經常相互混淆的兩件事:資訊技術(IT)安全和資訊安全。在數位化時代,訊息通常是在IT的幫助下進行處理、儲存或運輸 - - 但資訊安全仍然比我們想得更類比!基本上,IT安全和資訊安全有相當密切的關連。因此,需要一種系統的方法來有效地保護機密資訊以及IT本身。
Loading...
IT安全vs.資訊安全
資訊安全不僅僅是IT安全。它關心的是整個公司。畢竟,機密資訊的安全性不僅是針對電子系統處理的資料。資訊安全包含所有需要保護的公司資產,包括那些類比資料載體上的資產,如紙張。
"IT安全和資訊安全是兩個(還)不能互換的術語。"
資訊安全的保護目標
因此,資訊安全的三個基本保護目標--機密性、可用性和完整性--也適用於包含重要合約文件的信件,信件必須按時、可靠、完整地送達收件人的門口,由快遞員運輸,但完全是類比的。而這些保護目標同樣適用於一張包含機密資訊的紙,但它放在無人看管的桌子上任何人都可以看到,或者在影印機裡可以未經授權的自由使用。
因此,資訊安全的範圍比IT安全更廣泛。另一方面,IT安全 "僅 "指保護IT系統中的資訊。
根據定義的IT安全
官方機構是怎麼說的?IT安全是 "由於威脅和漏洞造成的資訊技術的使用風險透過適當的措施降低到可接受水準的狀態。因此,IT安全是指透過適當的措施來保護訊息和資訊技術的機密性、完整性和可用性的狀態"。根據德國聯邦資訊安全辦公室( the German Federal Office for Information Security-BSI)的說法。
資訊安全=IT安全加X
實際上,有時會採取不同的方法,使用經驗法則 "資訊安全=IT安全+資料保護"。然而,這句話寫成方程式後,就顯得相當引人注目了。當然,歐洲GDPR下的資料保護問題是關於保護隱私的,它要求個人資料的處理者同時要有安全的IT,又要有,例如安全的建築環境--從而排除對客戶資料記錄的物理存取。但是,這遺漏了不需要個人隱私的重要類比資料。例如,公司的建設計劃等等。
資訊安全這個術語包含了超越純粹IT方面的基本標準,但始終包含這些標準。因此,相對而言,即使是IT安全範圍內的簡單技術或組織措施,也總是在適當的資訊安全背景下採取。這方面的例子可以是:
- 確保硬體的電源
- 防止硬體過熱的措施
- 病毒掃描和安全程序
- 檔案夾結構的組織
- 設置和更新防火牆
- 訓練員工,等等。
很明顯,電腦和完整的IT系統本身就不需要保護。畢竟,如果沒有資訊被數位化處理或傳輸,硬體和軟體就會變得毫無用處。
法律規定的IT安全,德國的例子
CRITIS的主題:IT安全法著重於各產業的關鍵基礎設施,如電力、天然氣和供水、交通、金融、食品和健康。在這裡,主要注意的是保護IT基礎設施免受網路犯罪的侵害,以維持IT系統的可用性和安全性。特別是當今的數位控制的遠端遙控系統必須得到保護。
這些保護目標是最重要的(摘錄):
- 考量IT安全風險
- 建立IT安全概念
- 建立應急計劃
- 採取一般安全預防措施
- 控制網際網路安全性
- 使用加密方法 等。
ISO 27001 - 資訊安全的標準
ISO 27001 是怎麼說的?全球公認的資訊安全管理系統(ISMS)標準,及其衍生的ISO 27019、ISO 27017和ISO 27701,被稱為:
ISO/IEC 27001:2022- 資訊安全、網路安全和隱私保護 - 資訊安全管理系統 - 要求。
修訂版於 2022 年 10 月 25 日發佈。當前版本 (ISO/IEC 27001:2013) 有效期至 2025 年 10 月。
這一重要標準的標題清楚地表明,IT安全在當今的資訊安全中發揮著重要作用,並且在未來將繼續增加其重要性。但是,ISO 27001中規定的要求並非直接只針對數位IT系統。恰恰相反:
"在整個ISO/IEC 27001中,"資訊 "被全面提及,沒有例外。"
原則上,不區分處理或保護這些資訊的類比或數位方式。
有關資訊安全和稽核可能性的更多寶貴知識,請參考 ISO 27001 驗證
成功實施的ISMS支撐一個整體的安全策略:它包括組織措施、有安全意識的人員管理、所架設的IT結構的安全性以及對法律要求的遵守。
Loading...
寶貴的專業知識:DQS 稽核指南
我們的稽核指南 ISO 27001 - Annex A 由領先的專家創建,作為實用的執行輔助工具,是更好地了解選定標準要求的理想選擇。 該指南基於 ISO/IEC 27001:2017。 由於修訂版於 2022 年 10 月 25 日發佈,我們將會儘快增加修改的資訊。
資訊安全往往比我們想的更有類比性
任何想要將 ISO 27001 的標準要求應用在完全類比系統的人,最終都會得到與將標準要求應用於完全數位系統的人一樣的結果。只有在著名的的ISMS標準的附件A中,才會出現遠端工作或移動設備等術語,其中包含了對用戶的衡量目標和措施。但即使是標準附件A中的措施也提醒我們,在資訊安全方面,每個公司仍然有必須考慮的類比流程和情況。
任何在公共場合透過智慧型手機大聲談論敏感話題的人,例如在火車上,都可能是在使用數位通訊管道,但他們的不當行為實際上是類比的。任何不清理自己辦公桌的人,最好把自己的辦公室鎖起來以保持機密性。至少前者作為安全保護資訊的最有效的單一措施之一,到目前為止,通常還是由手工完成的...
IT安全與資訊安全--結論
IT安全和資訊安全是兩個不能(還)互換的術語。相反,IT安全是資訊安全組成的一部分,而資訊安全也包括類比、流程和通訊--順便說一下,這在當今的許多情況下仍然是很常見的。然而,隨著數位化程度的提高,使這些術語之間的差距越來越近,因此,從長遠來看,意義上的差異可能會變得更加微不足道。
可以從我們這裡期待什麼
DQS是您的稽核和驗證專家--為管理系統和流程進行稽核和驗證。憑借35年的經驗和全球2500名稽核員的專業知識,我們是您在資訊安全和資料保護各個方面的合格認證合作夥伴。
Loading...
有任何問題嗎?
請聯絡我們!
無需負擔義務且是免費的。
我們不只是談論專業能力,我們亦有專業能力。您可以期待我們所有的DQS稽核員擁有多年的實際專業經驗。他們在各種規模和各種產業的組織中都累積了經驗。有了這種多樣性,可以保證您的DQS稽核員會對公司情況和管理文化產生共鳴。我們的稽核員根據自己的經驗了解管理系統,即他們自己建立、管理和進一步發展ISMS--他們根據自己的經驗了解日常的挑戰。我們期待著與您交流。
DQS 電子報
隨時了解並訂閱我們的電子報!
作者
André Saeckel
在DQS擔任資訊安全管理的product manager。作為資訊安全和IT安全目錄(關鍵基礎設施)領域的標準專家,André Säckel負責以下標準和產業特定標準等。ISO 27001、ISIS12、ISO 20000-1、KRITIS和TISAX(汽車產業的資訊安全)。他也是ISO/IEC JTC 1/SC 27/WG 1工作組的成員,作為德國標準化研究所DIN的國家代表。
Loading...