當今的信息安全格局

現狀:當今的公司非常依賴信息系統來管理公司和提供產品/服務。他們依靠 IT 來推進、生產和運輸各種室內應用。該應用程序包括經濟數據源、員工時間預訂、提供幫助台以及各種其他解決方案,為客戶/員工提供遠程訪問權限,遠程訪問客戶端系統,通過電子郵件、網絡與戶外通信、使用第 3 方和外包分銷商。

業務需求:信息安全和保障是客戶和客戶之間協議的一部分。廣告想要一種上位者,也可以讓消費者放心。老年人監控希望了解組織內 IT 設施中斷或信息違規或信息事件的狀況。需要滿足並很好地保護數據安全法、版權、設計和許可法以及組織的管理要求等法律需求。保護細節和細節 設備通過安排和演示客戶的安全設置來滿足公司和法律要求,在競爭客戶的工作之間照顧安全,阻止機密信息的洩漏是信息系統的最大困難。

信息定義:信息是與其他重要的組織屬性一樣對組織有價值並且結果需要相應保護的屬性。無論信息採取或建議如何共享或存儲,都應始終得到適當的保護。

各種細節:信息可以在線保存。它可以通過網絡傳輸。它可以顯示在視頻中,也可以是口頭的。

詳細信息風險:網絡犯罪分子、黑客、惡意軟件、特洛伊木馬、網絡釣魚、垃圾郵件發送者是我們信息系統的重大危害。研究發現,從事破壞活動的大多數人是 IT 員工,他們表現出的品質包括向同事建議、偏執和不滿意、涉及熬夜,以及整體工作效率低下。在網絡犯罪分子中,86% 的人仍處於技術環境中,90% 的人擁有對業務系統的管理員或幸運訪問權限。許多人在工作結束後將犯罪行為歸咎於刑事犯罪,但 41% 的人在他們還在公司工作時就搞砸了系統。風暴、龍捲風、洪水等自然災害可能會對我們的詳細信息系統造成廣泛破壞。

細節保護事件:信息安全事件可能引發業務方案和程序的中斷、投資者價值的減少、個人隱私的喪失、負擔得起的優勢的喪失、聲譽受損導致品牌下降、對 IT 的自信心喪失、信息安全支出如果安全關鍵系統出現故障,數據在事件中受損、被盜、損壞或丟失、成功率降低、受傷或死亡的資產。

幾個標準問題:


– 我們有 IT 安全計劃嗎?


– 我們以前是否分析過對我們的 IT 任務和設施的威脅/風險?


– 我們準備好應對洪水、地震等任何類型的自然災害了嗎?


– 我們所有的財產都受到保護嗎?


– 我們是否肯定我們的 IT 基礎設施/網絡是安全的?


– 我們的業務信息是否無風險?


– IP 電話網絡安全嗎?


– 我們是否配置或保留應用程序安全屬性?


– 我們是否有用於應用程序開發、篩选和製造 Web 服務器的隔離網絡環境?


– 辦公室協調員是否接受過任何形式的人身安全和安保爆發的教育?


– 我們是否可以控制軟件/信息分發?
ISO 27001 簡介:在組織CISM 認證成本中,在正確的時間向授權個人提供正確的信息可以區分收入和損失、成功和失敗。

細節安全和保障的三個要素:
自由裁量權:保護信息免遭未經授權的披露,可能是向競爭對手或媒體披露。

誠實:保護信息免遭未經授權的修改,並確保信息(例如價格表)準確且完整
時間表:確保信息在您需要時隨時可用。確保信息的機密性、完整性和可用性對於保持競爭優勢、資本、生產力、合法合規性和商業照片以及品牌形象至關重要。

信息安全管理系統 (ISMS):這是基於業務威脅戰略的通用管理系統的一部分,用於建立、執行、操作、監控、檢查、維護和促進信息安全和保障。管理系統由業務框架、計劃、預期任務、職責、實踐、程序、程序和資源組成。

關於 ISO 27001:- 對細節安全和安保管理的一項突出的全球要求。全球超過 12,000 家公司通過此標準認證。其目的是保護信息的隱私、穩定性和可訪問性。在 ISO/IEC 27001 認證審核中通常不會調查反病毒和防火牆等技術安全控制措施:基本上假定該組織實際上已經承擔了所有需要的信息安全控制。它不僅關注信息技術,還關注組織中的其他各種重要屬性。它專注於所有業務流程以及服務屬性。信息可能會或可能不會與信息技術相關聯,並且可能會或可能不會以數字形式出現。