随着数位时代的快速演进,资讯安全成为组织不容忽视的重要议题。为因应不断变化的威胁和挑战,国际标准组织在 ISO 27001:2022 中新增了 11 个控制措施,进一步强化资讯安全的保护措施,以确保组织能够持续应对风险。以下将逐一介绍这些新增措施,并提供实际举例及操作建议。
1. 威胁情报 (5.7)
新版 ISO 27001 强调了对资讯安全威胁情报的收集与分析,以提供组织更准确的威胁意识,并采取适当的应对行动。例如,针对重大漏洞如 Log4j,或是针对 DDoS 攻击,组织应该制定对应的保护措施,并进行事件分析,以累积对未来威胁的洞察。此外,组织应建立完善的证据记录,以支持对威胁情报的有效分析和应对。
2. 使用云服务的信息安全 (5.23)
随着云端运算的普及,新版 ISO 27001 强调了对于使用云服务时的信息安全要求。组织应根据其资讯安全需求,制定适用于云端服务的流程,包括取得、使用、管理和退出云服务的过程。例如,组织应与云服务供应商合作,明确列出资讯安全的相关条款,确保云服务的使用不会导致资讯泄露或风险增加。
3. ICT 为业务连续性做好准备 (5.30)
新版 ISO 27001 强调了资通讯技术 (ICT) 在业务连续性中的关键角色。组织应该根据业务连续性目标,计划、实施、维护并测试 ICT 的准备状态。在服务中断时,组织需确保资讯和相关资产的可用性。举例来说,组织应该评估异地备援方案的可靠性,以确保在服务中断情况下能够迅速恢复业务运作。
4. 物理安全监控 (7.4)
新版 ISO 27001 强调了对营运场所的物理安全监控,以防止未经授权的实体进出。这包括持续监控营运场所,检测并阻止任何未经授权的实体进入。例如,组织可以设置监视器、入侵侦测器等装置,以实时监控营运场所的安全状况。
5. 组态管理 (8.9)
新版 ISO 27001 强调了对硬体、软体、服务和网路的安全组态管理。组织应该建立、记录、实施、监控并审查相关组态,确保它们正常运行并具有安全性设置。例如,组织可以建立标准的组态样板,规定密码管理、安全配置等要求,并确保这些要求在整个生命周期中得以实施。
6. 资讯删除 (8.10)
新版 ISO 27001 强调了对资讯删除的管理,以防止非必要敏感资讯的泄露。组织应根据法律、法规、监管和合约要求,在不需要资讯时将其删除。操作建议包括确立删除方法、保留证据、记录删除时间等。
7. 数据遮罩 (8.11)
新版 ISO 27001 强调了对数据遮罩的需求,以保护个人可识别资讯 (PII) 等敏感资料。组织应根据特定主题访问策略,限制敏感资料的曝露。例如,可以进行去识别化处理、匿名化处理等,以保护敏感资料。
8. 资料泄露预防 (8.12)
新版 ISO 27001 将资料泄露预防措施集中整合,确保未经授权的资讯揭露得到有效的防范。这可以透过各种技术措施实现,例如防火墙、保全措施、网络安全等,以确保资讯不受未授权访问或揭露。
9. 监控活动 (8.16)
新版 ISO 27001 强调了对各种活动的监控,包括网络流量、系统异常、登入情况等。组织应建立有效的监控机制,以检测异常行为并迅速响应。例如,组织可以使用监视器、侦测器等工具来实现对资讯系统的监控。
10. 网页安全防护 (8.23)
新版 ISO 27001 强调了对外部网站存取的管理,以减少对恶意内容的接触。组织应确保外部网站的存取受到严格监控,以防止恶意软体的破坏,避免存取未经授权的网路资源。
11. 安全编码 (8.28)
新版 ISO 27001 强调了对程式编写的安全性要求。组织应制定安全编码方法,并考虑开发过程中的保全要求、版本控制等。此外,对于开放源的漏洞,组织应在事前、开发期间和事后都进行有效的安全管理,以确保程式的安全性。
总结而言,新版 ISO 27001:2022 的新增 11 个控制措施进一步强化了组织在数位环境中的资讯安全保护。组织应充分了解这些措施,根据其业务需求进行相应的实施和管理,以确保资讯安全得到全面保障。
结论而言,随着数位时代的来临,资讯安全变得比以往任何时候都更为关键。 ISO 27001:2022 的最新版本引入的 11 个新增控制措施,进一步强化了组织在面对不断变化的资讯安全威胁时的准备和应对能力。这些措施涵盖了多个关键领域,从威胁情报的收集与分析,到云端服务的使用、业务连续性的准备,再到物理安全监控、资料删除、数据遮罩等方面。通过这些控制措施的有效实施,组织能够更好地保护敏感资讯,减少潜在的风险,确保业务的可持续性,并确保在面对各种安全挑战时能够保持灵活应变。因此,组织应该密切关注这些新增措施,将其纳入资讯安全管理体系中,以确保在现代数位环境中保持强大的资讯安全防护。
一站式解决方案提供者