什麼是數據和信息?
首先,讓我們看一下信息的基本概念。 簡單來說,原始原始數據稱為數據。 處理後的數據形式是信息。 數據或數據表達式是數字和邏輯值。
必須保護的信息的主要特徵是:
- 信息的機密性:信息的機密性被未經授權的個人,組織,實體和流程稱為無法訪問和無法解釋。
- 知識的完整性:它指的是保持知識的準確性,完整性和獨特性。
- 信息的可訪問性:信息只能由授權人員隨時訪問和使用。
信息可以以各種方式分類。 但是,基本上可以分類如下:
- 機密信息對業務至關重要。 只有管理團隊的成員才能訪問此信息。 未經授權的人訪問,使用和共享此類信息對企業來說是不方便的。 簡而言之,必須對此信息保密。
- 企業內可用的信息是私人信息,只有相關員工才能訪問。 除單位員工以外的其他員工和第三方不應訪問和查看的信息。 保持此類信息的機密性至關重要。
- 個人信息是員工的個人信息。 僅涵蓋與商業活動相關的個人研究。 保存和存儲與工作無關的個人信息是不正確的。 必須能夠訪問個人信息。
- 公司可獲得的信息僅供員工使用。 完整性和可訪問性對於此類信息至關重要。 單元之間共享的信息屬於本課程。
什麼是ISO / IEC 27001信息安全管理系統?
為了確保各種信息的安全性,ISO / IEC 2005信息安全管理系統標準已由國際標準化組織(ISO)和國際電工委員會(IEC)出版。
事實上,該標準的歷史構成了英國標準協會在1995上發布的BS 7799標準的第一部分,第二部分是在1998中發布的。 這些標准在1999中一起修訂。 到年度2000,ISO / IEC 17799標準發布。 在2002中,BS 7799-2標準已更新,2005已由國際標準組織發布以下標準:
- ISO 7799:2標準,而不是BS 27001-2005
- ISO 17799:2000標準,而不是ISO 27002:2005標準
這兩個標準最近在2013中進行了修訂。
該標準系列由我國土耳其標準協會出版如下:
- TS EN ISO / IEC 27000信息技術 - 安全技術 - 信息安全管理系統 - 概述和字典
- TS EN ISO / IEC 27001信息技術 - 安全技術 - 信息安全管理系統 - 要求
- TS EN ISO / IEC 27002信息技術 - 安全技術 - 信息安全控制的應用原則
- TS ISO / IEC 27003信息技術 - 安全技術 - 信息安全管理系統應用指南
- ISO / IEC 27004信息技術 - 安全技術 - 信息安全管理 - 測量
- TS ISO / IEC 27005信息技術 - 安全技術 - 信息安全風險管理
- TS ISO / IEC 27006信息技術 - 安全技術 - 對信息安全管理系統進行審計和認證的組織的要求
- TS ISO / IEC 27007信息技術 - 安全技術 - 信息安全管理系統審計指南
- TSE ISO / IEC EN 27008信息技術 - 安全技術 - 審計員的信息安全控制指南
什麼是風險,風險管理和威脅?
法語中使用我們語言的風險短語被定義為傷害的危險。 風險是意外事件的發生並受其影響。 因此,風險被認為是一種消極情況,一種危險。 這樣,為了防止風險的負面影響並避免任何傷害,採取各種可能性的措施。 包括這些研究和計劃活動的方法稱為風險管理。
風險管理是識別,測量,分析和評估許多風險因素並最大限度地減少可能的損失的過程,以防止企業可操作性的中斷並確保活動不會受到不利影響。 但是,不可能完全消除風險管理活動中的風險。
風險管理研究的主要內容是:
- 確定具有信息價值的企業資產
- 識別威脅企業的內部和外部危害
- 檢測危及業務的弱點和開放點
- 確定風險實現的概率
- 確定風險對企業和系統活動的影響
通過資產,我們指的是系統中的所有部分,並且對企業具有價值。 因此,資產對業務有價值,需要加以保護。
就信息技術系統而言,資產並不僅僅意味著軟件和硬件。 以下內容包括在以下概念中:各種信息,個人計算機,打印機,服務器和所有類似硬件,操作系統,開發的應用程序,辦公程序和所有類似軟件,電話,電纜,線路調製解調器,交換設備和所有其他通信設備,所有文件,服務,當然還有市場上的業務聲譽和形象。
風險在風險管理研究中受到某種分類的影響。 例如,如果資產在低風險組中受損,則信息系統不會受到太大損壞,系統將繼續運行。 這種情況不會損害企業的聲譽。 如果資產在中等風險組中受損,則會影響信息系統。 雖然系統繼續運行,但資產仍需要投入使用。 這種情況會對企業的聲譽造成一些損害。 如果資產在高風險組中受損,則信息系統受到嚴重影響。 幾乎一半的系統變得無法使用。 為了使系統工作,必須更換資產。 這種情況嚴重影響了企業的聲譽。 在高風險群體中,信息的存在已經嚴重受損,在這種情況下,系統的可操作性受到很大影響。 信息系統不可用。 這種情況嚴重影響了公司在市場上的聲譽。
威脅是指任何威脅源(無論是有意還是由於事故)都可能利用系統中的漏洞並破壞資產。 自然威脅包括地震,山體滑坡,洪水,雷擊或風暴。 環境威脅包括空氣污染,長時間停電和洩漏。 人類造成的威脅是有意識地或不知不覺地引起的。 例如,向系統輸入錯誤數據,外部網絡攻擊,在系統上安裝惡意軟件,竊取用戶憑據或訪問授權人員到系統。
對信息系統的開放是系統安全程序,實踐或內部審計中遇到的弱點,錯誤或缺陷,這些都違反了信息安全。 僅這些開口並不是危險的。 必須對他們的實現構成威脅。
ISO 27001信息安全管理系統的範圍是什麼?
企業在其活動範圍內生成某些信息,無論其運營的部門或規模如何,這些信息對每個企業都有價值。 保護信息的努力因企業而異,但通常系統將涵蓋以下主要內容:
- 企業的最高管理層應該定義並解釋信息安全領域應遵循的政策。
- 應列出企業中的信息資產,並按重要性排序。
- 應該防止員工犯錯誤的可能性。
- 應減少企業中濫用信息資產的風險。
- 應減少對信息源的攻擊以及信息損壞或更改的風險。
- 操作計算機系統應該足夠可靠。
- 只有經過授權的人員才能訪問這些信息。
- 如果發生任何違反安全規定的情況,應根據事件的形式及時迅速作出反應。
- 對信息的攻擊不應該中斷企業的主要活動,應該能夠很快地恢復到正常環境。 換句話說,應確保活動的連續性。
- 信息安全管理系統必須達到足以履行實體法定條例義務的水平。
雖然ISO 27001信息安全管理系統僅被視為企業中的信息技術項目,但它實際上是一個涉及整個企業的信息安全項目。 因此,高級管理層直接負責ISO 27001標準的製定和運行。 今天,ISO 27001信息安全管理系統作為一個整體進行管理,包括企業中的所有人力資源,高級管理,信息系統和業務流程。
ISO 27001標準的主要目標是:
- 識別信息安全漏洞(如果有)
- 識別威脅信息資產的風險
- 確定審計方法,確保信息資產的安全性
- 確保實施必要的控制並將可能的風險保持在可接受的水平
- 確保企業中信息安全控制的連續性
ISO 27001信息安全管理系統帶來了什麼?
ISO 27001標准允許建立風險評估方法,準備風險評估報告和準備風險處理計劃。
隨著時間的推移,系統中存在的威脅和漏洞的性質可能會發生變化。 或者,由於採用ISO 27001標准進行控制,可能會降低風險或降低嚴重程度。 因此,企業的風險監控活動很重要。 企業有義務在其確定的期限內按照公認的方法進行風險評估研究。
ISO 27001標準下的信息安全策略應主要包括:物理和環境安全,設備安全,操作系統和最終用戶安全,密碼安全以及服務器和系統安全。
物理和環境安全問題是指防止未經授權訪問系統和保護信息資產免受各種風險。 今天,物質和環境安全變得越來越重要。 商業大樓入口處的私人安全團隊的存在,重要信息環境的存儲以及通過加密安全系統訪問這些環境就是這些措施的例子。 為了保護信息系統,通常安裝卡控制的訪問和類似的物理安全系統。 這種物理邊界安全是根據信息資產的安全需求和風險評估結果建立的。 通過身份驗證卡或PIN保護,可以阻止具有高風險信息的環境進行未經授權的訪問。 此外,應採取實際保護措施,並應對火災,洪水,地震,爆炸或社會動盪等災害造成的損害。
ISO 27001信息安全管理系統的重要性
信息安全旨在確保企業工作的連續性,在發生不可避免的危險時盡量減少損失,並在所有情況下保護資源的機密性,可訪問性和完整性。 今天,不僅與員工,還與業務合作夥伴,股東和客戶建立信任保護和信任機密的信任環境,對於企業管理具有戰略意義。
以各種方式遇到的安全問題不僅會中斷活動的連續性,還會導致市場流失,造成競爭困難,並導致對業務合作夥伴,股東和客戶失去信任。 恢復這些數字的支出成本比避免丟失它們的措施成本更高。
與其他商業資產一樣,企業信息是一種有價值的資產,因此需要加以保護。 信息對於業務繼續其活動非常重要。 因此,重要的是信息資產必須保密,其完整性始終保持可用,簡而言之,確保信息安全。 ISO / IEC 27001信息安全管理系統是唯一一個定義企業在這方面需求的國際和可審計系統。
ISO 27001標准在信息處理和保護至關重要的部門尤為必要,例如公共,金融,衛生和信息技術部門。 該標準對於為其他人和組織管理信息的企業也很重要。 通過這種方式,企業可以為客戶提供信息保護的保證。
ISO 27001信息安全管理系統是企業建立的管理系統,旨在提供信息安全,應用該標準,監控,審查,維護和不斷改進應用。 在此框架內,進行風險分析研究,以確定企業的資源並確定可能的風險。 風險評估研究是將風險與給定風險標准進行比較,以確定風險的重要性。
ISO 27001信息安全管理系統規劃
在企業中建立ISO 27001標準取決於許多步驟。 就像,
- 首先,應收集有關企業基礎設施的信息。 這些信息涉及企業的活動領域,所完成工作的性質,企業的使命和結算。
- 然後,應確定將用於建立系統的密鑰名稱。 在此階段,應確定負責風險管理的人員和建立系統的目的。
- 那麼企業的安全狀況應該在今天的情況下確定。
- 然後應收集信息,例如位置,操作,業務功能和信息技術,這些將決定係統的範圍。
- 在此階段,應確定ISO 27001信息安全管理系統的目標和範圍,並建立工作計劃。
- 最後,在最後階段,應確定建立系統所需的過程和系統的連續性。
傳統上適用於所有質量管理體系的循環也是如此:
- 計劃(建立信息安全管理系統)
- 申請(信息安全管理系統的實施和運行)
- 檢查(監控和查看信息安全管理系統)
- 採取預防措施(維護和改進信息安全管理系統)
當然,隨著這種系統的建立,企業將獲得巨大的利益。 例如,
- 該實體確認所有信息資產的存在和重要性。
- 它通過將信息資產應用於指定的控制和保護方法來保護信息資產。
- 通過這種方式,確保了工作的連續性。 遇到任何風險時,可防止活動中斷。
- 通過該系統,公司獲得了相關方的信任,因為它將保護供應商公司和客戶的信息。
- 保護信息不是偶然的。
- 在評估客戶時,業務比競爭對手更系統。
- 員工在業務中的動機增加。
- 隨著法律法規的確立,可以防止可能的法律後續行動。
- 市場上的業務聲譽增加,業務在與競爭對手的鬥爭中領先一步。
ISO 27001信息安全管理系統要求對企業中的所有信息資產進行處理和評估,並在考慮這些資產的弱點和威脅的情況下進行風險分析。 為了實現這一目標,企業應選擇適合其結構的風險管理方法並進行風險規劃。 該標準包括風險處理的控制目標和控制方法。
根據ISO 27001標準,企業需要製定風險管理和風險處理計劃,確定任務和職責,準備業務連續性計劃,準備應急管理流程並在實施過程中記錄這些流程。
企業還必鬚髮布涵蓋所有這些活動的信息安全政策。 所有高級管理層和員工也應了解信息安全和威脅。 在ISO 27001信息安全管理系統的實施中,應該測量所選擇的控制目標,並且應該持續監控控制的適用性和性能。 這個過程應該是一個生命過程,信息安全管理,高級管理層的積極支持和所有員工的參與應該得到保證。 要求企業可以在風險管理,政策制定,記錄安全流程,確定和實施適當的控制方法方面獲得諮詢和專家支持。
簡而言之,ISO 27001標準是一個定義全面信息安全性以及如何確保信息安全作為生命過程的系統。 設置此系統的步驟可描述如下:
- 信息資產的分類
- 根據機密性,完整性和可訪問性標準評估信息資產
- 風險分析
- 根據風險分析結果確定應用的控制方法
- 完成文件工作
- 應用確定的控制方法
- 進行內部審計研究
- 保持標準所要求的記錄
- 舉辦管理評審會議
- 開展認證研究
與電子通信相關的威脅和弱點
在相關法律法規的框架內,企業應該採取一些措施來確保信息安全:
- 保留計算機使用的IP日誌記錄
- 記錄哪些員工擁有過去的IP地址
- 在Internet上保留員工旅行的日誌記錄
- 保留員工發送的電子郵件日誌記錄
- 在互聯網上保存員工所花費的頁面記錄以及過去花費的時間
- 通過內容過濾提供對Internet訪問的有限訪問
- 確保所有記錄的完整性,並證明它們沒有被更改
在此框架內,員工電子通信的主要威脅是:
- 未經授權或超出現有授權限制進入安全敏感區域的員工
- 員工試圖在未經授權的情況下破壞數據機密性,完整性和連續性,或通過刪除,添加,修改,延遲,保存到其他媒介或披露信息來超出現有授權限制
- 試圖全部或部分防止硬件和軟件組件滿足法律法規和國內外標準規定的要求
- 通過誤導用戶提供與正確的一方進行電子通信的印象
- 使用非法方法監控電子通信
- 聲稱此信息是通過生成錯誤信息或將此錯誤信息發送給另一方而從另一方獲得的
- 使電子通信基礎設施部分或完全不可操作或以阻止提供服務的方式消耗該基礎設施的資源
與此同時,電子通信的一些弱點可以列舉如下:
- 不可預見的未來威脅
- 設計系統或協議時出錯
- 安裝系統或協議時出現問題
- 軟件開發人員造成的錯誤
- 用戶錯誤
- 在使用系統期間出現的不足或不合規
ISO 27001信息安全管理系統的標準結構
最近在27001中修訂了ISO 2013標準。 在此版本中,標準的條款如下:
- 範圍
- 被引標準和文件
- 條款和食譜
- 組織的背景
- 了解組織及其背景
- 了解有關各方的需求和期望
- 確定信息安全管理系統的範圍
- 信息安全管理系統
- 領導
- 領導和承諾
- 政策
- 企業角色,職責和權限
- 規劃
- 處理風險和機遇的活動
- 信息安全目標和計劃實現這些目標
- Destek
- 資源
- 資格
- 意識
- 聯繫方式
- 書面資料
- 操作
- 運營規劃和控制
- 信息安全風險評估
- 信息安全風險處理
- 績效評估
- 監測,測量,分析和評估
- 內部審計
- 管理評審
- 復原
- 不合格和糾正措施
- 持續改進
ISO 27001信息安全管理體系認證
在建立ISO 27001信息安全管理系統後,企業將希望獲得ISO 27001證書,以便向其客戶,競爭對手以及相關的官方和私人組織證明這種情況。 但是,安裝此系統的目的不應僅僅是擁有此文檔。 否則,不能期望系統提供上述益處。
根據實施過程中確定的控制方法,保護信息資產,控制威脅信息資產的風險,採取措施消除或降低風險,評估長期出現的新風險並評估這些風險,以及是否存在可接受的風險對於這些,需要高級管理層批准。 只要業務存在,此過程將繼續。
符合ISO 27001標準要求並實施信息安全管理系統的企業現在可以通過申請認證機構申請ISO 27001證書。 此時,認證機構必須獲得當地或外國認證機構的認可,這一點非常重要。 否則,要發布的報告和文件無效。
認證工作的第一階段是通過現有的文檔工作完成的。 在此階段,信息安全政策,風險評估報告,風險行動計劃,合規聲明,安全程序和企業準備的應用指令將單獨處理。 如果在這些文件中發現任何不符合,則預計在進入第二階段之前完成這些不符合。
完成第一階段後,認證機構任命一名或多名審核員,並在企業的工作環境中啟動審核工作。 在這些現場審核中,觀察由實體根據活動領域確定的信息安全控制是否符合ISO 27001標準的要求。 第二階段審核完成後,審核員準備一份報告並提交給認證機構。
認證機構根據本報告進行評估研究,並在認為合適的情況下準備ISO 27001信息安全管理體系認證,並將其交付給企業。 證書的有效期為三年。 但是,在本文件發布後,根據企業的要求,每年進行一次或兩次臨時審核。 三年後,必須再次進行認證研究。