安全工具箱保護組織免遭網(wǎng)絡(luò)攻擊

譯 / 常儷

?

安全工具箱保護組織免遭網(wǎng)絡(luò)攻擊

譯 / 常儷

網(wǎng)絡(luò)攻擊是一個組織可能遇到的最大風(fēng)險之一。因此，促使相關(guān)標(biāo)準(zhǔn)和系統(tǒng)發(fā)揮效用，成為當(dāng)今數(shù)字世界最重要的事情。對ISO/IEC 27000族信息安全技術(shù)標(biāo)準(zhǔn)進行更新，就是為了給組織提供附加價值和自信。

國際信息系統(tǒng)審計協(xié)會（ISACA）在129個國家進行的一項調(diào)查顯示，盡管有83%的調(diào)查對象認(rèn)為網(wǎng)絡(luò)攻擊是當(dāng)前組織面臨的三大威脅之一，僅僅有38%的調(diào)查對象為應(yīng)對網(wǎng)絡(luò)攻擊做了準(zhǔn)備。如此多的個人信息和敏感信息處在電子化處理之中，如果沒做好信息安全管理，這些信息將處于危險之中。

ISO信息安全管理體系（ISMS）標(biāo)準(zhǔn)工作組召集人Edward Humphreys教授強調(diào)：“若要確保今天數(shù)字世界的安全，所有的組織，不論規(guī)模大小，都應(yīng)該把著手建立一個管理架構(gòu)作為網(wǎng)絡(luò)風(fēng)險管理的開始。ISO/IEC 27001標(biāo)準(zhǔn)的制定，就是為了幫助組織完成這項工作。對于評估、應(yīng)對和管理信息相關(guān)風(fēng)險方面的問題，此標(biāo)準(zhǔn)是世界的‘通用語言’”。

下面是2015年發(fā)布的ISO/IEC 27000族標(biāo)準(zhǔn)的最新修訂版和新補充內(nèi)容，也是ISO/IEC 27001 “網(wǎng)絡(luò)風(fēng)險工具箱”的組成部分，它們將有助于控制風(fēng)險。

保護云端信息（ISO/IEC　27017）

一項關(guān)于云服務(wù)信息安全的實施指南——ISO/ IEC 27017《云服務(wù)信息安全控制實用規(guī)則》剛剛發(fā)布。云服務(wù)是今天快節(jié)奏的商務(wù)和貿(mào)易世界中應(yīng)用最廣泛的創(chuàng)新之一。由于云服務(wù)帶來通貨收益，用戶要求存儲于云端的數(shù)據(jù)及其處理的安全是有保證的。正是由于云服務(wù)的本質(zhì)，云服務(wù)的市場是全球性的，供應(yīng)商分散廣，數(shù)據(jù)經(jīng)常需要被跨國境進行傳輸。因此，國際信息安全管理指南尤其重要。

參與了該標(biāo)準(zhǔn)制定工作的Satoru Yamasaki認(rèn)為：“ISO/IEC 27017將有助于服務(wù)提供商與其客戶達成共識——重視充足的安全控制和其實施指南。此項關(guān)于云服務(wù)安全控制的國際標(biāo)準(zhǔn)，將促進安全的云計算系統(tǒng)的發(fā)展和擴展。”

為了保證標(biāo)準(zhǔn)具有廣泛的適用性，該標(biāo)準(zhǔn)由IEC、ISO和ITU共同推動完成。

服務(wù)整合實施方案（ISO/IEC　27013）

更多的組織選擇將信息安全管理體系（ISO/IEC 27001）與服務(wù)管理體系（ISO/IEC 20000-1）整合起來。一個整合的系統(tǒng)意味著組織可以在保持信息安全的情況下，高效地管理服務(wù)質(zhì)量、處理客戶反饋和解決問題。

ISO/IEC 27013提供了促進信息安全管理體系與服務(wù)管理體系整合的系統(tǒng)方法，不僅實施成本更低，而且在組織需要進行認(rèn)證的時候，還可避免重復(fù)進行審核。

領(lǐng)域間和組織間的溝通（ISO/IEC　27010）

在一個組織與另一個組織分享信息的時候，怎樣保證信息安全？ISO/IEC 27010是ISO/IEC 27000工具箱的一個特定行業(yè)附加，它為領(lǐng)域間、組織間信息安全工作啟動、實施、維護和改進方面的溝通工作提供指南。包括如何借助于已建立的消息傳遞手段和其他技術(shù)方法，滿足這些要求的一般原則。該標(biāo)準(zhǔn)將促進全球信息共享社區(qū)的發(fā)展。

Mike Nash博士說：“ISO/IEC 27010是為適應(yīng)ISO/IEC 27001和ISO/IEC 27002，在不同組織之間的溝通而制定。以標(biāo)準(zhǔn)的形式，增加組織之間的信任度，他們共享的信息將不會被無意泄露。” 該標(biāo)準(zhǔn)在保護國家關(guān)鍵基礎(chǔ)設(shè)施的時候顯得尤其重要，因為確保交換敏感信息的安全是至關(guān)重要的。該標(biāo)準(zhǔn)還會被安全應(yīng)急響應(yīng)小組廣泛使用。

檢測和預(yù)防網(wǎng)絡(luò)攻擊（ISO/IEC　27039）

組織如何檢測和阻止黑客攻擊其網(wǎng)絡(luò)系統(tǒng)和應(yīng)用呢？最佳實踐表明組織必須知道黑客何時攻擊，以及入侵其網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的攻擊如何發(fā)生。他們還應(yīng)該檢測是什么漏洞被利用，以及需要實施什么控制措施以防止未來再次發(fā)生類似的事情。可以做到這些的唯一方法是，借助于入侵檢測保護系統(tǒng)（IDPS）。

ISO/IEC 27039為IDPS的準(zhǔn)備和部署提供指南，內(nèi)容覆蓋了選擇、部署和運維等方面的工作。當(dāng)今市場中存在很多基于不同技術(shù)和方法的、開放源代碼，并且市場中可買得到的IDPS產(chǎn)品和服務(wù)，該標(biāo)準(zhǔn)對于當(dāng)今市場尤其有用。ISO/IEC 27039將在這整個過程中為組織提供工作指南。

審核和認(rèn)證（ISO/IEC　27006）

越來越多的組織開始通過獲得第三方機構(gòu)的認(rèn)證，表明他們擁有可靠的信息安全管理體系（ISMS），并且他們的ISMS符合ISO/IEC 27001的要求。ISO/ IEC 27006對認(rèn)證和注冊機構(gòu)提出要求，認(rèn)證和注冊機構(gòu)要滿足相關(guān)要求后，才可以向其他組織提供ISO/IEC 27001認(rèn)證服務(wù)。

“ISO/IEC 27006是一項針對認(rèn)證機構(gòu)的認(rèn)可基準(zhǔn)，它規(guī)范提供ISO/IEC 27001認(rèn)證服務(wù)的第三方機構(gòu)，” Humphreys教授如此解釋。他還補充道：“這是相當(dāng)重要的，因為認(rèn)證機構(gòu)提供的認(rèn)可，將在審核過程中，增加其獲得認(rèn)證的可信度。”

（原文標(biāo)題：Security toolbox protects organizations from cyberattacks，譯自ISO官網(wǎng)）