廈門ISO27001認證 專業(yè)的廈門ISO27001認證機構-艾西姆認證廈門分公司

  廈門ISO27001認證—福州ISO27001咨詢—廈門ISO27001多少錢

  信息安全管理體系ISO27001內容點：

  安全基本原則

  安全的核心目標就是為關鍵資產(chǎn)提供可用性、完整性和機密性（AIC三元組）的保護

  深圳ISO27001認證/深圳ISO9001認證/深圳ISO27001咨詢/深圳ISO9001咨詢

  可用性（availability）

  確保授權的用戶對數(shù)據(jù)和資源進行及時和可靠的訪問。 網(wǎng)絡由眾多長時間不間斷運行的硬件設備和軟件組成，硬件設備像路由器、交換機、DNS服務器、DHCP服務器、代理和防火墻等，而軟件則包含操作系統(tǒng)、應用程序和反病du軟件等。我們要在保證這些硬件及軟件正常運行的同時還有很多物理因素可能影響資源 的可用性如環(huán)境因素（大火、洪水、通風、電力等問題）、潛在的自然災害和物理偷竊或攻擊等，由此可見要保證數(shù)據(jù)和資源的可用性也不是件容易的事 保證可用性的一些控制措施如下：

  · RAID（磁盤陣列， Redundant Arrays of Independent Disks）

  · 集群

  · 負載均衡

  · 冗余電源

  · 數(shù)據(jù)備份

  · 磁盤鏡像

  · 異地備份

  · 快照功能

  · 故障切換

  完整性（integrity）

  保證信息和系統(tǒng)的準確性和可靠性，并禁止對數(shù)據(jù)的非授權更改 造成完整性破壞的因素有攻擊者的入侵、內部用戶的錯誤操作等，為了避免這類問題的出現(xiàn)，我們可以精簡用戶的操作權限，限制用戶對系統(tǒng)關鍵文件的訪問和修改，應用程序應當嚴格檢查用戶輸入的任何數(shù)據(jù)。對于數(shù)據(jù)庫只允許授權用戶修改，而在傳輸數(shù)據(jù)時對數(shù)據(jù)內容進行加密等。 保證完整性的一些控制措施如下：

  · 哈希（數(shù)據(jù)完整性）

  · 配置管理（系統(tǒng)完整性）

  · 變更控制（進程完整性）

  · 訪問控制（物理和技術）

  · 數(shù)字簽名

  · 傳輸CRC校驗(Cyclic Redundancy Check, CRC)

  機密性（confidentiality）

  確保在數(shù)據(jù)處理的每一個步驟都實施了必要的安全保護并阻止信息的未授權訪問 威脅機密性的方式包括攻擊者通過網(wǎng)絡監(jiān)控、肩窺（越過別人肩膀瀏覽未授權的信息）、密碼以及社會工程（欺騙他人共享敏感信息以獲取敏感信息的訪問）等方法獲取敏感數(shù)據(jù)。對于機密性的防護我們可以通過在存儲 和傳輸過程中加密數(shù)據(jù)，使用嚴格的訪問控制和數(shù)據(jù)分類以及對職工進行適當?shù)臄?shù)據(jù)保護措施的培訓。 保證可用性的一些控制措施如下：

  · 加密磁盤上存儲的數(shù)據(jù)

  · 加密傳輸過程中的數(shù)據(jù)（IPSEC、SSL、PPTP、SSH）

  · 嚴格的訪問控制（物理和技術）

  十大安全領域