您一定遇到过,系统正常运行得好好地突然无缘无故变得很慢或近乎停止运行。IT人员奋战数小时使所有系统恢复在线正常运行。最后IT人员发现事件的根本原因在于信息系统中存在缺陷。该缺陷可能会被蓄意或无意地利用,导致系统故障。 这种情况再平常不过了,有时候会导致更严重的后果:数据丢失或被窃取,且造成运营损失,中断业务。那如何处理以上情况呢?且看下文解说: 漏洞是什么及漏洞如何产生的? ISO 27000概述了ISO信息安全管理系统及词汇表,规定漏洞为资产或安全措施中存在的可由一个或多个威胁利用的缺陷。同时,ISO 27000将威胁定义为可对系统或组织造成损害的意外事件的可能原因。 因此,若威胁发现可利用的缺陷,就出现了漏洞。然而,缺陷来自何处?一般来说,缺陷是资产或安全措施在设计、实施、配置或运行过程中存在的不足之处。疏忽大意或故意行为均可导致缺陷。有些缺陷很*识别、纠正和利用,而有些则需要投入时间、精力和资源。 ISO 27001涉及的漏洞管理方法 ISO 27001的A.12.6.1主要通过以下三个步骤进行漏洞管理: 1、及时发现漏洞 越早发现漏洞,你就越有充足时间对其进行修复,至少向厂商上报这一漏洞,这样留给攻击者利用漏洞的时间就越少。 2、对组织的漏洞暴露情况进行评估 某个漏洞或一组漏洞对不同组织的影响可能不尽相同。您需要进行风险评估,找出您的资产和业务的重要漏洞,并对其进行**级排序。 3、将相关风险考虑在内的合理措施 找出较严重的漏洞后,需考虑采取措施,然后分配资源处理漏洞,也就是说,制定风险应对计划。 较明智的做法是要考虑漏洞的风险等级。 ISO 27002为实现漏洞管理目标提供支持 ISO 27002定义了实现漏洞管理目标的支撑行动,提供实施安全措施(如A.12.6.1)时需考虑的较佳实践。ISO 27002建议采取以下行动: 1、盘点资产 有效的漏洞管理取决于您所掌握的您的信息资产的相关信息,如软件厂商、软件版本,软件安装位置以及每个软件的负责人。 2、明确职责 漏洞管理需进行多项不同活动(如监控、风险评估和纠正等),因此,为方便起见,需明确职责,合理分工,确保对资产进行合理追踪。 3、明确参考资料 您的参考资料列表上应包含厂商站点、专业论坛和特别兴趣小组,从而了解漏洞与修复措施相关的新闻。 4、按照制定的流程处理漏洞 不论漏洞的紧急程度如何,以结构化方式处理漏洞非常重要。处理漏洞时应考虑变更管理或事件响应流程,因为这些流程考虑了漏洞**级、时间响应和响应升级等方面,指导您该采取哪些行动。 5、做好记录以供事后分析 (事后需进行分析)持续记录所发生的事件以及事件处理过程是非常重要的,因为这样您可以从事件中吸取教训,防止后续类似事件的发生。至少这样做可尽量减轻事件影响,改进漏洞管理流程。此外,确保定期进行评估,尽快改进和修复漏洞。 我们举一个漏洞管理例子:“心脏滴血”漏洞在2014年被发现,可通过加密通信导致信息被窃取。通过阅读资产库中定义的参考资料,组织发现该漏洞可影响一些被视为关键性的资产。通过采用变更管理流程,您可通过补丁部署规划合理的缺陷纠正措施,以加密方式传输信息,安装补丁,将信息泄露风险降至较低。 不要被自己的防护措施中的漏洞打败。由于市场需要更快速的软件交付及更多特性,将会有更多漏洞出现。因此,为确保您的信息资产安全、维护企业形象以及保持竞争力,制定漏洞发现和处理计划非常重要。您会发现,通过对ISO 27001和27002推荐的漏洞控制措施进行调整,使其与您的业务需求相匹配会省掉很多麻烦和不必要的工作,尽量减小对公司信誉的损失和影响。 如您想更详细的了解更多认证资讯,请您网络搜索广汇联合,快人一步,成就管理者风范。 广汇联合:壹 叁 陆 捌 壹 零 陆 肆 贰 贰 捌 如您想更详细的了解更多认证资讯,请您网络搜索广汇联合,快人一步,成就管理者风范。 广汇联合:壹 叁 陆 捌 壹 零 陆 肆 贰 贰 捌 如您想更详细的了解更多认证资讯,请您网络搜索广汇联合,快人一步,成就管理者风范。 广汇联合:壹 叁 陆 捌 壹 零 陆 肆 贰 贰 捌
词条
词条说明
信息是一种资产,一旦损毁、丢失、或被不适当地曝光,会给组织带来一系列的损失,如“冰山原理”所描述,我们能直接感知到的数据的丢失,只是整体损失的冰山一角,潜藏在水面下的部分,可能会是直接损失的6~53倍,这包括:损失了时间,替代的成本,可能的法律风险,声誉受损,丢失潜在的业务,竞争力和生产力受损等等。这些损失是我们不愿意面对的,因此信息安全越来越成为我们关注的热点问题。 信息安全的问题倍受关注,是
信息安全管理体系ISMS(Information Securitry Management Systems)是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它基于业务风险方法,用来建立、实施、运行、监视、 评审、保持和改进组织的信息安全系统,其目的是**组织的信息安全。它是直接管理活动的结果,表示成方针、原则、目标、方法、过程、检查表等要素的集合, 涉及到人、程序和
建立ISO27001信息安全管理体系的意义 (1)建立贯穿整个供应链的信息安全系统,较大限度减少企业危机; (2)促使管理层坚持贯彻信息安全**体系; (3)对组织的关键信息资产进行全面系统的保护,维持竞争优势; (4)在信息系统受到侵袭时,确保业务持续开展并将损失降到较低程度; (5)时间与资源的利用较大化; (6)使组织的生意伙伴和客户对组织充满信心; (7)建立一套完整的信息安全管理体系,在
ISO27001认证信息安全风险评估,是实施风险评估的前提,为了保证评估过程的可控性以及评估结果的客观性,在信息安全风险评估实施前应进行充分的准备和计划信息安全风险评估的准备活动包括: (1)确定信息安全风险评估的目标 在ISO27001信息安全风险评估准备阶段应明确风险评估的目标,为信息安全风险评估的过程提供导向。信息安全需求是一个组织为保证其业务正常、有效运转而必须达到的信息安全要求,通过分析
公司名: 广汇联合(北京)认证服务有限公司
联系人: 杨
电 话: 13310854062
手 机: 13265828856
微 信: 13265828856
地 址: 北京通州砖厂南里47号3层307
邮 编:
网 址: dbiso9000.b2b168.com
公司名: 广汇联合(北京)认证服务有限公司
联系人: 杨
手 机: 13265828856
电 话: 13310854062
地 址: 北京通州砖厂南里47号3层307
邮 编:
网 址: dbiso9000.b2b168.com