隨著數位時代的快速演進,資訊安全成為組織不容忽視的重要議題。為因應不斷變化的威脅和挑戰,國際標準組織在 ISO 27001:2022 中新增了 11 個控制措施,進一步強化資訊安全的保護措施,以確保組織能夠持續應對風險。以下將逐一介紹這些新增措施,並提供實際舉例及操作建議。
1. 威脅情報 (5.7)
新版 ISO 27001 強調了對資訊安全威脅情報的收集與分析,以提供組織更準確的威脅意識,並採取適當的應對行動。例如,針對重大漏洞如 Log4j,或是針對 DDoS 攻擊,組織應該制定對應的保護措施,並進行事件分析,以累積對未來威脅的洞察。此外,組織應建立完善的證據記錄,以支持對威脅情報的有效分析和應對。
2. 使用雲服務的信息安全 (5.23)
隨著雲端運算的普及,新版 ISO 27001 強調了對於使用雲服務時的信息安全要求。組織應根據其資訊安全需求,制定適用於雲端服務的流程,包括取得、使用、管理和退出雲服務的過程。例如,組織應與雲服務供應商合作,明確列出資訊安全的相關條款,確保雲服務的使用不會導致資訊洩露或風險增加。
3. ICT 為業務連續性做好準備 (5.30)
新版 ISO 27001 強調了資通訊技術 (ICT) 在業務連續性中的關鍵角色。組織應該根據業務連續性目標,計劃、實施、維護並測試 ICT 的準備狀態。在服務中斷時,組織需確保資訊和相關資產的可用性。舉例來說,組織應該評估異地備援方案的可靠性,以確保在服務中斷情況下能夠迅速恢復業務運作。
4. 物理安全監控 (7.4)
新版 ISO 27001 強調了對營運場所的物理安全監控,以防止未經授權的實體進出。這包括持續監控營運場所,檢測並阻止任何未經授權的實體進入。例如,組織可以設置監視器、入侵偵測器等裝置,以實時監控營運場所的安全狀況。
5. 組態管理 (8.9)
新版 ISO 27001 強調了對硬體、軟體、服務和網路的安全組態管理。組織應該建立、記錄、實施、監控並審查相關組態,確保它們正常運行並具有安全性設置。例如,組織可以建立標準的組態樣板,規定密碼管理、安全配置等要求,並確保這些要求在整個生命週期中得以實施。
6. 資訊刪除 (8.10)
新版 ISO 27001 強調了對資訊刪除的管理,以防止非必要敏感資訊的洩露。組織應根據法律、法規、監管和合約要求,在不需要資訊時將其刪除。操作建議包括確立刪除方法、保留證據、記錄刪除時間等。
7. 數據遮罩 (8.11)
新版 ISO 27001 強調了對數據遮罩的需求,以保護個人可識別資訊 (PII) 等敏感資料。組織應根據特定主題訪問策略,限制敏感資料的曝露。例如,可以進行去識別化處理、匿名化處理等,以保護敏感資料。
8. 資料洩露預防 (8.12)
新版 ISO 27001 將資料洩露預防措施集中整合,確保未經授權的資訊揭露得到有效的防範。這可以透過各種技術措施實現,例如防火牆、保全措施、網絡安全等,以確保資訊不受未授權訪問或揭露。
9. 監控活動 (8.16)
新版 ISO 27001 強調了對各種活動的監控,包括網絡流量、系統異常、登入情況等。組織應建立有效的監控機制,以檢測異常行為並迅速響應。例如,組織可以使用監視器、偵測器等工具來實現對資訊系統的監控。
10. 網頁安全防護 (8.23)
新版 ISO 27001 強調了對外部網站存取的管理,以減少對惡意內容的接觸。組織應確保外部網站的存取受到嚴格監控,以防止惡意軟體的破壞,避免存取未經授權的網路資源。
11. 安全編碼 (8.28)
新版 ISO 27001 強調了對程式編寫的安全性要求。組織應制定安全編碼方法,並考慮開發過程中的保全要求、版本控制等。此外,對於開放源的漏洞,組織應在事前、開發期間和事後都進行有效的安全管理,以確保程式的安全性。
總結而言,新版 ISO 27001:2022 的新增 11 個控制措施進一步強化了組織在數位環境中的資訊安全保護。組織應充分了解這些措施,根據其業務需求進行相應的實施和管理,以確保資訊安全得到全面保障。
結論而言,隨著數位時代的來臨,資訊安全變得比以往任何時候都更為關鍵。ISO 27001:2022 的最新版本引入的 11 個新增控制措施,進一步強化了組織在面對不斷變化的資訊安全威脅時的準備和應對能力。這些措施涵蓋了多個關鍵領域,從威脅情報的收集與分析,到雲端服務的使用、業務連續性的準備,再到物理安全監控、資料刪除、數據遮罩等方面。通過這些控制措施的有效實施,組織能夠更好地保護敏感資訊,減少潛在的風險,確保業務的可持續性,並確保在面對各種安全挑戰時能夠保持靈活應變。因此,組織應該密切關注這些新增措施,將其納入資訊安全管理體系中,以確保在現代數位環境中保持強大的資訊安全防護。
一站式解決方案提供者
