敏感的企业信息是有组织的网络犯罪分子和国家工业间谍活动追逐的目标。因此,这些信息的处理应遵循特别严格的安全准则。为此,国际有效的信息安全标准 ISO/IEC 27001 定义了一个全面的措施目录,根据风险全面保护公司和组织的信息资产。在下文中,我们将重点介绍 ISO/IEC 27001:2022 更新版中的三项新控制措施,它们在信息处理和信息保障中发挥着关键作用。
企业信息是令人垂涎的攻击目标
德国工业协会 Bitkom 的研究报告 "Wirtschaftsschutz 2022"(2022 年商业保护)证实,黑客非常清楚信息和数据在当今商业世界中的经济价值:36% 的受访公司已经受到敏感数据和数字信息被盗的影响。通讯数据和客户数据尤其成为黑客的攻击目标,分别占 68% 和 45%。
每年因数据被盗而直接造成的勒索、专利侵权和销售损失高达数十亿欧元。
公司和组织在处理关键数据时需要进一步加强保护。附加指南有助于进一步改进整体安全概念,减少攻击面。
加强信息安全的三项新技术措施
新版 ISO/IEC 27001:2022附件 A 中的 93 项措施已重组为四个主题:
- 组织措施
- 个人措施
- 物理措施
- 技术措施
我们将在下文详细介绍的 三项新的信息 保护措施来自 "技术措施 "主题领域:
- 8.10 删除信息
- 8.11 数据屏蔽
- 8.12 防止数据泄露
通用数据保护条例》(GDPR)第 32 条还规定了保护个人数据的措施。在处理此类数据时,这些措施被称为技术和组织措施(TOM)。因此,ISO 27001 通过标准附件 A 中的控制措施,提供适当的保护水平,为确保数据保护做出了贡献。
删除信息
ISO 27001中的控制措施 8.10 针对的是不再需要但仍存在于信息系统、设备或其他存储介质中的信息所带来的风险。删除这些已经不需要的数据可以防止其泄露--确保符合有关数据删除的法律、法规、监管和合同要求。
在此过程中,公司和组织应考虑以下几点:
- 根据业务和法律环境选择合适的擦除方法,如电子覆盖或加密擦除
- 记录结果
- 在使用服务提供商删除信息时提供证据
如果第三方代表贵公司进行数据存储,应将删除要求写入合同协议,以便在这些服务期间甚至终止后强制执行。
为确保可靠地删除敏感信息,同时确保遵守相关数据保留政策和适用的法律法规,新标准规定了以下程序、服务和技术:
- 建立专用系统,以便能够安全销毁信息,例如,根据保留政策或根据受影响个人的要求进行销毁
- 删除所有存储介质上的过时版本、副本或临时文件
- 仅使用经批准的安全删除软件来永久性地删除信息
- 通过经批准和认证的安全处置服务提供商进行删除
- 使用适合要处置的特定存储介质的处置方法,如硬盘消磁
使用云服务时,必须检查所提供的删除程序的许可性。如果允许,组织应使用删除程序或要求云提供商删除信息。如有可能,应将这些删除程序自动化,作为特定主体准则的一部分。
为防止无意中泄露敏感信息,应在归还供应商之前删除所有设备存储。在智能手机等某些设备上,只有通过销毁或内部功能(如恢复出厂设置)才能删除数据。根据信息的分类,选择适当的程序非常重要。
应根据敏感度记录删除过程,以便在出现疑问时能够证明数据已删除。
数据屏蔽
对于个人数据处理等一系列敏感信息,公司和特定行业或法规要求规定对信息进行掩蔽、化名或匿名处理。这些措施的指导原则见控制 8.11。
假名化或匿名化技术可以隐藏个人数据、模糊真实数据和信息的交叉链接。要有效实施这一措施,必须充分处理敏感信息的所有相关要素。
虽然匿名化会不可逆转地改变数据,但在假名化的情况下,完全有可能通过额外的交叉信息得出真实身份的结论。因此,在化名过程中,额外的交叉信息应单独保存并受到保护。
其他数据屏蔽技术包括
- 加密
- 零或删除字符
- 不同的数字和日期
- 替换--用一个值替换另一个值,以隐藏敏感数据
- 用散列值替换数值
Loading...
新 ISO 27001:2022 的问题与解答
您需要了解的信息安全 "新生力量":专家对 38 个用户问题的 38 个回答。
- 新控件是什么?
- 我们应该何时过渡到新标准?
- 在哪里可以找到新旧标准的对应关系列表?
- ......以及其他 35 个问题!
在实施这些信息安全技术措施时,必须考虑以下几个方面:
- 用户不能访问所有数据,而只能查看他们真正需要的数据。
- 在某些情况下,用户不应该看到数据集中的所有数据。在这种情况下,应设计并实施数据混淆程序。例如:医疗记录中的病人数据不应该对所有员工可见,而应该只对与治疗相关的特定角色的员工可见。
- 在某些情况下,如果可以通过数据类别(怀孕、验血等)得出关于实际日期的结论,则数据的混淆对于访问数据的人来说不应该是显而易见的(混淆的混淆)。
- 法律或监管要求,例如要求在处理或存储过程中屏蔽支付卡数据。
一般来说,数据掩蔽、假名化或匿名化需要一些基本要点:
- 数据屏蔽、假名化或匿名化的强度主要取决于所处理数据的用途。
- 应通过适当的保护机制确保对所处理数据的访问。
- 考虑有关使用经处理数据的协议或限制。
- 禁止将处理过的数据与其他信息进行比对,以识别数据主体。
- 安全跟踪和控制经处理数据的提供和接收。
防止数据泄露
控制措施 8.12 旨在防止数据泄漏,并制定了适用于所有处理、存储或传输敏感信息的系统、网络和其他设备的具体措施。为尽量减少敏感数据的泄漏,组织应考虑以下几点:
- 对信息进行识别和分类,例如个人数据、定价模型和产品设计
- 监控数据可能泄漏的渠道,如电子邮件、文件传输、移动设备和移动存储设备
- 防止数据泄漏的措施,例如隔离包含敏感信息的电子邮件
在现代复杂的 IT 结构中,存在大量不同的数据,为了防止数据泄漏,企业还需要适当的工具来
- 识别和监控有未经授权披露风险的敏感信息,例如用户系统中的非结构化数据
- 检测敏感数据的泄露,例如当数据上传到不受信任的第三方云服务或通过电子邮件发送时
- 阻止暴露关键信息的用户操作或网络传输,例如防止数据库条目被复制到电子表格中
企业应慎重考虑是否需要限制用户将数据复制、粘贴或上传到企业外部服务、设备和存储介质的权限。如有必要,可能还需要实施适当的工具来防止数据泄漏,或对现有技术进行适当配置。
例如,可以允许用户远程查看和编辑数据,但不允许在组织控制范围外复制和粘贴数据。如果仍然需要导出数据,数据所有者可以根据具体情况进行审批,并在必要时让用户对不需要的活动负责。
防止数据泄漏明确适用于保护可能被滥用于间谍目的或对社会至关重要的机密信息或商业秘密。在这种情况下,还应采取措施迷惑攻击者--例如,用虚假信息替代、反向社会工程或使用蜜罐引诱攻击者。
数据泄漏可以通过标准的安全控制措施加以控制,例如,通过针对特定主题的政策进行访问控制和安全文件管理(另见措施/控制措施 5.12 和 5.15)。
使用监控工具时的注意事项
为了保护自己的信息,许多工具也不可避免地要监控员工的通信和在线活动以及第三方信息。这种监控会引发不同的法律问题,在使用适当的监控工具前必须加以考虑。需要在监控水平与各种隐私、数据保护、就业、数据拦截和电信立法之间取得平衡。
信息安全技术措施--结论。
在保密性、完整性和可用性等信息安全保护目标的总体背景下,本文所述的数据处理程序在加强敏感数据的保护方面发挥着关键作用。
通过对数据和信息流的持续监控、对敏感信息的掩盖以及严格的数据删除政策,企业可以持续改善对数据泄漏和数据丢失的保护,并抵御关键信息的无意发布。此外,这些程序还能为全公司的网络安全做出决定性贡献,最大限度地减少黑客和工业间谍的攻击面。
对于企业和组织来说,现在需要做的是适当地建立程序和所需工具,并将其整合到业务流程中,以便在未来的认证审核中证明这些要求的实施符合标准。
凭借我们经验丰富的审核员的专业视角和我们超过 35 年的认证专业知识,我们推荐您在信息安全和ISO 27001 认证方面与我们联系。
更新对您的认证意味着什么?
ISO/IEC 27001:2022 于 2022 年 10 月 25 日发布。这将为用户带来以下期限和过渡期:
根据 "旧版 "ISO 27001:2013 进行初始和重新认证审核的最后日期。
- 2024 年 4 月 30 日之后,DQS 将只根据新标准 ISO/IEC 27001:2022 进行初始和重新认证审核。
根据 "旧 "ISO/IEC 27001:2013 标准将所有现有证书转换为新的 ISO/IEC 27001:2022 标准
- 自 2022 年 10 月 31 日起有三年过渡期
- 根据 ISO/IEC 27001:2013 或 EN ISO/IEC 27001:2017 颁发的证书有效期最迟至 2025 年 10 月 31 日,否则必须在此日期撤销。
Loading...
DQS:您在信息安全认证方面的得力合作伙伴
由于过渡期的存在,企业有足够的时间使其信息安全管理适应新的要求并获得认证。但是,整个变更过程的时间和工作量不容小觑,尤其是在您没有足够专业人员的情况下。为了安全起见,您应该尽早处理这个问题,并在必要时请教经验丰富的专家。
作为拥有超过 35 年专业知识的审核和认证专家,我们很乐意在delta 审核期间为您提供支持。请向我们众多经验丰富的审核员了解最重要的变化及其与贵组织的相关性。我们期待您的来信。
信任和专业知识
我们的文本完全由内部管理系统专家和长期审核员撰写。如果您对作者有任何疑问,请随时联系我们。
DQS通讯
了解最新资讯,订阅我们的通讯
作者
马库斯 杰盖尔卡
DQS信息安全管理系统(ISMS)专家和ISO 9001、ISO/IEC 27001标准及德国能源工业法(EnWG)第11.1a条规定的IT安全目录的长期审核员。
Loading...