ISO 27001关注的是一个组织的敏感、有价值的信息。它的保护,它的保密性,它的完整性,以及它的可用性。ISO 27001是一个关于私营、公共或非营利组织的信息安全的国际标准。该标准描述了建立、实施、运行和优化文件化的信息安全管理系统(ISMS)的要求。管理体系的主要重点是识别、处理和处理风险。
信息安全的威胁和风险是什么?
ISO 27001中的漏洞管理是指技术漏洞。这些漏洞会导致对公司和组织的IT安全的威胁。这些漏洞包括
- 赎金软件,一种勒索软件,可导致数据媒体的加密和获取受损信息
- 远程访问木马(RAT),它可以允许远程访问网络
- 网络钓鱼和SPAM,可导致通过电子邮件失去控制。在这里,一个特别受欢迎的网关是《通用数据保护条例》(GDPR)和电子邮件中的要求,即通过点击链接来检查客户数据。通常情况下,发送者似乎是银行甚至是PayPal。
- DDoS/机器人网络,由于巨大的数据包,可能导致系统的可用性和完整性受损
- 国家支持的网络恐怖分子、活动家、犯罪分子以及内部犯罪者,他们带来了各种各样的威胁
- 不足或缺失的程序
识别这些威胁带来的脆弱性和安全漏洞,需要用ISO 27001进行保护需求评估,因为这导致了系统的脆弱性管理,以通过持续的脆弱性评估确保IT基础设施的安全。
错误的流程--对信息安全的威胁?
如果没有分析系统日志和日志数据的流程,没有对技术漏洞的了解,没有对IT系统进行更深入的审查,就不可能进行现实的风险评估。缺乏或有缺陷的流程也不可能建立风险接受标准或确定风险等级--如ISO 27001所要求的。
由此可见,对IT安全的风险,也就是对一个企业的信息安全的风险,是无法确定的,必须假定该企业的风险是最高的。
ISO 27001背景下的脆弱性管理:优化基础设施的安全性
确保IT基础设施安全的一个可能的适当措施是管理潜在的漏洞和安全漏洞。这包括对所有系统进行定期的、系统的、网络控制的扫描和渗透测试,以发现技术漏洞。任何被发现的漏洞都会按照ISO 27001的规定记录在信息安全管理系统(ISMS)中。
同样重要的是,要定义对IT安全的威胁--以及总体的信息安全。在这种情况下,必须根据严重程度(CVSS)对技术漏洞进行优先排序,并最终进行补救。根据ISO 27001,对剩余技术漏洞的剩余风险进行评估,并最终接受风险,也是漏洞管理的一部分。
为了评估一个漏洞的严重程度,可以使用行业标准"CVSS-- 通用漏洞评分系统"。0到10的总分是由基本得分指标决定的,这些指标主要解决这些问题。攻击者需要多 "接近 "脆弱的系统(攻击矢量)?攻击者到达目标有多容易(攻击复杂度)?利用漏洞需要什么访问权限(需要的权限)?是否需要帮助者,例如,必须先跟随链接的用户(用户互动)?保密性是否受到损害(保密性影响)?
在美国国家标准与技术研究所(NIST)的网页上可以找到CVSS计算器。
一个公司如何保护自己免受技术漏洞的影响?
例如,公司可以通过引入和实施检测、预防和数据安全措施,并结合适当的用户意识,对恶意软件进行预防性保护。详细来说,这意味着为了防止在ISO 27001的漏洞管理背景下的技术漏洞被利用,有必要。
- 及时获取有关所使用的信息系统的技术漏洞的信息
- 评估其脆弱性,并
- 采取适当的措施
这可以通过安装安全补丁(补丁管理)、隔离脆弱的IT系统或最终通过系统关闭来实现。此外,必须定义和实施用户安装软件的规则。
关于漏洞管理和ISO 20071安全概念的重要问题
以下问题可能会在审计期间被问及,所以提前解决这些问题是有意义的。
- 你是否定义了处理和监控技术漏洞的角色和责任?
- 你是否了解了可用于识别技术漏洞的信息来源?
- 当通知和发现漏洞时,是否有一个采取行动的最后期限?
- 你是否对公司资产等方面的漏洞进行了风险评估?
- 你知道你的技术漏洞吗?
如果您想对德国在网络领域的威胁有一个全面的、有根据的概述,您可以从德国联邦信息安全局(BSI)的英文 "2019年IT安全状况报告 "中找到:https://www.bsi.bund.de。
结论
在ISO 27001的背景下,脆弱性管理是一个持续的过程,必须定期进行。根据ISO 27001,结果必须是 "有效的"。这意味着一次性的漏洞扫描和对实施或认证的风险评估在以后的时间点上不再有效,例如在重新认证期间。
漏洞扫描只在其进行的确切时刻有效。但如果后来进行了软件更新或对拓扑结构进行了改变,这些都可能导致新的漏洞。
因此,对任何组织来说,持续跟踪、验证和重复漏洞管理过程并将相关信息带入信息安全管理系统是非常重要的。
ISO 27001认证
为了使您的ISMS获得ISO 27001认证,您需要考虑哪些努力?免费获得信息,没有义务。
我们期待着与您交谈。
DQS。简单地利用质量。
我们认为自己是客户的重要合作伙伴,我们与客户一起努力实现可持续的附加值。我们的目标是通过最简单的流程,以及对期限和可靠性的最大遵守,为组织的创业成功提供重要的增值动力。
我们的核心竞争力在于进行认证审计和评估。这使我们成为全球领先的供应商之一,并声称在任何时候都会在可靠性、质量和客户导向方面设立新的基准。
DQS新闻
André 塞克尔
在DQS担任信息安全管理的产品经理。作为信息安全和IT安全目录(关键基础设施)领域的标准专家,André Säckel负责以下标准和行业特定标准等。ISO 27001、ISIS12、ISO 20000-1、KRITIS和TISAX(汽车行业的信息安全)。他也是ISO/IEC JTC 1/SC 27/WG 1工作组的成员,作为德国标准化研究所DIN的国家代表。