsp;人從其銀行的辦公室偷竊了一臺筆記本電腦��,其中存放著成千上萬的客戶的機(jī)密財務(wù)信息�。薩姆的銀行還算幸運(yùn)����,幾天之后重新找到了這臺筆記本電腦�;然而����,他的客戶服務(wù)機(jī)構(gòu)花費(fèi)了相當(dāng)多的時間去聯(lián)系這些受影響的客戶�����,并一直監(jiān)控他們的賬戶來防止可能的欺詐����。
羅杰就沒有這么幸運(yùn)了。一個東歐的黑客利用欺騙手段攻入其公司的系統(tǒng)中���,并向黑客的賬戶轉(zhuǎn)入了大約1千萬美元���。雖然他的銀行能追回這些資金中的大部分���,但是 這個事件給公司的品牌帶來相當(dāng)大的損害。查爾斯則在惋惜其信用卡業(yè)務(wù)所受的損害��,黑客向其一些沒有疑心的客戶發(fā)送電子郵件����,這些電子郵件看起來像是正式的,但是實(shí)際上是假冒的(此過程被稱為“網(wǎng)上釣魚”)���,誘騙他們泄露機(jī)密信息���。然后,這些黑客就利用這些落入圈套的客戶的賬戶進(jìn)行非法消費(fèi)����。
上面這些故事是來源于一些近期在金融服務(wù)行業(yè)中實(shí)際發(fā)生的安全事故。但是信息安全事故并不只在此行業(yè)發(fā)生�。所有的進(jìn)行一部分電子商務(wù)處理的組織機(jī)構(gòu)都是潛在 的目標(biāo)。在2003年4月�����,Slammer蠕蟲中斷了一個核能源工廠的安全監(jiān)控系統(tǒng)達(dá)5個小時之久,并且嚴(yán)重影響了此工廠整個網(wǎng)絡(luò)的性能�����。在2003年1 月�����,一個重要的美國計算機(jī)網(wǎng)絡(luò)公司向中國的競爭對手提出關(guān)于其竊取知識產(chǎn)權(quán)的控告�����。此公司聲稱其競爭對手復(fù)制了其源代碼��、文檔和其他保留版權(quán)的信息����。20 個月后���,雙方解決了爭端����,中國的競爭對手同意不再銷售訴訟中提及的所有產(chǎn)品。
1999 年12月����,一家在線音樂發(fā)行商拒絕了一個黑客的10 萬美元的勒索,此黑客竊取其大約35萬名客戶的包括信用卡號在內(nèi)的機(jī)密個人信息���。黑客隨后將這些信息發(fā)布到互聯(lián)網(wǎng)上�����,導(dǎo)致了非常嚴(yán)重的品牌形象破壞����。后一個例子:兩家位于硅谷的軟件公司曾卷入一宗數(shù)10 億美元的關(guān)于知識產(chǎn)權(quán)竊取的法律訴訟�,其原因是有管理人員從一家公司離開并組建了與之競爭的另一家公司。
由于缺乏對信息安全的了解�����,導(dǎo)致了這些事件的發(fā)生���,也給這些公司留下了易被非法利用的漏洞
李老師18854128585 qq152184192
iSO/IEC 27007是《信息安全管理的審核指南》�����,該標(biāo)準(zhǔn)對提供 ISMS認(rèn)證的第三方認(rèn)證機(jī)構(gòu)的審核員的工作提供支持�����,內(nèi)部審核員也可以參考本標(biāo)準(zhǔn)完成內(nèi)部審核活動��,還可為任何依據(jù)ISO/IEC 27002標(biāo)準(zhǔn)來管理信息安全風(fēng)險���、審查組織措施有效性的人員提供指導(dǎo)和支持。
ISO/IEC 27008是《信息安全管理的控制措施審核員指南》�����,該標(biāo)準(zhǔn)是對所有審核員在考察組織基于業(yè)務(wù)風(fēng)險而采取信息安全控制措施方面提供工作指導(dǎo)�����,它通過比較信息安全風(fēng)險管理過程中內(nèi)部�、外部、第三方的所有管理體系要求與控制措施之間的關(guān)系來判定其有效性����,也判別其控制措施的有效程度�����,滿足信息安全治理的要求����。
ISO/IEC 27010是《部門間通信的信息安全管理》����,該標(biāo)準(zhǔn)提供了如何針對信息安全風(fēng)險、控制措施約束以及如何在不同物理場地跨組織通信的情況下進(jìn)行數(shù)據(jù)共享的方法�����,尤其是對跨重要設(shè)施進(jìn)行通信時所產(chǎn)生的問題和影響提供了有效支持�����。通過對同一物理場地通信�、不同物理場地通信、危機(jī)時與政府機(jī)構(gòu)間的通信�����、常規(guī)商務(wù)環(huán)境下為滿足正
