ISO27001认证标准对IT行业运维安全要求

随着在世界范围内，信息化水平的不断发展，信息安全逐渐成为人们关注的焦点，世界各地的相关机构、组织、个人都在探寻如何保障(起保障作用的事物)信息安全的问题。ISO13485认证在标准中定义的医疗器械指：制造商的预期用途是为下列一个或多个特定目的用于人类的，不论单独使用或组合使用的仪器、设备、器具、机器、用具、植入物、体外试剂或校准器、软件、材料或者其他相似或相关物品。英国、美国、挪威、瑞典、芬兰、澳大利亚等国均制定了有关信息安全的本国标准。目前，在信息安全管理(guǎn lǐ)方面， ISO27001已经成为世界上应用最广泛(extensive)与典型的信息安全管理标准。企业遵守ISO27001信息安全管理体系进行建设，可有效地保护企业信息系统安全，确保信息安全体系的持续发展。

    
　　一、安全风险评估
    企业信息安全是保障企业业务系统不被非法访问、利用和篡改，为企业员工提供安全、可信的服务，保证信息系统的可用性、完整性和保密性。主要包括两方面的内容：
    1、企业安全管理类的评估
    评估网站内容包括ISO27001所涵盖的与信息安全管理体系相关(related)的11个方面，包括信息安全策略、安全组织、资产分类与控制、人员安全、物理和环境安全、通信和操作管理、访问控制、系统开发与维护、安全事件管理、业务连续性管理。通过(tōng guò)对公司的安全控制现状与ISO27001的最佳实践进行对比，检查企业在安全控制层面上存在的弱点，从而为改进安全措施提供依据。
    2、企业安全技术类评估
    针对企业具有代表性的关键应用进行安全评估。关键应用的评估方式采用渗透测试的方法，在应用评估中将对应用系统的威胁、弱点进行识别，分析其和应用系统的安全目标(cause)之间的差距，为后期改造提供依据。以ISO27001为重要，并借鉴国际常用的几种评估模型的优点，同时结合企业自身的特点，建立风险评估模型：在风险评估模型中，主要包含信息资产(zī chǎn)、弱点、威胁和风险四个要素。
    根据业务需求建立业务模块化：整体网络建立模块化的网络结构，各业务使用独立的重要交换骨干网络，将非关键业务区域与关键交易业务区域的交换网络分离，避免关联风险的影响，便于实施分级保护。同时建立层次化的网络结构，根据风险级别区分不同的网络层次，便于实施重点防护。
    针对不同级别的WE
　　B、AP
　　P、数据库、存储等逻辑区域，设计不同的安全防护级别，同时采用不同的安全设备进行安全防护。
    
　　二、规划体系建设方案
    规划(设计大工程或作计划)体系建设方案是在风险评估的基础上，对企业中存在的安全风险提出安全建议，增强系统的安全性和抗攻击性。ISO22000认证消费者或客户在持续不断地要求整个食品供应链中相关的组织能够表现并提供足够的证据证明其有能力确认和控制食品安全危害和其它可能对食品安全产生影响的因素。在1-2年内通过(tōng guò)信息安全体系制的建立与实施，建立安全组织，技术上进行安全审计、内外网隔离的改造、安全产品的部署，实现以流程为导向的转型。在 3-5 年内，完善信息安全体系和进行相应的物理环境改造和业务连续（Continuity)性项目的建设。
    
　　三、公司信息安全体系建设
    首先，针对安全管理制度(Management system)涉及的主要网站内容包括企业信息系统的总体安全方针、安全技术策略和安全管理策略等。HACCP认证危害的含义是指生物的、化学的或物理的代理或条件所引起潜在的健康的负面影响。食品生产过程的危害案例包括金属屑（物理的）、杀虫剂（化学的）和微生物污染，如病菌等（生物的）。今天的食品工业所面临的主要危害是微生物污染，例如沙门氏菌、生态氧157：H7、防腐剂、胚芽菌、峻菌、肉菌等。信息安全技术按其所在的信息系统层次(机构的等级)可划分为物理安全技术、网络安全技术、系统安全技术、应用安全技术，以及安全基础设施平台；同时按照安全技术所提供的功能又可划分为预防保护类、检测跟踪类和响应恢复类三大类技术。
    其中在检测跟踪类中，对于安全基础设施的审计系统包括IT运维安全与审计解决方案(fāng àn)。
    通过IT运维安全与审计系统实现：
    1单点登录功能
    2特权账号管理
    3身份认证
    4资源授权
    5访问控制
    6操作审计
    IT运维安全还涉及主机的入口安全。在检测跟踪类，针对系统的主机安全扫描是指通过漏洞（weak points)管理工具对系统主机进行扫描，对系统的安全漏洞进行评估分析。为整个漏洞管理周期提供支持，包括发现、检测、验证(Experimental)、风险分类、影响分析、报告(The report)和消减风险。利用对所有物理和虚拟资产的持续资产发现（ 包括 IPv6 启用设备） 获得准确的实际风险可见性。通过配合使用入侵检测产品(Product)，实现对主机漏洞的模拟测试攻击，实现对漏洞的闭环并通过漏洞修复工具对主机的安全进行强化。
    此外，IT运维安全还涉及(指关联到，牵涉到)数据库安全。数据库中储存着诸如(zhū rú)个人身份证号、银行账户、医疗保险、电话记录、客户数据、采购信息、交易明细、产品资料(Means)等极其重要和敏感(感觉敏锐)的信息。数据作为企业重要资产，一旦发生非法访问、数据篡改、数据盗取，将给企业在信誉和经济上带来巨大损失，造成的后果可能是灾难性的。
    
　　四、安全体系运行及改进 
    信息安全体系建设完成后，需要大家有效的实施并执行。信息安全体系的成功靠的是“三分技术，七分管理，十二分执行”。“执行”是指需要我们在实践中去切实体会、总结与提升。作为企业最重要的部门之一，IT部门要加强宣传力度，组织各部门进行不同层面的讲解培训及认证考核，充分理解发挥(表现出内在的能力)信息安全体系的职能，及时发现存在的问题，找出问题根源，采取纠正措施，以达到进一步完善信息安全管理体系的根本目的，保障企业运营与管理更加可靠、安全。