【資安合規】了解 ISO 27001 的 14 個領域
許多人已經知道,ISO 27001 是一項國際公認的標準,它建立和維護強大的資訊安全管理系統 (ISMS) ,並提供了全方位的指南。
該標準由 14 個部分組成,每個部分都涉及組織內資訊安全的特定領域。在本文中,我們將詳細介紹這些領域,探討它們的目標,並總結它們為加強資訊安全提供的方針。
1. 資訊安全政策:
目標:
第一個領域旨在通過制定簡明扼要的政策和指導方針,突出組織對保護敏感資訊的承諾,為公司奠定資訊安全基礎。
指導方針:
企業必須制定全面的資訊安全政策,涵蓋數據分類、程序處理、權限控制以及遵守相關法律法規要求。它將詳細說明公司對數據洩露、洩漏和惡意駭客將採取哪些行動。
2. 資訊安全組織:
目標:
這一領域的重點是建立一個高效的管理結構,負責監督和維護整個組織的資訊安全實踐。
指導方針:
組織需要聘用或指派人員擔任與資訊安全相關的特定職務。這些人員需要提高員工對自身資訊安全義務的認識,並建立有效的溝通渠道,以報告和處理資訊安全事件。
3. 人力資源資訊安全:
目標:
透過確保員工和第三方人員充分了解並認識到他們的資訊安全做法和責任,最大限度地降低與人有關的資訊安全風險。
指導方針:
應聘用人力資源員工或對其進行培訓,使其能夠實施背景調查、提供安全意識培訓和引入保密協議,以幫助降低與員工訪問敏感數據相關的潛在風險。
4. 資產管理:
目標:
資產管理領域旨在識別、分類和建立控制措施,以保護對組織有價值的資訊資產。
指導方針:
組織應編制一份所有資產的清單,評估每項資產的價值和關鍵性,並實施適當的安全措施來保護這些資產。這一過程將包括制定資訊安全處理、存取和處置公司資產的措施。
5. 訪問權限控制:
目標:
這一領域的重點是在配置權限,只允許授權人員訪問公司敏感資訊和資訊處理設施。
指導方針:
組織應審核和審查其資產和資訊的可訪問性。建議實施用戶身份驗證機制,根據工作角色和職責授予訪問權限,並執行穩固的密碼策略,以降低未經授權的訪問風險。
6. 密碼學
目標:
密碼學側重於保護敏感資訊免遭未經授權的訪問,並通過加密確保安全傳輸和存儲。
指導方針:
公司需要對靜態和傳輸中的數據實施加密,使用經批准的加密算法,並安全地管理加密密鑰,這些都是該領域的基本做法。
7. 物理和環境資訊安全
目標:
該領域旨在保護存取或處理敏感資訊的物理場所、設備和設施。
指導方針:
組織需要建立針對潛在威脅和危害的保護措施。組織可採取的一些行動包括實施出入控制、監控系統和環境控制,以幫助防止未經授權訪問資產實體。
8. 營運資訊安全:
目標:
該領域的目標是保護資訊處理設施和系統運行,以維護資訊資產的保密性、完整性和可用性。
指導方針:
組織應建立健全的變更管理程序,區隔職責以防止利益衝突,並製定明確的事故管理程序,以進行補救。
9. 通信安全:
目標:
目標是在傳輸和網路通信過程中保護資訊。
指導方針:
建議公司應採用安全的通信管道,實施防火牆和入侵檢測系統,並執行網路訪問控制,以幫助保護通過網路傳輸的資訊。
10. 系統購置、開發和維護:
目標:
該領域側重於將資訊安全措施納入整個系統開發生命週期。
指導方針:
資訊技術團隊應在系統開發和維護過程中優先採用安全編碼實踐、定期進行安全測試和執行安全審查。
11. 供應商關係:
目標:
該領域旨在幫助企業製定針對第三方供應商和服務提供商的安全要求,以降低與外包廠商所產生的相關風險。
指導方針:
該領域的主要範圍,包括但不限於對供應商進行安全評估、確定簽約安全義務以及定期監控供應商的合規情況。
12. 資訊安全事件管理:
目標:
透過遵循本附件,企業將能夠及時發現、應對資訊安全事故並從中恢復,從而將潛在的損失降至最低。
指導方針:
組織可透過制定明確的事故應對計劃、建立清晰的事故報告程序和進行事故後審查,以有效管理資訊安全事故。
13. 業務連續性管理的資訊安全方面:
目標:
本部分旨在讓企業將資訊安全納入業務持續性計劃,以確保在中斷期間基本業務能力依舊能夠繼續進行。
指導方針:
遵守這一領域的基本步驟是進行業務影響評估、制定考慮到安全因素的持續性計劃,以及定期測試和調整計劃。
14. 合規性:
目標:
目標是確保組織遵守與資訊安全相關的適用法律、法規和簽約要求。
指導方針:
定期進行合規性評估、保存合規性工作的記錄以及處理不合規問題,是履行監管義務必須遵循的一些重要規章。
結論:
透過了解並在公司中實施 ISO 27001 的 14 個領域,可以有效保護公司的關鍵資訊資產,最大限度地降低安全風險,並在當今的數位環境中促進,並獲取客戶信任。
採用 ISO 27001 標準無疑將為未來的工作和業務帶來積極主動、彈性十足的資訊安全方法。如何讓公司獲得 ISO 27001 認證確實是一項相當艱鉅的任務。許多公司發現,最簡單的方法是使用漏洞管理軟體來找出他們面臨的漏洞和潛在威脅。 8iSoft YODA 是一家通過 ISO 27001 認證的公司,致力於幫助企業實現堅固的網路資訊安全並保護其資產。 8iSoft Yoda 採用及時識別、簡易 KPI 追蹤、人工智慧解決方案和動態分析等技術,準確快速地查找漏洞。