基于ISO 27001的专用网络信息安全管理体系研究

专用网络是当前企事业单位广泛应用的一种内部网络,文章着眼专用网络的信息安全管理需求,以构建网络信息安全管理体系的基本步骤为主线,介绍了信息安全策略的定义方法、信息安全管理体系的范畴、网络风险评估的方法、风险管理的内容、风险控制的措施以及风险管理的适用性说明等。同时,以国际ISO27001网络信息安全管理标准为依据,提出了专用网络信息安全管理体系架构,适用于可信的专用网络构建。

数据中心的他山之石

ISO27001对数据中心的建设提出了提纲挈领的安全要求,但它并不意味着细节上的实施到位,在构建安全的数据中心时,免不了要参考他山之石,以此攻玉。

面向ISO27001的本体建模及其应用--以企业恶意软件防护为例

信息安全标准已经逐渐成为企业整体信息防护的必要选择。ISO27000系列标准是国际上较为常用的一个安全标准框架。利用本体工具,对ISO27001安全标准的管理体系建设和系统实际要求两个方面进行本体建模。一方面梳理ISMS(企业信息安全管理体系)的逻辑结构,以便企业进行管理体系建立情况的自查,一方面利用本体构建系统中与标准要求相关的主客体及其关系,给出一种验证系统对标准的符合性方法。以恶意软件防护为例,构建相关文档体系结构和系统具体要求。通过实例验证,证明了所提方法能够较为客观地推理系统在恶意软件防护方面对安全标准的符合性,能降低人工评审的主观性,为标准的自动化评审作出创新性探索。