產(chǎn)品詳情
廈門ISO27001認(rèn)證 專業(yè)的廈門ISO27001認(rèn)證機(jī)構(gòu)-艾西姆認(rèn)證廈門分公司
廈門ISO27001認(rèn)證—福州ISO27001咨詢—廈門ISO27001多少錢
信息安全管理體系ISO27001內(nèi)容點(diǎn):
安全基本原則
安全的核心目標(biāo)就是為關(guān)鍵資產(chǎn)提供可用性、完整性和機(jī)密性(AIC三元組)的保護(hù)
深圳ISO27001認(rèn)證/深圳ISO9001認(rèn)證/深圳ISO27001咨詢/深圳ISO9001咨詢
可用性(availability)
確保授權(quán)的用戶對(duì)數(shù)據(jù)和資源進(jìn)行及時(shí)和可靠的訪問。 網(wǎng)絡(luò)由眾多長時(shí)間不間斷運(yùn)行的硬件設(shè)備和軟件組成,硬件設(shè)備像路由器、交換機(jī)、DNS服務(wù)器、DHCP服務(wù)器、代理和防火墻等,而軟件則包含操作系統(tǒng)、應(yīng)用程序和反病du軟件等。我們要在保證這些硬件及軟件正常運(yùn)行的同時(shí)還有很多物理因素可能影響資源 的可用性如環(huán)境因素(大火、洪水、通風(fēng)、電力等問題)、潛在的自然災(zāi)害和物理偷竊或攻擊等,由此可見要保證數(shù)據(jù)和資源的可用性也不是件容易的事 保證可用性的一些控制措施如下:
· RAID(磁盤陣列, Redundant Arrays of Independent Disks)
· 集群
· 負(fù)載均衡
· 冗余電源
· 數(shù)據(jù)備份
· 磁盤鏡像
· 異地備份
· 快照功能
· 故障切換
完整性(integrity)
保證信息和系統(tǒng)的準(zhǔn)確性和可靠性,并禁止對(duì)數(shù)據(jù)的非授權(quán)更改 造成完整性破壞的因素有攻擊者的入侵、內(nèi)部用戶的錯(cuò)誤操作等,為了避免這類問題的出現(xiàn),我們可以精簡(jiǎn)用戶的操作權(quán)限,限制用戶對(duì)系統(tǒng)關(guān)鍵文件的訪問和修改,應(yīng)用程序應(yīng)當(dāng)嚴(yán)格檢查用戶輸入的任何數(shù)據(jù)。對(duì)于數(shù)據(jù)庫只允許授權(quán)用戶修改,而在傳輸數(shù)據(jù)時(shí)對(duì)數(shù)據(jù)內(nèi)容進(jìn)行加密等。 保證完整性的一些控制措施如下:
· 哈希(數(shù)據(jù)完整性)
· 配置管理(系統(tǒng)完整性)
· 變更控制(進(jìn)程完整性)
· 訪問控制(物理和技術(shù))
· 數(shù)字簽名
· 傳輸CRC校驗(yàn)(Cyclic Redundancy Check, CRC)
機(jī)密性(confidentiality)
確保在數(shù)據(jù)處理的每一個(gè)步驟都實(shí)施了必要的安全保護(hù)并阻止信息的未授權(quán)訪問 威脅機(jī)密性的方式包括攻擊者通過網(wǎng)絡(luò)監(jiān)控、肩窺(越過別人肩膀?yàn)g覽未授權(quán)的信息)、密碼以及社會(huì)工程(欺騙他人共享敏感信息以獲取敏感信息的訪問)等方法獲取敏感數(shù)據(jù)。對(duì)于機(jī)密性的防護(hù)我們可以通過在存儲(chǔ) 和傳輸過程中加密數(shù)據(jù),使用嚴(yán)格的訪問控制和數(shù)據(jù)分類以及對(duì)職工進(jìn)行適當(dāng)?shù)臄?shù)據(jù)保護(hù)措施的培訓(xùn)。 保證可用性的一些控制措施如下:
· 加密磁盤上存儲(chǔ)的數(shù)據(jù)
· 加密傳輸過程中的數(shù)據(jù)(IPSEC、SSL、PPTP、SSH)
· 嚴(yán)格的訪問控制(物理和技術(shù))
十大安全領(lǐng)域
