Developing an Abstraction Framework for Managing and Controlling Saudi Banks’ Cybersecurity Threats Based on the NIST Cybersecurity Framework and ISO/IEC 27001

Saudi Arabian banks are deeply concerned about how to effectively monitor and control security threats. In recent years, the country has taken several steps towards restructuring its organizational security and, consequently, protecting financial institutions and their clients. However, there are still several challenges left to be addressed. Accordingly, this article aims to address this problem by proposing an abstract framework based on the National Institute of Standards and Technology (NIST) Cybersecurity Framework and International Organization for Standardization/International Electrotechnical Commission (ISO/IEC 27001). The framework proposed in this paper considers the following factors involved in the security policy of Saudi banks: safety, Saudi information bank, operations and security of Saudi banks, Saudi banks’ supplier relationships, risk assessment, risk mitigation, monitoring and detection, incident response, Saudi banks’ business continuity, compliance, education, and awareness about all factors contributing to the framework implementation. This way, the proposed framework provides a comprehensive, unified approach to managing bank security threats. Not only does the proposed framework provide effective guidance on how to identify, assess, and mitigate security threats, but it also instructs how to develop policy and procedure documents relating to security issues.

基于ISO/IEC 27001:2013的高校图书馆信息安全管理体系构建研究

文章从高校图书馆面临的信息安全风险入手,阐述了高校图书馆信息安全的需求;基于需求,全面研究了最新的"ISO/IEC 27001:2013"国际信息安全管理标准在高校图书馆中的适用性;由此提出了"基于ISO/IEC 27001:2013的高校图书馆信息安全管理体系框架";并指出信息安全管理体系构建应遵守"投资与风险平衡"、"技术与管理平衡"、"信息系统建设与信息安全管理体系建设同步"的原则,认为信息化会不断拓展和深化,信息风险会永恒存在。

基于ISO/IEC27001标准的高校信息安全治理

针对当前我国高校在信息安全方面存在的主要问题,文章根据信息安全管理的ISO/IEC27001标准,从管理层面建立了一套基于ISO/IEC27001标准的高校信息安全治理体系,提出了基于ISO/IEC27001标准的高校信息安全治理过程模型,优化了高校信息安全治理流程,完善了高校信息安全管控机制,从而有利于保障高校信息化服务长期稳定地运行,为改善我国高校的信息安全治理提供参考。

《血站实验室质量管理规范》与ISO/IEC17025:2005的整合实践及体会

文章探讨了《血站实验室质量管理规范》与ISO/IEC17025:2005整合的必要性、可行性,并从应用八项质量管理原则、整合质量管理体系文件、监控和持续改进3方面就2个体系的整合问题进行了探讨。

ISO/IEC 27001与ISO/IEC 27002标准的演变

本文按照时间顺序梳理了ISO/IEC 27001和ISO/IEC 27002的发展过程,其中包括这两个标准成为国际标准的开发过程以及被等同采用为我国国家标准的过程。

基于ISO 27001:2005的电网公司信息安全管理

随着信息化的持续推进,电网企业的信息安全问题越来越突出。嘉兴电力继2004年引入ITIL服务管理以后,2006年又实现了信息安全的标准化管理,介绍了公司通过引入ISO/IEC 27001:2005,建立一体化的企业级信息安全管理体系的方法。

ISO/IEC 27001:2013概述与改版分析

本文简要介绍了ISO/IEC 27001:2013,并分别按正文和附录A与ISO/IEC 27001:2005进行了对比,总结了其主要的变化之处,可以作为已经部署信息安全管理体系(ISMS)的用户作为升级参考。

基于ISO/IEC 27001:2013的集团企业信息安全管控设计

本文设计了一个大型集团企业的信息安全管控模式,该模式以ISO/IEC 27001:2013为基础,建立了一个四级文件架构的信息安全管理体系(ISMS)。本文可以为大型集团企业部署信息安全管理体系(ISMS)提供指导。

ISO/IEC 27000, 27001 and 27002 for Information Security Management

With the increasing significance of information technology, there is an urgent need for adequate measures of information security. Systematic information security management is one of most important initiatives for IT management. At least since reports about privacy and security breaches, fraudulent accounting practices, and attacks on IT systems appeared in public, organizations have recognized their responsibilities to safeguard physical and information assets. Security standards can be used as guideline or framework to develop and maintain an adequate information security management system (ISMS). The standards ISO/IEC 27000, 27001 and 27002 are international standards that are receiving growing recognition and adoption. They are referred to as “common language of organizations around the world” for information security [1]. With ISO/IEC 27001 companies can have their ISMS certified by a third-party organization and thus show their customers evidence of their security measures.

“两个规范”与ISO9001:2008及ISO/IEC17025:2005质量管理体系的融合

将《血站质量管理规范》、《血站实验室质量管理规范》与ISO9001:2008、ISO/IEC17025:2005质量管理体系进行融合,在兼顾各条款要素的同时,以要求较高的要素为主,建立了一体化的血站质量管理体系。

ISO/IEC17025:2005规定与ISO9000:2000质量管理八项原则的相关性

将ISO/IEC17025:2005中与ISO9000:2000质量管理八项原则相对应的内容进行了详细说明,介绍了ISO/IEC17025:2005应用八项原则的具体步骤。两者的相关性对比有利于对体系内容的理解以及实验室检测结果的互认。

浅谈ISO/IEC 17025:2005管理要求方面对文件、档案和记录的分类管理

本文按照ISO/IEC 17025:2005《检测和校准实验室能力的通用要求》,主要介绍了在检测和校准实验室中,管理要求方面对文件、档案和记录的分类管理。

ISO/IEC 17025:2005学习有感

ISO/IEC 17025:2005作为实验室管理体系运行的基本通用要求,其运用和实施在提高我国实验室技术能力和管理水平,建立我国统一的实验室国家认可体系,协助政府实施质量监督和市场管理,促进政府利用合格评定结果等方面发挥了巨大的作用。该文就笔者外部学习该标准后的一点感悟,跟大家简单谈谈实验室管理体系运行中的一些问题。

关于ISO/IEC17025∶2005中4.9条款“不符合检测和/或校准工作的控制”的理解和执行

ISO/IEC17025∶2005《检测和校准实验室能力的通用要求》发布实施已四年,对其中要素的认识理解在标准执行过程中不断深入、全面,现就标准4.9条款"不符合检测和/或校准工作的控制",谈谈我们在实践中的理解运用,以期对有效执行标准的探讨。

ISO/IEC 27001:2013标准框架结构的新变化

本文简要介绍了I SO/IEC 27001:2013版国际标准,并对新版标准在框架结构变化方面的新变化进行了对比分析,可提升组织信息安全人员对ISO/IEC27001:2013标准的理解与认识。

基于ISO、IEC 20000&27001体系认证的高校信息安全服务优化研究

随着教育信息化的升级,如何保障高校的信息安全及服务,是一个值得探究的问题。ISO/IEC 20000&27001体系认证,可以帮助高校弥补信息安全漏洞,制定安全完善的信息化管理体系。文章通过对山西大学认证过程的研究,探讨如何将ISO/IEC 20000&27001标准与高校信息安全建设相融合,真正帮助高校提升信息安全及信息服务能力。

ISO/IEC27001信息安全管理体系在县级供电企业的运用

以县级供电企业信息安全管理体系建立为例,阐述了ISO/IEC27001信息安全管理体系贯标工作的意义、工作步骤、存在的难点和取得的成效.

ISO/IEC 27001修订战略国际研讨会在北京召开

2011年9月20日,ISO/IEC 27001修订战略国际研讨会在北京应物会议中心顺利召开,全国信息安全标准化技术委员会、中国信息安全认证中心、中国认证认可协会、中国合格评定国家认可委员会、中国信息安全杂志社、中国电子技术标准化研究所、公安部等政府部门、科研院所领导、专家、代表出席本次会议。来自国际标准化组织JTC27 WG1工作组组长爱德华·汉弗莱(Edward Humphreys)教授作为特邀嘉宾,参与了此次会议并做主题演讲。ISO/IEC27001:2005是信息安全管理体系(Information System Management System,即ISMS)认证所依据的重要标准。我国于2008年等同采用该标准并颁布了国家标准《GB/T22080-2008信息安全管理体系要求》。基于该标准的认证是对一个组织信息安全水平和能力的书面证明。组织机构获得ISMS认证。

探析ISO/IEC 17025：2005《检测和校准实验室能力的通用要求》中存在的错误

2005年,国家标注化组织以及国际电工委员会颁布了ISO/IEC 17025：2005《检测和校准实验室能力的通用要求》,取代了ISO/IEC 17025：1999.本文针对ISO/IEC 17025：2005《检测和校准实验室能力的通用要求》中存在的错误进行研究分析,并且提出了本人的一些观点,希望能够改正ISO/IEC 17025：2005《检测和校准实验室能力的通用要求》中存在的错误,为实验室的管理提供相关的评审依据。