ISO27001认证流程中针对IT运维安全有什么要求

随着在世界范围内，信息化水平的不断发展，信息安全逐渐成为人们关注的焦点，世界各地的相关机构、组织、个人都在探寻如何保障信息安全的问题(Emerson)。HACCP认证确保食品在消费的生产、加工、制造、准备和食用等过程中的安全，在危害识别、评价和控制方面是一种科学、合理和系统的方法。但不代表健康方面一种不可接受的威胁。军工认证就是军工资质条件，是指申请承担武器装备科研生产任务的单位应具备的能力和资格，也就是进入军方市场的“通行证”或“门槛”。英国、美国、挪威、瑞典、芬兰、澳大利亚等国均制定了有关信息安全的本国标准。目前，在信息安全管理(guǎn lǐ)方面， ISO27001已经成为世界上应用最广泛与典型的信息安全管理标准。企业遵循ISO27001信息安全管理体系进行建设，可有效地保护企业信息系统安全，确保信息安全体系的持续发展。ISO27001认证流程

安全风险评估
企业信息安全是保障(起保障作用的事物)企业业务系统不被非法访问、利用和篡改，为企业员工提供安全、可信的服务，保证信息系统的可用性、完整性和保密性。主要包括两方面的内容：
1企业安全管理类的评估
评估内容包括ISO27001所涵盖的与信息安全管理体系相关(related)的11个方面，包括信息安全策略、安全组织、资产分类与控制（control)、人员安全、物理和环境安全、通信和操作管理、访问控制、系统开发与维护、安全事件管理、业务连续性管理。通过对企业的安全控制现状与ISO27001的最佳实践进行对比，检查企业在安全控制层面上存在的弱点，从而为改进安全措施提供依据。
2公司安全技术类评估
针对公司具有代表性的关键应用进行安全评估。关键应用的评估方式方法采用渗透（Osmosis)测试的方法，在应用评估中将对应用系统的威胁、弱点进行识别，分析其和应用系统的安全目标(cause)之间的差距，为后期改造提供依据。以ISO27001为核心，并借鉴国际常用的几种评估模型的优点，同时结合企业自身的特性，建立风险评估模型：在风险评估模型中，主要包含信息资产、弱点、威胁和风险四个要素。
根据业务需求建立业务模块化：整体网络建立模块化的网络结构，各业务使用独立的核心交换骨干网络，将非关键业务区域与关键交易业务区域的交换网络分离，避免关联风险的影响，便于实施分级保护。同时建立层次化的网络结构，根据风险级别区分不同的网络层次，便于实施重点防护。
针对不同级别的WE
　　B、AP
　　P、数据（data)库、存储等逻辑区域，设计不同的安全防护级别，同时采用不同的安全设备进行安全防护。
规划体系建设方案
规划体系建设方案是在风险评估的基础上，对企业中存在的安全风险提出安全建议，增强系统的安全性和抗攻击性。在1-2年内通过信息安全体系制的建立与实施，建立安全组织，技术上进行安全审计、内外网隔离的改造、安全产品(Product)的部署，实现以流程为导向的转型。在 3-5 年内，完善信息安全体系和进行相应的物理环境改造和业务连续性项目的建设。
企业信息安全体系建设
首先，针对安全管理(guǎn lǐ)制度涉及的主要内容包括企业信息系统的总体安全方针、安全技术策略和安全管理策略等。信息安全技术按其所在的信息系统层次可划分为物理安全技术、网络安全技术、系统安全技术、应用安全技术，以及安全基础设施平台；同时按照安全技术所提供的功能又可划分为预防保护类、检测跟踪类和响应恢复类三大类技术。
其中在检测跟踪类中，对于安全基础设施的审计系统包括IT运维安全与审计解决方案。
通过IT运维安全与审计系统(system)实现：
1单点登录功能
2特权账号管理(guǎn lǐ)
3身份认证
4资源授权
5访问控制
6操作审计
IT运维安全还涉及主机的入口安全。ISO27001认证由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的，1999年BSI重新修改了该标准。分为两个部分：BS7799-1，信息安全管理实施规则BS7799-2，信息安全管理体系规范。在检测跟踪类，针对系统(system)的主机安全扫描是指通过漏洞管理工具对系统主机进行扫描，对系统的安全漏洞进行评估分析(Analyse)。为整个漏洞管理周期提供支持，包括(bāo kuò)发现、检测、验证(Experimental)、风险(risk)分类、影响分析、报告和消减风险。利用对所有物理和虚拟资产的持续资产发现（ 包括 IPv6 启用设备） 获得准确的实际风险可见性。通过配合使用入侵检测产品(Product)，实现对主机漏洞的模拟测试（TestMeasure)攻击，实现对漏洞的闭环并通过漏洞修复工具对主机的安全进行强化。ISO27001认证流程(liú chéng)
此外，IT运维安全还涉及(指关联到，牵涉到)数据库(Database)安全。数据库中储存着诸如(zhū rú)个人身份证号、银行账户、医疗保险、电话记录、客户数据、采购信息、交易明细、产品资料等极其重要和敏感的信息。数据作为企业核心资产，一旦发生非法访问、数据篡改、数据盗取，将给企业在信誉和经济上带来巨大损失，造成的后果可能是灾难性的。
安全体系运行及改进 
信息安全体系建设完成后，需要大家有效的实施并执行。信息安全体系的成功靠的是“三分技术，七分管理(guǎn lǐ)，十二分执行”。“执行”是指需要我们在实践中去切实体会、总结(zǒng jié)与提升。作为企业最重要的部门之一，IT部门要加强宣传力度，组织各部门进行不同层面的讲解培训及认证考核，充分理解发挥(表现出内在的能力)信息安全体系的职能，及时发现存在的问题，找出问题根源，采取纠正措施，以达到进一步完善信息安全管理体系的根本目的，保障企业运营与管理更加可靠、安全。