安全工具箱保护组织免遭网络攻击

译 / 常俪



安全工具箱保护组织免遭网络攻击

译 / 常俪

网络攻击是一个组织可能遇到的最大风险之一。因此，促使相关标准和系统发挥效用，成为当今数字世界最重要的事情。对ISO/IEC 27000族信息安全技术标准进行更新，就是为了给组织提供附加价值和自信。

国际信息系统审计协会（ISACA）在129个国家进行的一项调查显示，尽管有83%的调查对象认为网络攻击是当前组织面临的三大威胁之一，仅仅有38%的调查对象为应对网络攻击做了准备。如此多的个人信息和敏感信息处在电子化处理之中，如果没做好信息安全管理，这些信息将处于危险之中。

ISO信息安全管理体系（ISMS）标准工作组召集人Edward Humphreys教授强调：“若要确保今天数字世界的安全，所有的组织，不论规模大小，都应该把着手建立一个管理架构作为网络风险管理的开始。ISO/IEC 27001标准的制定，就是为了帮助组织完成这项工作。对于评估、应对和管理信息相关风险方面的问题，此标准是世界的‘通用语言’”。

下面是2015年发布的ISO/IEC 27000族标准的最新修订版和新补充内容，也是ISO/IEC 27001 “网络风险工具箱”的组成部分，它们将有助于控制风险。

保护云端信息（ISO/IEC　27017）

一项关于云服务信息安全的实施指南——ISO/ IEC 27017《云服务信息安全控制实用规则》刚刚发布。云服务是今天快节奏的商务和贸易世界中应用最广泛的创新之一。由于云服务带来通货收益，用户要求存储于云端的数据及其处理的安全是有保证的。正是由于云服务的本质，云服务的市场是全球性的，供应商分散广，数据经常需要被跨国境进行传输。因此，国际信息安全管理指南尤其重要。

参与了该标准制定工作的Satoru Yamasaki认为：“ISO/IEC 27017将有助于服务提供商与其客户达成共识——重视充足的安全控制和其实施指南。此项关于云服务安全控制的国际标准，将促进安全的云计算系统的发展和扩展。”

为了保证标准具有广泛的适用性，该标准由IEC、ISO和ITU共同推动完成。

服务整合实施方案（ISO/IEC　27013）

更多的组织选择将信息安全管理体系（ISO/IEC 27001）与服务管理体系（ISO/IEC 20000-1）整合起来。一个整合的系统意味着组织可以在保持信息安全的情况下，高效地管理服务质量、处理客户反馈和解决问题。

ISO/IEC 27013提供了促进信息安全管理体系与服务管理体系整合的系统方法，不仅实施成本更低，而且在组织需要进行认证的时候，还可避免重复进行审核。

领域间和组织间的沟通（ISO/IEC　27010）

在一个组织与另一个组织分享信息的时候，怎样保证信息安全？ISO/IEC 27010是ISO/IEC 27000工具箱的一个特定行业附加，它为领域间、组织间信息安全工作启动、实施、维护和改进方面的沟通工作提供指南。包括如何借助于已建立的消息传递手段和其他技术方法，满足这些要求的一般原则。该标准将促进全球信息共享社区的发展。

Mike Nash博士说：“ISO/IEC 27010是为适应ISO/IEC 27001和ISO/IEC 27002，在不同组织之间的沟通而制定。以标准的形式，增加组织之间的信任度，他们共享的信息将不会被无意泄露。” 该标准在保护国家关键基础设施的时候显得尤其重要，因为确保交换敏感信息的安全是至关重要的。该标准还会被安全应急响应小组广泛使用。

检测和预防网络攻击（ISO/IEC　27039）

组织如何检测和阻止黑客攻击其网络系统和应用呢？最佳实践表明组织必须知道黑客何时攻击，以及入侵其网络、系统和应用的攻击如何发生。他们还应该检测是什么漏洞被利用，以及需要实施什么控制措施以防止未来再次发生类似的事情。可以做到这些的唯一方法是，借助于入侵检测保护系统（IDPS）。

ISO/IEC 27039为IDPS的准备和部署提供指南，内容覆盖了选择、部署和运维等方面的工作。当今市场中存在很多基于不同技术和方法的、开放源代码，并且市场中可买得到的IDPS产品和服务，该标准对于当今市场尤其有用。ISO/IEC 27039将在这整个过程中为组织提供工作指南。

审核和认证（ISO/IEC　27006）

越来越多的组织开始通过获得第三方机构的认证，表明他们拥有可靠的信息安全管理体系（ISMS），并且他们的ISMS符合ISO/IEC 27001的要求。ISO/ IEC 27006对认证和注册机构提出要求，认证和注册机构要满足相关要求后，才可以向其他组织提供ISO/IEC 27001认证服务。

“ISO/IEC 27006是一项针对认证机构的认可基准，它规范提供ISO/IEC 27001认证服务的第三方机构，” Humphreys教授如此解释。他还补充道：“这是相当重要的，因为认证机构提供的认可，将在审核过程中，增加其获得认证的可信度。”

（原文标题：Security toolbox protects organizations from cyberattacks，译自ISO官网）