申請(qǐng)ISO27001認(rèn)證需要滿足哪些基本條件？
1.中國(guó)企業(yè)持有工商行政管理部門(mén)頒發(fā)的《企業(yè)法人營(yíng)業(yè)執(zhí)照》、《生產(chǎn)許可證》或者等效文件；外國(guó)企業(yè)持有相關(guān)機(jī)構(gòu)的登記證。
2.申請(qǐng)人的信息安全管理系統(tǒng)已按照ISO/IEC27001:2013標(biāo)準(zhǔn)的要求建立，并已運(yùn)行3個(gè)多月。
3.內(nèi)部審核至少完成一次，并進(jìn)行管理評(píng)審。
4.信息安全管理系統(tǒng)運(yùn)行期間和建立系統(tǒng)前一年內(nèi)未受到主管部門(mén)的行政處罰。

 

ISO27001認(rèn)證對(duì)IT運(yùn)維安全有哪些要求？
安全風(fēng)險(xiǎn)評(píng)估。
企業(yè)信息安全是確保企業(yè)業(yè)務(wù)系統(tǒng)不被非法訪問(wèn)、使用和篡改，為員工提供安全可信的服務(wù)，確保信息系統(tǒng)的可用性、完整性和保密性。主要包括兩個(gè)方面：
企業(yè)安全管理評(píng)估。
評(píng)估內(nèi)容包括信息安全策略、安全組織、資產(chǎn)分類(lèi)與控制、人員安全、物理與環(huán)境安全、通信與運(yùn)營(yíng)管理、訪問(wèn)控制、系統(tǒng)開(kāi)發(fā)與維護(hù)、安全事件管理、業(yè)務(wù)連續(xù)、系統(tǒng)開(kāi)發(fā)與維護(hù)、安全事件管理、業(yè)務(wù)連續(xù)管理。通過(guò)比較企業(yè)安全控制現(xiàn)狀和ISO27001的最佳實(shí)踐，檢查企業(yè)在安全控制層面的弱點(diǎn)，為改進(jìn)安全措施提供依據(jù)。

 

2.企業(yè)安全技術(shù)評(píng)估。
對(duì)企業(yè)具有代表性的關(guān)鍵應(yīng)用程序進(jìn)行安全評(píng)估。關(guān)鍵應(yīng)用程序的評(píng)估方法采用滲透測(cè)試方法，識(shí)別應(yīng)用程序系統(tǒng)的威脅和弱點(diǎn)，分析其與應(yīng)用程序系統(tǒng)安全目標(biāo)之間的差距，為后期改造提供依據(jù)。以ISO27001為核心，借鑒國(guó)際常用評(píng)估模型的優(yōu)勢(shì)，結(jié)合企業(yè)自身的特點(diǎn)，建立風(fēng)險(xiǎn)評(píng)估模型：在風(fēng)險(xiǎn)評(píng)估模型中，主要包括信息資產(chǎn)、弱點(diǎn)、威脅和風(fēng)險(xiǎn)。

 

根據(jù)業(yè)務(wù)需求建立業(yè)務(wù)模塊化：整體網(wǎng)絡(luò)建立模塊化網(wǎng)絡(luò)結(jié)構(gòu)，各業(yè)務(wù)采用獨(dú)立的核心交換骨干網(wǎng)絡(luò)，將非關(guān)鍵業(yè)務(wù)區(qū)域與關(guān)鍵交易業(yè)務(wù)區(qū)域的交換網(wǎng)絡(luò)分離，避免相關(guān)風(fēng)險(xiǎn)的影響，促進(jìn)分級(jí)保護(hù)。同時(shí)，建立分級(jí)網(wǎng)絡(luò)結(jié)構(gòu)，根據(jù)風(fēng)險(xiǎn)水平區(qū)分不同的網(wǎng)絡(luò)水平，便于實(shí)施關(guān)鍵保護(hù)。

 

針對(duì)不同層次的WEB.APP.數(shù)據(jù)庫(kù).存儲(chǔ)等邏輯區(qū)域，設(shè)計(jì)不同層次的安全防護(hù)，同時(shí)采用不同的安全設(shè)備進(jìn)行安全防護(hù)。

 

規(guī)劃體系建設(shè)方案。
規(guī)劃體系建設(shè)方案是在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，對(duì)企業(yè)存在的安全風(fēng)險(xiǎn)提出安全建議，提高系統(tǒng)的安全性和抗攻擊性。1-2年內(nèi)，通過(guò)建立和實(shí)施信息安全系統(tǒng)，建立安全組織，進(jìn)行技術(shù)安全審計(jì)。內(nèi)外網(wǎng)隔離改造。安全產(chǎn)品部署，實(shí)現(xiàn)以流程為導(dǎo)向的轉(zhuǎn)型。3-5年內(nèi)，完善信息安全體系，進(jìn)行相應(yīng)的物理環(huán)境改造和業(yè)務(wù)連續(xù)性項(xiàng)目建設(shè)。

 

建設(shè)企業(yè)信息安全體系。
首先，安全管理體系的主要內(nèi)容包括企業(yè)信息系統(tǒng)的總體安全政策、安全技術(shù)策略和安全管理策略。信息安全技術(shù)可分為物理安全技術(shù)、網(wǎng)絡(luò)安全技術(shù)、系統(tǒng)安全技術(shù)、應(yīng)用安全技術(shù)和安全基礎(chǔ)設(shè)施平臺(tái)；根據(jù)安全技術(shù)提供的功能，可分為預(yù)防和保護(hù)、檢測(cè)跟蹤和響應(yīng)恢復(fù)三類(lèi)技術(shù)。

 

在檢測(cè)跟蹤類(lèi)中，安全基礎(chǔ)設(shè)施的審計(jì)系統(tǒng)包括IT運(yùn)維安全和審計(jì)解決方案。
實(shí)現(xiàn)IT運(yùn)維安全與審計(jì)系統(tǒng)：
單點(diǎn)登錄功能。
2.特權(quán)賬戶管理。
3身份認(rèn)證
4資源授權(quán)
5訪問(wèn)控制
6操作審計(jì)

 

IT運(yùn)維安全還涉及主機(jī)的入口安全。在檢測(cè)跟蹤類(lèi)別中，系統(tǒng)主機(jī)安全掃描是指通過(guò)漏洞管理工具對(duì)系統(tǒng)主機(jī)進(jìn)行掃描，并對(duì)系統(tǒng)的安全漏洞進(jìn)行評(píng)估和分析。支持整個(gè)漏洞管理周期，包括發(fā)現(xiàn)、檢測(cè)、驗(yàn)證、風(fēng)險(xiǎn)分類(lèi)、影響分析、報(bào)告和降低風(fēng)險(xiǎn)。利用所有物理和虛擬資產(chǎn)的持續(xù)資產(chǎn)發(fā)現(xiàn)（包括IPV6啟用設(shè)備）獲得準(zhǔn)確的實(shí)際風(fēng)險(xiǎn)可見(jiàn)性。通過(guò)使用入侵檢測(cè)產(chǎn)品，實(shí)現(xiàn)主機(jī)漏洞的模擬測(cè)試攻擊，實(shí)現(xiàn)漏洞的閉環(huán)，并通過(guò)漏洞修復(fù)工具加強(qiáng)主機(jī)的安全。

 

此外，IT運(yùn)維安全還涉及數(shù)據(jù)庫(kù)安全。個(gè)人身份證號(hào)碼、銀行賬戶、醫(yī)療保險(xiǎn)、電話記錄、客戶數(shù)據(jù)、采購(gòu)信息、交易細(xì)節(jié)、產(chǎn)品數(shù)據(jù)等極其重要和敏感的信息存儲(chǔ)在數(shù)據(jù)庫(kù)中。數(shù)據(jù)作為企業(yè)的核心資產(chǎn)，一旦發(fā)生非法訪問(wèn)、數(shù)據(jù)篡改和數(shù)據(jù)盜竊，將給企業(yè)的聲譽(yù)和經(jīng)濟(jì)帶來(lái)巨大損失，后果可能是災(zāi)難性的。

 

安全系統(tǒng)的運(yùn)行和改進(jìn)。
信息安全體系建設(shè)完成后，需要有效實(shí)施和實(shí)施。信息安全體系的成功取決于三點(diǎn)技術(shù)、七點(diǎn)管理、十二點(diǎn)實(shí)施，實(shí)施是指我們需要在實(shí)踐中有效體驗(yàn)、總結(jié)和改進(jìn)。IT部門(mén)作為企業(yè)最重要的部門(mén)之一，應(yīng)加強(qiáng)宣傳，組織各部門(mén)進(jìn)行不同層次的講解、培訓(xùn)和認(rèn)證考核，充分了解和發(fā)揮信息安全體系的作用，及時(shí)發(fā)現(xiàn)存在的問(wèn)題，找出問(wèn)題的根源，采取糾正措施，進(jìn)一步完善信息安全管理體系，確保企業(yè)經(jīng)營(yíng)管理更加可靠和安全。