申請ISO27001認證需要滿足哪些基本條件？
1.中國企業(yè)持有工商行政管理部門頒發(fā)的《企業(yè)法人營業(yè)執(zhí)照》、《生產(chǎn)許可證》或者等效文件；外國企業(yè)持有相關(guān)機構(gòu)的登記證。
2.申請人的信息安全管理系統(tǒng)已按照ISO/IEC27001:2013標準的要求建立，并已運行3個多月。
3.內(nèi)部審核至少完成一次，并進行管理評審。
4.信息安全管理系統(tǒng)運行期間和建立系統(tǒng)前一年內(nèi)未受到主管部門的行政處罰。

 

ISO27001認證對IT運維安全有哪些要求？
安全風險評估。
企業(yè)信息安全是確保企業(yè)業(yè)務(wù)系統(tǒng)不被非法訪問、使用和篡改，為員工提供安全可信的服務(wù)，確保信息系統(tǒng)的可用性、完整性和保密性。主要包括兩個方面：
企業(yè)安全管理評估。
評估內(nèi)容包括信息安全策略、安全組織、資產(chǎn)分類與控制、人員安全、物理與環(huán)境安全、通信與運營管理、訪問控制、系統(tǒng)開發(fā)與維護、安全事件管理、業(yè)務(wù)連續(xù)、系統(tǒng)開發(fā)與維護、安全事件管理、業(yè)務(wù)連續(xù)管理。通過比較企業(yè)安全控制現(xiàn)狀和ISO27001的最佳實踐，檢查企業(yè)在安全控制層面的弱點，為改進安全措施提供依據(jù)。

 

2.企業(yè)安全技術(shù)評估。
對企業(yè)具有代表性的關(guān)鍵應(yīng)用程序進行安全評估。關(guān)鍵應(yīng)用程序的評估方法采用滲透測試方法，識別應(yīng)用程序系統(tǒng)的威脅和弱點，分析其與應(yīng)用程序系統(tǒng)安全目標之間的差距，為后期改造提供依據(jù)。以ISO27001為核心，借鑒國際常用評估模型的優(yōu)勢，結(jié)合企業(yè)自身的特點，建立風險評估模型：在風險評估模型中，主要包括信息資產(chǎn)、弱點、威脅和風險。

 

根據(jù)業(yè)務(wù)需求建立業(yè)務(wù)模塊化：整體網(wǎng)絡(luò)建立模塊化網(wǎng)絡(luò)結(jié)構(gòu)，各業(yè)務(wù)采用獨立的核心交換骨干網(wǎng)絡(luò)，將非關(guān)鍵業(yè)務(wù)區(qū)域與關(guān)鍵交易業(yè)務(wù)區(qū)域的交換網(wǎng)絡(luò)分離，避免相關(guān)風險的影響，促進分級保護。同時，建立分級網(wǎng)絡(luò)結(jié)構(gòu)，根據(jù)風險水平區(qū)分不同的網(wǎng)絡(luò)水平，便于實施關(guān)鍵保護。

 

針對不同層次的WEB.APP.數(shù)據(jù)庫.存儲等邏輯區(qū)域，設(shè)計不同層次的安全防護，同時采用不同的安全設(shè)備進行安全防護。

 

規(guī)劃體系建設(shè)方案。
規(guī)劃體系建設(shè)方案是在風險評估的基礎(chǔ)上，對企業(yè)存在的安全風險提出安全建議，提高系統(tǒng)的安全性和抗攻擊性。1-2年內(nèi)，通過建立和實施信息安全系統(tǒng)，建立安全組織，進行技術(shù)安全審計。內(nèi)外網(wǎng)隔離改造。安全產(chǎn)品部署，實現(xiàn)以流程為導(dǎo)向的轉(zhuǎn)型。3-5年內(nèi)，完善信息安全體系，進行相應(yīng)的物理環(huán)境改造和業(yè)務(wù)連續(xù)性項目建設(shè)。

 

建設(shè)企業(yè)信息安全體系。
首先，安全管理體系的主要內(nèi)容包括企業(yè)信息系統(tǒng)的總體安全政策、安全技術(shù)策略和安全管理策略。信息安全技術(shù)可分為物理安全技術(shù)、網(wǎng)絡(luò)安全技術(shù)、系統(tǒng)安全技術(shù)、應(yīng)用安全技術(shù)和安全基礎(chǔ)設(shè)施平臺；根據(jù)安全技術(shù)提供的功能，可分為預(yù)防和保護、檢測跟蹤和響應(yīng)恢復(fù)三類技術(shù)。

 

在檢測跟蹤類中，安全基礎(chǔ)設(shè)施的審計系統(tǒng)包括IT運維安全和審計解決方案。
實現(xiàn)IT運維安全與審計系統(tǒng)：
單點登錄功能。
2.特權(quán)賬戶管理。
3身份認證
4資源授權(quán)
5訪問控制
6操作審計

 

IT運維安全還涉及主機的入口安全。在檢測跟蹤類別中，系統(tǒng)主機安全掃描是指通過漏洞管理工具對系統(tǒng)主機進行掃描，并對系統(tǒng)的安全漏洞進行評估和分析。支持整個漏洞管理周期，包括發(fā)現(xiàn)、檢測、驗證、風險分類、影響分析、報告和降低風險。利用所有物理和虛擬資產(chǎn)的持續(xù)資產(chǎn)發(fā)現(xiàn)（包括IPV6啟用設(shè)備）獲得準確的實際風險可見性。通過使用入侵檢測產(chǎn)品，實現(xiàn)主機漏洞的模擬測試攻擊，實現(xiàn)漏洞的閉環(huán)，并通過漏洞修復(fù)工具加強主機的安全。

 

此外，IT運維安全還涉及數(shù)據(jù)庫安全。個人身份證號碼、銀行賬戶、醫(yī)療保險、電話記錄、客戶數(shù)據(jù)、采購信息、交易細節(jié)、產(chǎn)品數(shù)據(jù)等極其重要和敏感的信息存儲在數(shù)據(jù)庫中。數(shù)據(jù)作為企業(yè)的核心資產(chǎn)，一旦發(fā)生非法訪問、數(shù)據(jù)篡改和數(shù)據(jù)盜竊，將給企業(yè)的聲譽和經(jīng)濟帶來巨大損失，后果可能是災(zāi)難性的。

 

安全系統(tǒng)的運行和改進。
信息安全體系建設(shè)完成后，需要有效實施和實施。信息安全體系的成功取決于三點技術(shù)、七點管理、十二點實施，實施是指我們需要在實踐中有效體驗、總結(jié)和改進。IT部門作為企業(yè)最重要的部門之一，應(yīng)加強宣傳，組織各部門進行不同層次的講解、培訓(xùn)和認證考核，充分了解和發(fā)揮信息安全體系的作用，及時發(fā)現(xiàn)存在的問題，找出問題的根源，采取糾正措施，進一步完善信息安全管理體系，確保企業(yè)經(jīng)營管理更加可靠和安全。