在过去几年中,我们看到美国企业的经营方式发生了巨大转变。福布斯》的一篇文章称,"截至 2023 年,12.7% 的全职员工在家工作,28.2% 的员工采用混合模式工作","98% 的员工希望至少在某些时间远程工作"。这篇文章还提到,"计算机和 IT 行业是 2023 年最适合远程工作的行业"。如果不仅运营部门可以远程办公,IT 团队也可以远程办公,这对网络安全和信息安全意味着什么?
ISO 27001:2022的最新修订版现已发布,2023 年 10 月之后的所有审核都必须符合 2022 标准(DQS 是 ISO 27001:2022 认证的提供商)。2022 修订版新增了远程工作网络安全和确保工作场所网络安全的新要求,即使该工作场所是您的家庭办公室。这些修订将使高管和管理团队放心,因为修订版概述了最低要求,可以为信息安全制定一个健康的计划。
2022 年修订版要求的一个例子是,企业必须有一个收集信息安全威胁信息的计划,才能符合要求。由于 IT 团队不会设置远程员工的工作环境,因此需要有一种方法来跟踪威胁,并利用从这项工作中获得的知识来防止数据安全漏洞,这对企业来说是一种帮助。随着 ISO 27001 的实施,整个组织的意识都将得到提高,因为这需要持续的认同和承诺才能保持合规。
员工个人在远程工作时如何保证组织的数据安全?首先,我们要求所有新入职的员工接受网络安全培训,并对已入职的员工进行年度更新培训。这些必要的培训虽然对普通员工来说可能显得乏味,但确实能指导他们在遇到网络钓鱼企图时该怎么做,并提供有关新威胁的信息,有助于减少危险行为。此外,还包括在处理合同等业务相关项目时始终连接到组织的 VPN,以及更改路由器密码(初始默认密码)等。
在携带组织设备和个人设备旅行时,应始终保持设备在视线范围内,不要让设备处于无人看管的状态,不要让设备通过蓝牙和 Wi-Fi 连接,因为这些设备可能包含间谍软件等有害威胁。在旅行前,应定期将设备更新到最新版本的软件和保护措施。每天都会有新的威胁出现,因此应定期进行更新,以确保设备得到最佳保护。
但是,如果威胁不是来自组织内部,比如 23&Me 数据泄露事件呢?根据《连线》上的文章,23&Me 公司发言人表示:"我们认为,威胁行为者可能违反了我们的服务条款,在未经授权的情况下访问了 23andme.com 账户,并从这些账户中获取了信息"。即使有最好的软件和安全检查,事情总是有可能发生。新的威胁可能在不经意间出现,那么接下来会发生什么呢?ISO 27001:2022 中规定了组织在面临风险时制定计划的大纲。从问题发生的那一刻起,这些计划就会自动推进,以最有效地处理问题、查找源头、解决问题等。ISO 27001 不仅包括对员工的要求,还包括问题发生后的议程,以及为客户和顾客制定指导方针。
那么,谈到 ISO 27001:2022,我们是否意味着它也适用于保护客户数据和顾客数据?是的,这意味着员工要谨慎处理客户提供的数据和信息,同时客户也需要跟进以协助保护数据。服务条款[ToS]和隐私政策不仅能让企业更好地保护自身免受风险,还能帮助客户防止自己的账户和信息遭受风险。当客户与你的产品互动或使用你的服务时,他们同意服务条款和隐私政策,其中可能包括如何使用服务和产品的限制,以及如何使用客户提供的数据。此外,还可能包括关于设置 "双因素授权 "的附加指南,以最好地保护客户方的数据。作为一个组织,即使有了这些协议,您也必须努力做到万无一失,因为并不是每个人都会遵守要求或找到绕过障碍的方法,这可能是内部的,也可能是外部的。
要找出保护信息的最佳方法,ISO 27001 是最好的起点。从 ISO 27001 到 ISO 27701,再到 ISO9001和 ISO 45001 等管理系统。无论您是首次实施 ISO 27001 标准,还是希望从 ISO 27001:2013 升级,我们都很乐意与您探讨 ISO 27001 的相关事宜。我们还通过DQS Academy提供 ISO 27001:2022 内审员培训,以帮助您完成这一过程。请发送电子邮件至info.hk@dqs.de或使用下面的链接与销售人员联系。
您在寻找汽车行业信息安全解决方案吗?我们还提供TISAX® 认证。我们还为希望建立 TISAX® 教育基础的人员和希望深入实施过程的人员提供电子学习课程。
DQS通讯
了解最新资讯,订阅我们的通讯