网络安全咨询

概述

媒体每天发生恐怖事件,包括安全漏洞、数据丢失以及需要解决的IT系统漏洞,其数量不断增加。许多组织都在努力解决这些问题,并确保其不会下一个新闻头条。随着互联网的引入,组织现在被迫重新检查其安全基础设施,特别是,如果他们需要向客户、合作伙伴和供应商开放其信息系统以保持竞争优势。不完整且过时的网络安全解决方案可能会使您组织的信息资源面临风险,单一漏洞可能会给您的组织及其声誉带来巨大损失。

虽然您可能难以实施全面而完整的网络安全计划来管理和控制您的所有信息资产,但如果采取适当的保护控制措施,则可以最大限度地降低违规风险。为此,必须确定所有资产并评估其风险,以便选择适当的网络安全控制措施,将风险降低到可接受的水平。

因此,越来越多的组织正在探索使用ISO 27001和ISO 27002作为与其他相关ISO 270xx系列的支持指导,实施最佳实践信息安全管理的优势。

ISO 27001之前是英国标准(BS:7799),是以下事实的国际标准:

    • 建立
    • 操作
    • 维护
    • 不断改进。

信息安全管理系统(ISMS)。

服务提供

A-GRC具有独特的优势,因为A-GRC已完成了其他人开发由此可以为您提供协助,并实施适合您业务的信息安全解决方案。

此外,我们的首席技术官(David Lilburn Watson)是ISO标准委员会成员,该委员会负责监督ISO 270xx系列标准的制定。

A-GRC基于ISO 27001开发了自己的方法,其中包含信息安全管理政策以及根据戴明周期开发信息安全管理系统(ISMS)所需的所有流程,程序和计划:

    • 计划;
    • 执行;
    • 校验;
    • 行动;

所有主要的管理系统标准都已采用。虽然附件SL中不再强制要求PDCA循环,但许多组织仍然倾向于使用此过程。

A-GRC ISO顾问都是ISO 270xx专家,有些是合格的IRCA认证审核员和首席审核员,而非刚刚参加主任审核员课程的人员,并且已经实施了多项ISO 27001系统,这些系统已获得ISO 27001的注册证书。

方法

使用ISO 27001 A-GRC方法包括:

  • 定义组织的背景;
  • 了解有关各方的业务、驱动因素、需求和期望;
  • 确定ISMS的范围;
  • 建立ISMS;
  • 在整个组织内建立管理承诺;
  • 在业务中嵌入信息和网络安全;
  • 规划ISMS,包括确定业务连续性目标以及如何实现这些目标;
  • 确保制定适当的支持程序和程序;
  • 进行差距分析;
  • 进行风险和脆弱性评估;
  • 制定风险处理计划和SoA;
  • 记录程序;
  • 实施意识培训;
  • 实施支持网络和信息安全程序;
  • 监测、测量和审查ISMS;
  • 审核ISMS;
  • ISMS的管理评审;
  • 持续改进ISMS;
  • 协助获得ISO 27001注册证书。

除此之外,还有ISO 27001所要求的强制性程序和文件。

益处

A-GRC方法使您能够:

  • 使业务需求与信息安全可交付成果保持一致;
  • 允许您进行合同投标,如果您未获得认证,您可能会被排除在外;
  • 确保管理层和客户的信息安全水平到位;
  • 建立组织结构,确保建立信息安全管理的角色和职责;
  • 证明合规性由第三方一致性评估机构验证;
  • 制定适用性声明(SoA),确定要实施的控制措施,以解决组织中发现的风险;
  • 实现不同系统之间的互操作性;
  • 确保存在高级公司信息安全政策;
  • 确保适当的事件管理流程到位;
  • 确保创建和管理信息资产登记册;
  • 确保突出和控制人员安全问题;
  • 确保建立持续的合规和监督机制;
  • 确保在规定的范围内有适当的资产保障;
  • 确保记录和测试信息安全的流程和程序;
  • 在您的组织内实施和维护信息安全意识;
  • 识别风险并评估组织的风险;
  • 提高客户对您的产品和服务的信心;
  • 公开声明您已经满足了您和您客户的数据的信息安全需求;
  • 管理和处理重大风险,根据风险偏好将风险降低到可接受的水平;
  • 验证IT技术安全措施的充分性,包括通信和操作程序;逻辑访问控制;系统开发和维护安排;
  • 验证物理和环境安全安排的充分性;
  • 在调用业务连续性和/或灾难恢复安排时,验证随后的信息安全连续性的存在或充分性。