遠距辦公空間的資訊安全

最新修訂版ISO 27001:2022現已推出，2023年10月之後的所有審計都必須依照2022年標準進行。 DQS是ISO 27001:2022認證的提供商2022 年修訂版新增了遠距辦公網路安全的內容，並提出了確保工作場所（即使是指家庭辦公室）網路安全的新要求。這些修訂將使高階主管和管理團隊安心，因為修訂版概述了建立健全資訊安全計畫的最低要求。

2022 年修訂版的一項要求範例是，您的組織必須建立資訊安全威脅資訊收集程序才能符合標準。這對組織至關重要，因為 IT 團隊無法設定遠端員工的工作環境，所以需要一種方法來追蹤威脅，並利用從這項工作中獲得的知識來防止資料安全漏洞。此外，實施 ISO 27001 將提高整個組織的安全意識，因為維持合規性需要持續的參與和承諾。

員工在遠距辦公時，如何保障組織的資料安全？首先，所有新進員工都必須接受網路安全培訓，老員工則需每年參加複訓。這些培訓雖然對普通員工來說可能略顯枯燥，但卻能指導他們如何在遭遇網路釣魚攻擊時採取應對措施，並提供有關新型威脅的信息，從而有助於減少風險行為。此外，還有一些措施，例如在處理合約等業務相關事宜時始終連接到組織的VPN，以及更改路由器的預設密碼。

攜帶公司設備和個人設備出行時，務必將設備放在視線範圍內，切勿讓其無人看管，也不要讓設備通過藍牙和Wi-Fi連接，因為這些設備可能包含間諜軟體等有害威脅。出發前以及出遊後，應定期將設備的軟體和安全防護更新至最新版本。新的安全威脅層出不窮，因此必須定期更新，以確保設備得到最佳保護。

但如果威脅並非來自組織內部呢？例如23andMe的資料外洩事件？根據Wired網站報道，23andMe公司發言人表示：「我們認為，攻擊者可能違反了我們的服務條款，未經授權訪問了23andme.com帳戶並獲取了其中的資訊。」 即使擁有最好的軟體和安全檢查措施，也難免會發生意外。新的威脅可能毫無預警地出現──那麼接下來該怎麼辦？ ISO 27001:2022標準中概述了組織在面臨風險時制定應對計畫的架構。一旦問題發生，這些計劃就會自動啟動，以最佳方式解決問題、尋找來源、修復故障等等。 ISO 27001不僅包含對員工的要求，還包括問題發生後的應對措施以及為客戶制定的指導方針。

那麼，ISO 27001:2022 是否也適用於保護客戶資料和委託人資料呢？是的，這意味著員工需要謹慎處理客戶提供的資料和訊息，同時也意味著客戶需要配合，共同保護資料安全。服務條款 (ToS) 和隱私權政策不僅旨在幫助組織更好地規避風險，也有助於客戶防範自身帳戶和資訊的風險。當客戶與您的產品互動或使用您的服務時，即表示他們同意服務條款和隱私權政策，其中可能包含服務和產品使用方式以及客戶提供的資料使用方式的限制。此外，可能還會包含關於如何設定「雙重認證」以更好地保護客戶資料的其他指南。作為組織，即使有了這些協議，您也必須盡量避免抱持過高的期望，因為並非所有人都會遵守要求或找到規避障礙的方法，這些障礙可能來自內部，也可能來自外部。

在探索保護資訊的最佳方法時，ISO 27001 是最佳的起點。而從 ISO 27001 出發，還有… ISO 27701然後轉向管理系統，例如ISO 9001和ISO 45001我們很樂意與您探討 ISO 27001 相關事宜，無論您是首次實施該標準，還是希望從 ISO 27001:2013 升級。我們也提供 ISO 27001:2022 內部稽核員培訓。 DQS學院為了協助您完成流程，請立即發送電子郵件與銷售部門聯繫。 [email protected]或使用以下連結。

正在尋找能夠為汽車產業提供資訊安全保障的解決方案嗎？我們也提供TISAX® 認證我們也為那些希望…的人提供線上學習課程。在TISAX®方面建立教育基礎以及那些想要去的人在實施過程的更深層次。