datenschutz-it-blog-dqs-mensch bewegt digitale anzeige

IT安全與資訊安全－二者有何不同？

安德烈薩克爾

DQS資安標準專家

11月 12 , 2022

資訊科技（IT）安全和資訊安全這兩個概念經常被混淆。在數位化時代，資訊通常藉助IT進行處理、儲存或傳輸——但資訊安全往往比我們想像的更依賴傳統方式！實際上，IT安全和資訊安全密切相關。因此，要有效保護機密資訊以及IT本身，就需要採取系統化的方法。

IT安全與資訊安全

資訊安全不僅僅是IT安全，它關注的是整個公司。畢竟，機密資訊的安全不僅僅是針對電子系統處理的資料。資訊安全涵蓋所有需要保護的企業資產，包括儲存在紙本等類比資料載體上的資料。

“IT安全和資訊安全是兩個（目前）還不能互換使用的術語。”

資訊安全保護目標

三個基本要素資訊安全保護目標因此，保密性、可用性和完整性也適用於包含重要合約文件的信件，這些信件必須由快遞員按時、可靠且完好地送達收件人手中，但整個過程完全是模擬的。同樣，這些保護目標也適用於包含機密資訊的紙張，即使它被隨意放置在無人看管的辦公桌上，任何人都可以看到，或者被放在影印機裡，任何人都可以隨意取用，未經授權的人也可能訪問。

因此，資訊安全的範圍比IT安全更廣。而IT安全則「僅僅」是指保護IT系統中的資訊。

根據定義，資訊科技安全

官方機構怎麼說？資訊科技安全是指「透過適當措施，將資訊科技使用過程中因威脅和漏洞而產生的風險降低到可接受的程度。因此，資訊科技安全是指透過適當措施保護資訊和資訊科技的機密性、完整性和可用性的狀態。」—德國聯邦資訊安全辦公室（BSI）

資訊安全= IT 安全 + x

在實務中，有時會採取不同的方法，遵循「資訊安全 = IT 安全性 + 資料保護」的經驗法則。然而，將這說法寫成等式，卻相當引人注目。誠然，歐洲資料保護法下的資料保護問題值得關注。 GDPR這關乎隱私保護，這就要求個人資料處理者既要擁有安全的IT系統，也要擁有安全的辦公環境等。 -因此，就排除了實體接觸客戶資料記錄的可能性。然而，這也忽略了一些重要的、無需個人隱私保護的模擬數據，例如公司建設規劃圖等等。

資訊安全一詞包含超越純粹IT層面的基本標準，但始終涵蓋這些標準。因此，相對而言，即使是IT安全範圍內的簡單技術或組織措施，也始終是在適當的資訊安全框架下實施的。例如：

確保硬體電源供應安全
防止硬體過熱的措施
病毒掃描和安全程序
資料夾結構的組織
設定和更新防火牆
員工培訓等。

顯而易見，電腦和完整的IT系統本身並不需要保護。畢竟，如果沒有資訊需要數位化處理或傳輸，硬體和軟體就毫無用處。

webinar-dqs-junger-mann-mit-headset-sitzt-vor-einem-laptop

立即觀看：新版 ISO/IEC 27001:2022 有哪些變化

新版 ISO/IEC 27001 標準已於 2022 年 10 月 25 日發布，該標準已針對當代資訊風險進行了調整。這對標準用戶意味著什麼？免費網路研討會錄影你將了解到

ISO/IEC 27001:2022 的新特性 - 框架和附錄 A
ISO/IEC 27002:2022-02 - 結構、內容、屬性和標籤
過渡時間表及後續步驟

立即觀看錄影

德國以法律保障資訊科技安全為例

關於這個話題批評這項資訊科技安全法重點關注電力、燃氣和供水、交通、金融、食品和醫療衛生等各個領域的關鍵基礎設施。其主要目的是保護資訊科技基礎設施免受網路犯罪的侵害，以維護資訊科技系統的可用性和安全性。尤其重要的是，必須保護當今的數位化遠端控制系統。

這些保護目標是重中之重（節錄）：

考慮資訊科技安全風險
創建資訊科技安全概念
制定應急計劃
採取一般安全預防措施
網路安全控制
使用加密方法等。

ISO 27001－資訊安全標準

什麼ISO 27001比如說？全球公認的資訊安全管理系統（ISMS）標準，及其衍生標準ISO 27019， ISO 27017和ISO 27701被稱為：

ISO/IEC 27001:2022資訊安全、網路安全和隱私保護 – 資訊安全管理系統 – 要求

這修訂版該標準於 2022 年 10 月 25 日發布。目前版本（ISO/IEC 27001:2013）有效期至 2025 年 10 月。

這項重要標準的標題明確表明，資訊科技安全在當今資訊安全中扮演著重要角色，並且在未來將繼續發揮越來越重要的作用。然而，該標準中規定的要求… ISO 27001並非僅針對數位IT系統。恰恰相反：

“在 ISO/IEC 27001 標準中，‘信息’一詞被毫無例外地反复提及。”

原則上，對於處理或保護此類資訊的類比方式或數位方式，並無區別。

如需了解更多關於資訊安全及評估可能性的寶貴知識，請訪問ISO 27001認證。

成功實施的資訊安全管理系統 (ISMS) 支援全面的安全策略：它包括組織措施、具有安全意識的人員管理、已部署 IT 結構的安全以及遵守法律要求。

寶貴的專業知識：DQS審核指南

我們的審計指南ISO 27001 - 附錄 A該指南由業內專家編寫，旨在提供實用的實施指導，是更好地理解特定標準要求的理想選擇。該指南基於… ISO/IEC 27001:2017 . 由於修訂版已於 2022 年 10 月 25 日發布，我們將在有變更資訊時立即添加相關資訊。

免費下載審計指南

資訊安全：往往比我們想像的更依賴模擬技術

任何願意的人都可以應用以下標準要求： ISO 27001完全模擬系統也能達到相同的效果，與完全數位系統的效果相同。附件A在著名的資訊安全管理系統（ISMS）標準中，包含了衡量目標和使用者措施，其中出現了遠端辦公或行動裝置等術語。但即使是該標準附件A中的措施也提醒我們，每家公司仍存在一些模擬流程和情況，在資訊安全方面必須加以考慮。

例如在火車上，任何人在公共場合用智慧型手機大聲談論敏感話題，雖然可能是在使用數位通訊管道，但他們的不當行為實際上是模擬的。同樣，任何人不整理辦公桌，最好鎖好辦公室，以維護機密性。至少前者，作為最有效的資訊安全保護措施之一，目前通常仍然是手動完成的…

IT安全與資訊安全－結論

IT安全和資訊安全這兩個術語目前還不能互換使用。 IT安全是資訊安全的一個組成部分，而資訊安全本身也涵蓋了模擬的事實、流程和通訊——順便一提，這些在當今許多情況下仍然很常見。然而，隨著數位化程度的不斷提高，這兩個術語之間的聯繫日益緊密，從長遠來看，它們在含義上的差異可能會變得越來越小。

您可從我們這裡獲得什麼

DQS是您的審計專家認證- 為了管理系統以及相關流程。憑藉 35 年的經驗和遍布全球的 2,500 名審核員的專業知識，我們是您在各個方面都值得信賴的認證合作夥伴。資訊安全和資料保護。

gerber-hermsdorf-werner-korall-audit dqs

我們不僅談論專業能力，我們更擁有這種能力：您可以期待我們所有員工都擁有多年的實務經驗。 DQS審核員我們的審核員來自各行各業、各種規模的組織。這種多樣性確保了您的DQS首席審核員能夠充分理解貴公司的具體情況和管理文化。我們的審核員擁有豐富的管理系統經驗，他們曾親自建立、管理和完善資訊安全管理系統（ISMS），並深諳日常挑戰。我們期待與您合作。和你說話。

作者

安德烈薩克爾

André Säckel 是 DQS 資訊安全管理的產品經理。作為資訊安全和 IT 安全目錄（關鍵基礎設施）領域的標準專家，他負責以下標準和行業特定標準，其中包括：ISO 27001、ISIS12、ISO 20000-1、KRITIS 和 TISAX（汽車行業資訊安全）。他同時也是 ISO/IEC JTC 1/SC 27/WG 1 工作小組成員，代表德國標準化協會 (DIN) 擔任國家代表。