发布日期:2024-12-18 浏览次数:
ISO(国际标准化组织)是一个独立的非政府国际组织,拥有 170 个国家标准机构成员。ISO/IEC 27001 由 ISO 和国际电工委员会 (IEC) 联合发布,是全球最著名的信息安全管理系统 (ISMS) 标准。ISO/IEC 27001 标准为所有组织提供建立、实施、维护和持续改进信息安全管理系统的指导。
ISO 标准得到国际网络安全专家的认可,并在全球范围内得到广泛认可。所有经济部门(所有类型的服务业和制造业以及第一产业;私营、公共和非营利组织)的组织均可获得 ISO 认证。
符合 ISO/IEC 27001 意味着组织或企业已经建立了一个系统来管理与其拥有或处理的数据安全相关的风险,并且该系统采用了本国际标准中载列的所有最佳实践和原则。
DORA 围绕五大关键支柱构建,每个支柱旨在解决金融服务数字运营弹性的不同方面。
ICT 风险管理和治理: DORA 要求管理层和董事会成员负责定义、实施和维护 ICT 风险管理框架,以有效提高数字运营弹性。DORA 要求金融机构建立内部治理和控制框架,确保有效、审慎地管理 ICT 风险。
事件报告:金融服务机构需要建立系统来监控、管理、记录、分类和报告与 ICT 相关的事件,以评估攻击、减轻对客户和运营的影响并向当局报告。
数字运营弹性测试:金融实体需要每年实施并执行全面的数字运营弹性测试计划。DORA 还概述了金融实体需要确保 ICT 第三方提供商参与其数字运营弹性测试(如果适用)。
ICT 第三方风险: DORA 的重点之一是 ICT 第三方风险及其在风险缓解中的作用。金融机构严重依赖可能位于欧盟以外的外部 ICT 提供商,例如多家云提供商。因此,金融机构需要将 ICT 第三方风险作为其 ICT 风险管理框架的一个组成部分。
信息共享: DORA 还鼓励自愿共享有关网络威胁信息和情报的信息,以增强行业的数字运营弹性。
ISO 标准得到国际网络安全专家的认可,并在全球范围内得到广泛认可。所有经济部门(所有类型的服务业和制造业以及第一产业;私营、公共和非营利组织)的组织均可获得 ISO 认证。
ISO/IEC 27001 是一项国际标准,不遵守规定不会受到处罚。但是,ISO/IEC 27001:2022 认证可以展示组织在实施信息安全最佳实践方面的诚意努力,从而在发生数据泄露时提供一层防御,避免受到 GDPR 等法规的罚款。
ISO/IEC 27001 规定了建立 ISMS 的要求,而 ISO/IEC 27002 提供了可在 ISMS 中应用的详细最佳实践和控制。主要区别在于 ISO/IEC 27001 是组织可以获得认证的标准,而 ISO/IEC 27002 则不是。下表中的要求列出了 ISO 27001 和 ISO 27002 的要求。
通过满足列出的信息安全控制基本要求,帮助组织遵守 ISO/IEC 27001:2022。我们在网络安全的三个关键领域提供全面的网络安全解决方案:应用安全、数据安全以及身份和访问管理。
应用程序安全
支持的 ISO 要求:8. 技术控制
在云端、本地或混合模式下大规模保护应用程序和 API。我们市场领先的产品套件包括针对分布式拒绝服务 (DDoS) 和恶意 BOT 攻击的 Web 应用程序防火墙 (WAF)、API 安全、安全的内容分发网络 (CDN) 和运行时应用程序自我保护 (RASP)。
数据安全
支持的 ISO 要求:5. 组织控制和 8. 技术控制
发现和分类混合 IT 中的敏感数据,并使用加密、标记化和密钥管理自动保护任何地方的敏感数据,无论是静态、动态还是使用中。泰雷兹解决方案还可以识别、评估和确定潜在风险的优先级,以便准确评估风险。它们还可以识别异常行为并监控活动以识别潜在威胁并验证合规性,从而使组织能够确定将工作分配到何处的优先级。
身份和访问管理
支持的 ISO 要求:5. 组织控制、6 人员控制、7 物理控制和 8. 技术控制
为客户、员工和合作伙伴提供无缝、安全且值得信赖的应用程序和数字服务访问。我们的解决方案根据内部和外部用户的角色和环境限制其访问权限,并采用精细的访问策略和多因素身份验证,帮助确保在正确的时间授予正确的用户对正确资源的访问权限。
作为Thales的合作伙伴,揽阁信息与您一同解决合规性要求的各类问题,欢迎联系揽阁信息获取更多信息。
揽阁信息 · 值得您信赖的信息安全顾问!
沪公网安备31011202021337号 网站地图
友情链接: Thales官网 芯片产品网站 服务热线
