通过适当的工具使用或控制 ISMS 操作与引入和建立紧急(安全事件)安全团队一样是一种趋势。此类团队最常见的名称是:CERT(计算机紧急响应团队)、CSIRT(计算机安全事件响应团队)和 SOC(安全运营中心)。从名称中可以看出,根据公司的严格程度,所提到的团队有不同的界限和任务概况。引入这样一个具有明确定义的任务和能力概况的团队对于 ISMS 概念尤为重要。
风险、知识和资产管理应该与 IT 应急管理一样成为组织的一部分。尽管 ISO/IEC 27000 涵盖了这些主题,但根据 ISO/IEC 22301 的业务连续性管理从整体上解决了这些主题。
ISMS 的概念
产品生命周期变得越来越短。这种快节奏也必须在 ISMS 中进行管理。由于攻击数量不断增加、各个领域不断存在漏洞以及新技术和员工,IT 组织仍然容易受到来自内部和外部的攻击。这就是为什么信息安全必须同样快速发展,最好是领先攻击者一步!
基于 ISO/IEC 27001 和 BSI 标准 200-1,PDCA 循环应用于防止有关 ISMS 的基本讨论,并迭代地将新主题引入组织现有的 ISMS 概念中。要定义应用范围,重要的是不仅要定义短期目标,还要定义中长期项目目标。在定义短期主题时,重要的是要清楚地定义组织的哪些职能和流程将在短期内(即暂时)受到影响,以及这些职能和流程在不久的将来可能会产生什么 美国家具制造商电子邮件列表 进一步的后果。例如,云计算就是各种组织中的此类主题之一。使用云解决方案的趋势正在迅速增长,并且有许多IT产品的数据存储在云中。然而,大多数用户并没有意识到这一点。在用户可以自行下载软件的组织中,这可能会导致隐私问题。还可以假设,当 IT 服务或产品外包时,用户将来可以分担该服务的责任。
除了短期视角外,在引入 ISMS 时还应考虑未来的其他选择。
需要详细查看基础设施、产品和其他资产,因为 ITIL 4 中的 IT 资产管理实践会揭示一些缺陷,例如避免隐藏的许可或采购成本。但是,您只能改造系统中可用的功能。为了确保基础设施的长期投资,还应该考虑未来的扩展方案。因此,在选择软件系统之前,最好记录和记录其他部门已经存在的可想到的需求或系统。这样,与组织长期相关的主题可以作为独立主题或作为 ISMS 的一部分涉及。
在主题选择和分类之后,必须选择适当的标准和保护机制。保护需求的分类以及受伤时采取的相应措施必须明确且合理。
许多公司已经拥有各种保护装置。作为建议,公司可以为自己的组织评估和评估以下保护机制:
防病毒保护,
防火墙,
入侵检测系统,
蜜罐网络,
中央日志管理,
响应团队在攻击成功时具有明确的流程和指南,
以及主动的漏洞管理和应急管理。
另一方面,这些保护机制已经成为许多 IT 组织的标准预防措施。这些保护机制成功、全面发挥作用的前提条件如下:
主动监控组织内的所有 IT 产品,以防止漏洞和零日攻击,
分析和评估新攻击、漏洞利用、漏洞或安全漏洞的创新策略,
自己的渗透测试人员来查找并修复软件缺陷,
每日审查专业杂志、博客和 IT 安全新闻,以便能够及时做好防范新型恶意软件和网络钓鱼的准备,
内部和外部通信和信息的加密,
定期报告和绩效衡量,以展示透明度和附加值。
创业行动水平
组织的 IT 战略与管理层的业务目标相关联。例如,安全考虑、风险评估和漏洞管理应基于效率目标、投资意愿和优化需求。