企业如何运用福建厦门泉州ISO27001信息安全管理体系确保信息安全
随着全球信息化程度的提高,企业信息化程度也随之提高。信息化是一把双刃剑,带来很多便利的同时,也出现了很多安全问题,因此企业应当把福建厦门泉州ISO27001信息安全管理体系提高到重要组成部分的高度。
保密性、完整性、可用性、可控性和不可抵赖性是信息安全的五个基本属性。
信息安全要实现的目标是,对信息的使用和处理均经过所有权人的授权、严格按所有权人要求、真实地顺畅地合理地进行。
要经过所有权人授权,主要是指身份识别问题,身份是有所有权的,要经过授权对信息进行使用;在使用中是可读、可写还是可改,就需要按照授权人的授权要求进行;真实指信息的使用要真实,不是经过篡改或者伪造的,要保证其真实性;顺畅是指在信息使用过程中,能够保证信息系统能够正常使用;合理性就是要理性使用,主要是对信息的管控,如要对有害信息进行有效治理。
如何降低企业信息安全的风险给出如下几点建议:
1、增强企业员工的信息保密意识
(1)应该尽量使用复杂的密码做为保护,而不是随便设置简单的密码,例如“123456”不同的账号和文件,设置不一样的密码,才不会让入侵者或“泄密者”有机可乘;
(2)定期更换密码,提高密码安全性;
(3)妥善保管密码,不要将密码泄露给他人。
2、企业内部上网行为管理和控制
企业内部网络使用方面,要求员工不要随意到网上下载软件、不要打开不明邮件附件等。员工安全的上网行为对于企业数据信息安全来说越来越重要,这也正是步入信息时代上网行为管理产品市场需求逐步扩大的重要原因。
3、警惕对企业不满的员工和已离职的员工
员工离职之后及时删除员工各个信息系统账号,及时更换管理员用户名及口令等信息,防止员工把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来的信息泄露风险。
4、加强对员工企业信息安全方面的培训
许多企业对入职员工培训并没有涉及到信息安全、保密这一方面。员工对信息安全、保密意识的缺失,企业也有一定的责任。加强员工的信息安全培训,提升员工的安全意识,使员工充分认识企业信息安全风险防范的必要性和重要性。
加强企业信息安全是每个员工的责任和义务,通过以上措施,我们基本可以形成一个信息安全防护网,保护企业的重要信息不外漏,形成企业信息安全的立体化防护。
5、不同的企业实况,对信息安全纵深防御模型的层级划分也不尽相同。
① 物理安全:物理安全又称作实体安全,是保护计算机设备、设施(网络及通信线路)等免遭地震、水灾,人为和其他环境事故中受破坏的措施和过程。
② 终端安全:根据知名调研机构的数据指出, 70% 的信息泄露发生在终端侧。终端安全主要是通过各种终端安全软件的协同配合,保证终端出入口的安全及数据存储的安全。
③ 网络安全:网络安全指网络上信息的安全,也就是网络中传输和保存的数据,不受偶然或恶意的破坏、更改和泄露,网络系统能够正常运行,网络服务不中断。
④ 系统安全:系统安全主要指的是计算机系统的安全,而计算机系统的安全主要来自于软件系统,包括操作系统的安全和数据库的安全。
⑤ 数据安全:数据安全指的是用技术手段识别网络上的文件、数据库、帐户信息等各类数据集的相对重要性、敏感性、合规性等,并采取适当的安全控制措施对其实施保护的过程。
⑥ 应用安全:应用安全是指应用程序在使用过程中和结果的安全,它是定位于应用层的安全防护。
⑦ 通过建立有效的纵深防御模型,各个层次相互联动配合,实现:
⑧ 层级分明,多种防御措施结合使用,增加攻击难度,降低信息泄露可能性;
⑨ 设立多级风险检查点,阻止大多数恶意病毒及威胁的入侵;
⑩ 防御策略分明,利于管理员针对不同类型威胁进行策略部署及有效防御;
⑪ 充分发挥不同安全厂商的产品特性和价值,术业专攻。
⑫ 如果没有纵深防御体系,就难以构建真正的系统安全体系,更无法保障企业业务的连续性运转。