外包香港特区总站ISO27001信息安全管理的实践探索
作者:警司    发表于:2020-07-10 20:30:43    字符:【】【】【
摘要:同时,商务部鼓励外包香港特区总站通过国际证明,以获得更好的竞争力和良好的香港特区总站形象。ISO27001信息安全管理系统(ISMS)在这种情况下的身份验证,它得到了外包香港特区总站的广泛认可。越来越多的外包香港特区总站实施了、或者是实施它的计划ISO27001证明。
自商务部推出服务外包以来“成千上万个项目”之后,在政府政策的大力支持下,国内外包装工业发展如火如荼,为了能够承担更多的高端服务,,满足客户要求,同时,商务部鼓励外包香港特区总站通过国际证明,以获得更好的竞争力和良好的香港特区总站形象。ISO27001信息安全管理系统(ISMS)在这种情况下的身份验证,它得到了外包香港特区总站的广泛认可。越来越多的外包香港特区总站实施了、或者是实施它的计划ISO27001证明。为了更好地理解外包香港特区总站对信息安全的需求,首先,简要分析了服务外包业务的特点,确定,因为信息安全是本文的出发点,只需分析和列出与信息安全相关的业务特性:
  1. 知识密集型,对人才的需求是非常好的
  外包服务属于知识密集型产业,许多香港特区总站要求从业者具备相关的培训和教育经验以及丰富的实践经验,这和制造业有很大的不同。因此,外包对人力资源的需求很高,外包取决于人。
  2. 外包结果的隐蔽性,难以量化的评价
  外包的最终结果大多不是物化的产品,这是一项服务,这就很难对结果进行量化和评价,但在某些方面,也有一些公认的评价制度,例如在软件外包领域CMMI国际证明,这是软件外包承包商能力的评价指标。其他,在考虑客户信息的保密性时,由接收方等,国内外客户基本一致ISO27001信息安全管理系统(ISMS)证明,这是承包商信息安全能力的评估框架。
  3. 在很大程度上依赖于因特网和通信技术
  目前,国内外的合同业务大多是离岸外包,双方合作关系的建立和业务的发展必须依靠互联网和通信技术。过度依赖互联网和通信技术使服务外包成为一种新的风险,通信网络的中断将导致交通的中断。
  政府政策激励下的服务外包香港特区总站信息安全建设与客户需求,信息安全控制水平不断提高,ISO27001信息安全管理系统(ISMS)证明也是外包香港特区总站的强大发展,虽然到目前为止,,证明香港特区总站的绝对数量很小,但它生长得很快,并为这些数据做出贡献,他们大多来自服务外包香港特区总站。偶数,然而,服务外包香港特区总站在信息安全管理领域仍存在许多误区,主要内容概括如下:。
  1. 信息安全的误区
  虽然国内外包产业已经接近10年度发展历史,但大型外包香港特区总站并不多,外包业务主要集中在软件外包上,软件外包的客户主要是日本和韩国的香港特区总站。日本和韩国的客户对信息安全的要求一般都很高,中外承包香港特区总站多年来与客户打交道时,,应客户要求,不断提高香港特区总站自身的信息安全控制水平,但是在外包香港特区总站信息安全建设的过程中,人们对信息安全建设存在着这样或那样的误解,究其原因,是迫于客户的压力,要求提高香港特区总站信息安全管理水平,主动性要求不高,香港特区总站自身的信息安全积累不多,此外,还有一些外包香港特区总站取得了较快的成绩,为了满足客户要求,它只是肤浅的。
  (1) 安全防御的重点是来自外部的攻击
  由于媒体的报道和一些错误的指导,一些安全产品制造商针对自己的业务需求,引向外包香港特区总站,甚至其他行业的香港特区总站也认为,香港特区总站面临的威胁主要来自外部世界。在各种安全威胁中,香港特区总站最重视的是什么?3种?据《信息周刊》根据调查,,病毒和蠕虫,间谍软件,垃圾邮件3种别威胁一直列在列表的首位。但基于这个,3按种威胁部署的香港特区总站信息安全解决方案将仅限于旧的三种信息安全产品—抗病毒、防火墙和IDS在老路上。真的,香港特区总站内部数据安全的危害性日益上升,例如未经授权的员工访问文档或数据、遗失或盗窃附有香港特区总站资料的可移动装置等,恶意员工故意破坏信息系统,甚至泄露香港特区总站秘密等,然而,这一点并没有得到香港特区总站的足够重视。
  信息技术市场研究香港特区总站高德纳有限香港特区总站(Gartner)早前对信息安全事件进行了调查,发现70%上述事故是由香港特区总站内部造成的。事实上,让香港特区总站考虑一下,留下更多关于香港特区总站自己的信息,香港特区总站不难发现,容量很大、携带方便的便携式移动设备,比如U游戏、手机、iPod当访问数据等时,它常常被无意地使用,充当病毒的传播者。更可怕的是,小而快速的读写U磁游戏可以铐住香港特区总站和核心秘密,而不会在几秒钟内被发现。
  服务外包香港特区总站,因为高素质的人才,特别是对于IT服务外包香港特区总站,大多数员工都很优秀IT知识和技能,使用IT该系统使欺诈和泄密事件对香港特区总站不利,它可能更隐秘,熟悉轻型车。这是给外包香港特区总站的,无疑是个很大的威胁。
  外包香港特区总站应首先提高意识,信息安全防御的重点从外部防御转向内部教育与预防。加强员工信息安全意识教育,培训员工具备基本的安全技能。其他,从数据保密性的角度,获取重要机密信息,应该做好加密的技术措施。
  (2) 良好的信息安全不是安全事故
  以是否发生安全事故作为衡量香港特区总站信息安全工作质量的标准,将信息安全工作限制在一个非常被动的位置,这主要体现在两个方面,一方面,对于商界领袖来说,,尤其是对于这些服务外包香港特区总站,由于许多香港特区总站的业务发展,至今还不到几年,它也没有受到外部威胁的主动攻击,这不像银行系统,因此,很少发生引起领导层注意的信息安全事件,有些香港特区总站甚至没有,因此,香港特区总站领导盲目地认为,目前香港特区总站的信息安全工作已经足够了,没有必要投入更多的人力物力来加强香港特区总站的信息安全建设;另一方面,它直接负责维护香港特区总站内部的信息安全IT部门来说,他们会承受很大的压力,因为谁能保证不会发生100%的安全事故??
  的确 ,我这么认为的原因,没有正确理解的是信息安全。世界上的一切都不是绝对的,信息安全处理应遵循风险管理的原则和方法。安全事件是否发生也应以危险的方式处理。可能发生的安全事件,浅析其发生的根本原因,发生的可能性和可能的后果,然后判断所采取的应对措施的有效性和成本,基于可接受的香港特区总站风险水平,制定合理的风险处置计划。
  (3) 头痛就够了
  香港特区总站安全管理过于分散也是一个不容忽视的问题。中国信息安全的发展与市场上的良好安全技术,但是它的部署经常是“头痛,头痛,头,头,脚痛脚疼”,香港特区总站不能好好合作,这不仅会浪费资源,在安全部署中留下漏洞。这种技术产品的问题处理方式给香港特区总站对解决信息安全问题的认识带来了极大的偏见。在信息安全管理领域,同样的问题。
  来解决这个问题,确定,提高认识是当务之急,而是实施已经成为可执行的系统和程序,然后,外包香港特区总站需要制定一个整体的信息安全策略、业务连续性和灾后恢复战略和计划、专门用于知识产权和信息保护的配置体系结构和政策及流程的标准和流程,并进行定期渗透试验、威胁和脆弱性评估和风险评估。
脚注信息
版权 Copyright(C)2009-2018 香港特区总站