信息安全技术措施

内容

• 企业信息是令人垂涎的攻击目标
• 提高信息安全的 3 项新措施
• 删除信息
• 数据屏蔽
• 防止数据泄露
• 信息安全技术措施--总结
• 更新对您的认证意味着什么？
• DQS：您的合格信息安全合作伙伴

企业信息成为梦寐以求的攻击目标

行业协会 Bitkom 的"2022 年商业保护"研究证实，黑客非常清楚信息和数据在当今商业世界中的经济价值：36% 的受访公司已经受到敏感数据或数字信息被盗的影响。通讯数据和客户数据尤其成为黑客的攻击目标，分别占 68% 和 45%。数据失窃直接造成的勒索、专利侵权和销售损失高达数十亿欧元。

公司和组织在处理关键数据时需要进一步加强保护。附加指南有助于进一步改进整体安全概念，减少攻击面。

提高信息安全的 3 项新措施

ISO/IEC 27001:2022 附件 A 中的 93 项措施现重新编排为四个主题：

• 组织措施
• 个人措施
• 物理措施和
• 技术措施。

我们将在下文中详细介绍的三项新的信息保护措施属于 "技术措施 "主题领域：

• 8.10 删除信息
• 8.11 数据屏蔽
• 8.12 防止数据泄露

删除信息

控制措施 8.10 针对信息系统、设备或其他存储介质中不再需要的信息所带来的风险。删除这些已经不必要的数据可以防止其被披露--确保遵守有关数据删除的法律、法规、监管和合同要求。在此过程中，公司和组织应考虑以下几点：

• 根据业务和监管环境选择合适的删除方法（如电子覆盖或加密删除
• 记录结果
• 在使用服务提供商删除信息时提供证据

如果第三方代表公司进行数据存储，则应在合同协议中纳入删除要求，以便在服务期间和终止后强制执行。

为确保可靠地删除敏感信息，同时确保遵守相关的数据保留政策和适用的法律法规，该标准规定了以下程序、服务和技术：

• 建立专用系统，以便根据保留政策或受影响个人的要求安全销毁信息；
• 删除所有存储介质上的过时版本、副本或临时文件；
• 仅使用经批准的安全删除软件来永久性地删除信息；
• 通过经批准和认证的安全处置服务提供商进行删除；
• 使用适合所处置的特定存储介质的处置方法，如硬盘消磁。

使用云服务时，必须检查所提供的删除程序的许可性。如果允许，组织应使用删除程序或要求云提供商删除信息。如有可能，应将这些删除程序自动化，作为特定主题准则的一部分。

为防止无意中泄露敏感信息，应在归还供应商之前删除所有设备存储。对于某些设备（如智能手机），只有通过销毁或内部功能（如恢复出厂设置）才能删除数据。根据信息的分类，有必要选择适当的程序。

应根据敏感度记录删除过程，以便在出现疑问时能够证明数据已删除。

数据屏蔽

对于个人数据处理等一系列敏感信息，公司或特定行业或法规要求规定对信息进行掩蔽、化名或匿名处理。控制 8.11 为这些措施提供了指导。

化名或匿名技术可以掩盖个人数据、模糊真实数据和隐藏信息的交叉链接。为有效实施这一措施，必须充分处理敏感信息的所有相关要素。虽然匿名化会不可逆转地改变数据，但在假名化的情况下，完全有可能通过额外的交叉信息得出真实身份的结论。因此，在化名过程中，额外的交叉信息应单独保存并受到保护。

其他数据屏蔽技术包括

• 加密；
• 无效或删除字符；
• 不同的数字和日期；
• 替换（用一个值替换另一个值，以隐藏敏感数据）；
• 用散列值替换数值。

在实施这些技术时，必须考虑多个方面：

• 用户不应访问所有数据，而只能查看他们真正需要的数据。
• 在某些情况下，用户不应查看数据集中的所有数据。在这种情况下，应设计并实施数据混淆程序。(例如：医疗记录中的病人数据不应让所有员工看到，而只应让与治疗相关的特定角色员工看到）。
• 在某些情况下，如果可以通过数据类别（如怀孕、验血等）得出关于实际日期的结论，则数据的混淆对于访问数据的人来说不应是显而易见的（混淆的混淆）。
• 法律或监管要求（例如，要求在处理或存储过程中屏蔽支付卡数据）；

一般来说，数据掩蔽、假名化或匿名化需要一些基本要点：

• 数据屏蔽、假名化或匿名化的强度主要取决于所处理数据的用途；
• 应通过适当的保护机制确保对所处理数据的访问；
• 考虑有关使用处理过的数据的协议或限制；
• 禁止将处理过的数据与其他信息进行比对，以识别数据主体；
• 必须对所处理数据的提供和接收进行安全跟踪和控制。

防止数据泄露

控制措施 8.12 旨在防止数据泄漏，并制定了适用于所有处理、存储或传输敏感信息的系统、网络和其他设备的具体措施。为尽量减少敏感数据的泄漏，组织应考虑以下几点：

• 对信息（如个人数据、定价模型和产品设计）进行识别和分类；
• 监控数据可能外泄的渠道，如电子邮件、文件传输、移动设备和移动存储；
• 防止数据泄漏的措施（如隔离包含敏感信息的电子邮件）；

现代复杂的 IT 结构中存在大量不同的数据，为防止数据泄漏，企业还需要合适的工具来

• 识别和监控有未经授权泄露风险的敏感信息（如用户系统中的非结构化数据）、
• 检测敏感数据的披露（例如，当数据上传到不受信任的第三方云服务或通过电子邮件发送时）；以及
• 阻止泄露关键信息的用户操作或网络传输（例如，阻止数据库条目复制到电子表格）。

组织应确定是否有必要限制用户将数据复制、粘贴或上传到组织外服务、设备和存储介质的权限。如有必要，还可能需要实施适当的数据泄漏预防工具或对现有技术进行适当配置。

例如，可以授予用户远程查看和编辑数据的权限，但不授予在组织控制范围外复制和粘贴数据的权限。如果仍然需要导出数据，数据所有者可以根据具体情况进行审批，并在必要时要求用户对不需要的活动负责。

防止数据泄漏也明确适用于保护可能被滥用于间谍目的或对社会至关重要的机密或秘密信息。在这种情况下，还应设计措施来迷惑攻击者，例如用虚假信息、反向社会工程或使用蜜罐来诱骗攻击者。

数据泄漏可以通过标准的安全控制措施加以控制，例如，通过针对特定主题的政策进行访问控制和安全文件管理（另见措施/控制措施 5.12 和 5.15）。

使用监控工具时的注意事项：为了保护自身信息，许多工具也不可避免地会监控员工的通信和在线活动以及来自第三方的信息。这种监控会引发不同的法律问题，在使用适当的监控工具前必须加以考虑。需要在监控水平与各种隐私、数据保护、就业、数据拦截和电信立法之间取得平衡。

信息安全技术措施--结论

在信息安全三原则（保密性、完整性和可用性）的总体背景下，本文所述的数据处理程序在加强敏感数据的保护方面发挥着关键作用。通过对数据和信息流的持续监控、对敏感信息的掩盖以及严格的数据删除政策，组织可以持续改进对数据泄漏和数据丢失的保护，并抵御关键信息的无意泄漏。此外，这些程序还能为全公司的网络安全做出决定性贡献，并最大限度地减少黑客和工业间谍的攻击面。

对于公司和组织来说，现在需要做的是适当地建立程序和所需工具，并将其整合到业务流程中，以便在未来的认证审核等工作中证明其符合要求。我们经验丰富的审核员将为您提供专业支持。我们拥有超过 35 年的审核和认证经验，建议您在信息安全和 ISO/IEC 27001:2022 认证方面与我们联系。

更新对您的认证意味着什么？

ISO/IEC 27001:2022 于 2022 年 10 月 25 日发布。因此，用户的过渡期限和时间范围如下：

根据 ISO/IEC 27001:2022 做好认证准备

• 最迟 2023 年 11 月（取决于 DAkkS Deutsche Akkreditierungsstelle GmbH）。

根据 "旧 "ISO 27001:2013 进行初始/重新认证审核的最后日期

• 2024 年 4 月 30 日之后，DQS 将仅根据新标准 ISO/IEC 27001:2022 执行初始和重新认证审核。

根据 "旧版 "ISO/IEC 27001:2013 将所有现有证书转换为新版 ISO/IEC 27001:2022

• 自 2022 年 10 月 31 日起有 3 年过渡期
• 根据 ISO/IEC 27001:2013 或 DIN EN ISO/IEC 27001:2017 颁发的证书有效期最迟至 2025 年 10 月 31 日，否则必须在该日期撤销。

DQS：您的合格信息安全合作伙伴

由于过渡期的存在，企业有足够的时间根据新要求调整其 ISMS 并获得认证。但是，不能低估整个变更过程所需的时间和精力，尤其是在没有足够专业人员的情况下。为了安全起见，您应该尽早处理这个问题，并在必要时请教经验丰富的专家。

作为拥有超过 35 年专业知识的审核和认证专家，我们很乐意为您提供支持，帮助您评估当前状况，例如作为 delta 审核的一部分。我们将向众多经验丰富的审核员介绍最重要的变化及其与贵组织的相关性。我们将一起讨论您的改进潜力，并在您获得新证书之前为您提供支持。我们期待您的来信。