ISO27001企业信息安全体系建设
发布时间: 2016-02-21 18:11 点击:
ISO27001企业信息安全体系建设
企业信息安全体系建立在信息安全模型与企业信息化的基础上,建立信息安全管理体系核心可以更好的发挥六方面的能力:即预警(Warn)、保护(Protect)、检测(Detect)、反应(Response)、恢复(Recover)和反击(Counter-attack),体系应该兼顾攘外和安内的功能。
安全体系的建设一是涉及安全管理制度建设完善;二是涉及到信息安全技术。首先,针对安全管理制度涉及的主要内容包括企业信息系统的总体安全方针、安全技术策略和安全管理策略等。安全总体方针涉及安全组织机构、安全管理制度、人员安全管理、安全运行维护等方面的安全制度。安全技术策略涉及信息域的划分、业务应用的安全等级、安全保护思路、说以及进一步的统一管理、系统分级、网络互联、容灾备份、集中监控等方面的要求。
其次,信息安全技术按其所在的信息系统层次可划分为物理安全技术、网络安全技术、系统安全技术、应用安全技术,以及安全基础设施平台;同时按照安全技术所提供的功能又可划分为预防保护类、检测跟踪类和响应恢复类三大类技术。结合主流的安全技术以及未来信息系统发展的要求,规划信息安全技术包括:
预防保护类 检测跟踪类 响应恢复类
安全基础设施 PKI 审计系统 备份系统
防病毒
垃圾邮件防护系统
网络 网络域 网络入侵检测 冗余设计
边界网络包过滤技术 网络安全扫描
防火墙 网络安全审计系统
网络设备安全强化 上网行为管理
SSL VPN接入
集中式网络设备访问管理
internet 内容过滤
系统 主机访问控制 主机入侵检测 冗余设计
主机安全强化 主机安全扫描
桌面安全管理
应用 数据库、应用安全强化 数据安全管理
用户帐号统一管理 安全符合性检查
单点登陆管理机制 网页完整性检查