網路犯罪對所有產業和規模的公司都構成了嚴重威脅--這一點眾所周知。其範圍從間諜活動到破壞活動再到勒索。然而,危險並不僅僅來自於網際網路。自己的員工也可能是一個嚴重的風險因素。特別是如果 貴公司沒有採取適當的措施 - 看看ISO 27001 附錄A.7。
一個符合 ISO 27001標準的結構良好的資訊安全管理系統(ISMS)為有效實施整體資訊安全戰略提供了基礎。這種系統化的方法有助於保護公司的機密資料遭丟失和濫用,並可靠地鑑別公司的潛在風險,分析這些風險並透過適當的措施使其可控。這不僅是資訊技術安全方面的問題。實施標準附錄A中的措施,對實踐尤其有價值。
ISO/IEC 27001:2013 - 資訊技術 - 安全程序 - 資訊安全管理系統 - 要求。
ISO 27001的附錄A:具有實際意義
除了面向管理系統的要求部分(第4章至第10章)之外,2017年版ISO標準的附錄A包含廣泛的35個措施目標(控制)清單,其中有114項具體措施,涉及14個章節的安全方面。
備註: 附錄A中被稱為 "措施 "的陳述實際上是個別目標(控制)。它們描述了符合標準的適當(個別)措施的結果應該是什麼樣子的。
公司應將這些控制措施作為其個別的、更深入的資訊安全政策結構的基礎。關於人員主題,附錄A.7中的措施目標 "人員安全 "尤其值得注意。
"這些措施並不依賴於對員工的不信任,而是依賴於結構清晰的人事流程。"
人事流程確保在聘用的所有階段分配有關資訊安全的責任和義務,並對遵守情況進行監控。雖然並非不可能發生,但違反資訊安全政策會變得較為困難--無論是有意的還是無意的。如果出現最壞的情況,有效的ISMS為組織提供了適當的機制來處理違規行為。
資訊安全並非不信任
如果一家公司發佈適當的指導方針,使未經授權的內部存取變得更加困難,或更好的是完全防止它,這絕不是不信任的問題。畢竟,有一點很清楚:如果員工即將被解雇或已經宣布解雇,他或她的不滿會導致有針對性的資料竊盜。特別是當被解雇的員工認為他或她擁有項目資料的所有權時,這種情況會發生。相反,可能已經出於犯罪行為的意圖提出了特定工作的申請。
其他情況表明,嚴重疏忽的行為或僅僅只是魯莽,也會產生類似的嚴重後果。例如,整個IT部門不遵守自己的規則時有發生--太繁瑣,太耗時。在辦公室裡,處理密碼的疏忽或未受保護的智慧型手機。還有不小心連接隨身硬碟,在螢幕上開啟文件,在空蕩蕩的辦公室裡的機密文件--可能遺漏的清單很長。
ISO 27001的附錄A.7--人員安全
已經按照ISO 27001標準實施了資訊安全管理系統(ISMS)的公司在這方面處於更好的地位。他們知道國際公認標準的要求和與實踐相關的附錄A.7。因為ISO 27001在這裡提供了很多內容:儘管參考措施直接提到了標準要求,但它們總是針對公司的直接實施。
擁有有效的ISMS的公司對A.7中規定的目標非常熟悉,這些目標的實施必須著眼於人員的安全,以充分符合標準的要求--在所有的聘用階段。
ISO 27001標準在附錄A.7中是怎麼說的?
聘用前的措施
根據附錄A.7.1,組織必須確保新員工在聘用前了解其未來的職責並適合的角色。在要求部分(第7.2章),該標準談到了 "能力"。
作為以目標為導向的參考措施,求職者首先接受符合道德原則和適用法律的安全檢查。這種檢查必須與業務要求、要獲得的資訊分類和可能的風險相關(A.7.1.1)。為了能夠實現這一目標,除其他事項外,應具備、確保或核實以下內容。
- 取得訊息的程序(如何和在什麼條件下)。
- 需要遵守的法律和道德標準的清單
- 安全檢查必須適當,與風險和公司的需求有關
- 簡歷、財務報表和其他文件的合理性和真實性
- 申請人對預期職位的可信度和能力
合約協議
下一步是關於聘用和合約條款。因此,ISO/IEC 27001附錄A中的這項參考措施包括合約協議,即員工對公司有哪些責任,反之亦然(A.7.1.2)。除其他外,成功實施此要求包括滿足以下幾點:
- 有機會接觸機密資料的員工(承包商)簽署保密協議
- 員工(承包商)有遵守合約的義務,例如,版權或資料保護問題
- 關於員工(承包商)處理外部資訊的責任的合約規定
在職期間--最高管理階層的責任。
員工必須意識到他們的資訊安全責任。這是A.7.2的目標,更重要的是,員工必須履行這些責任。
第一項措施(A.7.2.1)是針對管理階層有義務鼓勵其員工按照既定的政策和程序實施資訊安全。為此,必須至少對以下幾點進行規範。
- 最高管理階層以何種方式鼓勵員工執行?哪裡有風險?
- 它如何確保員工了解處理資訊安全的實施指南?
- 它是如何檢查員工是否遵守處理資訊安全的准則?
- 他們如何激勵員工執行政策和程序並安全地應用它們?
建立意識
在第7.3章 "意識 "中,ISO 27001要求從事相關活動的人員應了解以下內容
- 了解組織的資訊安全政策
- 他們對資訊安全管理系統(ISMS)的有效性所做的貢獻
- 提高資訊安全性能的好處
- 不符合ISMS要求的後果
新員工尤其需要定期獲得這方面的資訊,例如,除了關於資訊安全問題的強制性介紹外,還可以透過電子郵件或透過內部網路。實際的訓練(特別是關於應急計劃和演習)、特定主題的研討會和宣傳活動(如透過海報)加強了對資訊安全管理系統的認識。
例如,ISO 27001附錄A中的參考措施A.7.2.1也有助於建立適當的資訊安全意識。各組織必須對其員工進行訓練和教育,並在適當情況下對其承包商進行專業的相關主題訓練。相應的政策和程序必須定期更新。除其他外,還必須考慮到以下方面。
- 最高管理階層致力於資訊安全的方式
- 專業教育和訓練的性質
- 審查和更新政策和程序的頻率
- 使用的其他工具
- 讓員工熟悉內部資訊安全政策和程序的具體措施
提示: 確保運作良好的溝通,有多種管道傳遞知識。這是因為對ISMS和標準所要求的相關方面的認識與知識的轉移密切相關。
譴責程序
附錄7.2.3:本措施規定了組織在發生違反資訊安全的情況下處理譴責的方式。其基礎是糾正行動流程。它應被正式定義、建立和宣佈。必須確保以下幾點:
- 必須有標準,根據這些標準對違反資訊安全政策的嚴重程度進行分類。
- 紀律處分程序不得違反適用的法律。
- 紀律處分程序必須包含能激勵員工長期積極改變其行為的措施。
結束聘用 - 責任
ISO 27001的附錄A.7.3將有效終止或變更流程作為目標,以保護組織的利益。該目標著重於終止或變更聘用的責任。因此,必須被定義、傳達和執行在終止或變更雇傭關係後仍然存在的與資訊安全相關的責任和義務。考慮這些方面是有意義的:
- 在聘用合約中約定員工在終止僱傭關係後如何處理與資訊安全有關的持續責任和義務
- 確保遵守這些協議的監督機制
- 強制遵守持續責任和義務的程序
通過系統的人員安全保障網路安全
來自內部的威脅是真實存在的--而且大多數公司都意識到了這一點。根據一項安全研究(Balabit 2018),擁有大範圍存取權限的員工特別容易受到攻擊。而且,由於員工參與了50%安全漏洞,69%的受訪IT專業人士認為內部資料洩露是最大的風險。然而,人們對此卻沒有什麼行動。在實際上,通常很難對內部員工提出指控。特別是在中小型企業(SMEs),人們相互認識,往往對他們有一定的信任--有時會造成不愉快的後果。結構良好的資訊安全管理為確保需要保護的資訊安全提供了基礎。
結論。ISO 27001的實踐 - 附錄A
在附錄A.7中,ISO/IEC 27001:2017 提供了人員安全的參考措施,這些措施必須作為標準導入的一部分來實施。公司應將這些控制措施作為其單獨的、更深入的資訊安全策略設計的基礎。這些措施並不依賴於對員工的不信任,而是依賴於結構清晰的人事流程。
ISO 27002 指南定義了廣泛的一般安全措施目錄,用來支援組織實施 ISO 27001 附件 A 的要求。2022 年初,該指南進行了全面修訂和更新。 新版本為資訊安全管理人員提供了對 ISO 27001 修訂後預期變化的準確展望。
專業知識和信任
經過驗證的公司重視管理系統,認為它是高階管理的工具,可以創造透明度,減少複雜性並提供安全性。然而,管理系統能做得更多:由中立和獨立的第三方(如DQS )進行評估和驗證,能使各相關方對 貴公司的績效產生信任。
許多組織仍然將驗證視為合規性檢查。另一方面,我們的客戶將其視為一個專注成功關鍵因素及其管理系統結果的機會。因為我們的核心能力在於執行驗證稽核和評估。這使我們成為全球領先的供應商之一,並聲稱在任何時候都要在可靠性、品質和客戶導向方面設定新的標準。
請注意: 我們的文章是由我們內部的管理系統專家和資深的稽核員獨家撰寫的。如果您有任何關於資訊安全(ISMS)的問題要問我們的作者,請聯絡我們。我們期待與您交流。
DQS 電子報
André Saeckel
在DQS擔任資訊安全管理的product manager。作為資訊安全和IT安全目錄(關鍵基礎設施)領域的標準專家,André Säckel負責以下標準和產業特定標準等。ISO 27001、ISIS12、ISO 20000-1、KRITIS和TISAX(汽車產業的資訊安全)。他也是ISO/IEC JTC 1/SC 27/WG 1工作組的成員,作為德國標準化研究所DIN的國家代表。