厦门ISO27001认证 专业的厦门ISO27001认证机构-艾西姆认证
厦门ISO27001认证 专业的厦门ISO27001认证机构-艾西姆认证
厦门ISO27001认证 专业的厦门ISO27001认证机构-艾西姆认证厦门分公司
厦门ISO27001认证—福州ISO27001咨询—厦门ISO27001多少钱
信息安全管理体系ISO27001内容点:
安全基本原则
安全的核心目标就是为关键资产提供可用性、完整性和机密性(AIC三元组)的保护
深圳ISO27001认证/深圳ISO9001认证/深圳ISO27001咨询/深圳ISO9001咨询
可用性(availability)
确保授权的用户对数据和资源进行及时和可靠的访问。 网络由众多长时间不间断运行的硬件设备和软件组成,硬件设备像路由器、交换机、DNS服务器、DHCP服务器、代理和防火墙等,而软件则包含操作系统、应用程序和反病du软件等。我们要在保证这些硬件及软件正常运行的同时还有很多物理因素可能影响资源 的可用性如环境因素(大火、洪水、通风、电力等问题)、潜在的自然灾害和物理或攻击等,由此可见要保证数据和资源的可用性也不是件容易的事 保证可用性的一些控制措施如下:
· RAID(磁盘阵列, Redundant Arrays of Independent Disks)
· 集群
· 负载均衡
· 冗余电源
· 数据备份
· 磁盘镜像
· 异地备份
· 快照功能
· 故障切换
完整性(integrity)
保证信息和系统的准确性和可靠性,并禁止对数据的非授权更改 造成完整性破坏的因素有攻击者的入侵、内部用户的错误操作等,为了避免这类问题的出现,我们可以精简用户的操作权限,限制用户对系统关键文件的访问和修改,应用程序应当严格检查用户输入的任何数据。对于数据库只允许授权用户修改,而在传输数据时对数据内容进行加密等。 保证完整性的一些控制措施如下:
· 哈希(数据完整性)
· 配置管理(系统完整性)
· 变更控制(进程完整性)
· 访问控制(物理和技术)
· 数字签名
· 传输CRC校验(Cyclic Redundancy Check, CRC)
机密性(confidentiality)
确保在数据处理的每一个步骤都实施了必要的安全保护并阻止信息的未授权访问 威胁机密性的方式包括攻击者通过网络监控、肩窥(越过别人肩膀浏览未授权的信息)、密码以及社会工程(欺骗他人共享敏感信息以获取敏感信息的访问)等方法获取敏感数据。对于机密性的防护我们可以通过在存储 和传输过程中加密数据,使用严格的访问控制和数据分类以及对职工进行适当的数据保护措施的培训。 保证可用性的一些控制措施如下:
· 加密磁盘上存储的数据
· 加密传输过程中的数据(IPSEC、SSL、PPTP、SSH)
· 严格的访问控制(物理和技术)
十大安全领域
访问控制
主要研究管理员与经营者的访问控制的机制和方法。需要控制管理员与经营者经过授权身份验证后的用户权限,被访问内容的权限以及对访问活动的审计和监控。
· 访问控制威胁
· 标识和身份验证技术和技巧
· 访问控制管理
· 单点登入技术
· 攻击方法
· 深圳ISO27001认证/深圳ISO9001认证/深圳ISO27001咨询/深圳ISO9001咨询
通信与网络安全
该领域主要研究内部、外部、公共以及私有的通信系统、互联结构、设备、协议以及远程访问和管理。
· OSI模型与分层
· 局域网(Local Area Network, LAN)、城域网(Metropolitan Area Network, MAN)和广域网(Wide Area Network, WAN)技术
· 互联网、内联网和外联网问题
· 虚拟专用网(Virtual Private Network, VPN)、防火墙、路由器、网桥和中继器
· 网络拓扑和布线
· 攻击方法
信息安全治理与风险管理
该领域主要研究公司资产的标识,确定必要的安全保护级别的方式,采用何种类型的预算来降低风险和减少资金损失的安全实现
· 数据分类
· 策略、措施、标准和指南
· 风险评估和管理
· 认识安全、培训和意识
软件开发安全
该领域主要研究安全软件开发方法,应用程序安全和软件缺陷。
· 数据仓库和数据挖掘
· 不同的开发方法及其风险
· 软件组件和脆弱性
· 恶意代码
厦门ISO27001认证/厦门ISO9001认证/厦门ISO27001咨询/福州ISO9001认证-福州ISO27001咨询-厦门ISO20000认证-厦门ISO20000审核专业的ISo27001、ISO20000审核机构-艾西姆认证(上海)有限公司厦门分公司