EBET真人网站

业务范围:郑州isoEBET真人网站 河南iso质量EBET真人网站 iso质量EBET真人网站机构|联系大家

更多>>联系大家

EBET真人网站

企业服务电话:0371-67930482

企业电话总机:0371-67935980、67121901

总机接线员分机:0      传真分机:611

业务扣扣:2053318465

企业邮箱:13333818466@189.cn

当前位置:EBET真人网站 > 资讯中心

关于ISO27001认证的安全评估要点

文章来源:EBET真人网站 日期:2019-04-26 点击数:

企业申请ISO27001认证,一定会有安全评估这个环节。评估企业信息安全是指保障企业业务系统不被非法访问、利用和篡改,为企业员工提供安全、可信的服务,保证信息系统的可用性、完整性和保密性。其中,应该注意两方面的内容:

ISO27001认证

①企业安全管理类。通过企业的安全控制现状调查、访谈、文档研读和ISO27001的最佳实践比对,以及在行业的经验上进行“差距分析”,检查企业在安全控制层面上存在的弱点,从而为安全措施的选择提供依据。
评估内容包括ISO27001所涵盖的与信息安全管理体系相关的11个方面,包括信息安全策略、安全组织、资产分类与控制、人员安全、物理和环境安全、通信和操作管理、访问控制、系统开发与维护、安全事件管理、业务连续性管理、符合性。
②企业安全技术类。基于资产安全等级的分类,通过对信息设备进行的安全扫描、安全设备的配置,检查分析现有网络设备、服务器系统、终端、网络安全架构的安全现状和存在的弱点,为安全加固提供依据。
针对企业具有代表性的关键应用进行安全评估。关键应用的评估方式采用渗透测试的方法,在应用评估中将对应用系统的威胁、弱点进行识别,分析其和应用系统的安全目标之间的差距,为后期改造提供依据。
提到安全评估,一定要有方法论。大家以ISO27001为核心,并借鉴国际常用的几种评估模型的优点,同时结合企业自身的特点,建立风险评估模型。
在风险评估模型中,主要包含信息资产、弱点、威胁和风险四个要素。每个要素有各自的属性,信息资产的属性是资产价值,弱点的属性是弱点在现有控制措施的保护下,被威胁利用的可能性以及被威胁利用后对资产带来影响的严重程度,威胁的属性是威胁发生的可能性及其危害的严重程度,风险的属性是风险级别的高低。风险评估采用定性的风险评估方法,通过分级别的方式进行赋值。
XML 地图| Sitemap 地图