default logo


技术博客

如何建立有效的企业信息安全资产保护计划

随着信息通信越来越多地替代传统的业务模式,企业应该将信息保护集成到业务运作的管理层面。在传统的体系架构下,很多人认为安全对业务是有负面影响的,而不是能够推动核心业务活动效率的提高。如何建立有效的企业信息安全资产保护计划并得到有效实施,是每个企业管理层和信息安全决策者最关心的问题。 一、企业面临的信息安全风险趋势 企业越来越依靠信息资源,安全事件不断增长,而安全事件造成的损失以及用于事件处理的财力、人力以及IT资源的投入需要不断增长。这就需要进行IT规划和费用调整以保证适当的安全投入,部署有效的工具,来解决紧迫的安全问题。 安全威胁趋势 内部非授权访问和使用威胁仍然是企业面临的最大威胁,根据CSI/FBI的2005年计算机安全调查,内部威胁呈现不断增长的趋势,超过80%的数据损失来自于组织内部,主要是非授权访问和信息窃取。尽管多数情况下人们通常怀疑这些问题源于外部侵入,但是计算机系统与数据的大部分损失并非源于恶意的外部攻击,而是一些很简单的人为操作错误,或者是系统内部分合法用户的未授权或无意活动。 在CSI/FBI2005年计算机安全调查中,安全攻击形式中病毒(含蠕虫和木马)与间谍软件分别占83.7%和79.5%,远远高于其它攻击形式。此外还有三分之一的端口扫描和五分之一的数据或网络破坏。 随着应用系统复杂性的提高,应用的安全漏洞也在不断增加。安全威胁的对象正逐渐地从网络和操作系统转
继续阅读 →

ISO27001资产和资产风险等级划分准则

一、    资产的分类 分类 一般描述 信息资产 包括各种业务相关的电子类的文件资料,可按照部门现有文件明细列举,或者根据部门业务流程从头至尾列举,列举时尽量按照确定的纬度来分类,比如按照职能,或者按照业务流程的不同环节。要求识别的是分组或类别,不要具体到特定的单个文件。数据资料的列举和分组应该以业务功能和保密性要求为主要考虑,也就是说,识别出的数据资料应该具有某种业务功能,此外,还应该重点考虑其保密性要求。本部门产生的以及其他部门按正常流程交付过来供本部门使用的,都在列举范畴内。本部门尽量清晰,来自外部门的可以按照比较宽泛的类别来界定。 软件资产 各种本部门安装使用的软件,包括系统软件、应用软件(有后台数据库并存储应用数据的软件系统)、工具软件(支持特定工作的软件工具)、桌面软件(日常办公所需的桌面软件包)等。所列举的软件应该与产生、支持和操作已识别的数据资产有直接关系。 书面文档 合同,公司文件,企业成果,人事文档,培训文档,采购文件,发票,政府下达的文件,也包括各类电子数据的归档件、打印件、复印件、书面管理文件等。 实体资产 与业务相关的IT物理设备。如产生数据类服务器、笔记本计算机、PC机、打印机、复印机、等)、通讯传输设备(路由器、防火墙等)、记录存储媒体(U盘、光盘、移动硬盘等) 支持设施 监控设备,门禁,暖气,供水,空调,报警,发电机 人员 承担某项与业务活动相关责任
继续阅读 →

ISO27001信息安全管理体系认证背景

信息作为组织的重要资产,需要得到妥善保护。但随着信息技术的高速发展,特别是Internet的问世及网上交易的启用,许多信息安全的问题也纷纷出现:系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等等。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。安全问题所带来的损失远大于交易的帐面损失, 1、ISO27001信息安全管理体系损失包括:直接损失、间接损失和法律损失 •直接损失:丢失订单,减少直接收入,损失生产率; •间接损失:恢复成本,竞争力受损,品牌、声誉受损,负面的公众影响,失去未来的业务机会,影响股票市值或政治声誉; •法律损失:法律、法规的制裁,带来相关联的诉讼或追索等。 所以,在享用现代信息系统带来的快捷、方便的同时,如何充分防范信息的损坏和泄露,已成为当前企业迫切需要解决的问题。 俗话说“三分技术七分管理”。目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足,缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措施不到位,如系统的运行、维护、开发等岗位不清,职责不分,存在一人身兼数职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以,我们需要一个系统的、整体规划的信息安全管理体系,从预防控制的角度出发,保障组织的信息系统
继续阅读 →

ISO27001标准族介绍

ISO组织公布的ISO27001:2013信息安全管理体系正式版本的颁布时间为2013年10月19日。 新标准特点: 1、采用新结构 在ISO27001:2013新版当中采用ISO导则83做结构性要求,这个结构未来在ISO其他标准改版中会普遍采用。( ISO 22301已应用) ISO27001:2013附录A中将旧版11个控制领域拓展到14个,结构更合理,表现更清晰。 2、控制更精益 ISO27001:2013附录A中将旧版133个控制项缩减到113个(未来仍可能有改动) 。 ISO27001:2013将通信与操作管理领域拆分为通信安全与操作安全两个领域,比旧版标准更清晰的反应了实际的需求。 ISO27001:2013将旧版业务连续性管理更新为信息安全方面的业务连续性管理,表述更准确。 ISO27001:2013通过合并重复的控制项来精炼控制项的构成(如变更管理在不同的领域中有重复就予以合并)。 3、引入新重点 ISO27001:2013将原分布在各领域的加密及供应链管理控制项级别提升,组成新领域,形成新重点,以反映目前信息安全的发展趋势。 ISO27001:2013新增了智能型装置管理的控制项。 ISO27001:2013强化ICT供应链委外管理的要求。 ISO27001:2013完善了系统开发项目管理的信息安全要求。
继续阅读 →

SA8000社会责任验厂标准的理解与贯彻要点

标准要求 一、关于SA8000标准 2001年12月12日,社会责任国际(SAI)发表了该标准,旨在通过有道德的采购活动改善全球工人的工作条件,最终达到公平而体面的工作条件。它是根据国际劳工组织公约、联合国儿童权利公约及世界人权宣言制定的,是全球第一个可用于第三方认证的社会责任国际标准。我国政府主管部门对该标准表示了“政府引导、妥善应对、稳步推进、和谐发展”的导向态度。 二、适用的法律法规 (一)标准要求 公司应遵守国家及其它适用法律、公司签署的其它规章以及本标准。当国家及其它适用法律、公司签署的其它规章以及本标准所规范议题相同时,应采用其中最严格的条款。 (二)理解要点 标准要求公司遵守适用的法律法规及其它规章,公司应该定期收集并保持法律法规及其它规章的现行版本,以便根据法规要求及时调整公司政策和程序。公司签署的其它规章可能包括行业性、地区性或者全球性的组织制定的社会责任守则、劳工标准及人权宣言和公约。 当不同的法规、规章与SA8000标准涉及同一议题时,公司应遵守最严格的要求,如在工作时间方面,很多国家的法规要求与标准要求不同,公司应选用最严格的条款。 (三)审核要点 1、公司是否保存所有适用的法律法规的现行版本? 2、公司是否定期收集适用的法律法规? 3、公司是否保存已经签署的规章的现行版本? 4、当不同法规和标准涉及同一议题时,公司是否采用最严格的条款? 三、童工 (一)标
继续阅读 →

SA8000社会责任验厂体系文件编写的基本要求

社会责任管理体系应该是一个文件化的体系。社会责任管理体系文件是公司为了实施社会责任管理而编写的,系统化的和规范化的所有文件的总称。建立管理体系的过程就是公司结合自身性质和特点,将标准要求转化为具体的社会责任管理体系文件的过程。按照标准建立的体系文件是公司实施社会责任管理的规范。参照ISO10013《质量手册编写指南》附录A的描述,社会责任管理体系的文件结构也可分为三个层次,即: (1) 管理手册(A层次) (2) 程序文件(B层次) (3) 作业指导书和记录(C层次) 它们的关系如下所示。各层次的社会责任体系文件应与第一层次的社会责任手册内容对应一致。各公司可以根据自身的规模大小和实际情况划分体系文件的层次,不一定都需要三个层次。 管理手册(A层次):根据SA8000标准和规定的SA8000管理方针、目标来描述SA8000体系; 程序文件(B层次):描述实施体系要素所涉及的各个职能部门的活动; 作业文件(C层次):详细的工作文件(表格、报告、作业文件,作业指导书、记录等)。 SA8000标准并没有明确要求公司编写社会责任管理手册,公司可以根据自身特点和需要编写管理手册。对于社会责任管理基础比较薄弱的公司,单独编写社会责任管理手册有利于突出重点,强化社会责任管理,等到公司社会责任管理走上正轨后,逐步同其它管理体系整合在一起,实现多种管理体系的一体化。 由于社会责任管理体系文件的多层次
继续阅读 →

深圳市倍思天成管理顾问有限公司   Copyright © 2016; All Rights Reserved ICP备案号:粤ICP备16088592号-1.