ISO/IEC27040标准纵深防御
发布时间:2020-07-02 作者:广汇联合 来源:广汇联合
ISO/IEC27040标准纵深防御
一、条款、目标、控制措施
a)确保平衡地关注三个主要要素:人员、技术和运营;
b)贯彻有效的信息保证政策和程序,分配角色和责任,投入资源,培训关键人员,以及个人责任;
c)在多个位置部署保护机制,以抵御所有类型的攻击;
d)在潜在对手和目标之间部署多个防御机制(分层);
e)包括检测和保护机制;
f)部署强大的密钥管理和公钥基础设施(PKI)框架,支持所有信息保证技术,并具有高度的抗攻击性;
g)维护可见和最新的系统安全策略;
h)主动管理存储技术和保护机制的安全态势(如安装安全补丁和防病毒更新、维护acl等);
i)定期进行安全威胁评估,以确定持续的安全准备状态;
j)监控和应对当前威胁。
二、企业要做的内容
1.准备《人力资源管理程序》
2.准备《存储安全管理程序》
3. 准备《安全风险评估管理程序》
4.准备《加密和密钥管理安全策略》
5. 准备《病毒防范管理安全策略》
6. 准备《信息安全监控安全策略》策略文件
三、审核员关注的内容
1. 是否依据《人力资源管理程序》实施人员管理
2. 是否依据《存储安全管理程序》实施保护
3. 是否依据《安全风险评估管理程序》实施保护
4. 是否依据《加密和密钥管理安全策略》实施保护
5. 是否依据《病毒防范管理安全策略》实施保护
6. 是否依据《信息安全监控安全策略》实施保护