虽然它有时也被称为 ISO 27001,但这项针对信息安全管理要求的国际标准的官方缩写为 ISO/IEC 27001。这是因为它是由 ISO 和国际电工委员会 (IEC) 共同发布的。数字表示它由 ISO 和 IEC 的信息技术行业联合技术委员会 (ISO/IEC JTC 1) 下设的第 27 小组委员会(信息安全、网络安全和隐私保护)负责发布。
ISO/IEC 27001 是国际公认的信息安全标准,由认证机构 国际标准化组织 (ISO)和 IEC(国际电工委员会)。ISO 27001 经过了多次改版,包括 ISO 27001:2013。最新版本为 ISO/IEC 27001:2022。
ISO 27001 提供了指南和一个包含各项要求的框架,用于“建立、实施、维护和持续改进”信息安全管理系统 (ISMS)。ISO 27001 包含 93 项风险管理控制措施,但只有部分措施是满足 ISO 27001 标准合规性要求所必需的;换言之,ISO 27001 合规性与了解贵企业的风险等级以及确定 93 项控制措施中哪些最适合于抵御信息资产风险相关。
ISO 27001 和数据安全
ISO 27001 要求建立 ISO 27001 ISMS 框架,以涵盖用于保护企业敏感数据(包括知识产权)的策略与步骤。为了保护系统和设备以及保护数据免受可能会导致数据滥用、泄露、损坏、修改或损毁的未授权访问,信息安全控制措施需要相应的流程、人员、技术和程序,这些构成了此框架的基础。此外,ISMS 政策与程序可以通过风险评估来帮助降低网络攻击和内部威胁带来的数据风险。ISMS 还有助于实施完整性、机密性和数据可用性,以满足《通用数据保护条例》(GDPR) 等数据保护和隐私法规的合规性要求。
借助 Akamai 实现 ISO 27001 合规性
Akamai 安全措施可以抵御漏洞、恶意软件威胁(包括勒索软件)、数据泄露和 DDoS 攻击。Akamai 将安全融入到企业的方方面面,让安全无处不在,为您的客户体验、员工、系统、个人数据及敏感数据保驾护航。Akamai 全球平台可以确保企业能够检测并阻止现有的和新出现的威胁,同时能够适用不断变化的安全格局。这对于保持 ISO 27001 合规性和证明安全性持续改进来说必不可少。Akamai 平台的 Zero Trust 要素可有助于更精细地实施安全策略,使您能够深度监测资产、访问控制和网络流量,进而打造 ISO 27001 合规性环境。
ISO 27001 如何影响贵企业?
ISO 27001 包含了覆盖企业、人员、物理环境和技术领域的控制措施。以人为中心的网络威胁能够利用对关键系统和服务的访问权限,让所有行业处于危险之中。
ISO 27001 标准控制目标内的一项基本方法是 Zero Trust 安全。控制措施包括:
- 访问控制,用于建立对信息和其他关联资产的物理和逻辑访问控制
- 特权访问权限,用于确保“最低特权”访问权限
- 网络分段,是 Zero Trust 安全方法的一部分
这些控制措施可以帮助企业建立 Zero Trust 环境。
以下是依据 ISO 27001 实施 Zero Trust 时受益行业的三个示例:
适用于关键基础架构的 ISO 27001
对关键基础架构的攻击会产生破坏性影响。最近的一个示例为美国石油供应商 Colonial Pipeline 发生的安全事件。美国整个西南地区都受到了影响。仅仅是一个被泄露的密码便让攻击者绕过了运营安全机制并利用勒索软件感染了该公司。关键基础设施涵盖很多至关重要的服务,包括公用事业、化学品制造商和运输业。这些服务的关键性让它们成为黑客眼中极具吸引力的目标。牵涉广泛供应链的未授权访问和凭据泄露是首要关注领域。与更为广阔的互联网的互连程度不断提高,关联的现代行业部门的攻击面不断扩大,让恶意攻击者能够打开曾经紧闭的大门进入关键系统中。实施 ISO 27001 及关联的信息安全策略和步骤可以抵御针对关键基础设施的网络攻击所带来的风险。
适用于医疗行业的 ISO 27001
广泛的医疗行业是网络犯罪分子的理想攻击目标。该行业拥有丰富的数据,不仅是关键基础设施行业,而且高度依赖于技术和供应商关系。因此,医疗机构有遭受多种形式的网络攻击(包括数据泄露和勒索软件)的风险。美国联邦调查局 互联网犯罪投诉中心 (IC3) 的一份最新报告称,该部门 2022 年收到的勒索软件攻击报告中,医疗保健行业成为关键基础架构行业中遭受攻击最多的行业。作为一个复杂的服务行业,医疗保健行业会受益于 ISO 27001 认证过程中实施 ISMS 所需要的严苛性。抵御信息安全风险的 Zero Trust 方法将确保医疗保健企业能够控制对敏感数据的访问并能够保持对关键系统和服务的控制。
适用于金融服务行业的 ISO 27001
2023 年 国际货币基金组织 (IMF) 在 51 个国家或地区进行的一项调查发现,对金融机构的网络威胁“正在激增”,这表明该行业急需采取正确的应对措施。金融行业面临着各种网络攻击,包括勒索软件、数据泄露和 DDoS 攻击。 2022 年 Verizon 数据泄露调查报告 将针对金融行业的攻击类型细分为“基本 Web 应用程序攻击、系统入侵和其他错误”,这三类在入侵攻击中占比达到 79%。该报告还强调,凭据盗用在针对该行业的大多数攻击中占主要部分。ISO/IEC 27001 提供了一些机制,让金融行业能够实施抵御未授权访问的 Zero Trust 方法。
ISO 27001 的业务优势
数据安全是一项公认的竞争优势。通过实现 ISO 27001 认证,企业能够向客户和其他利益相关者证明自己非常重视信息安全并且已实施业务连续性管理。ISO 27001 合规意味着您已创建了一个基于 ISMS 的安全环境,该环境可以抵御数据安全风险并且能够为与您有业务往来的公司最大限度地降低风险。
完成此流程,即实施一些控制措施来管理信息安全威胁并改进事件管理,意味着贵企业已进行数据安全漏洞风险分析并且遭受网络攻击和意外数据泄露的风险较低。换言之,这表示数据泄露会更少,并且因不符合法规要求而受到罚款和其他处罚的可能性更低。
ISO 27001 控制措施和框架符合 GDPR 和 NIST CSF(网络安全框架)等其他数据保护法规的要求。因此,实现 ISO 27001 认证可以让贵企业满足其他数据保护法规的合规性要求。
常见问题
ISO 27001 关注的是在企业范围内设计和实施 ISMS,而 SOC 2 提供了用于实现此目标的综合安全框架。SOC 2 合规性要求企业能够证明自己已实施一系列必不可少的安全控制措施来保护信息。换言之,ISO 27001 引导企业完成 ISMS 的全面制定和实施过程,而 SOC 2 侧重于审核安全控制措施,覆盖面更窄。
其他区别包括 ISO 27001 是一项国际认可的认证标准,SOC 2 是由独立注册会计师 (CPA) 完成的一系列审计过程。
ISO/IEC 27001 是一项广泛认可的国际标准,用于制定针对 ISMS 的要求。该标准适用于需要确保其信息安全风险受到管理的任何规模或类型的企业。这包括公共和私营部门的企业、中小型企业、大型公司、非营利组织以及政府机构。
ISO/IEC 27001 认证是证明贵企业已承诺并能够对信息进行安全管理的一种方式。持有认可机构所颁发的证书可以提高企业自信力,因为认可机构已提供对认证对象能力的独立验证。如果您想使用徽标来证明已获得认证,可以联系颁发证书的认证机构。与其他情况一样,应当始终用其全称指代标准,例如“已通过 ISO/IEC 27001:2022 认证”(而不是“已通过 ISO 27001 认证”)。
客户为什么选择 Akamai
Akamai 是一家专注于网络安全和云计算的公司,致力于支持并保护在线商业活动。我们卓越的安全解决方案、出色的威胁情报和全球运营团队可提供深度防御,保护各地的企业数据和应用程序。Akamai 的全栈云计算解决方案可在全球分布广泛的平台上提供高性能和经济实惠的服务。全球多家企业坚信,Akamai 能够提供卓越的可靠性、规模和专业知识,帮助企业满怀信心地实现业务增长。