資訊安全技術措施

企業資訊是攻擊者夢寐以求的目標。

研究 ” 2022年經濟保護（ 2022年商業保護德國電信業協會Bitkom的一項調查證實，駭客非常清楚資訊和數據在當今商業世界中的經濟價值：36%的受訪公司已經遭受敏感資料和數位資訊被盜的侵害。其中，通訊資料（68%）和客戶資料（45%）尤其容易成為攻擊目標。

敲詐勒索、專利侵權和資料竊取直接導致的銷售損失每年高達數十億歐元。

企業和組織在處理關鍵資料時需要進一步加強保護。其他指導原則有助於進一步改善整體安全理念並縮小攻擊面。

三項提升資訊安全的新技術措施

附件A中的93項措施新版 ISO/IEC 27001:2022已重組為四個主題：

• 組織措施
• 個人措施
• 物理測量
• 技術措施

這三項新措施我們將在下文中更詳細地探討的資訊保護措施，這些措施均屬於「技術措施」主題領域：

• 8.10 資訊刪除
• 8.11 資料脫敏
• 8.12 防止資料外洩

刪除訊息

控制 8.10 ISO 27001旨在解決不再需要但仍儲存在資訊系統、設備或其他儲存媒體上的資訊所帶來的風險。刪除這些不必要的資料可以防止其洩露，從而確保符合資料刪除方面的法律、法規、規章和合約要求。

為此，公司和組織應考慮以下幾點：

• 根據業務和法律環境選擇合適的擦除方法，例如電子覆蓋或加密擦除。
• 結果記錄
• 使用服務提供者刪除資訊時需提供證據

如果第三方代表貴公司接管資料存儲，則應在合約協議中寫入刪除要求，以便在這些服務終止期間甚至之後強制執行此要求。

為確保可靠地刪除敏感訊息，同時確保遵守相關的資料保留政策和適用的法律法規，新標準規定了以下程序、服務和技術：

• 建立專門的系統，以便安全地銷毀訊息，例如，根據資訊保留政策或應受影響人員的要求。
• 刪除所有儲存媒體上的過時版本、副本或暫存文件
• 僅使用經批准且安全的擦除軟體，以永久徹底刪除資訊。
• 透過經批准和認證的安全銷毀服務提供者進行刪除
• 使用適合所處置儲存媒體的處置方法，例如對硬碟進行消磁處理。

使用雲端服務時，請務必檢查其提供的刪除程式是否允許。如果允許，組織應使用刪除程式或請求雲端服務提供者刪除資訊。如果可能，這些刪除流程應作為特定主題指南的一部分自動化。

為防止敏感資訊意外洩露，所有退回給供應商的設備在退回前都應清除儲存資料。某些裝置（例如智慧型手機）的資料清除只能透過銷毀或使用內部功能（例如恢復出廠設定）來實現。根據資訊的分類，選擇合適的清除方法至關重要。

根據資料的敏感程度，刪除過程應予以記錄，以便在出現疑問時能夠證明資料已被刪除。

數據脫敏

對於個人資料處理等一系列敏感訊息，公司和行業特定要求或監管要求規定必須對資訊進行遮罩、假名化或匿名化處理。控制措施 8.11 中提供了這些措施的指南。

假名化或匿名化技術能夠隱藏個人資料、模糊真實資料並掩蓋資訊之間的交叉關聯。為了有效實施這些技術，必須妥善處理敏感資訊的所有相關要素。

匿名化會徹底改變數據，而假名化則完全有可能透過額外的交叉資訊推斷出真實身分。因此，在假名化過程中，應將這些額外的交叉資訊單獨保存並加以保護。

其他資料遮罩技術包括：

• 加密
• 零或刪除字符
• 不同的數字和日期
• 替換－用另一個值取代一個值以隱藏敏感數據
• 將值替換為其哈希值

在實施這些資訊安全技術措施時，需要考慮以下幾個方面：

• 使用者不應該擁有所有資料的存取權限，而應該只能查看他們真正需要的資料。
• 在某些情況下，資料集中的並非所有資料都應向使用者可見。此時，應設計並實施資料混淆程序。例如：醫療記錄中的病患資料不應對所有員工可見，而應僅對具有特定治療相關職責的員工可見。
• 在某些情況下，如果可以透過資料類別（懷孕、驗血等）推斷出實際日期，則資料的混淆對於存取資料的人來說應該是不明顯的（混淆的混淆）。
• 法律或監管要求，例如在處理或儲存過程中對支付卡資料進行屏蔽的要求。

一般來說，資料脫敏、假名化或匿名化需要遵循一些基本原則：

• 資料遮罩、假名化或匿名化的強度很大程度取決於處理後資料的用途。
• 應透過適當的保護機制來保障已處理資料的存取安全。
• 考慮有關處理資料使用的協議或限制。
• 禁止將處理後的資料與其他資訊進行配對以識別資料主體。
• 安全地追蹤和控制處理資料的提供和接收。

防止資料外洩

Control 8.12 旨在防止資料洩露，並制定了適用於所有處理、儲存或傳輸敏感資訊的系統、網路和其他設備的具體措施。為最大限度地減少敏感資料洩露，組織應考慮以下事項：

• 識別和分類信息，例如個人數據、定價模型和產品設計
• 監控資料外洩的管道，例如電子郵件、文件傳輸、行動裝置和行動儲存裝置。
• 防止資料外洩的措施，例如隔離包含敏感資訊的電子郵件

為了防止現代複雜IT架構（包含大量不同資料）中發生資料洩露，組織還需要合適的工具。

• 識別並監控存在未經授權揭露風險的敏感訊息，例如使用者係統中的非結構化資料。
• 偵測敏感資料外洩事件，例如資料上傳到不受信任的第三方雲端服務或透過電子郵件發送時。
• 阻止可能洩露關鍵資訊的使用者操作或網路傳輸，例如阻止將資料庫條目複製到電子表格。

組織應認真審視限制使用者複製、貼上或上傳資料至組織外部服務、裝置和儲存媒體的權限的必要性。如有必要，還需實施適當的工具來防止資料洩露，或對現有技術進行適當配置。

例如，使用者可以被授予遠端查看和編輯資料的權限，但無權在組織控制範圍之外複製貼上資料。如果仍然需要匯出數據，數據所有者可以根據具體情況逐案審批，並在必要時追究用戶的不當行為。

防止資料外洩也明確適用於保護機密資訊或商業機密這些資訊可能被濫用於間諜活動，也可能對社群至關重要。在這種情況下，還應採取措施迷惑攻擊者——例如，用虛假資訊進行替換、運用逆向社會工程或使用蜜罐來引誘攻擊者。

資料外洩可以透過標準安全控制措施來防止，例如，透過針對特定主題的存取控制策略和安全性文件管理（另請參閱措施/控制 5.12 和 5.15）。

使用監控工具時這一點很重要

為了保護自身訊息，許多工具不可避免地會監控員工的通訊、線上活動以及與第三方的聯繫。這種監控會引發各種法律問題，在使用適當的監控工具前必須先加以考慮。我們需要在監控程度與各種隱私、資料保護、僱用、資料攔截和電信法規之間取得平衡。

資訊安全技術措施—結論。

在整體背景下資訊安全保護目標為了確保資料的保密性、完整性和可用性，本文所述的資料處理程序在增強敏感資料保護方面發揮關鍵作用。

透過持續監控資料和資訊流、對敏感資訊進行減敏處理以及實施嚴格的資料刪除策略，企業可以持續提升資料外洩和資料遺失的防護能力，並有效防止關鍵資訊的意外外洩。此外，這些措施對提升企業整體網路安全至關重要，並能最大限度地減少駭客攻擊和商業間諜活動的風險。

對於公司和組織而言，現在的問題是建立適當的程序和所需工具，並將它們整合到業務流程中，以便在未來的認證審核中證明其符合標準的要求。

憑藉我們經驗豐富的專業人士的視角審計員憑藉我們超過35年的認證專業經驗，我們推薦您選擇我們作為您在資訊安全領域的聯絡人。根據 ISO 27001 標準進行認證。

此次更新對您的認證有何影響？

ISO/IEC 27001:2022 標準於 2022 年 10 月 25 日發布。因此，使用者需要遵守以下過渡期限和截止日期：

根據「舊版」ISO 27001:2013進行首次和重新認證審核的最後日期。

• 自2024年4月30日起，DQS將僅依據新標準ISO/IEC 27001:2022進行初審和再認證審核。

將所有現有的、依據「舊」ISO/IEC 27001:2013標準所頒發的證書轉換為新的ISO/IEC 27001:2022標準。

• 從2022年10月31日開始，有一個為期三年的過渡期。
• 根據 ISO/IEC 27001:2013 或 EN ISO/IEC 27001:2017 頒發的證書最遲有效期至 2025 年 10 月 31 日，否則必須在此日期撤銷。

DQS：您在認證資訊安全方面的可靠合作夥伴

由於過渡期，企業有足夠的時間調整資訊安全管理系統以適應新的要求並獲得認證。然而，整個變更過程所需的時間和精力不容小覷——尤其是在缺乏足夠專業人員的情況下。為了確保萬無一失，您應該儘早處理這個問題，並在必要時尋求經驗豐富的專家的幫助。

作為擁有超過35年經驗的審計和認證專家，我們很樂意為您提供支援。增量審計請向我們眾多經驗豐富的審計人員諮詢最重要的變更及其對貴組織的影響。我們期待您的詢問。 聽力來自你。

信任和專業知識

我們的文字均由公司內部的管理體系專家和資深審核員撰寫。如果您有任何問題想諮詢作者，請隨時聯絡。聯繫我們。