譯 / 常儷

?

安全工具箱保護(hù)組織免遭網(wǎng)絡(luò)攻擊

譯 / 常儷

網(wǎng)絡(luò)攻擊是一個(gè)組織可能遇到的最大風(fēng)險(xiǎn)之一。因此，促使相關(guān)標(biāo)準(zhǔn)和系統(tǒng)發(fā)揮效用，成為當(dāng)今數(shù)字世界最重要的事情。對(duì)ISO/IEC 27000族信息安全技術(shù)標(biāo)準(zhǔn)進(jìn)行更新，就是為了給組織提供附加價(jià)值和自信。

國際信息系統(tǒng)審計(jì)協(xié)會(huì)（ISACA）在129個(gè)國家進(jìn)行的一項(xiàng)調(diào)查顯示，盡管有83%的調(diào)查對(duì)象認(rèn)為網(wǎng)絡(luò)攻擊是當(dāng)前組織面臨的三大威脅之一，僅僅有38%的調(diào)查對(duì)象為應(yīng)對(duì)網(wǎng)絡(luò)攻擊做了準(zhǔn)備。如此多的個(gè)人信息和敏感信息處在電子化處理之中，如果沒做好信息安全管理，這些信息將處于危險(xiǎn)之中。

ISO信息安全管理體系（ISMS）標(biāo)準(zhǔn)工作組召集人Edward Humphreys教授強(qiáng)調(diào)：“若要確保今天數(shù)字世界的安全，所有的組織，不論規(guī)模大小，都應(yīng)該把著手建立一個(gè)管理架構(gòu)作為網(wǎng)絡(luò)風(fēng)險(xiǎn)管理的開始。ISO/IEC 27001標(biāo)準(zhǔn)的制定，就是為了幫助組織完成這項(xiàng)工作。對(duì)于評(píng)估、應(yīng)對(duì)和管理信息相關(guān)風(fēng)險(xiǎn)方面的問題，此標(biāo)準(zhǔn)是世界的‘通用語言’”。

下面是2015年發(fā)布的ISO/IEC 27000族標(biāo)準(zhǔn)的最新修訂版和新補(bǔ)充內(nèi)容，也是ISO/IEC 27001 “網(wǎng)絡(luò)風(fēng)險(xiǎn)工具箱”的組成部分，它們將有助于控制風(fēng)險(xiǎn)。

保護(hù)云端信息（ISO/IEC　27017）

一項(xiàng)關(guān)于云服務(wù)信息安全的實(shí)施指南——ISO/ IEC 27017《云服務(wù)信息安全控制實(shí)用規(guī)則》剛剛發(fā)布。云服務(wù)是今天快節(jié)奏的商務(wù)和貿(mào)易世界中應(yīng)用最廣泛的創(chuàng)新之一。由于云服務(wù)帶來通貨收益，用戶要求存儲(chǔ)于云端的數(shù)據(jù)及其處理的安全是有保證的。正是由于云服務(wù)的本質(zhì)，云服務(wù)的市場是全球性的，供應(yīng)商分散廣，數(shù)據(jù)經(jīng)常需要被跨國境進(jìn)行傳輸。因此，國際信息安全管理指南尤其重要。

參與了該標(biāo)準(zhǔn)制定工作的Satoru Yamasaki認(rèn)為：“ISO/IEC 27017將有助于服務(wù)提供商與其客戶達(dá)成共識(shí)——重視充足的安全控制和其實(shí)施指南。此項(xiàng)關(guān)于云服務(wù)安全控制的國際標(biāo)準(zhǔn)，將促進(jìn)安全的云計(jì)算系統(tǒng)的發(fā)展和擴(kuò)展?！?/p>

為了保證標(biāo)準(zhǔn)具有廣泛的適用性，該標(biāo)準(zhǔn)由IEC、ISO和ITU共同推動(dòng)完成。

服務(wù)整合實(shí)施方案（ISO/IEC　27013）

更多的組織選擇將信息安全管理體系（ISO/IEC 27001）與服務(wù)管理體系（ISO/IEC 20000-1）整合起來。一個(gè)整合的系統(tǒng)意味著組織可以在保持信息安全的情況下，高效地管理服務(wù)質(zhì)量、處理客戶反饋和解決問題。

ISO/IEC 27013提供了促進(jìn)信息安全管理體系與服務(wù)管理體系整合的系統(tǒng)方法，不僅實(shí)施成本更低，而且在組織需要進(jìn)行認(rèn)證的時(shí)候，還可避免重復(fù)進(jìn)行審核。

領(lǐng)域間和組織間的溝通（ISO/IEC　27010）

在一個(gè)組織與另一個(gè)組織分享信息的時(shí)候，怎樣保證信息安全？ISO/IEC 27010是ISO/IEC 27000工具箱的一個(gè)特定行業(yè)附加，它為領(lǐng)域間、組織間信息安全工作啟動(dòng)、實(shí)施、維護(hù)和改進(jìn)方面的溝通工作提供指南。包括如何借助于已建立的消息傳遞手段和其他技術(shù)方法，滿足這些要求的一般原則。該標(biāo)準(zhǔn)將促進(jìn)全球信息共享社區(qū)的發(fā)展。

Mike Nash博士說：“ISO/IEC 27010是為適應(yīng)ISO/IEC 27001和ISO/IEC 27002，在不同組織之間的溝通而制定。以標(biāo)準(zhǔn)的形式，增加組織之間的信任度，他們共享的信息將不會(huì)被無意泄露?！?該標(biāo)準(zhǔn)在保護(hù)國家關(guān)鍵基礎(chǔ)設(shè)施的時(shí)候顯得尤其重要，因?yàn)榇_保交換敏感信息的安全是至關(guān)重要的。該標(biāo)準(zhǔn)還會(huì)被安全應(yīng)急響應(yīng)小組廣泛使用。

檢測和預(yù)防網(wǎng)絡(luò)攻擊（ISO/IEC　27039）

組織如何檢測和阻止黑客攻擊其網(wǎng)絡(luò)系統(tǒng)和應(yīng)用呢？最佳實(shí)踐表明組織必須知道黑客何時(shí)攻擊，以及入侵其網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的攻擊如何發(fā)生。他們還應(yīng)該檢測是什么漏洞被利用，以及需要實(shí)施什么控制措施以防止未來再次發(fā)生類似的事情?？梢宰龅竭@些的唯一方法是，借助于入侵檢測保護(hù)系統(tǒng)（IDPS）。

ISO/IEC 27039為IDPS的準(zhǔn)備和部署提供指南，內(nèi)容覆蓋了選擇、部署和運(yùn)維等方面的工作。當(dāng)今市場中存在很多基于不同技術(shù)和方法的、開放源代碼，并且市場中可買得到的IDPS產(chǎn)品和服務(wù)，該標(biāo)準(zhǔn)對(duì)于當(dāng)今市場尤其有用。ISO/IEC 27039將在這整個(gè)過程中為組織提供工作指南。

審核和認(rèn)證（ISO/IEC　27006）

越來越多的組織開始通過獲得第三方機(jī)構(gòu)的認(rèn)證，表明他們擁有可靠的信息安全管理體系（ISMS），并且他們的ISMS符合ISO/IEC 27001的要求。ISO/ IEC 27006對(duì)認(rèn)證和注冊(cè)機(jī)構(gòu)提出要求，認(rèn)證和注冊(cè)機(jī)構(gòu)要滿足相關(guān)要求后，才可以向其他組織提供ISO/IEC 27001認(rèn)證服務(wù)。

“ISO/IEC 27006是一項(xiàng)針對(duì)認(rèn)證機(jī)構(gòu)的認(rèn)可基準(zhǔn)，它規(guī)范提供ISO/IEC 27001認(rèn)證服務(wù)的第三方機(jī)構(gòu)，” Humphreys教授如此解釋。他還補(bǔ)充道：“這是相當(dāng)重要的，因?yàn)檎J(rèn)證機(jī)構(gòu)提供的認(rèn)可，將在審核過程中，增加其獲得認(rèn)證的可信度?！?/p>

（原文標(biāo)題：Security toolbox protects organizations from cyberattacks，譯自ISO官網(wǎng)）