信息安全的保护目标是保护信息的基本关键点。信息对每个公司来说都代表着重要的经济价值,而不仅仅是自今天起。它是企业存在的基础,因此是企业成功的重要前提。因此,信息必须得到保护是显而易见的,或至少是理想的。然而,愿望和现实之间仍有很大差距。

Loading...

信息安全的保护目标是什么?

由于信息处理方面的不充分安全,每年造成数十亿美元的损失。但如何才能实现对组织资产的充分保护?而对于一个公司来说,在信息安全的话题上,什么才是最好的开始?

根据ISO/IEC 27001,一个结构良好的信息安全管理系统(ISMS)为有效实施整体安全战略提供了一个最佳基础。该标准为保护水平的引入、实施、监测和改进提供了一个模型。为了实现这一目标,公司和组织应首先解决信息安全的三个基本保护目标。

  • 保密性
  • 完整性
  • 可用性

信息安全的保护目标。信息的保密性

其目的是保护机密数据不被未经授权的访问,无论是出于数据保护法的原因还是基于商业秘密的原因,例如《 商业秘密法》。因此,只有那些有权(授权)访问信息和敏感数据的人才能确保其保密性。访问意味着,例如,阅读、编辑(改变)或甚至删除。

因此,所采取的措施必须确保只有被授权的人才能访问机密信息--非授权的人在任何情况下都不能访问。这也适用于纸张上的信息,这些信息可能会放在桌子上不加保护地招致阅读,或者适用于数据的传输,在处理过程中不能被访问。

whitepaper-dqs-iso-27001-leitfaden
Loading...

我们的审核指南 ISO 27001 - 附件A 是由领先的专家创建的,作为一个实用的实施辅助工具,是更好地理解选定标准要求的理想选择。该指南以ISO/IEC 27001:2017为基础,预计将在2022年底对ISO标准进行修订。

对于被授权人,也有必要规定他们应具有的访问类型,允许或要求他们做什么,以及不允许他们做什么。必须确保他们不能做他们不被允许做的事。这个过程中使用的方法和技术是多种多样的,在某些情况下是针对公司的。

如果它 "仅仅 "是一个未经授权的查看或披露信息的问题(也在传输过程中,典型的例子:电子邮件流量!),可以使用加密措施来保护机密性,例如。如果目标是防止未经授权的信息修改,保护目标 "完整性 "就会发挥作用。

ISO/IEC 27001:2013- 信息技术 - 安全技术 - 信息安全管理系统 - 要求
该标准可从ISO网站获得。

信息安全的保护目标。信息的完整性

完整性这一技术术语同时与几个要求相关。

  • 对信息的无意改变必须是不可能的,或者至少是可检测和可追踪的。在实践中,适用以下分级:
    - 高(强)完整性可以防止不需要的改变。
    - 低(弱)完整性可能无法防止变化,但可以确保(无意的)变化可以被发现,必要时可以被追踪(可追踪性)。
  • 数据和系统的可靠性必须得到保证。
  • 必须保证信息的完整性。

因此,旨在提高信息完整性的措施也针对访问授权的问题,结合对外部和内部攻击的保护。

"虽然 "保密性 "和 "可用性 " 这两个词很容易理解,几乎是不言自明的,但就信息安全的经典保护目标而言,技术术语"完整性"需要一些解释。所指的是(数据和系统的)正确性、完整性或(变化的)可追溯性。"

信息安全的保护目标。信息的可用性

信息的可用性是指这些信息,包括所需的IT系统,必须能被任何被授权的人在任何时候访问,并在需要的范围内可用(功能)。如果一个系统出现故障或一个建筑物无法进入,所需的信息就无法使用。在某些情况下,这可能导致具有深远影响的中断,例如在流程的维护方面。

因此,进行风险分析是有意义的,可以考虑到系统故障的概率、可能的持续时间以及由于缺乏IT安全而造成的任何损失。如果出现最坏的情况,可以从结果中得出有效的应对措施并加以执行。

什么是 "扩展 "的保护目标?

除了保密性、完整性和可用性的安全目标外,还有三个额外的安全目标。这包括 "承诺 "和 "问责 "这两个方面,它们相互补充。前者是指确保行为者不能否认他们的行动,后者是指这种行动可以可靠地归于他们。两者都可以归结为行为者的唯一可识别性,而发放唯一的密码是这方面的最低要求。

第三个扩展的保护目标是 "真实性",也就是真实性。在这种情况下,一个简单的问题是。信息是否真实--它是否真的来自指定的来源?这个保护目标对评估来源的可信度很重要。

Man and a woman with a laptop in a server room
Loading...

有价值的信息是当今的黄金--也是你的公司需要保护的资产。在此阅读关于ISO 27001最重要问题的答案。

信息安全的保护目标。总结

信息安全的三个最重要的保护目标是 "保密性"、"完整性 "和 "可用性"。

保密性。为了能够保证它,你必须清楚地定义谁被授权访问这些敏感数据,以及以何种方式。这与适当的访问授权和加密技术的使用有关,例如。

完整性是指保护信息不被擅自更改和删除,加上信息的可靠性和完整性。因此,贵公司必须采取预防措施,迅速发现数据的变化或从根本上防止未经授权的操纵。

可用性是指信息、系统和建筑必须在任何时候都能被授权人使用。由于系统故障等与重大风险有关,所以应该对这个复杂的主题进行风险分析。在这里记录故障的概率、停机时间和最需要的系统的潜在损害。

承诺、责任和真实性是 "扩展 "的保护目标。

承诺 被理解为确保行为者不能否认他们的行动。问责制是对这一扩展的保护目标的补充,它可以清楚地识别这样一个行为者。真实性提出了一个问题。一条信息是否真实或值得信赖?

DQS - 您可以从我们这里得到什么

信息安全是一个复杂的话题,远远超出了IT安全。它包括技术、组织和基础设施方面。国际标准ISO/IEC 27001适合以信息安全管理系统(ISMS)的形式提供有效的保护措施。

DQS是您的管理体系和流程的审计和认证专家。凭借35年的经验和全球2500名审核员的专业知识,我们是您合格的认证合作伙伴,并为有关ISO 27001和信息安全管理系统的所有问题提供答案。

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

我们很乐意回答您的问题

要使您的信息安全管理系统通过ISO 27001认证,您需要付出多少努力?了解一下。没有任何义务,而且是免费的。

信任和专业知识

我们的文本和手册完全由我们的标准专家或具有多年经验的审核员撰写。如果您对文本内容或我们对作者的服务有任何疑问,请随时向我们发送电子邮件。

作者
André 塞克尔

在DQS担任信息安全管理的产品经理。作为信息安全和IT安全目录(关键基础设施)领域的标准专家,André Säckel负责以下标准和行业特定标准等。ISO 27001、ISIS12、ISO 20000-1、KRITIS和TISAX(汽车行业的信息安全)。他也是ISO/IEC JTC 1/SC 27/WG 1工作组的成员,作为德国标准化研究所DIN的国家代表。

Loading...