运用ISO 27001标准应对物业服务中的信息安全风险

随着社会数字化改革进程的加快,物业服务中的信息安全问题也日益凸显,ISO 27001标准是国际公认的信息安全管理体系标准,其列明了完备的控制措施,以帮助组织更有效地管理业务活动中的信息安全风险。本文重点讨论了如何运用ISO 27001标准来应对物业服务中的信息安全风险,以期对相关人员提供参考。

Developing an Abstraction Framework for Managing and Controlling Saudi Banks’ Cybersecurity Threats Based on the NIST Cybersecurity Framework and ISO/IEC 27001

Saudi Arabian banks are deeply concerned about how to effectively monitor and control security threats. In recent years, the country has taken several steps towards restructuring its organizational security and, consequently, protecting financial institutions and their clients. However, there are still several challenges left to be addressed. Accordingly, this article aims to address this problem by proposing an abstract framework based on the National Institute of Standards and Technology (NIST) Cybersecurity Framework and International Organization for Standardization/International Electrotechnical Commission (ISO/IEC 27001). The framework proposed in this paper considers the following factors involved in the security policy of Saudi banks: safety, Saudi information bank, operations and security of Saudi banks, Saudi banks’ supplier relationships, risk assessment, risk mitigation, monitoring and detection, incident response, Saudi banks’ business continuity, compliance, education, and awareness about all factors contributing to the framework implementation. This way, the proposed framework provides a comprehensive, unified approach to managing bank security threats. Not only does the proposed framework provide effective guidance on how to identify, assess, and mitigate security threats, but it also instructs how to develop policy and procedure documents relating to security issues.

基于ISO/IEC 27001:2013的高校图书馆信息安全管理体系构建研究

文章从高校图书馆面临的信息安全风险入手,阐述了高校图书馆信息安全的需求;基于需求,全面研究了最新的"ISO/IEC 27001:2013"国际信息安全管理标准在高校图书馆中的适用性;由此提出了"基于ISO/IEC 27001:2013的高校图书馆信息安全管理体系框架";并指出信息安全管理体系构建应遵守"投资与风险平衡"、"技术与管理平衡"、"信息系统建设与信息安全管理体系建设同步"的原则,认为信息化会不断拓展和深化,信息风险会永恒存在。

基于ISO/IEC27001标准的高校信息安全治理

针对当前我国高校在信息安全方面存在的主要问题,文章根据信息安全管理的ISO/IEC27001标准,从管理层面建立了一套基于ISO/IEC27001标准的高校信息安全治理体系,提出了基于ISO/IEC27001标准的高校信息安全治理过程模型,优化了高校信息安全治理流程,完善了高校信息安全管控机制,从而有利于保障高校信息化服务长期稳定地运行,为改善我国高校的信息安全治理提供参考。

ISO/IEC 27001与ISO/IEC 27002标准的演变

本文按照时间顺序梳理了ISO/IEC 27001和ISO/IEC 27002的发展过程,其中包括这两个标准成为国际标准的开发过程以及被等同采用为我国国家标准的过程。

ISO/IEC 27001:2013概述与改版分析

本文简要介绍了ISO/IEC 27001:2013,并分别按正文和附录A与ISO/IEC 27001:2005进行了对比,总结了其主要的变化之处,可以作为已经部署信息安全管理体系(ISMS)的用户作为升级参考。

基于ISO/IEC 27001:2013的集团企业信息安全管控设计

本文设计了一个大型集团企业的信息安全管控模式,该模式以ISO/IEC 27001:2013为基础,建立了一个四级文件架构的信息安全管理体系(ISMS)。本文可以为大型集团企业部署信息安全管理体系(ISMS)提供指导。

ISO/IEC 27000, 27001 and 27002 for Information Security Management

With the increasing significance of information technology, there is an urgent need for adequate measures of information security. Systematic information security management is one of most important initiatives for IT management. At least since reports about privacy and security breaches, fraudulent accounting practices, and attacks on IT systems appeared in public, organizations have recognized their responsibilities to safeguard physical and information assets. Security standards can be used as guideline or framework to develop and maintain an adequate information security management system (ISMS). The standards ISO/IEC 27000, 27001 and 27002 are international standards that are receiving growing recognition and adoption. They are referred to as “common language of organizations around the world” for information security [1]. With ISO/IEC 27001 companies can have their ISMS certified by a third-party organization and thus show their customers evidence of their security measures.

基于ISO 27001的宝信eCop认证分析

通过研究ISO 27001的目标、措施和当前我国信息安全的现状,指出建设信息安全管理体系的主要任务在于建立安全的内网环境。宝信eCop内网安全产品在访问控制、保障终端运行安全、防范违规行为、事件响应、审计监督等方面给企事业单位面临的风险提供了解决方案。

基于ISO、IEC 20000&27001体系认证的高校信息安全服务优化研究

随着教育信息化的升级,如何保障高校的信息安全及服务,是一个值得探究的问题。ISO/IEC 20000&27001体系认证,可以帮助高校弥补信息安全漏洞,制定安全完善的信息化管理体系。文章通过对山西大学认证过程的研究,探讨如何将ISO/IEC 20000&27001标准与高校信息安全建设相融合,真正帮助高校提升信息安全及信息服务能力。

ISO/IEC 27001:2013标准框架结构的新变化

本文简要介绍了I SO/IEC 27001:2013版国际标准,并对新版标准在框架结构变化方面的新变化进行了对比分析,可提升组织信息安全人员对ISO/IEC27001:2013标准的理解与认识。

ISO/IEC27001信息安全管理体系在县级供电企业的运用

以县级供电企业信息安全管理体系建立为例,阐述了ISO/IEC27001信息安全管理体系贯标工作的意义、工作步骤、存在的难点和取得的成效.

ISO/IEC 27001修订战略国际研讨会在北京召开

2011年9月20日,ISO/IEC 27001修订战略国际研讨会在北京应物会议中心顺利召开,全国信息安全标准化技术委员会、中国信息安全认证中心、中国认证认可协会、中国合格评定国家认可委员会、中国信息安全杂志社、中国电子技术标准化研究所、公安部等政府部门、科研院所领导、专家、代表出席本次会议。来自国际标准化组织JTC27 WG1工作组组长爱德华·汉弗莱(Edward Humphreys)教授作为特邀嘉宾,参与了此次会议并做主题演讲。ISO/IEC27001:2005是信息安全管理体系(Information System Management System,即ISMS)认证所依据的重要标准。我国于2008年等同采用该标准并颁布了国家标准《GB/T22080-2008信息安全管理体系要求》。基于该标准的认证是对一个组织信息安全水平和能力的书面证明。组织机构获得ISMS认证。

ISO/IEC 27001:2013信息安全控制措施解析

本文简要介绍了ISO/IEC27001:2013标准附录A中的控制措施,并与ISO/IEC27001:2005中的控制措施进行了对比,总结了变化之处。

ISO 362—1:2007与ECE R51/03系列差异及发展动向分析

阐述了国际标准化组织制定加速行驶车外噪声标准ISO 362—1:2007与联合国欧洲经济委员会制定的加速行驶车外噪声法规ECE R51/03系列在车辆条件、参考点定义及数据处理方面的具体差异,并利用M2≤3.5 t类车辆进行了试验数据验证。分析了2个标准体系差异产生的背景,并结合ISO与ECE提交的最新修订草稿,介绍了2个标准体系的发展动向。

电子商务环境下基于ISO27001的企业信息安全管理体系研究

文章分析了电子商务环境下企业信息安全管理所面临的问题,借鉴ISO27001标准基于风险管理的思想,为企业设计了一套系统化、程序化和文件化的信息安全管理体系(ISMS),以期为企业信息安全实践指明方向,为安全控制措施的有效落实打下坚实的基础。

ISO/IEC信息安全管理标准在电网企业中的应用

随着信息技术被广泛地应用于电力行业,信息已经成为现代供电企业的一种重要资产,网络与信息安全问题越来越引起人们的关注。解决网络与信息安全问题不仅要从技术方面着手,同时更应加强其管理工作。嘉兴电力引入ISO/IEC17799和ISO/IEC27001这2个信息安全管理标准,对网络与信息安全进行全面规划,建立信息安全管理体系,通过系统的信息安全管理方法来实现信息安全的可控、能控、在控,成效显著。

信息安全管理系列之二十五 截至2016年底ISO/IEC 27000标准族的进展(下)

本文介绍了ISO/IEC 27000标准族中编号在ISO/IEC 27031之后的标准开发进展情况,这些标准主要关注ISO/IEC 27001:2013附录A中不同的控制域。

截至2016年底ISO/IEC 27000标准族的进展(上)

本文介绍了ISO/IEC 27000标准族中编号在ISO/IEC 27030之前的标准开发进展情况,其中ISO/IEC 27000至ISO/IEC 27008主要与信息安全管理体系相关,ISO/IEC 27009及其之后,主要为分行业的应用。