ISO27001認(rèn)證可以抵御分為外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的攻擊。外部網(wǎng)絡(luò)：各種互聯(lián)網(wǎng)違法犯罪、病毒傳播、重要信息泄露、網(wǎng)絡(luò)不良行為、黑客惡意攻擊、垃圾郵件等；內(nèi)部網(wǎng)絡(luò)：各種非法網(wǎng)站瀏覽、在線游戲 、P2P下載、聊天工具泛濫、內(nèi)部、內(nèi)部信息泄露、員工上網(wǎng)行為無(wú)法有效管理等ITO/BPO以及系統(tǒng)集成服務(wù)供應(yīng)商在運(yùn)營(yíng)過(guò)程中，由于內(nèi)部管理和物理環(huán)境管理不到位，相關(guān)信息資產(chǎn)的丟失和破壞失控。

ISO27001認(rèn)證為客戶提供以下解決方案：

1、 ISO建立27001認(rèn)證管理體系，確保管理體系在軟件開發(fā)過(guò)程中有一套標(biāo)準(zhǔn)化的體系作為有效的運(yùn)行體系。如建立信息風(fēng)險(xiǎn)識(shí)別、評(píng)估、確定控制計(jì)劃、實(shí)施有效安全組織職責(zé)、媒體處理、外部訪問(wèn)、防止惡意和移動(dòng)代碼、符合性評(píng)估等有效管理體系。

2、 ISO27001認(rèn)證的IT建立服務(wù)管理系統(tǒng)，確保管理系統(tǒng)中有一套標(biāo)準(zhǔn)化的系統(tǒng)作為軟件開發(fā)過(guò)程的有效運(yùn)行系統(tǒng)。例如，建立有效的管理系統(tǒng)，如信息交換過(guò)程和遠(yuǎn)程訪問(wèn)。

3.通過(guò)制定風(fēng)險(xiǎn)評(píng)估和相關(guān)對(duì)策，降低病毒防護(hù)系統(tǒng)和漏洞掃描等風(fēng)險(xiǎn)。

4.通過(guò)建立包括災(zāi)難恢復(fù)在內(nèi)的完整業(yè)務(wù)連續(xù)性計(jì)劃，降低業(yè)務(wù)風(fēng)險(xiǎn)，提供企業(yè)形象。

組織按照ISO建立27001標(biāo)準(zhǔn)的信息安全管理體系將有一定的投資，但如果能夠通過(guò)認(rèn)證機(jī)構(gòu)的審查和認(rèn)證，將獲得有價(jià)值的回報(bào)。

“信息”作為一種重要的商業(yè)資產(chǎn)，其所擁有的價(jià)值對(duì)于一個(gè)組織而言毋庸置疑，重要性也是與日俱增。信息安全，按照國(guó)際標(biāo)準(zhǔn)化組織提出的ISO/IEC 27000中的概念，需要保證信息的“保密性”、“完整性”和“可用性”。通俗地講，就是要保護(hù)信息免受來(lái)自各方面的威脅，從而確保一個(gè)組織或機(jī)構(gòu)可持續(xù)發(fā)展。

企業(yè)面臨的問(wèn)題

組織對(duì)于信息系統(tǒng)依賴性不斷增長(zhǎng)，以及在信息系統(tǒng)上運(yùn)作業(yè)務(wù)的風(fēng)險(xiǎn)，使得信息安全越來(lái)越得到重視。

然而事實(shí)上，目前組織所面對(duì)的信息安全狀況愈加復(fù)雜。病毒木馬、非法入侵、數(shù)據(jù)泄密、服務(wù)癱瘓、漏洞攻擊等安全事件時(shí)有發(fā)生。從便攜設(shè)備到可移動(dòng)存儲(chǔ)，再到智能手機(jī)、PDA，以及無(wú)線網(wǎng)絡(luò)等，安全問(wèn)題出現(xiàn)的途徑也是千奇百怪。每一項(xiàng)新技術(shù)，每一類新產(chǎn)品的推廣伴隨著新的問(wèn)題。組織在面臨著日趨復(fù)雜的威脅的同時(shí)，遭受的攻擊次數(shù)也日益增多。

正因?yàn)槿绱?，信息安全管理體系標(biāo)準(zhǔn)(ISO/IEC27000)的出現(xiàn)成為歷史必要，該標(biāo)準(zhǔn)經(jīng)過(guò)十多年的發(fā)展，已經(jīng)形成了一個(gè)完整規(guī)范的體系。對(duì)組織而言，建立信息安全管理體系，是一個(gè)非常系統(tǒng)的過(guò)程，從資產(chǎn)評(píng)估、風(fēng)險(xiǎn)分析、引入控制到后期的改進(jìn)，呈現(xiàn)出一個(gè)非常邏輯的架構(gòu)。

調(diào)查顯示，企業(yè)高管普遍面對(duì)的問(wèn)題是：“我們很清楚的知道內(nèi)部的安全風(fēng)險(xiǎn)問(wèn)題，可是我們不知道怎么去識(shí)別并規(guī)避風(fēng)險(xiǎn)。”

信息安全管理體系的建立和健全，目的就是降低信息風(fēng)險(xiǎn)對(duì)經(jīng)營(yíng)帶來(lái)的危害，并將其投資和商業(yè)利益最大化。

信息安全管理體系標(biāo)準(zhǔn)

2005年改版后的ISO/IEC 27001共有133個(gè)控制點(diǎn)，39個(gè)控制措施，11個(gè)控制域。其中11個(gè)控制域包括：

1)安全策略

2)信息安全的組織

3)資產(chǎn)管理

4)人力資源安全

5)物理和環(huán)境安全

6)通信和操作管理

7)訪問(wèn)控制

8)系統(tǒng)采集、開發(fā)和維護(hù)

9)信息安全事故管理

10)業(yè)務(wù)連續(xù)性管理

11)符合性

可見，信息安全不僅僅是個(gè)技術(shù)問(wèn)題，而是管理、章程、制度和技術(shù)手段以及各種系統(tǒng)的結(jié)合。實(shí)現(xiàn)信息安全不僅需要采用技術(shù)措施，還需要借助于技術(shù)以外的其它手段，如規(guī)范安全標(biāo)準(zhǔn)和進(jìn)行信息安全管理。

因此，組織在選擇合作伙伴的時(shí)候，就該找那種理解需求、真正能幫助解決問(wèn)題的，只有那種有著多年的咨詢和項(xiàng)目經(jīng)驗(yàn)、豐富的服務(wù)和產(chǎn)品的公司，才夠格成為可信任的伙伴。

解決方案

參照ISO/IEC 27001，總結(jié)出了完整的信息安全模型。依據(jù)模型，組織可以得到一個(gè)細(xì)致的流程，再也不用摸黑走路。

通過(guò)咨詢，為客戶提供高端的信息安全咨詢與評(píng)估服務(wù)，識(shí)別出信息資產(chǎn)以及存在的風(fēng)險(xiǎn)，找出所存在的問(wèn)題和深層次的需求，以便明確后續(xù)應(yīng)采取什么行動(dòng)去解決問(wèn)題。

可以采用相關(guān)安全產(chǎn)品，能保護(hù)組織的任意區(qū)域，如移動(dòng)用戶、遠(yuǎn)程分支、內(nèi)部網(wǎng)絡(luò)、很難管理的桌面和服務(wù)器、個(gè)人的行為狀況等。具有完善的功能模塊，有防火墻、VPN、IPS/IDS、內(nèi)容過(guò)濾、網(wǎng)絡(luò)行為管理等。利用這些功能模塊，組織能全局有效地管理安全，并跨系統(tǒng)、平臺(tái)和區(qū)域?qū)嵤┮恢碌牟呗浴?/span>

委托運(yùn)營(yíng)，針對(duì)一些自我管理和技術(shù)能力不強(qiáng)的組織，委托運(yùn)營(yíng)是其最佳選擇。組織不再被具體的細(xì)節(jié)拖入泥沼中，只需提出問(wèn)題和希望的結(jié)果，所有的中間過(guò)程都由委托承擔(dān)者完成。

后續(xù)服務(wù)，安全管理的實(shí)現(xiàn)肯定是個(gè)長(zhǎng)期的過(guò)程，那種完成項(xiàng)目就開溜的做法，對(duì)組織來(lái)說(shuō)是種災(zāi)難。只有通過(guò)后續(xù)的服務(wù)，不斷地改進(jìn)，不斷地發(fā)現(xiàn)新問(wèn)題，才能推動(dòng)目標(biāo)不斷地前進(jìn)。

總之，我們欣喜的看到，國(guó)內(nèi)組織通過(guò)積極努力，探索尋求整體解決方案，增強(qiáng)了組織主動(dòng)管理其信息安全的能力，降低組織信息所面臨的風(fēng)險(xiǎn)。

結(jié)語(yǔ)

建立信息安全管理體系并獲得認(rèn)證，能提高組織自身的安全管理水平，將組織的安全風(fēng)險(xiǎn)控制在可接受的范圍內(nèi)，減少因安全事件帶來(lái)的破壞和損失。更重要的，是可以保證組織業(yè)務(wù)的持續(xù)性。

另一方面，合作在如今的商業(yè)社會(huì)是非常普遍。如果組織能向客戶及利益相關(guān)方展示對(duì)信息安全的承諾，不但能增強(qiáng)合作伙伴、投資方的信心，也可以向政府及行業(yè)主管部門證明對(duì)相關(guān)法律法規(guī)的符合，并能得到國(guó)際上的認(rèn)可。