沙特国王大学学报GoSafe:使用智能审计和排名对组织信息系统Jamal N.Al-Karakia,b,Amjad Gawanmehc,Sanaa El-Yassamiaa部。信息安全工程技术,阿布扎比理工大学,阿布扎比,阿拉伯联合酋长国b部约旦扎卡哈希姆大学计算机工程系c阿拉伯联合酋长国迪拜迪拜大学工程和信息技术学院阿提奇莱因福奥文章历史记录:收到2020年2020年8月15日修订2020年9月18日接受2020年9月24日网上发售保留字:ISO/IEC 27001信息安全管理系统安全管理风险分析A B S T R A C T缺乏国家安全标准化机构可能对采用国际安全标准和最佳做法产生不利影响。为了确保不同组织之间的安全信任,并促进系统地采用标准和最佳标准,需要一个能够支持比较措施的实用框架本文介绍了GoSafe,一个新的实用的网络安全评估框架,是专门为信息安全管理系统(ISMS)的发展ISO 2700x标准的要求。GoSafe可用于国家网络安全当局的自我评估和使用GoSafe,组织可以利用内置的预审计工具,根据本地和国际标准评估其现有的信息安全管理系统因此,GoSafe将帮助组织评估和加强其对不断变化的风险和威胁的准备。在GoSafe框架中,还为评分/评级工具设计并实现了一种新的数学模型,即国家网络安全指数(aeNCI)。aeNCI采用多个参数来确定国家组织现有网络安全计划的成熟度,并生成分类和比较报告。GoSafe提出的框架的有效性证明了使用一个实际的案例研究。结果使利益相关者能够验证其系统的安全配置并识别潜在的攻击/风险向量。©2020作者由爱思唯尔公司出版代表沙特国王大学这是一个开放的访问CC BY-NC-ND许可证下的文章(http://creativecommons.org/licenses/by-nc-nd/4.0/)。1. 介绍数字革命极大地改变了全球的治理、通信、商业和工业。数字信息的出现使得无需物理存在即可访问的能力有所提高(Shah,2014)。然而,很明显,使用技术伴随着风险和安全问题。尽管如此,世界越来越依赖网络领域提供服务,以维持国家的运转。图1(改善关键基础设施网络安全)描述了一个常见的信息和决策流,*通讯作者。电子邮件地址:jamal. adpoly.ac.ae,jkaraki@hu.edu.jo(J.N. Al-Karaki),amjad.ud.ac.ae(A.Gawanmeh),sanaa. adpoly.ac.ae(S.El-Yassami)。沙特国王大学负责同行审查制作和主办:Elsevier在当今的组织中,有三个层次的需求这些级别允许相互沟通,以确定业务优先事项,并在考虑业务需求的情况下应用风险管理流程ISO 2700x系列标准,如图所示。 2,用于管理信息安全管理和实践(ISO/IEC,2016)。其中,ISO/IEC 27001标准(关于ISO)提出了建立,实施,维护和持续改进信息安全管理体系(ISMS)的要求。除了组织的规模和结构外,本标准的采用还受到组织的需求、目标、安全要求和所使用的组织过程的影响。ISO/IEC 27002标准规定了用于启动、实施、维护和改进信息安全管理标准的基本指南。符合这些标准使系统更有弹性,更安全,更可靠。实际的标准控制措施应实施在整个风险评估框架中强调的安全要求。ISO/IEC 27000系列标准https://doi.org/10.1016/j.jksuci.2020.09.0111319-1578/©2020作者。由爱思唯尔公司出版代表沙特国王大学这是一篇基于CC BY-NC-ND许可证的开放获取文章(http://creativecommons.org/licenses/by-nc-nd/4.0/)。可在ScienceDirect上获得目录列表沙特国王大学学报杂志首页:www.sciencedirect.comJ.N. Al-Karaki,A.Gawanmeh和S.亚萨米沙特国王大学学报3080Fig. 1.组织内的信息流动和相关风险(改善关键基础设施网络安全)。图二. ISO 2700x系列标准概述了有助于维护信息资产安全的控制措施和机制ISO 2700x规定了每个组织都应遵守的某些义务,其主要目标是增强网络安全状况。ISO2700x标准中的安全要素分为人员、流程和技术。个人是指使用我们的信息安全或对我们的信息安全感兴趣的个人(例如:业主、员工、客户、供应商、承包商等)。流程,可以用过程来描述,是工作实践或工作流,是完成业务目标所需的步骤或活动信息技术包括用于执行业务的所有物理和逻辑工具(例如,数据/语音网络)。另一方面,ISMS是一种用于控制和管理机构信息并维护其安全性的系统方法它定义了一套政策和程序,用于通过主动消除信息安全漏洞来最大限度地减少已识别的风险并确保业务连续性。ISO/IEC 27002 标准采用计划-执行-检查-行动(PDCA)模型(ISO/IEC,2013)来构建ISMS要求,如图3所示。ISO/IEC 27001的范围以及为特定组织量身定制的信息安全风险评估和处理要求,详见(ISO/IEC,2013)。ISO/IEC 27001战略框架图三. ISO 2700x实施:流程周期。分为战略,战术,作战三个层次。第一个解决安全策略,战略和结构,而第二个处理安全控制,风险和反馈。最后,最后一个层面涉及沟通战略以及通过各种渠道提高认识。见图4。显示这些水平。为此,阿拉伯联合酋长国(UAE)发布了由阿联酋当地安全管理机构设计的当地信息安全标准,即电子安全管理局(NESA)(多种世界的真正安全,2015)、阿布扎比系统和信息中心(ADSIC)(阿布扎比系统和信息中心)和迪拜电子安全中心(DESC)(迪拜网络安全战略,2020)。ADSIC于2009年提出了信息安全标准,最新版本已于2013年修订(阿布扎比政府,2013年)。这些标准的适用性旨在满足阿布扎比政府人员、承包商和负责创建、传输和销毁阿布扎比政府信息资产的其他相关第三方机构的需求。另一方面,阿联酋国家电子安全局(NESA)旨在保护阿布扎比的政府信息资产,并改善国家网络安全。NESANESA的任务是保护阿联酋的关键信息基础设施,改善国家网络安全。实现见图4。 ISO/IEC 27001战略框架J.N. Al-Karaki,A.Gawanmeh和S.亚萨米沙特国王大学学报3081因此,必须遵守其标准。NESA信息保证标准规定了实施信息安全控制的要求,以确保保护阿联酋所有实体的信息资产和支持系统(多种世界的真正安全,2015年)。为了符合NESA UAE,需要几个阶段这些阶段可归纳为:(1) 差距审计,以确定目标组织的状况(2) 培训:培养员工所需的知识(3)风险评估:这是指M2控制系列;(4)实施:在内部部署建议的做法和程序;最后(5)年度合规审计,通过提供外部和独立审计,确保组织保持合规。最后,迪拜电子安全中心(DESC)旨在保护迪拜现代城市的信息系统和电信系统(Strategy andCenter,2017)。我们已经进行了映射练习,以显示这些符合国际标准(即ISO/IEC 27001。下表1很明显,这些地方标准映射到ISO 27001标准的大多数控制编号此外,阿联酋新的网络安全战略于2019年启动。任务是保护网络空间,国家应对安全威胁、风险和所有国家安全挑战,包括政府部门、私营部门、公民以及国际网络空间。国家网络安全战略还规定了所有组织的网络和信息系统的安全义务。这些理事机构必须评估所有组织遵守这些义务和标准要求的情况。更多详细信息-表1ISO/IEC 27001到ADSIC和NESA标准的映射为了管理与政府活动中使用的网络和信息系统安全相关的风险,阿联酋国家法律规定,国家电子安全局(NESA)作为网络安全的管理机构,与阿联酋计算机应急响应小组(aeCERT)合作以及其他组织和实体应酌情评估各组织实施的技术和组织措施。此外,NESA应评估为避免和最大限度地减少影响政府服务安全的事件的影响而实施的措施的适用性,并确保其业务连续性。近年来,IT安全框架的发展吸引了众多研究者的关注。目前仍然迫切需要更好的理论和实践方法来制定安全框架。本文提出了一个实用的安全评估框架,以满足特定的安全要求出版的本地和国际标准。该框架的国家安全要求是NESA和其他机构公布的要求。从本质上讲,它们被分为涵盖以下主要领域的类别:资讯保安政策,资产管理,风险评估,风险管理策略,自我评估及改善,保障重要政府服务的政策,流程及程序,身份管理及存取控制,实体及环境保安,系统及应用系统保安,资料保安,备份,保安技术,系统测试、意识和培训、威胁检测、事件管理、业务连续性和灾难恢复。应识别、分析每个组的适用控制措施,并将其分配到适当的成熟度级别。为了实现国家安全机构的拟议目标,本文提出了一个评估框架,称为GoSafe。建议的框架还为测试提供支持控制编号ISO 27001控制ADSIC NESA确保组织的ISMS符合GoSafe具有以下特点:A.5信息安全政策A.6信息安全A.7人力资源保障信息安全治理人力资源保障缓解已查明的信息安全风险人力资源安全1. 涵盖NESA和其他国家的国家安全要求的全部范围。2. 根据ISO2700X义务3. 可用作自我评估工具4. 可用作独立评估的基础,以便对所有组织进行5. 提供明确结果关于安全态势A.8资产管理信息资产管理A.9访问控制身份访问管理A.10密码学资产管理访问控制组织6. 可用作每个行业、组织类型和运营7. 可用作安全要求的指南A.11物质和环境安全物理和环境安全物理和环境安全8. 便于各组织实施为了实现拟议框架的上述特征A.12行动安全信息运营管理A.13通信安全运营管理通信安全为了促进实现国家经济和社会事务局和其他机构的目标,特别是可衡量的目标,开发了一套工具,作为框架的一部分。其中包括网上冲浪-vey、在线预审核工具和安全指数评级工具。尤其是-A.14系统采集,开发和维护信息系统设计、开发和测试信息系统采购开发与维护因此,需要一个工具来标准化各组织可能的安全成熟度。为此,国家网络安全指数(称为aeNCI)的设计和测试,为简单的,A.15第三方供应商关系安全第三方安全作为整体评估框架的主要组成部分工作 虽然aeNCI是为阿联酋开发的,但它可以很容易A.16信息安全事件管理A.17信息安全业务连续性管理A.18合规:内部例如政策,以及外部的,例如法律信息安全事件管理信息系统连续性管理信息安全事件管理信息系统连续性管理符合阿联酋法规并推广到世界上任何一个国家。国家网络安全指数(aeNCI)是一种诊断和评分工具,用于衡量阿联酋内部每个组织的承诺水平,并通过比较确定其网络安全计划的成熟度。aeNCI可以帮助识别组织过程的优势和劣势,并检查与所有其他组织相比,这些过程与相关的最佳实践或指南的符合程度。J.N. Al-Karaki,A.Gawanmeh和S.亚萨米沙特国王大学学报3082aeNCI解决了组织安全问题的五个主要领域,即立法、技术、组织、人力和机构能力以及交叉合作。五个重要的大类。aeNCI将成为衡量几个阿联酋组织的网络安全开发能力的基准排名该指数本质上是一个综合指数,结合了多个指标。这些指标和分组将用于根据每项指标提供的基准对各组织进行拟议的aeNCI包括15个指标,这些指标是根据与aeNCI五个主要领域的相关性、数据可用性和交叉验证的可能性此外,还开发了一个预审计工具,并作为评估框架的一部分供各组织使用,该工具有助于对评估组织流程的安全控制措施和评估组织流程合规性评级的规模1.1. 论文投稿目前,大多数安全分析方案都是由安全专家或咨询公司人工完成的。在这个过程中,消耗了大量的时间和成本,也会引入人为错误。因此,需要自动化来降低成本和时间,并减少人为错误。为了解决这些问题,我们提出了一个实用的安全评估和测量框架,跨各种组织的安全管理。本文主要介绍了一个实用的框架,用于使用各种工具和方法(如调查、预审计工具和评分/评级方法)来表征组织的安全态势,重点关注对本地或国际信息安全标准(如ISO/IEC 2700 x)的遵守情况。我们总结我们的研究的贡献如下:本文提出了国家安全指数的概念,并以综合标准和实际措施为基础,对不同组织的安全准备程度进行了排序。我们提出了一个新的实用框架,网络安全成熟度评估的基础上ISO27001标准在组织层面。我们在信息安全管理系统实施和评估的经验评估框架内提供了各种工具,包括基于Web的预审核工具,以根据当地的治理和合规建议的框架一般可用于评估依赖于ISO27001要求的任何组织的任何ISMS。拟议的框架为组织提供了必要的工具,以动态选择和增强网络安全风险评估拟议的框架是自适应的,以提供一个灵活的和基于风险的实施,可用于广泛的网络安全风险管理过程。评估GoSafe框架在大型多校区学术机构中的适用性和实际使用。首先对策略和安全控制进行评估,然后识别风险和漏洞,并提出相应的安全建议。1.2. 论文组织本文的其余部分组织如下。在第2节中,我们描述了框架组件:框架核心、层和概要文件。我们简要介绍ISMS,ISO/IEC 27001系列,阿联酋当地机构采用国际标准,即NESA,ADSIC和DESC。将国际标准映射到NESA和ADSIC的地方标准以及拟议框架的结构和组成部分也在第3中详细介绍。第三还介绍了案例研究框架的实施.第4节介绍了国家安全指数的定义,并对其使用和解释进行了说明。本节还介绍了评估结果和建议第5概述了结论和未来途径。2. 相关工作在本节中,我们总结了安全评估框架主题的相关文献作者在(关于ISO)中将网络安全能力成熟度模型描述为组织可以评估其实践当前成熟度水平他们提供了网络安全能力成熟度模型的比较研究,该模型建立在以前的审查基础上(教育,2016)。该研究评估了2012年至2017年已发表研究的系统性综述的差异,优点和缺点该方法基于(ISO/IEC,2013)中提出的五个类别的软件改进环境的在安全社区中,有几个兴趣将本地安全策略映射到ISO标准中(Peltier,2016)。近年来,在这个方向上进行了几项工作。例如,该工作(Barafort等人,2017; Ali,2014;Beckers等人,2014),解决了建立安全要求并将其映射到ISO标准的问题。同时,其他工作提出了符合ISO标准的信息安全治理模型(Williams et al.,2013; Erin等人,2020; Jennex和Durcikova,2020)。所有现有的试验都是基于小型组织的安全要求。然而,这些模式都不是为了满足全国的安全要求。作者在Souag et al. (2016)提出了一个系统的映射研究和对现有的安全需求工程方法的分析,这些方法采用了知识的重用。这项工作的主要目标是确保安全需求工程方法依赖于知识的可重用性。Haufe et al. (2016)提出了一个过程映射信息安全管理体系核心过程的研究。ISMS核心过程的几个标准被确定,包括:规范性、操作、转换、责任/职责和价值生成。Layton(2016)和Humphreys(2016)讨论了ISO/IEC 27001:ISMS标准的实施问题,两位作者都强调ISO/IEC 27001允许范围界定,这在实施层面提供了广泛的灵活性。然而,当实现偏离标准时,这可能会造成严重的不Fabian等人(2010)确定了安全需求映射的不同类别,例如多边,基于UML,面向目标的方法,基于问题框架,基于风险分析和基于公共标准。Elahi(2009年)的工作采用了一种制图分类,这取决于该方法是侧重于威胁和脆弱性还是侧重于安全要求和对策。Anton和Earp(2004)提出了一种减少Web站点隐私漏洞的需求分类法。 他们评估了来自多个行业的25项互联网隐私政策。这种类型的研究有助于从安全的角度确定主要目标和弱点。在Souag等人的工作。(2015)提出了安全的概念空间,作者确定了安全中使用的主要概念以及它们之间的关系。这允许利用由安全要求缓解的漏洞,因此,通过反措施来实现。还制定了若干在机构一级确定安全风险的框架(Cavusoglu等人,君,●●●●●●●J.N. Al-Karaki,A.Gawanmeh和S.亚萨米沙特国王大学学报308322015; Dzombeta等人,七月,2014年)。此外,Mirtsch等人(2020年)、国际标准化组织和国际电工委员会(2013年)制定了信息安全管理标准和最佳实践措施集。许多研究也提出了国家安全指数的概念。许多安全指数是由国际组织与私营部门合作制定的。这些指数涉及法规、组织措施、国家战略和合作等问题(Cyber,2015;全球网络安全议程)。一般来说,有两种类型的指数。第一个目的是在全国范围内对组织进行比较,以了解其安全状况。第二种方法采用基于一组指标的评分机制。在本文中,我们提出了一个指数,结合这两种方法。总体而言,这些指数有助于揭示国家一级的网络安全差距和做法。表2概述了世界各地用于安全评估的各种指数。该表还在最后一行列出了我们提议的指数,称为阿联酋国家网络安全指数(aeNCI),与其他指数相当。该拟议索引的详细信息见第4。作为强大的安全评估计划的关键部分,安全评级或安全索引是评估 网 络 风 险 和 促 进 组 织 之 间 基 于 风 险 的 协 作 对话 的 有 用 工 具(Crespo等人,2018年)。这些工具还将作为诊断测试,以衡量组织对组织安全的承诺水平,并确定其网络安全计划的成熟度。为了提高对任何安全评级/索引措施的信心程度,任何提议的方法都应提高报告的质量和准确性、公平性,并为分数和评级的适当使用和披露制定指导方针这些工具的一个主要好处是有助于确定组织的信息安全管理系统是否持续符合ISO/IEC 27001标准)。此外,此类网络安全活动可以帮助决策者了解该领域的重要性和复杂性(Jazri et al.,2018;Hohmann等人,2017年)。为此,需要一个安全评估框架,并配备适当的精心设计的安全指数,以诊断和衡量每个组织在当地和全球范围内的承诺水平。如表2所示,现有的网络证券指数缺乏广泛的评估标准的全面覆盖。例如,一些涉及经济影响、排名、概况和建议。处理其中一些问题的指数缺乏基本的指数,如威胁和技术方面。因此,本工作中提出的框架旨在填补空白,并为所有指标提供全面的Watkins和Hurley(2015)提出了一种方法来检查在基于科学的风险度量方面,网络的可靠性和安全性风险度量是使用层次分析法的基本得分构建的Gadyatskaya et al.(2016)建议弥合实际风险评估方法和学术研究方法之间的差距。这一差距解释了为什么学术成果的实际影响在某种程度上是有限的。因此,作者提出了一个框架称为TRICK的安全风险评估。Schmid and Pape(2019)、Schmitz and Pape(2020)的近期工作提出了一种信息安全成熟度的测量方法,这对于在政府组织内建立基于知识的信息安全管理体系是必要的作者建议通过应用成熟度模型来评估信息安全,该方法基于层次分析法(AHP),比较组织内信息安全控制的成熟度该方法使用媒体和技术领域的真实安全数据进行验证在此之后,LiSRA,一个轻量级的,特定于域的框架,以支持信息安全决策也提出了同一团队。这表明了建立正式安全评估框架的兴趣,因此,我们的工作将利用这一点,并解决政府组织缺乏基于自身安全标准和控制的安全评估框架的问题。3. GoSafe网络安全框架在本节中,我们描述了本文的研究问题,以及拟议的安全框架的一般组织,并展示了如何将本地倡议映射到ISO 27001的国际标准。3.1. 问题公式化在本文中,我们解决的问题,利用实际的方法和利用一些有用的工具嵌入在拟议的框架中的组织的安全评估。这些工具在我们提出的称为GoSafe的框架内协同工作。拟议的框架正在解决的问题如下所示给定一组组织X = {x1,x2,x3,.,xn},拟议的框架将提供进行自我评估的工具和方法,并为国家当局提供对构成特定国家网络空间的所有组织进行衡量和评级的工具和方法:1. 为进行自我评估,一个组织从框架中选择一种审计工具(在线调查或预审计工具)。2. 每个组织x X都可以根据当地和国际标准对其安全计划和ISMS进行预先审计。Go safe工具将生成一份报告,显示组织ISMS相对于当地标准或国际标准的弱点和优势。3. 国家安全当局(如NESA)使用aeNCI评分方案,将生成一份报告,根据定义明确的指标和领域对X组中的所有组织进行排名,同时确定组织实施ISMS的弱点。3.2. 框架设计为了设计GoSafe,结合了安全要求方面的文献在进行本次审查时,外地只有数量有限的既定框架,尽管最近引入了更多的框架这些文件由NIST、ISO、ISACA等组织发布。此外,拟议的框架利用在线进行的审计调查,将国际标准与本组织现有的安全控制相结合。该框架实现了阿联酋国家安全标准与国际标准(例如,ISO/IEC2700x)。该框架图 5显示了GoSafe框架的三个主要组件。建议的框架将包含三个基本组成部分:核心、实现层和概要文件。该框架的核心是“一套实现具体安全成果的活动”,并参考了实现这些成果的指导实例。实施层确定了组织在实施框架时可以使用每个组织J.N. Al-Karaki,A.Gawanmeh和S.亚萨米沙特国王大学学报3084表2全球评估指标矩阵(Cybersecurity Index of Indices,2015)。网络成熟度网络威胁评分排名索引框架政策组织技术经济建议概况全球网络安全指数网络成熟度(亚太地区)网络指数:国际安全趋势与现实网络安全:全球规则转折点网络运营成熟度框架网络就绪指数2.0网络安全情报指数指数网络安全网络安全指数x x x x x xx x x x x xx x x x组织:x x x x x x x x x x x x x x xx x x xx x x x xx x x xx x xx x x x吉布森指数x x x2014年信息风险成熟度风险和超连接世界的责任网络安全能力成熟度模型x x x xx x x x x xx x x x网络力量指数100 x 100 x 100 x欧盟网络安全仪表板阿联酋网络安全指数(aeNCI)*组织:体操队形x x x xx x x x x xx x x xx x* 关于这个拟议的aeNCI指数的更多细节,请参见第6。应该保持两个配置文件:当前和目标。这些配置文件可以帮助组织找到其网络安全实施中的薄弱环节可以将这些要求与本组织的当前业务状况进行比较,以了解两者之间的差距。拟议的框架并不是要取代各组织现有的程序。它用于调整业务流程,并确保网络安全计划解决框架核心中定义的网络安全计划的所有要素。此外,网络安全框架使用配置文件的概念帮助组织遵守合规性要求。当实施GoSafe框架时,应遵循图6所示的连续和循环路线图。例如,如果分析和报告需要更多的证据,那么可以进行更多的实地工作。当前状态配置文件和目标状态配置文件本质上是我们的框架为组织提供的主要两个状态之旅,以更好地了解其安全态势。要从当前状态(弱)移动到目标状态(强),每个组织都应遵循GoSafe框架图6中解释的路线图。通过根据合规性要求评估和审查当前的安全策略和实践,确定当前状态概要。这些问题包括:安全接下来,定义组织的目标状态配置文件以解决弱点。目标配置文件定义了组织的网络安全计划要遵循的目标,以便与标准/框架子类别保持一致,以达到目标状态配置文件。该框架确定了一个系统的方法,以便闭合两个轮廓之间的间隙。这种方法在图7中被描述为具有定义良好的活动的路线图供所有部门遵循,以改善网络安全状况。框架中嵌入的工具生成当前和目标状态配置文件的报告。在下一节中,我们将展示一个审计工具,该工具是我们构建的,用于帮助阿联酋的组织检查其是否符合当地标准。表3说明了ISO27000检查表的六个强制性阶段,这些阶段在我们框架中的ISMS实施阶段交错进行在本文中,我们将在安全需求映射中采用此检查列表。4. GoSafe框架中的审计工具在本小节中,我们描述了构建并添加到拟议的GoSafe框架中的工具这些工具包括自我调查工具(将在本节后面进一步解释)和J.N. Al-Karaki,A.Gawanmeh和S.亚萨米沙特国王大学学报3085图五. 拟议的GoSafe架构的组成部分。基于Web的预审核工具,用于符合ISO/IEC 2700 x相关的本地标准,例如,NESA。作为拟议框架一部分实施的审计前评估工具可简化评估目标组织信息安全级别/状况的过程。虽然ISMS审计是政府、公共部门、企业部门和许多其他实体必须面对的挑战,但它们正在努力理解该流程以及如何启动该流程。该工具可作为任何IT或非IT管理人员的快速状态检查,以了解组织目前,这些工具在中国是缺乏的由于阿联酋的官方语言是阿拉伯语,因此我们发现阿拉伯文版本对政府机构很有帮助,因为大多数当前流程都是以阿拉伯文记录的。因此,安全意识运动加强了阿联酋的民族风味。以下是开发工具的主要特点:提供多语言支持(例如阿拉伯文支助)预审核可在一小时内完成,并提供总结报告。CxO或政府高级官员的图形摘要报告。摘要报告将提供现状以及需要重点关注的领域。在很短的时间内,一个实体可以制定ISMS计划,并开始计划,以符合ADSIC,NESA和DESC标准。为官方机构审计提供自我审计,从而避免巨额咨询费用作为一个方便的指示器,突出审计中缺乏注意的领域见图7。安全评估路线图方法。在阿联酋的政府、部委和公共部门广泛采用,这些部门的流程以阿拉伯语● 补充阿联酋政府此外,该工具还有很大的进一步发展空间。该工具的性能可以进一步提高,包括更多的组织细节,如组织结构的复杂性,交易量,流程的复杂性等评估应由信息安全官员谁是熟悉的环境。用户将被引导通过问卷调查,以收集ADSIC控制中各个部分的相关详细信息。对于每个项目,该工具将分别按照表4中每个安全标准项目的得分(0-5)标记合规状态总共有100个问题,平均需要3小时才能完成评估。自我评估可以在组织认为适合跟踪其安全成熟度的频率上进行。评估工具使用0-5的等级成熟度级别包括:未执行、非正式执行、有计划、明确定义、定量控制,最后是持续改进。组织可以通过使用相同的0到5分来替换ADSIC、DESC、COBIT、NIST、NESA或其他可能更熟悉的成熟度该工具将在评估结束时显示一个快速标记,通过变为红色、绿色或黄色来指示合规状态ADSIC 标准。图8显示了风险管理(ISO27005)的一次评估活动的快照,其中包含部分结果。图六、ISMS中ISO2700x检查表的六个强制性阶段●●●●●●●●J.N. Al-Karaki,A.Gawanmeh和S.亚萨米沙特国王大学学报3086表3四步保护行动计划。步骤[1]的文件。 了解ISO 27001治理和合规要求。[2]的文件。开始计划向组织推出信息分类和保留策略和工具,以帮助用户识别、分类和保护敏感数据和资产。[3]的文件。通过创建审计和问责政策作为标准操作程序(SOP)的一部分,确保与信息安全相关的记录免遭丢失、删除、修改或未经授权的访问[4]的文件。 定义组织的管理和安全角色,以及与职责分离相关的适当策略。表4评估工具使用0-5的等级来对成熟度进行评分(5是最高的成熟度等级)。评分ISO/IEC 2700 x定义0不执行控制和安全计划是不存在的。使其业务老化,并使技术、服务、金融、学生服务和人力资源等后台功能自动化。学习管理系统(LMS)处理电子教育技术内容,包括数据管理、文档编制、跟踪、报告、课程交付和1非正式执行控制区的基础实践通常是临时进行的。这些做法没有得到正式采纳、跟踪和报告。考核使用的一些系统也是专有软件,如微软产品。因此,它不能以任何方式改变除了改变自己的政策外,2控制区都是计划好的、实施好的、可重复的。3定义明确流程比第2级更成熟,可重复、记录、批准并在组织范围内实施。图9示出了当前的IAT服务和架构技术架构。这些服务还为校园内的所有学术和非学术活动提供支持,所有教职员工和学生之间的大协作,4定量控制5不断提高测量和验证过程(例如,可审计)。标准程序会定期检讨及更新。改进反映了对漏洞影响的理解和应对IAT。它还概述了目前正在采取的安全措施或组成部分,从而指出了可能改进安全的领域安全体系结构使用来自不同技术的深度防御概念来管理三个主要层。另一方面,数据生命周期管理、身份管理和端点安全是该框架中的工具还用于展示阿布扎比一家大型教育组织的案例研究,即在阿联酋各地拥有校园IAT的任务是满足ADSIC标准的安全要求。下一节将详细介绍这一案例。5. 拟议框架的执行情况:案例研究在本节中,我们将展示如何将包括预审核工具在内的拟议框架应用于阿联酋的一个大型教育机构(ISO/IEC,2013)。5.1. 关于IATIAT主要使用网络内容,学习管理系统(LMS),学生信息系统(Banner)和企业资源规划(ERP)。ERP系统将整合所有的教育和非教育业务和服务,以便人-第三层。所有层的所有技术都将日志提供给集中式服务器,用于事件关联,警报,报告,仪表板,审计等。它由全面的策略,程序,指南,标准和安全意识进行管理,这些都应该符合ISO 27001 :2013,ADSIC和NESA等标准。 图图10显示了IAT IT服务和应用的安全控制的框架组件和交互。5.2. 在IAT中实施GOSafe拟议框架分两个阶段实施:(a) 使用全面调查对ISMS进行内部审计和管理审查,并将调查结果与预审计工具的调查结果相本节的第二部分显示了根据ISO/IEC 27001对IAT信息系统和资产见图8。预审核工具仪表板的快照。J.N. Al-Karaki,A.Gawanmeh和S.亚萨米沙特国王大学学报3087见图9。目前所有校区的IAT信息技术架构,已实施ISMS的安全要素。(b) 应用预审核工具来审查IT架构和服务是否符合ISO/IEC 27000系列标准,即,ISO/IEC 27001和ISO/IEC 27002。所执行的审计与组织的信息安全业务要求直接相关。IAT的资产包括硬件、软件、网络、人员和站点。这些资产中的每一个都根据与之相关的可能漏洞,以不同的方式将IAT信息安全暴露于可能的风险。表5展示了基于ISO/IEC 27005标准的漏洞分类。该框架还允许对组织ISMS进行它识别并量化组织的软件和硬件架构中可能存在漏洞的脆弱点图10.显示案例研究的框架组件和交互的示意图。请注意,审计工具和拟议的框架允许一个清单,使IAT基准对其他教育机构在国内和国际上使用的排名过程,这是在本文的第5为了满足ISO/IEC 27001的要求,使用表5中概述的过程并通过使用下文解释的综合调查工具,制定并实施了信息保护行动计划5.2.1. IAT案例研究调查使用在线综合调查评估IAT和所有相关实体的信息安全准备情况。本调查的动机是帮助了解信息系统安全和态势的各种利益相关者的观点该研究旨在确定ISO 27001系列合规性方面的薄弱环节,以便相应地提出适当的缓解机制。此外,调查结果将有助于了解信息安全在ISO27001标准合规方面的水平。数据主要是通过使用谷歌表单的在线调查收集的,在极少数情况下,数据是通过面对面访谈收集的。调查的样本量包括IAT中使用IT服务或系统的所有类型的用户(例如教师、管理员、学生、IT员工等)。2000年左右,表5漏洞与资产分类。资产脆弱性硬件计算机系统中任何可利用的弱点(例如:基于硬件的攻击、不受保护的存储)软件缺乏审计线索,设计和编码不当,验证和测试网络不安全的通信线路,缺乏加密,缺乏不可否认性,不安全的网络架构人员缺乏安全意识计划缺乏可靠的电力来源,该地区容易发生洪水或火山爆发J.N. Al-Karaki,A.Gawanmeh和S.亚萨米沙特国王大学学报3088用户,其中60%的响应邀请。该调查开放了一个月,每周向不同的用户发送几次提醒。然后,使用简单的加权平均技术对调查结果进行分析。根据ISO 27001:2013 ISMS要求的定义,调查分为几个评估领域,如下所列(a) 组织信息安全管理体系(ISMS)(b) 资产管理(c) 应用安全(d) 人力资源保障(e) 物质和环境安全(f) 访问控制(g) 信息安全事件管理(h) 合规以下是这次全面调查的结果。图11显示了在IAT成功实施ISMS的评估结果,用于上面列出的ISMS的各个部分。x轴表示每个问题的受访者的额定百分比,y轴显示每个领域的问题。调查的各个方面,报告在图。 11个分类如下:(a) 信息安全策略域(b) 规程和指南(c) 作用和责任(d) 行动安全(e) 合规图 11(a)和10(b)表明,超过50%的参与者不知道IAT有一个明确的ISMS政策。这意味着ISMS上没有正式的文件,也没有在员工中适当传播然而,42%认可ISMS的参与者同意其组成部分对于信息安全风险评估是有意义和充分的。图11(c)和(d)显示了关于IAT中使用的安全措施和控制的响应之间的相等性。大多数IAT受访者不知道加密通信的可用性。必须应用适当的策略传播,以便员工从安全角度了解他们正在使用的通信基础设施。结果表明,IAT确实保持了适当的物理保护,如外部电缆,安全锁和闭路电视。这表明工管处已准备好制定所需的ISMS,并在员工中适当传播。安全管理员角色的存在强制记录与不同角色相关的不同活动的活动这一点在Fig. 11(d). 图 11(e)表明近35%的受访者认可为防止组织记录被破坏和伪造而保持的高水平保护。然而,大约43%的受访者认为,信息安全的IAT监管和合同没有很好地确定,以包括新的业务要求。图11(f)显示了在IAT成功实施ISMS的总体评估结果,其中50%显示与标准不兼容。此外,目前的IAT员工也同意,IAT库存不是完全最新和准确的。因此,在应用新的和修补的安全控制时,不会考虑库存列表上的任何新我是恶魔-在Fig. 11(c).在与IAT安全小组的非公开会议上讨论了结果。IT部门的各个部门也参加了会议。会议的主要成果是,框架和工具帮助各个团队更好地了解IAT的网络安全目标,以及如何在未来几年内以具有成本效益的该小组还指出,该框架为他们提供了更方便的工具,以便在整个组织内共享信息。此外,本发明还提供了一种方法,见图11。 综合评估调查结果。J.N. Al-Karaki,A.Gawanmeh和S.亚萨米沙特国王大学学报3089IAT能够支持具有不同网络安全要求的几个部门,以增强态势。IAT指出,5.2.2. 基于调查结果的见解和建议在本小节中,我们将根据调查结果向IAT机构概述我们的建议,以及为实施这些建议而采取的步骤第一阶段-这一步是为了获得管理层的支持。第2阶段第三阶段第4阶段-确定风险评估的适当范围:IAT需要定义并记录风险评估方法,以满足ISO/IEC 27001的要求。由于ISO/IEC 27001标准没有规定具体的风险评估方法,因此可以使用任何国际风险指南。阶段5IAT资产的丢失、被盗应立即向IT经理或安全主管报告阶段6-准备SOA:适用性声明(SoA)是一份描述ISO 27001中哪些控制措施适用于IAT组织的文件。要实施和应用的选定控制措施。第7阶段 IAT应制定风险处理计划(RTP),该计划将作为协调点,并定义降低不可接受风险所需的行动,同时实施所需的控制措施,以保护IAT组织内的信息资产。第8第9最后一点需要注意的是,信息系统管理系统的实施进程必须得到机构间行政技术管理层的充分承诺,分配足够的资源来管理、开发、维护和实施信息系统管理系统。虽然这项工作的主要目标是提出一个框架,支持使用基于指数的指标进行定量网络安全评估,但提供各种组织如何遵守各种标准要求的排名模式也很重要,即:DESC和ADSIC。这是下一节讨论的主题。6. 阿联酋国家安全指数(aeNCI)在本节中,我们将定义阿联酋国家安全指数的概念。该指标是根据定义明确的安全标准设计的,该标准可作为不同实体的各种安全要求的共同参考。这是必要的为了有一个标准化的指标,从而能够使用同一标准评估各种实体国家网络安全指数(aeNCI)是一项诊断测试,用于衡量阿联酋内部每个组织对组织安全的承诺水平作为强大的安全评估
我的内容管理
展开
