有两件事经常被相互混淆:信息技术(IT)安全和信息安全。在数字化时代,信息通常是在IT的帮助下进行处理、存储或运输的 - 在数字化时代,信息大多是在IT的帮助下进行处理、存储或运输的 - 但往往信息安全仍然比我们想象的更多是模拟的!基本上,IT安全和信息安全有相当密切的联系。因此,为了有效地保护机密信息以及IT本身,需要一个系统的方法。
IT安全vs.信息安全
信息安全不仅仅是IT安全。它关注的是整个公司。毕竟,机密信息的安全不仅仅是针对电子系统处理的数据。信息安全包含了所有需要保护的公司资产,包括那些模拟数据载体上的资产,如纸张。
"IT安全和信息安全是两个(还)不能互换的术语。"
信息安全的保护目标
因此,信息安全的三个基本保护目标--保密性、可用性和完整性--也适用于一封包含重要合同文件的信件,它必须按时、可靠、完整地到达收件人的门口,由快递员运输,但完全是模拟的。而这些保护目标同样适用于一张包含机密信息的纸,但它躺在无人看管的桌子上,任何人都可以看到,或者在复印机里等待着,可以自由取用,等待着未经授权的访问。
因此,信息安全的范围比IT安全更广。另一方面,IT安全 "仅 "指对IT系统中的信息进行保护。
根据定义,IT安全
官方机构是怎么说的?IT安全是 "一种状态,在这种状态下,由于威胁和漏洞造成的使用信息技术的风险通过适当的措施被降低到一个可接受的水平。因此,IT安全是指通过适当的措施来保护信息和信息技术的保密性、完整性和可用性的状态"。根据德国联邦信息安全办公室(BSI)的说法。
信息安全=IT安全加X
在实践中,有时会采取不同的方法,使用经验法则 "信息安全=IT安全+数据保护"。然而,这句话写成方程后,就显得相当引人注目了。诚然,欧洲GDPR下的数据保护问题是关于保护隐私的,它要求个人数据的处理者既要有安全的IT,又要有例如安全的建筑环境--从而排除了对客户数据记录的物理访问。然而,这就把不需要个人隐私的重要模拟数据排除在外。例如,公司的施工图和更多。
信息安全这一术语包含了超越纯粹的信息技术方面的基本标准,但总是包括这些标准。因此,相对而言,即使是IT安全范围内的简单技术或组织措施,也总是在适当的信息安全的背景下采取。这方面的例子可以是。
- 确保硬件的供电安全
- 防止硬件过热的措施
- 病毒扫描和安全程序
- 文件夹结构的组织
- 设置和更新防火墙
- 培训员工,等等。
很明显,计算机和完整的IT系统本身就不需要保护。毕竟,如果没有信息被数字化处理或传输,硬件和软件就会变得毫无用处。
法律规定的IT安全,德国的一个例子
CRITIS的主题:IT安全法专注于各行业的关键基础设施,如电力、燃气和水供应、交通、金融、食品和健康。在这里,主要关注的是保护IT基础设施免受网络犯罪的侵害,以保持IT系统的可用性和安全性。特别是,今天的数字控制的远程控制系统必须得到保护。
这些保护目标是最重要的(摘录)。
- 对IT安全风险的考虑
- 创建IT安全概念
- 创建应急计划
- 采取一般的安全预防措施
- 控制互联网安全
- 使用密码学方法等。
ISO 27001 - 信息安全的标准
ISO 27001是怎么说的?全球公认的信息安全管理系统(ISMS)的标准,及其衍生的ISO 27019、ISO 27017和ISO 27701,被称为。
ISO/IEC 27001:2017 - 信息技术 - 安全技术 - 信息安全管理系统 - 要求(ISO/IEC 27001:2013包括Cor 1:2014和Cor 2:2015)。
这一重要标准的标题清楚地表明,IT安全在今天的信息安全中发挥着重要作用,并且在未来将继续增加其重要性。然而,ISO 27001中规定的要求并不直接只针对数字IT系统。恰恰相反。
"在整个ISO/IEC 27001中,"信息 "被全面提及,没有例外。"
原则上,对于处理或保护这些信息的模拟或数字方式不作区分。
一个成功实施的ISMS支持一个整体的安全战略:它包括组织措施、有安全意识的人员管理、部署的IT结构的安全以及对法律要求的遵守。
信息安全往往比我们想象的更有类比性
任何人都可以将ISO 27001的标准要求应用在一个完全模拟的系统上,最后得到的结果与将要求应用在一个彻底的数字系统上的人一样多。只有在众所周知的ISMS标准的附件A中,才会出现远程工作或移动设备等术语,其中包含了对用户的衡量目标和措施。但即使是标准附件A中的措施也提醒我们,在信息安全方面,每个公司仍然有模拟的过程和情况必须考虑到。
任何在公共场合通过智能手机大声谈论敏感话题的人,例如在火车上,可能是在使用数字通信渠道,但他们的不当行为实际上是模拟的。而任何不清理自己办公桌的人,最好把自己的办公室锁起来以保持机密性。至少前者作为安全保护信息的最有效的单一措施之一,到目前为止,通常还是由手工完成的...
IT安全与信息安全--结论
IT安全和信息安全是两个不能(还)互换的术语。相反,IT安全是信息安全的一个组成部分,而信息安全也包括模拟事实、流程和通信--顺便说一下,这在今天的许多情况下仍然是很常见的。然而,越来越多的数字化使这些术语越来越接近,因此,从长远来看,意义上的差异可能会变得更加微不足道。
您可以从我们这里期待什么
DQS是您的审计和认证专家--为管理系统和流程进行审计和认证。凭借35年的经验和全球2500名审核员的专业知识,我们是您在信息安全和数据保护各个方面的合格认证伙伴。
您有任何问题吗?
请联系我们! 无义务和免费的。
我们不只是谈论专业能力,我们有专业能力。您可以期待我们所有的DQS审核员拥有多年的实际专业经验。他们在各种规模和各种行业的组织中都积累了经验。有了这种多样性,可以保证您的DQS首席审核员会对您的公司情况和管理文化产生共鸣。我们的审核员根据自己的经验了解管理系统,即他们自己建立、管理和进一步发展ISMS--他们根据自己的经验了解日常的挑战。我们期待着与您交流。
DQS新闻
Krüger Gert
DQS的信息安全、BSI-KritisV和数据保护的专家和项目经理。此外,他还是质量和环境管理方面的长期审计师。