WORK FROM HOME vs ISO 27001
設置符合 ISO 27001 的遠程工作流程
無論您從事哪個行業,遠程工作已是不可逆的事實,正如我們今天看到的 COVID-19 情況,但遠程工作也有其風險,增加了可被惡意人員利用的漏洞風險。通過這種方式,還需要考慮到安全性來處理遠程工作。
因此,ISO 27001 標準可以證明是保護訊息的良好基礎,ISO 27001 控制措施基於業已證明的最佳實踐,可幫助公司處理各種形式的遠端風險,將風險降至最低並提高 IT 安全性
遠程工作的主要安全挑戰
一些最常見的訊息安全挑戰有:
- 遠程使用設備的安全性降低
- 遠程設備上的數據丟失
- 違反法律要求(例如 GDPR)
- 遠程員工對安全實踐的參與度低
ISO 27001 方法
ISO 27001定義了訊息安全管理系統 (ISMS) 的建立、實施、維護和持續改進的要求,適用於任何規模和行業的組織。
ISO 27001 風險評估和處理
ISO 27001的核心,風險評估和風險處理過程,主要包括:
- 方法論的定義:通過定義的步驟和標準獲得一致、有效和可比較的結果。
- 風險評估實施:識別相關風險。
- 風險處理實施:定義如何處理相關風險(緩解、轉移、規避和接受)。
- 創建風險報告和適用性聲明:記錄過程結果並總結適用的控制和理由(標準要求)。
- 風險處理計劃的定義:確定義誰將在哪個時間範圍內實施每個控制,以什麼預算等。
ISO 27001 遠程工作控制
考慮到前面提到的挑戰,考慮到 ISO 27001 附件 A 中的控制,實施一個強大的遠程工作流程將包括:
組織面:
這些基本上是指與遠程工作相關的規則和職責
技術面:
這些是指技術實施,不僅可以確保用戶設備的安全,還可以確保公司的數據和基礎設施
物理面:
這些是指用於確保公司與遠程工作相關的資產(例如,遠程訪問服務器)免受物理風險的物理實施。
人力資源面:
這些是指公司必須採取的措施,以確保其員工了解遠程工作時訊息安全的重要性以及訊息洩露的後果。
免責聲明:
轉載此文是出於傳遞更多訊息為目的,若有來源標註錯誤或侵犯了您的合法權益,請作者持權屬證明與本網聯繫,我們將及時更正、刪除,謝謝。
參考文件:
https://securityboulevard.com/2020/06/setting-up-an-iso-27001-compliant-remote-work-process/
https://www.ndcmanagement.co.uk/blog/it-security-home-office-working/