|
 |
|
|
| |
| 软件企业如何进行ISO27001体系认证的模型构建 |
| |
发布者:admin
发布时间:2017/9/25 13:49:16 阅读:7669次 【字体:大
中 小】 |
软件企业通过风险评估得出专用网络系统各主要资产的风险值之后,就可以依据这些风险值搭建信息安全管理体系框架。这里以一个小型专用网络系统为例,给出一个基于ISO27001 的专用网络信息安全管理体系结构模型。
该模型以信息安全策略为中心,综合运用防护、检测、响应3 者循环一体的管理体系为信息安全策略的实施提供支撑。防护、检测、响应分别由各自的安全措施组成,共同为专用网络系统提供信息安全保护。
防护主要由8 大安全措施组成,即访问控制、数据加密、身份认证、人员管控、电磁防护、冗余备份、频率保护和运营管理。
检测主要由5 大安全措施组成,即流量监测、漏洞检测、入侵检测、路由检测和环境监测。
响应主要由4 大安全措施组成,即系统恢复、安全记录、故障处理和杀毒堵漏。
经网络安全攻击模拟试验后,采用基于ISO27001 规范的专用网络信息安全管理体系结构可以有效提高网络安全性能,对于木马攻击和常见病毒攻击具有良好的防范效果,基本能够满足专用网络对于信息安全的需求。但是,随着物联网等新兴网络的应用,如果在专用网络中与物联网等新兴网络进行信息融合,则需要开放信息传输权限,这就会影响到专用网络的信息安全防护能力。因此,在基于专用网络的异构网络信息融合应用中,ISO27001信息安全管理体系结构仍需进一步优化。 |
| |
| |
|
| |
|
 |
|
