新時代資訊和網路安全挑戰的因應之道
新版的ISO/IEC 27001資訊安全管理標準於2022年10月25日發佈,這對組織來說,強化與更新資訊安全非常重要,因為舊版標準已不足以應對這10年來資訊和網路急遽變化所帶來的挑戰。
雖然組織有3年的時間可以完成轉換,但仍建議即早更新資訊安全管理系統(ISMS),以更好地因應業務營運與相關風險需求。本文將探討新版標準的佈署,以協助組織應對當今數位環境下的三大挑戰:
數位化的加速
在過去兩年,全球有許多的企業受COVID-19 疫情影響,被迫面臨適者生存、不適者淘汰的局面。數位轉型的比例也較10年前更為顯著,轉向採用雲端服務使得遠端工作更加便利、營運持續更有效、災難復原也更迅速。然而,新服務的引入也同時帶來了自身的安全風險,因為大量極為敏感的數據可能在全球被多個第三方供應商所儲存、收集和瀏覽。
為了解決這些風險和挑戰,ISO/IEC 27001進行了多項變更,確保組織能夠將新的資訊與網路安全要求納入現有的管理標準中,包括對定義、溝通和實施流程的新要求,以確保數據安全。
實體網路邊界的淡化
傳統獨立的硬體網路環境已成為過去式,即使在 2020 年之前,我們的生活早已因為網路而密不可分,然而,疫情又進一步加速了這種現象。現在,有越來越多的員工會從家中、機場或其他地方用自己的設備遠端工作。他們使用的裝置或網路如個人路由器、公共Wi-Fi等可能存在安全風險,也為組織帶來潛在威脅。而新版的標準也將這種新型態的工作方式納入考量,為資訊、網路、實體、環境、資產管理和人力資源等方面,提供相關更新的安全控制措施。
網路犯罪產業化
雲端服務的興起也催生了軟體即服務(Software-as-a-Service)的概念。不幸的是,創新不僅對善意的使用者有利,網路犯罪分子也在利用此趨勢,展開勒索軟體即服務(RaaS)的活動,並且從中獲取不當利益。如今,暗網充斥著各種現成的惡意軟體,讓任何惡意行為者不需具備太多技術知識,就能輕易地對企業進行網路攻擊。遺憾的是,網路犯罪與我們組織一樣正歷經快速轉型,且其威脅和攻擊也將持續不斷地快速演進。
這也正是為何將網路安全威脅應對框架如辨識、偵測、保護、回應和恢復等,納入更新標準的主要原因,透過更全面、完整的網路安全控制措施,協助組織應對不斷演進的網路威脅。
面對這些挑戰,您解決問題的緊迫性將取決於您數據所面臨的風險、攻擊發生的可能性及其潛在影響。然而,由於RaaS的普及和應用便利性,無論任何規模和產業之企業組織都應該認識到自身的脆弱性。
新版標準變更之處
2022 年 2 月,新版標準「ISO/IEC 27002:2022資訊安全、網路安全和隱私保護-資訊安全控制」正式發佈,以因應現今組織的需求與環境,而這些變更也反映在新發佈的ISO/IEC 27001標準中。
修訂後的 ISO/IEC 27001 標準採用了新的 ISO 調和結構(Harmonized Structure),為標準帶來了一致性、清晰度和簡潔性。同時引入了新的安全類別和控制措施,以及相應的指引和屬性。欲深入了解此標準的重要變更內容,請點此瀏覽網頁。
為何要採用新版標準
新標準可確保您擁有符合全球最佳實踐的資訊管理系統,使組織的資訊安全策略與當前的威脅環境保持一致,並能更有效地管理與資訊和網路安全相關的數據。經過精簡後的新版標準,使更多人能夠更輕鬆地存取和實施適當的控制措施。
克服執行方面的挑戰
實施新版標準需要重新審視組織的適用性聲明和風險評估。然而,人在其中扮演很重要的關鍵因素。從自攜設備(BYOD)到遠端工作,組織內的所有成員都應對資訊和網路安全負有責任,獲得他們的支持將是確保標準順利實施的關鍵成功因素。
對於那些認為只需依賴技術就能確保安全的人來說,這將是一個挑戰。更重要的是,這將涉及到責任的討論,而且這些討論不應僅限於組織內部。維護全球供應鏈的安全通常非常複雜,需要應對來自多個第三方供應商提供的雲端服務平台、技術和資訊管理系統。實施新的標準將需要您與供應鏈和採購經理緊密合作。
有效的協調不僅意味著幫助他們了解如何以及需要做什麼,還需要解釋為什麼。您需要能夠解釋新版標準如何直接影響每個利害關係人,這也是為什麼盡早參與過渡過程非常重要的原因,您將能充分了解他們所面臨的威脅、弱點和機會,從而協助他們接受必要的改變。
持續改進 臻於至善
我們正面臨日益複雜的監管環境,隨著世界各地不斷制定新的法規,也增加了合規的複雜度。然而,這僅是風險管理問題中的一部分,要想靠單一的技術或流程等相關解決方案,來確保組織的安全幾乎是不可能的事。維持最佳的資訊和網路安全水平的唯一方法,是要確保從執行長到臨時工的每個人都對此都負有責任。
無論從提高全員意識、進行教育訓練、還是確保合規性等,組織管理系統的有效性有賴持續不斷地評估與改進。唯一確定的是,一切都將朝快速變化前進。以更全面、互動的角度來看待組織和所有與其相關之人事物,並進行反覆的調整和改善,將是組織能夠持續適應變化並保持領先地位的唯一途徑。
David Mudd, BSI全球數位信任驗證總監
負責BSI所有服務產品業務,並針對數位信任驗證建立解決方案,包括網路安全、隱私、IT 治理和風險、供應鏈、數據管理和人工智慧 (AI)。