建立ISO27001信息安全管理体系应对公司面对的信息安全风险
编辑:  日期:2017-04-20 人气:1645 [关闭]

信息安全是一个重要的讨论主题,眼下那些依靠内部计算机系统和互联网来开展业务的公司,很难承受其业务运营中断所带来的损失。一次安全事故可以对公司的收益流、客户信心和公共关系产生大范围的消极影响。因此这种状况使得信息安全成为一个有效的整体 业务战略的基本组成部分之一。建立ISO27000信息安全管理体系来应对公司面对的信息安全风险应该是非常紧要的。

在美国银行联盟(ABA)近期的一次会议中,四位首席执行官在会面期间谈起了他们最近正面临的一些挑战。霍华德讲述了近期一次由蠕虫王(Slammer)引起的安全事故,这次事故使得他的银行的13,000台自动取款机(ATM)停止向客户服务达24小时左右。这个蠕虫传播如此之快,以至于信息技术(IT) 部门根本无法及时反应。蠕虫是一种能够自我复制的有害程序,它不需要用户的干预,就可以在计算机和网络间传播。快速复制的蠕虫可以消耗资源,降低计算机和网络的速度,使其性能大大下降,甚至完全崩溃。

萨姆和霍华德的不幸遭遇差不多,因为有人从其银行的办公室偷窃了一台笔记本电脑,其中存放着成千上万的客户的机密财务信息。萨姆的银行还算幸运,几天之后重新找到了这台笔记本电脑;然而,他的客户服务机构花费了相当多的时间去联系这些受影响的客户,并一直监控他们的账户来防止可能的欺诈。

罗杰就没有这么幸运了。一个东欧的黑客利用欺骗手段攻入其公司的系统中,并向黑客的账户转入了大约1千万美元。虽然他的银行能追回这些资金中的大部分,但是这个事件给公司的品牌带来相当大的损害。查尔斯则在惋惜其信用卡业务所受的损害,黑客向其一些没有疑心的客户发送电子邮件,这些电子邮件看起来像是正式的,但是实际上是假冒的(此过程被称为“网上钓鱼”),诱骗他们泄露机密信息。然后,这些黑客就利用这些落入圈套的客户的账户进行非法消费。

上面这些故事是来源于一些近期在金融服务行业中实际发生的安全事故。但是信息安全事故并不只在此行业发生。所有的进行一部分电子商务处理的组织机构都是潜在 的目标。在2003年4月,Slammer蠕虫中断了一个核能源工厂的安全监控系统达5个小时之久,并且严重影响了此工厂整个网络的性能。在2003年1月,一个重要的美国计算机网络公司向中国的竞争对手提出关于其窃取知识产权的控告。此公司声称其竞争对手复制了其源代码、文档和其他保留版权的信息。20个月后,双方解决了争端,中国的竞争对手同意不再销售诉讼中提及的所有产品。

1999年12月,一家在线音乐发行商拒绝了一个黑客的10万美元的勒索,此黑客窃取其大约35万名客户的包括信用卡号在内的机密个人信息。黑客随后将这些信息发布到互联网上,导致了非常严重的品牌形象破坏。最后一个例子:两家位于硅谷的软件公司曾卷入一宗数10 亿美元的关于知识产权窃取的法律诉讼,其原因是有管理人员从一家公司离开并组建了与之竞争的另一家公司。

由于缺乏对信息安全的了解,导致了这些事件的发生,也给这些公司留下了易被非法利用的漏洞。本书介绍了如何才能避免陷入相同的陷阱,并提供了必需的资源和最佳实践。

云南ISO9001质量体系认证

南充CCC认证

乐山ISO14001环境体系认证

重庆强制性产品认证

绵阳ISO27001信息体系认证

  成都千赢国际管理有限公司-专业体系认证咨询

  联系人:周老师 联系电话: 18980962772



上一篇:
ISO27001的五大安全治理规范
下一篇:
ISO27001认证的好处

栏目分类导航