文章发表于2023-07-28 11:39:48,归属【信息安全】分类,已有1064人阅读
每个技术驱动的业务流程都面临安全和隐私威胁。先进的技术能够对抗网络安全攻击,但这些还不够:组织必须确保业务流程、策略和员工行为最大限度地降低或减轻这些风险。
由于这条路既不容易也不清晰,因此公司采用有助于指导信息安全(InfoSec)最佳实践的框架。这就是信息安全管理系统发挥作用的地方——让我们看一看。
什么是ISMS?
信息安全管理系统(ISMS)是一个策略和控制框架,用于系统地管理整个企业的安全性和风险——信息安全。这些安全控制可以遵循常见的安全标准,或者更侧重于您的行业。
例如,ISO 27001是一组详细说明如何创建、管理和实现ISMS策略和控制的规范。ISO 不强制要求采取具体行动;相反,它提供了制定适当ISMS战略的指南。
ISMS的框架通常侧重于风险评估和风险管理。可以将其视为一种结构化的方法,用于在风险缓解和产生的成本(风险)之间进行平衡权衡。
在严格监管的垂直行业(如医疗保健或金融)中运营的组织可能需要广泛的安全活动和风险缓解策略。在整体IT安全政策中考虑资讯安全管理。
持续改进信息安全
虽然ISMS旨在建立全面的信息安全管理功能,但数字化转型要求组织对其安全策略和控制进行持续改进和发展。
ISMS定义的结构和界限可能仅适用于有限的时间框架,并且可能在初始阶段难以采用。组织面临的挑战是,随着风险、文化和资源的变化而发展这些安全控制机制。
根据ISO 27001, ISMS的实施遵循计划-执行-检查-行动(PCDA)模式,以持续改进ISM流程:
1. 计划。识别问题并收集有用的信息以评估安全风险。定义可用于解决问题根源的策略和流程。制定方法以建立持续改进的信息安全管理能力。
2. 执行。实施制定的安全政策和程序。实施遵循ISO标准,但实际实施是基于贵公司可用的资源。
3. 检查。监督ISMS政策和控制的有效性。评估与ISM流程相关的有形结果和行为方面。
4. 行动。专注于持续改进。记录结果,共享知识,并使用反馈循环来处理ISMS策略和控制的PCDA模型实现的未来迭代。
流行的ISMS框架
ISO 27001是信息安全领域的领导者,但其他框架也提供了有价值的指导。这些其他框架通常借鉴ISO 27001或其他行业特定指南。
ITIL是广泛采用的服务管理框架,具有称为信息安全管理(ISM)的专属组件。ISM的目标是协调IT和业务安全,确保信息安全在所有活动中得到有效管理。
COBIT是另一个以IT为中心的框架,它花费了大量的时间研究资产管理和配置管理如何成为信息安全以及几乎所有其他ITSM功能(甚至与信息安全无关的功能)的基础。
ISMS安全控制
ISMS安全控制跨越ISO 27001标准中规定的多个信息安全领域。该目录包含具有以下目标的实用指南:
信息安全政策。总体指导和支持有助于建立适当的安全策略。安全策略对您的公司来说是独一无二的,是根据您不断变化的业务和安全需求设计的。
信息安全组织。这解决了企业网络中的威胁和风险,包括来自外部实体的网络攻击、内部威胁、系统故障和数据丢失。
资产管理。该组件涵盖公司IT网络内外的组织资产。其中可能涉及敏感商业信息的交换。
人力资源保障。与您的人员、活动和人为错误相关的政策和控制措施,包括降低内部威胁风险的措施,以及减少意外安全失误的员工培训。
物理和环境安全。这些准则涵盖了保护物理IT硬件免受损坏、丢失或未经授权访问的安全措施。虽然许多组织正在利用数字化转型并在安全的云网络中维护敏感信息,但必须考虑用于访问这些信息的物理设备的安全性。
通信和运营管理。系统在运行时必须尊重并维护安全策略和控制。日常的IT操作(如服务供应和问题管理),应该遵循IT安全策略和ISMS控制。
存取控制。利用策略域限制对授权人员的访问,并监控网络流量的异常行为。访问权限涉及数字和物理技术媒介。应该明确定义个人的角色和职责,仅在必要时才能访问业务信息。
信息系统的获取、开发和维护。应该在IT系统的整个生命周期(包括获取、开发和维护阶段)中维护安全性最佳实践。
信息安全和事件管理。以对最终用户影响最小的方式识别和解决IT问题。在复杂的网络基础设施环境中,可能需要先进的技术解决方案来识别有洞察力的事件度量并主动缓解潜在问题。
业务连续性管理。尽可能避免中断业务流程。理想情况下,任何灾难情况都会立即进行恢复和程序,以尽量减少损失。
合规。每个监管机构必须强制实施安全要求。
密码学。在保护敏感信息的最重要和最有效的控制措施中,它本身并不是灵丹妙药。因此,ISMS控制如何实施和管理加密控制。
供应商关系。第三方供应商和业务合作伙伴可能需要访问网络和敏感的客户数据。可能无法对某些供应商实施安全控制。但是,应该采取适当的控制措施,通过IT安全策略和合同义务来减轻潜在风险。
这些组件和域为信息安全的成功提供了一般的最佳实践。尽管这些在不同的框架之间可能会有细微的差异,但只要在信息安全方面保持一致将提供很多帮助。