信息安全標(biāo)準(zhǔn)為網(wǎng)絡(luò)安全保駕護(hù)航

　　當(dāng)今組織機(jī)構(gòu)面臨的最嚴(yán)峻風(fēng)險(xiǎn)之一即為網(wǎng)絡(luò)攻擊，數(shù)字世界中人們通過適用的標(biāo)準(zhǔn)和體系維護(hù)信息安全尤為重要。ISO/IEC 27000信息安全技術(shù)系列標(biāo)準(zhǔn)一直在更新的原因正是為了向這些組織機(jī)構(gòu)提供增值價(jià)值，增強(qiáng)信心。

　　據(jù)國(guó)際信息系統(tǒng)審核協(xié)會(huì)（ISACA）的全球調(diào)查顯示，雖然有83%的調(diào)查對(duì)象相信當(dāng)前網(wǎng)絡(luò)攻擊已位居各類風(fēng)險(xiǎn)前三位，但仍僅有38%的調(diào)查對(duì)象認(rèn)為自己已做好應(yīng)對(duì)網(wǎng)絡(luò)攻擊的準(zhǔn)備。如此海量的個(gè)人信息和高度機(jī)密信息通過電子化處理，倘若網(wǎng)絡(luò)安全仍岌岌可危，勢(shì)必會(huì)造成巨大的風(fēng)險(xiǎn)。ISO信息安全管理系統(tǒng)標(biāo)準(zhǔn)（ISMS）工作組召集人Edward Humphreys教授強(qiáng)調(diào)，為確保當(dāng)前數(shù)字景觀的安全性，所有組織機(jī)構(gòu)不論規(guī)模大小都應(yīng)啟動(dòng)網(wǎng)絡(luò)風(fēng)管理框架，并落實(shí)到位。ISO/IEC 27001正是用于幫助組織機(jī)構(gòu)完成上述工作的一項(xiàng)標(biāo)準(zhǔn)。該國(guó)際標(biāo)準(zhǔn)在評(píng)估、處理和管理信息風(fēng)險(xiǎn)方面可謂是全球的“共用語言”。

　　以下幾項(xiàng)今年新發(fā)布的國(guó)際標(biāo)準(zhǔn)是對(duì)ISO/IEC 27000系列標(biāo)準(zhǔn)的補(bǔ)充，同時(shí)也成為ISO/IEC 27001“網(wǎng)絡(luò)風(fēng)險(xiǎn)工具箱”的一部分，幫助控制相關(guān)風(fēng)險(xiǎn)。

　　云端信息保護(hù)（ISO/IEC 27017）

　　作為現(xiàn)今最為炙手可熱的創(chuàng)新技術(shù)，云端技術(shù)已在快節(jié)奏的商界中被廣泛使用，用戶對(duì)云端技術(shù)下數(shù)據(jù)存儲(chǔ)加工的安全性提出了更高的要求。由于云端服務(wù)性質(zhì)特殊，其市場(chǎng)已經(jīng)全球化，供貨商遍布全球，數(shù)據(jù)信息可跨國(guó)傳遞?？梢酝ㄟ^國(guó)際指南加以規(guī)范尤為關(guān)鍵。

　　據(jù)介紹，ISO/IEC 27017:2015《信息技術(shù)—安全技術(shù)—基于ISO/IEC 27002云端服務(wù)信息安全控制實(shí)施規(guī)程》（2015年11月30日發(fā)布）將幫助服務(wù)供應(yīng)商就充分的安全控制及實(shí)施指南與客戶達(dá)成一致，促進(jìn)云計(jì)算系統(tǒng)安全發(fā)展和擴(kuò)大。

　　服務(wù)綜合解決方案（ISO/IEC 27013）

　　越來越多的組織機(jī)構(gòu)選擇將信息安全管理系統(tǒng)（ISO/IEC 27001）與服務(wù)管理系統(tǒng)（ISO/IEC 20000-1）相結(jié)合。這樣一個(gè)綜合系統(tǒng)意味著組織機(jī)構(gòu)能高效管理服務(wù)質(zhì)量、處理客戶反饋并解決問題，同時(shí)又保護(hù)了信息的安全。

　　ISO/IEC27013:2015《信息技術(shù)—安全技術(shù)—ISO/IEC 27001和ISO/IEC 20000-1綜合實(shí)施指南》（2015年11月24日發(fā)布）為促進(jìn)信息安全管理系統(tǒng)和服務(wù)管理系統(tǒng)一體化提供了系統(tǒng)的研究方法，審核將由兩次減為一次，將會(huì)降低執(zhí)行成本，避免事倍功半。

　　領(lǐng)域間和組織間的溝通（ISO/IEC 27010）

　　當(dāng)兩個(gè)組織機(jī)構(gòu)互享信息時(shí)，如何確認(rèn)各自數(shù)據(jù)的安全性？ISO/IEC 27010:2015《信息技術(shù)—安全技術(shù)—領(lǐng)域間和組織間溝通的信息安全管理》（2015年11月10日發(fā)布）是對(duì)ISO/IEC 27000中具體領(lǐng)域的補(bǔ)充，對(duì)組織間和領(lǐng)域間交流信息安全的啟動(dòng)、執(zhí)行、維護(hù)和改進(jìn)起到指導(dǎo)作用。該標(biāo)準(zhǔn)規(guī)定了如何通過運(yùn)用現(xiàn)有的信息傳送和其他技術(shù)方法達(dá)到相關(guān)要求的一般原則，希望能促進(jìn)提高全球信息共享交流。

　　ISO/IEC27010主要為ISO/IEC 27001和ISO/IEC 27002“量身制定”，用于組織機(jī)構(gòu)間的溝通交流。該標(biāo)準(zhǔn)將保證組織機(jī)構(gòu)與其他機(jī)構(gòu)信息共享的安全性，尤其對(duì)需要交換機(jī)密信息的重要國(guó)家基礎(chǔ)設(shè)施的數(shù)據(jù)安全性具有相關(guān)性。該標(biāo)準(zhǔn)同時(shí)也為安全事件應(yīng)急小組廣泛使用。

　　網(wǎng)絡(luò)攻擊的檢測(cè)與預(yù)防(ISO/IEC 27039)

　　組織機(jī)構(gòu)如何檢測(cè)和預(yù)防自己的網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用程序遭到入侵？他們需了解何時(shí)網(wǎng)絡(luò)被入侵、系統(tǒng)是否已被入侵以及應(yīng)用程序是如何被入侵的，同時(shí)也需要隨時(shí)準(zhǔn)備確認(rèn)被利用的安全隱患在哪里，應(yīng)如何采取措施預(yù)防同樣的入侵今后再次發(fā)生。解決這些問題的一種方法叫入侵竊密檢測(cè)與預(yù)防系統(tǒng)（IDPS）。

　　ISO/IEC27039:2015《信息技術(shù)—安全技術(shù)—入侵竊密檢測(cè)與預(yù)防系統(tǒng)的選擇、開發(fā)與操作》（2015年2月11日發(fā)布）為制定和部署IDPS提供指導(dǎo)，涵蓋各個(gè)關(guān)鍵點(diǎn)，諸如選擇、開發(fā)和操作。該國(guó)際標(biāo)準(zhǔn)對(duì)當(dāng)今市場(chǎng)商業(yè)化的IDPS產(chǎn)品和服務(wù)尤其有益。

　　審核與認(rèn)證(ISO/IEC 27006)

　　越來越多的組織機(jī)構(gòu)開始轉(zhuǎn)向第三方認(rèn)證審核以證明自身信息安全管理系統(tǒng)（ISMS）固若金湯，符合ISO/IEC 27001的要求。ISO/IEC 27006:2015《信息技術(shù)—安全技術(shù)—信息安全管理體系審核和認(rèn)證機(jī)構(gòu)的要求》（2015年9月30日發(fā)布）規(guī)定了認(rèn)證機(jī)構(gòu)和注冊(cè)機(jī)構(gòu)需達(dá)到被認(rèn)可的要求，因此可為ISO/IEC 27001提供認(rèn)證服務(wù)。對(duì)認(rèn)證機(jī)構(gòu)的認(rèn)可為審核過程增添可信度，同時(shí)也提高了認(rèn)證的含金量。