信息系统安全体系评估
谁需要建立信息安全管理体系
如果您所在的企业内部具有潜在或者已知的信息安全风险,那么您可以考虑实施信息安全管理体系建设。这些风险包括:
用户或客户信息泄露导致的经济损失:网站用户信息的泄露,因为钓鱼网站链接造成的经济损失
企业信息泄露:包括商业价值数据的丢失或被盗,可以有各种载体和方式,例如U盘、硬盘、图纸、打印稿、影像资料、数据库文件等
服务或者生产过程中断或异常:包括网站被黑,网络服务不可用,生产管理系统宕机导致的生产活动中断,供电停止导致的系统或者设备停机等
非法使用:某一资源被未授权的人使用
数据篡改:使用未经授权手段对数据进行非法的访问和修改
什么是企业信息安全
信息入侵者不管怀有什么用意,采用什么手段,他们都要通过攻击信息的4 个安全特征来达到目的。这4个安全特征是:完整性(Integrity)、可用性(Availability)、保密性(Confidentiality)、可控性(Controllability)。例如机房硬件故障导致的数据丢失;外部入侵导致的业务系统无法访问;企业内部机密信函泄露;商业设施被非法的使用等。在技术和管理上,信息安全就是保证在客观上杜绝对信息的4 种特征的安全威胁,使企业免于上述威胁所带来的直接或间接的损失。
什么是信息安全管理体系
“信息安全管理体系”(以下简称“安全体系”)是结合企业发展战略,根据企业发展战略与信息化建设的目标制定的信息安全管理制度。安全体系包含企业、部门和员工各层次上的信息安全保障目标以及实现目标应采取的信息安全保障制度和措施。
它通过维护组织内信息的机密性、完整性和可用性等,来管理和保护企业信息资产的一项体制,是对信息安全保障进行指导、规范和管理。
建设过程
信息安全管理体系建立通常可以包括以下5个阶段:现场诊断阶段、风险评估阶段、文件编写阶段、试运行阶段、外审阶段。
建设周期
信息安全管理体系建立的周期会受到组织的规模、核心业务的复杂度、组织的执行力等因素的影响,通常情况下组织花费六个月到一年左右的时间。
信息安全管理体系与信息安全检测
信息安全检测是指对企业内的信息系统,基础设置通过各种检测和检查手段来发现问题,并修正问题的过程。安全检测手段包括:白盒代码检测,黑盒测试,主机渗透测试,数据安全检查,网络安全检查等。
信息安全管理体系和信息安全检测的区别在于:
安全检测
测试对象是系统或者设备
偏技术层面的
短期的,较强针对性的,比如针对某个系统
实施内容非常具体,可量化
效果是短暂的,不持续的