当今组织机构面临的最严峻风险之一即为网络攻击,数字世界中人们通过适用的标准和体系维护信息安全尤为重要。ISO/IEC 27000信息安全技术系列标准一直在更新的原因正是为了向这些组织机构提供增值价值,增强信心。
据国际信息系统审核协会(ISACA)的全球调查显示,虽然有83%的调查对象相信当前网络攻击已位居各类风险前三位,但仍仅有38%的调查对象认为自己已做好应对网络攻击的准备。如此海量的个人信息和高度机密信息通过电子化处理,倘若网络安全仍岌岌可危,势必会造成巨大的风险。ISO信息安全管理系统标准(ISMS)工作组召集人Edward Humphreys教授强调,为确保当前数字景观的安全性,所有组织机构不论规模大小都应启动网络风管理框架,并落实到位。ISO/IEC 27001正是用于帮助组织机构完成上述工作的一项标准。该国际标准在评估、处理和管理信息风险方面可谓是全球的“共用语言”。
以下几项今年新发布的国际标准是对ISO/IEC 27000系列标准的补充,同时也成为ISO/IEC 27001“网络风险工具箱”的一部分,帮助控制相关风险。
云端信息保护(ISO/IEC 27017)
作为现今最为炙手可热的创新技术,云端技术已在快节奏的商界中被广泛使用,用户对云端技术下数据存储加工的安全性提出了更高的要求。由于云端服务性质特殊,其市场已经全球化,供货商遍布全球,数据信息可跨国传递。可以通过国际指南加以规范尤为关键。
据介绍,ISO/IEC 27017:2015《信息技术—安全技术—基于ISO/IEC 27002云端服务信息安全控制实施规程》(2015年11月30日发布)将帮助服务供应商就充分的安全控制及实施指南与客户达成一致,促进云计算系统安全发展和扩大。
服务综合解决方案(ISO/IEC 27013)
越来越多的组织机构选择将信息安全管理系统(ISO/IEC 27001)与服务管理系统(ISO/IEC 20000-1)相结合。这样一个综合系统意味着组织机构能高效管理服务质量、处理客户反馈并解决问题,同时又保护了信息的安全。
ISO/IEC27013:2015《信息技术—安全技术—ISO/IEC 27001和ISO/IEC 20000-1综合实施指南》(2015年11月24日发布)为促进信息安全管理系统和服务管理系统一体化提供了系统的研究方法,审核将由两次减为一次,将会降低执行成本,避免事倍功半。
领域间和组织间的沟通(ISO/IEC 27010)
当两个组织机构互享信息时,如何确认各自数据的安全性?ISO/IEC 27010:2015《信息技术—安全技术—领域间和组织间沟通的信息安全管理》(2015年11月10日发布)是对ISO/IEC 27000中具体领域的补充,对组织间和领域间交流信息安全的启动、执行、维护和改进起到指导作用。该标准规定了如何通过运用现有的信息传送和其他技术方法达到相关要求的一般原则,希望能促进提高全球信息共享交流。
ISO/IEC27010主要为ISO/IEC 27001和ISO/IEC 27002“量身制定”,用于组织机构间的沟通交流。该标准将保证组织机构与其他机构信息共享的安全性,尤其对需要交换机密信息的重要国家基础设施的数据安全性具有相关性。该标准同时也为安全事件应急小组广泛使用。
网络攻击的检测与预防(ISO/IEC 27039)
组织机构如何检测和预防自己的网络、系统和应用程序遭到入侵?他们需了解何时网络被入侵、系统是否已被入侵以及应用程序是如何被入侵的,同时也需要随时准备确认被利用的安全隐患在哪里,应如何采取措施预防同样的入侵今后再次发生。解决这些问题的一种方法叫入侵窃密检测与预防系统(IDPS)。
ISO/IEC27039:2015《信息技术—安全技术—入侵窃密检测与预防系统的选择、开发与操作》(2015年2月11日发布)为制定和部署IDPS提供指导,涵盖各个关键点,诸如选择、开发和操作。该国际标准对当今市场商业化的IDPS产品和服务尤其有益。
审核与认证(ISO/IEC 27006)
越来越多的组织机构开始转向第三方认证审核以证明自身信息安全管理系统(ISMS)固若金汤,符合ISO/IEC 27001的要求。ISO/IEC 27006:2015《信息技术—安全技术—信息安全管理体系审核和认证机构的要求》(2015年9月30日发布)规定了认证机构和注册机构需达到被认可的要求,因此可为ISO/IEC 27001提供认证服务。对认证机构的认可为审核过程增添可信度,同时也提高了认证的含金量。