ISO27001认证咨询您当前所在的位置:网站首页 > 认证咨询 > ISO27001认证咨询

ISO27001认证咨询——ISO27002:2013信息安全控制实用守则之通信安全

 
 
 
13 通信安全
13.1 网络安全管理
目标:确保网络中信息和支持它的信息处理设施的保护。
 
13.1.1 网络控制(原 10.6.1)
控制措施
应管理和控制网络,以保护系统和应用程序中的信息。
实施指南
控制措施应被实施,以确保网络上的信息安全、防止未授权访问所连接的服务。特别是,下列条款应予以考虑:
a)应建立网络设备管理职责和程序;
b)若合适,网络的操作职责要与计算机操作分开(见 6.1.2);
c)具体的控制措施应被建立,以保护通过公网或无线网的数据的保密性和完整性,且保护被连接的系统和应用程序(见 10 和 13.2)。具体的控制措施也被要求,以维护网络服务和计算机连接的可用性;
d) 应使用适当的日志和监视控制措施,以使可能被影响的活动或相关的信息安全能被记录和检查;
e)管理活动应紧密地协调对组织服务的优化和确保控制措施被一贯地应用于信息处理基础设施;
f) 网络上的系统应被身份认证;
g)系统连接到网络应受限制。
其它信息
关于网络安全的另外信息可以在ISO/IEC 27033找到。
 
13.1.2 网络服务的安全(原 10.6.2)
控制措施
所有网络服务的安全机制、服务水平和管理要求,应予以明确并列入网络服务协议中,无论这些服务是否由公司内部提供还是外包。
实施指南
网络服务提供商以安全方式管理商定服务的能力应予以确定并定期监视,还应商定审核的权利。应识别特殊服务的安全约定,例如安全特性、服务级别和管理要求。组织应确保网络服务提供商实施了这些措施。
其它信息
网络服务包括连接的提供、私有网络服务、增值网络和使用的网络安全解决方案,例如防火墙和入侵检测系统。这些服务既包括的范围从简单的未受控的带宽到复杂的增值产品。
网络服务的安全特性可以是:
a) 为网络服务应用的安全技术,例如身份认证、加密和网络连接控制;
b) 依据安全和网络连接规划,与网络服务安全连接的技术参数被要求;
c) 若需要,使用网络服务程序来限制对网络服务或应用的访问。
 
13.1.3
网络隔离(原 11.4.5)
控制措施
应在网络中隔离信息服务分类、用户及信息系统。
实施指南
大型网络安全管理的一种方法是将他们分成独立的网络域,这些域可以基于信任级别来选择(例如,公共访问域、桌面域、服务器域),基于组织单元(例如,人力资源、财务、市场)或一些组合(例如,与多个组织单元连接的服务器域)。分离可以被完成使用不同的物理网络或不再的逻辑网络(例如,虚拟私有网络)。每个域的边界应被恰当的定义。网络域之间的访问应被允许,但应在边界使用网关来控制(例如,防火墙,过滤路由器)。分离网络成域和通过网关允许访问的标准,应基于每个域的安全要求的评估。这个评估应依赖于访问控制策略(见 9.1.1)、访问要求、重要性、信息处理分类、考虑相对成本和结合合适的网关技术的性能影响。由于无线网网络边界定义不明确,要求特殊处理。由于敏感环境,考虑外部连接的所有无线访问与内部网络隔离,直到对内部系统访问的外部连接被准许通过与网络控制策略(见 13.1.1)相一致的网关。适当的实施身份认证、加密和现代的用户级别网络访问控制技术,基本无线网的标准可以有能力直接连接到组织的内网。
其它信息
正在日益扩充的网络超出组织的边界,形成的业务伙伴可能需要互联或共享信息处理和网络设施。这样的扩充可能增加对使用此网络的组织的信息系统进行未授权访问的风险,其中的某些系统由于其敏感性或关键性可能需要防范其他的网络用户。
 
13.2 信息传输
目标:维护组织与任何外部实体的信息传输安全。
 
13.2.1
信息传输策略和程序(原 10.8.1)
控制措施
应有正式的传输策略、程序和控制措施,以保证所有类型的通信设施间的信息传输安全。
实施指南
使用通信设施进行信息交换的程序和控制措施应考虑下列条款:
a) 设计用来防止交换信息遭受截取、复制、修改、错误路由和破坏的程序;
b) 检测和防止可能通过使用电子通信传输的恶意代码的程序;
c) 保护以附件形式传输的敏感电子信息的程序;
d) 电子通信设施可接受使用的概要策略或指南(见 8.1.3);
e) 员工、外部团体和任何其他用户的不危害组织的职责,例如诽谤、扰乱、扮演、连锁信件转发、未授权购买等;
f) 密码技术的使用,例如保护信息的保密性、完整性和真实性(见 10);
g) 所有业务通信(包括消息)的保持和处理指南,要与相关国家和地方法律法规一致;
h) 与通信设施转发相关的控制措施和限制,例如将电子邮件自动转发到外部邮件地址;
i)提醒工作人员来采取相应的预防措施不泄露秘密信息;
j)不遗弃应答机上包含秘密信息的消息,由于这些消息可能被授权个人复制、存储在公共系统或作为一个不正当行为的结果被不正确的存储;
k) 通告员工关于使用传真机或服务的问题,也就是:
1)非授权访问内置存储消息到恢复消息;
2)故意或意外的机器编程来发送消息到具体的号码;
3)由于误拨号或使用错误存储的号码将文档和消息发送给错误的电话号码;另外,应提醒工作人员,不要在公共场所或不安全的通讯通道或开放办公室和会场进行保密会谈。
信息交换服务应符合所有相关的法律要求(见 18.1)。
其它信息
可能通过使用很多不同类型的通信设施进行信息交换,包括电子邮件、语音、传真和视频。可能通过很多不同类型的介质进行软件交换,包括从互联网下载和从出售现货供应产品的厂商处获得。应考虑与电子数据交换、电子商务、电子通信和控制要求相关的业务、法律和安全影响。
 
13.2.2 信息传输协议(原 10.8.2)
控制措施
协议应处理组织与外部方传输商业信息的安全传输。
实施指南
信息交换协议应包含如下条款:
a) 控制和通知传输、分派和接收的管理职责;
b) 确保可追溯性和不可抵赖性的程序;
c) 打包和传输的最低技术标准;
d) 有条件转让契约;
e) 信使标识标准;
f) 信息安全事件结果的责任和义务,例如数据丢失;
g) 商定的敏感或关键信息的标签系统的使用,确保标记的含义能直接理解,信息受到适当的保护(见 8.2);
h) 记录和阅读信息和软件的技术标准;
i) 为保护敏感项,可以要求任何专门的控制措施,例如密码学(见 10);
j) 在信息传输期间维护一个监管链;
k) 访问控制的可接受级别。
应建立和保持策略、程序和标准,以保护传输中的信息和物理介质(见 8.3.3),并在交换协议中引用。任何协议的安全内容应反映涉及的业务信息的敏感性。
其它信息
协议可以是电子的或手写的,可能采取正式合同的形式。对秘密信息而言,这样的信息交换使用的特定机制对于所有组织和各种协议应是一致的。
 
13.2.3 电子消息(原 10.8.3)
控制措施
涉及电子消息的信息应适当保护。
实施指南
电子消息的信息安全考虑应包括以下方面:
a) 对应于组织采用的分类设计,防止消息遭受未授权访问、修改或拒绝服务攻击;
b) 确保正确的处理和消息传输;
c) 服务的可靠性和可用性;
d) 法律方面的考虑,例如电子签名的要求;
e) 在使用外部公开服务(例如即时消息、交际网络或文件共享)前获得批准;
f) 更强壮的身份认证级别用于控制来自公共可访问网络的访问。
其它信息
很多种电子消息(例如电子邮件、电子数据交换(EDI)、交际网络)在业务通信中充当一个角色。
 
13.2.4 保密或不泄露协议(原 6.1.5)
控制措施
应确定组织信息保护需要的保密性或不泄露协议的要求,定期审查并记录。
实施指南
保密或不泄露协议应使用法律强行的期限来解决保护机密信息的要求。保密或不泄露协议应用到外部各方或组织的雇员。其它方类型、和它的允许访问或秘密信息的处理要素考虑应被选择或增加。为识别保密或不泄露协议的要求,需考虑下列因素:
a) 定义要保护的信息(如机密信息);
b) 协议的期望持续时间,包括保密性需要不定期维护的情形;
c) 协议终止时要求的活动;
d) 为避免未授权信息泄露的签署者的职责和行为;
e) 信息所有者、商业秘密和知识产权,以及他们如何与机密信息保护相关联;
f) 机密信息的允许使用,及签署者使用信息的权力;
g) 对涉及机密信息的活动的审计和监视权力;
h) 未授权泄露或机密信息破坏的通知和报告过程;
i) 关于协议终止时信息归档或销毁的条款;
j )违反协议后期望采取的措施。
基于一个组织的安全要求,在保密性或不泄露协议中可能需要其他因素。保密性和不泄露协议应针对它适用的管辖范围(也见 18.1)遵循所有适用的法律法规。保密性和不泄露协议的要求应进行周期性评审,当发生影响这些要求的变更时,也要进行评审。
其它信息
保密性和不泄密协议保护组织信息,并告知签署者他们的职责,以授权、负责的方式保护、使用和公开信息。
对于一个组织来说,可能需要在不同环境中使用保密性或不泄密协议的不同格式。
 
 
 
***************************************************************************************************************************************************************************************************************************************

深圳市安信达咨询公司——23年老品牌国家首批ISO认证咨询备案、中国百强咨询机构、十大影响力品牌、广东省甲级咨询单位、广东省中小企业管理咨询服务示范单位、深圳市中小企业管理咨询服务示范单位、深圳市卓越绩效促进会会员单位、深圳市“市长质量奖”指定辅导单位!

在当下急功近利、鱼龙混杂的市场环境,安信达咨询公司不忘初衷、始终如一坚持公司的经营理念:“提升管理,为客户创造价值”,真真切切关注客户的需求,一切以客户的需求出发、以客户的需求为导向,关注咨询给客户带来的价值。安信达ISO认证咨询公司是华南地区同行业为数的不多的真正关注客户需求和利益的正规品牌ISO咨询机构!

 

因此,与安信达合作,企业自身一定要明确需求,显性的结果虽然相同(都ISO质量体系文件、都能通过认证、都能获取证书),但不同的目的、需求其辅导过程、深入程度、咨询师安排及工作量不同,企业的收益也不同,当然企业的投资也不同。有的只是获得了一张证书,有的通过体系的有效建立、推行从而规范企业的管理、提升企业管理水平,有效预防不良,降低企业不良成本,提升效益,让企业在竞争激励的市场环境中赢得更多机会。

公司技术力量雄厚,拥有一批优秀、稳定的专职咨询团队。咨询师队伍中大多供职10年以上,归属感强、责任心强。70%的团队成员具有大型外资、港资、台资品质管理、生产运营管理出身,实战管理经验丰富,对企业存在的问题能够一阵见血并提供可靠的解决方案。

公司有规范、完善的内部管理系统:

业内首家实行:

1) 《咨询师注册制度》:此注册制度高于国家注册咨询师要求,更加注重理论与实战的结合。

2) 《咨询师咨询过程质量监控制度》:监控来自三个方面:a、业务经理;b、专业客服;c、咨询总监(抽查的方式)

3) 《咨询师绩效考核制度既咨询师激励制度》:主要考核专业的能力和态度(责任心)两方面,态度方面的考核权重占65%,考核结果直接与薪酬与在职培训挂钩,推动与拉动双核驱动,激励咨询师更好的服务客户。

 

目前开展的ISO系列认证有:ISO9001认证ISO14001认证IATF16949认证ISO13485认证OHSAS18001认证QC080000认证AS9100认证HACCP认证ISO22000认证ISO27001认证ISO20000认证FSSC22000认证SA8000认证、ISO26000认证、ISO17025认证QS认证咨询英国BRC认证美国AIB认证TAPA认证ICTI认证ISO14604认证ISO50001认证等。点击标准查看详细信

为您服务的电话:0755-82800259,0755-82800087,24小时咨询电话:13714167519,甘先生,您的一个电话,我们将全力以赴!


认证咨询

联系我们

深圳市安信达咨询有限公司 
电      话:+86 755-82800259
                +86 755-82800087
值班经理:13714167519(微信)
邮       箱:anxinda888#126.com  (#换@)
网      址:www.ts16949cn.com








联系我们
深圳市安信达咨询有限公司 (始于1996)          
0755-82800259
0755-82800087
值班经理:13714167519(微信) 甘经理
邮       箱:anxinda888@126.com  
地       址:深圳市福田区园岭街道华林社区八卦路25号514栋313-321
Feedback我要留言
姓名 *
电话
Email
其他联系 如QQ等
留言内容 *
验证码
  
CHOOSE THE ANGEL STAR 企业管理咨询机构鱼龙混杂,如何选择适合自己企业的专业机构,日益成为企业发展道路上一个重要的课题!安信达咨询机构具有二十年中小企业管理诊断、咨询、培训、辅导一条龙服务经验。在当下急功近利社会环境,安信达不忘初衷、始终如一坚持 “提升管理,为客户创造价值”的理念,真正关注客户的需求,关注咨询给客户带来的价值。安信达咨询是华南地区同行业为数的不多的真正关注客户需求和利益的正规品牌咨询机构!安信达咨询机构是您最佳的企业管理顾问!