中小企業的資訊安全應用

內容

• 中小企業資訊安全
• 資安入門：適用於小型企業的 ISO 27001s
• 透過新的控制措施提高了中小企業的 IT 安全性
• NIS2：為什麼中小企業需要加強網路安全
• 中小企業的資訊安全應用－結論
• 獲得 DQS 的協助，穩健發展資安系統
• 閱讀小提醒：資訊記錄

中小企業資訊安全

時代變了，中小企業的網路安全要求也變了。許多中小企業發展迅速，往往是各自行業的市場領導者。因此，他們非常需要保護他們獨特的專有技術和商業機密 - 原則上所有資料和資訊 - 以及來自未經授權的存取。

然而，由於資源有限，中小企業很少具備無縫銜接的必要手段。資訊安全在企業層面 - 即使他們意識到資訊科技和資料安全整體情況中的安全風險。 IT 領域專家的短缺以及營運自己的安全營運中心 (SOC) 的巨大成本只是阻礙中小企業優化網路安全的眾多問題中的兩個。

隨著中小企業面臨越來越多的網路犯罪分子的攻擊，尤其是由於緊張的地緣政治局勢和不斷增加的供應鏈攻擊，這個問題變得更加嚴重。其範圍從集體發送的勒索軟體到針對個別公司的有針對性的專業攻擊。攻擊者也越來越多地使用雲端服務作為載體，出於成本和效率原因，中小企業（必須）特別頻繁地使用雲端服務。

德國保險公司的一項調查 HDI 檢驗 2024 年的報告顯示，53% 的中小企業已成為網路攻擊的目標。然而，這個數字並不能反映攻擊的全部範圍，而只是記錄了公司公開承認的那些事件。

這一印象得到了德國人的證實 “ Gothaer 中小企業研究 2024 ”，根據該報告，網路犯罪對 48% 的中小企業來說是最高的風險。根據這項研究，37% 的小公司還預計，在未來 12 個月內，成為網路攻擊受害者的風險將進一步增加。

適用於中小企業的 ISO 27001

身為中小型公司的資訊安全官 (ISO) 和資料保護官，如今您幾乎別無選擇：您必須確保敏感資料和資訊的安全。這不僅僅是資訊科技安全問題。還必須考慮結構措施、組織程序和流程以及人員要求。人的因素在資訊安全中也起著核心作用，必須相應地予以考慮。

系統資訊安全的黃金標準是國際標準 ISO/IEC 27001。它為實施資訊安全管理系統 (ISMS) 提供了既定的測試基礎和指南 —— 無論公司的組織結構、方向或規模如何。附件 A 新 ISO/IEC 27001:2022 ，其更新形式涉及資訊安全的所有面向 - 從組織措施到個人和物理措施技術安全措施 - 為小公司提供了很好的基本介紹。

透過新的控制措施提高了中小企業的 IT 安全性

附錄 A 的實用性本身就讓 ISO 27001 成為小公司的好選擇。它總共包括 93 項資訊安全措施（控制措施），其中 11 項是在 2022 年最後一次更新中新引入的。

新的控制措施主要關注數位領域資料和結構的安全，從而提供有價值的指導方針，可以顯著提高中小企業的資訊安全。以下概述了一些新功能以及小公司如何從中受益：

• 5.7 威脅情報、8.16 活動監控、8.23 網頁過濾
  這些控制項用於檢測、預防，及時識別網路攻擊對於中小企業的安全和生存幾乎具有重要意義業務連續性管理。小公司不僅因為資源有限而容易遭受網路犯罪，而且一旦發生勒索軟體，也可能很快就會達到普遍破產的地步。

• 5.23 使用雲端服務的資訊安全
  由於中小企業經常使用外部雲端服務，因此實施合適的取得、使用、管理和退出雲端服務的流程尤其重要。該措施還考慮了雲端服務提供者和雲端使用組織之間的責任，以確保適當的雲端安全。

• 5.30 ICT 為業務連續性做好準備
  對於小公司來說，業務連續性也至關重要，因為它們有時是深度整合的供應鏈的一部分，並將財務損失降至最低。 「ICT 業務連續性準備就緒」控制有助於在發生事件時創建適當的組織結構和 ICT 連續性計劃，包括回應和復原程序。

• 8.9 配置管理
  現代 IT 環境的高效能和安全運作在很大程度上取決於所涉及的所有系統、元件和應用程式的正確配置。對於小型公司的 IT 安全性來說，好處是：配置完成後，監控流程大部分可以自動實施，幾乎不會產生任何額外的人員成本。安全的配置管理資訊科技屬於技術或技術措施領域。

• 8.10 資訊刪除、8.11 資料脫敏、8.12 防止資料外洩
  中小企業經常透過其獨特的專業知識在市場上為自己創造一個利基市場。這種特殊知識是他們成功的關鍵，因此值得保護。這資訊安全技術措施幫助公司避免不必要的資料外流和資料遺失，並最大限度地減少駭客和工業間諜活動的攻擊面。

ISO 27001 附件 A 中的控制措施對中小企業具有巨大價值，特別是考慮到歐盟即將出台的工業網路安全 NIS 2 指令。

NIS2：為什麼中小企業需要加強資訊安全

歐盟於2022年底發布新版網路與資訊安全指令（NIS）。

根據NIS2指令，擁有50名或以上員工且相關行業營業額達到1000萬歐元的公司必須滿足要求。中小企業是擁有最多249名員工、營業額達5,000萬歐元的公司，因此受到直接影響。然而，重要的是要認識到，即使是規模較小的公司也可能透過供應鏈（即作為受影響公司的供應商）間接受到 NIS2 的影響。在將於 2024 年 10 月 17 日生效的針對特定國家的實施中，這些限制還可以進一步下調。

中小企業沒有太多時間來準備新要求。好消息：透過 ISO 27001，小公司可以朝著正確的方向邁出一大步，因為標準已經涵蓋了 NIS 2 要求的大部分（約 95%）。

中小企業資訊安全－結論

鑑於目前的威脅場景，中小企業、公共行政部門和地方當局也應根據國際公認的資訊安全管理系統實施資訊安全管理系統。 ISO 27001標準並考慮認證。有效的優勢管理系統不僅在於全面而深入的要求目錄，還在於明確以實踐為導向的附件A（這對中小企業來說尤其有趣），其中在2022 年新版中的四個章節中列出了93 項安全措施（控制措施） 。

關於中小企業的資訊安全，不僅需要根據 ISO 27001 實施和認證成熟的 ISMS（只需看看 NIS-2），而且在某些情況下結構要求也發生了根本性變化。這是因為今天許多中小企業已經擁有了認證品質管理體系依據 ISO 9001 ，這意味著基礎綜合管理系統與 ISO 27001 一起實施，節省了時間、人員和成本。因此，小公司的 ISO 27001 是絕對可以實踐的。

得到 DQS 的驗證幫助

我們的認證稽核為您提供清晰的資訊。對人員、流程、系統和結果的整體、中立的外部視圖顯示了您的管理系統的有效性以及其實施和控制的方式。對我們來說重要的是，您認為我們的稽核不是一次檢查，而是對您管理系統的豐富。

我們的方法總是從稽核清單結束的地方開始。我們特別詢問“為什麼”，因為我們想了解您選擇特定實施方式的原因。我們專注於改進的潛力並鼓勵改變觀點。這種徹底的方法可確保您確定可在管理系統中持續改進的可行領域。

閱讀提示：記錄訊息

資訊分發配置和處理的速度是當今組織面臨的主要挑戰。資訊的多樣性使得識別與組織及其管理系統相關的關鍵資訊變得越來越困難。

同時利用現代通訊手段進行控制文件化訊息正在引發全新的面向。因此，可用性、完整性和保密性變得越來越重要。然而，隨著可用性程度的提高，資訊安全性會降低，除非採取適當的保護措施。

DQS 信任度和專業知識

我們的內容和各種服務手冊是由我們的標準專家或資深稽核員專門撰寫。如果您對文字內容或我們為作者提供的服務有任何疑問，請與我們聯絡。