网络犯罪对所有行业和规模的公司都构成了严重威胁--这一点众所周知。其范围从间谍活动到破坏活动再到勒索。然而,危险并不仅仅来自于互联网。你自己的员工也可能是一个严重的风险因素。特别是如果你的公司没有采取适当的措施 - 看看ISO 27001的附件A.7。

Loading...

一个符合 ISO 27001标准的结构良好的信息安全管理系统(ISMS)为有效实施整体的信息安全战略提供了基础。这种系统化的方法有助于保护公司的机密数据不被丢失和滥用,并可靠地识别公司的潜在风险,分析这些风险并通过适当的措施使其可控。这涉及到的不仅仅是信息技术安全方面的问题。实施标准附件A中的措施,对实践尤其有价值。

ISO/IEC 27001:2013 - 信息技术 - 安全程序 - 信息安全管理系统 - 要求。

ISO 27001的附件A:具有实际意义

除了面向管理系统的要求部分(第4章至第10章),ISO标准的附件A包含一个广泛的35个措施目标(控制)清单,其中有114项具体措施,涉及14个章节的广泛安全方面。

注: 附件A中被称为 "措施 "的陈述实际上是单个目标(控制)。它们描述了符合标准的适当(个别)措施的结果应该是什么样子的。

公司应以这些控制措施为基础,对其信息安全政策进行单独的、更深入的构建。关于人员主题,附录A.7中的措施目标 "人员安全 "尤其值得关注。

"这些措施并不依赖于对雇员的不信任,而是依赖于结构清晰的人事流程。"

人事流程确保在就业的所有阶段,分配有关信息安全的责任和义务,并对遵守情况进行监测。因此,违反信息安全政策--无论是有意的还是无意的--并不是不可能的,但它们会变得更加困难。如果出现最坏的情况,一个有效的ISMS为组织提供了适当的机制来处理违规行为。

信息安全不是不信任

如果一个公司发布适当的指导方针,使未经授权的内部访问变得更加困难,或者更好的是完全防止它,这绝不是一个不信任的问题。毕竟,有一件事是明确的:如果一个员工的解雇即将发生或已经宣布,他或她的不满会导致有针对性的数据盗窃。特别是当被解雇的员工认为他或她拥有项目数据的所有权时,这种情况会发生。相反,申请某项工作可能已经有了犯罪行为的意图。

其他情况表明,严重疏忽的行为或仅仅是鲁莽的行为,也会产生类似的严重后果。例如,整个IT部门不遵守自己的规则的情况时有发生--太繁琐,太耗时。在办公室里,是不小心处理密码或未受保护的智能手机。但也有不小心连接U盘,在屏幕上打开的文件,在空荡荡的办公室里的秘密文件--可能遗漏的清单很长。

ISO 27001的附件A.7--人员安全

已经按照ISO 27001标准实施了信息安全管理系统(ISMS)的公司在这里处于更好的地位。他们知道国际公认标准的要求和与实践相关的附件A.7。因为ISO 27001在这里有很多东西可以提供。尽管参考措施直接提到了标准要求,但它们总是针对公司的直接实践。

拥有有效的ISMS的公司对A.7中规定的目标非常熟悉,这些目标的实施必须着眼于人员的安全,以充分符合标准的要求--在所有的就业阶段。

ISO 27001标准在附件A.7中是怎么说的?

雇用前的措施

根据附件A.7.1,组织必须确保新员工在聘用前了解其未来的职责并适合其角色。在要求部分(第7.2章),该标准谈到了 "能力"。

作为一个以目标为导向的参考措施,申请工作的人首先接受符合道德原则和适用法律的安全检查。这种检查必须与业务要求、要获得的信息的分类和可能的风险相适应(A.7.1.1)。为了能够实现这一点,除其他事项外,应具备、确保或核实以下内容。

  • 获取信息的程序(如何和在什么条件下)。
  • 一份需要遵守的法律和道德标准的清单
  • 安全检查必须适当,与风险和公司的需求有关
  • C.V.、财务报表和其他文件的合理性和真实性
  • 申请人是否值得信赖,是否有能力胜任预定的职位

合同协议

下一步是关于就业和合同条款。因此,ISO/IEC 27001附件A中的这项参考措施包括合同协议,即员工对公司有哪些责任,反之亦然(A.7.1.2)。这一要求的成功实施,除其他外,还包括履行这些要点。

  • 有机会接触机密信息的雇员(承包商)签署保密协议
  • 雇员(承包商)有合同义务遵守,例如,版权或数据保护问题
  • 关于雇员(承包商)处理外部信息时的责任的合同规定

在就业期间--最高管理层的责任。

雇员必须意识到他们的信息安全责任。这是A.7.2的目标,更重要的是,员工必须践行这些责任。

第一项措施(A.7.2.1)是针对管理层有义务鼓励其员工按照既定的政策和程序实施信息安全。为此,必须至少对以下几点进行规范。

  • 最高管理层以何种方式鼓励员工实施?哪里有风险?
  • 它如何确保员工了解所实施的处理信息安全的准则?
  • 它是如何检查员工是否遵守处理信息安全的准则的?
  • 他们如何激励员工执行政策和程序并安全地应用它们?

建立意识

在第7.3章 "意识 "中,ISO 27001要求从事相关活动的人员应了解以下内容

  • 了解组织的信息安全政策
  • 他们对信息安全管理系统(ISMS)的有效性所做的贡献
  • 提高信息安全性能的好处
  • 不符合ISMS要求的后果

新员工尤其需要定期获得这方面的信息,例如,除了关于信息安全问题的强制性介绍外,还可以通过电子邮件或通过内部网络。具体的培训(特别是关于应急计划和演习)、特定主题的研讨会和宣传活动(如通过海报)加强了对信息安全管理系统的认识。

例如,ISO 27001附件A中的参考措施A.7.2.1也有助于建立适当的信息安全意识。各组织必须对其员工进行培训和教育,并在适当情况下对其承包商进行专业的相关主题培训。相应的政策和程序必须定期更新。除其他外,还必须考虑到以下方面。

  • 最高管理层对信息安全的承诺方式
  • 专业教育和培训的性质
  • 政策和程序被审查和更新的频率
  • 所使用的其他工具
  • 让员工熟悉内部信息安全政策和程序的具体措施

提示: 确保运作良好的沟通,有多种渠道进行知识传递。因为对ISMS和标准所要求的相关方面的认识与知识的转移密切相关。

斥责程序

附件7.2.3:本措施规定了组织在发生违反信息安全的情况下处理斥责的方式。其基础是纠正行动流程。它应被正式定义、建立和宣布。必须确保以下几点。

  • 必须有标准,根据这些标准对违反信息安全政策的严重程度进行分类。
  • 纪律处分程序不得违反适用的法律。
  • 纪律处分程序必须包含能激励员工长期积极改变其行为的措施。

结束雇用 - 责任

ISO 27001的附件A.7.3规定了一个有效的终止或变更过程作为目标,以保护组织的利益。该目标着重于终止或变更雇用的责任。因此,在终止或变更雇佣关系后仍然存在的与信息安全相关的责任和义务必须被定义、传达和执行。考虑这些方面是有意义的。

  • 在雇佣合同中约定雇员在终止雇佣关系后如何处理与信息安全有关的持续责任和义务
  • 确保遵守这些协议的监督机制
  • 强制遵守持续责任和义务的程序

通过系统的人员安全保障实现网络安全

来自内部的威胁是真实的--而且大多数公司都意识到了这一点。根据一项安全研究(Balabit 2018),拥有大范围访问权限的员工特别容易受到攻击。而且,由于员工参与了所有安全漏洞的50%,69%的受访IT专业人士认为内部数据的泄露是最大的风险。然而,人们对此却没有什么行动。在实践中,通常很难对内部员工提出指控。特别是在中小型企业(SMEs),人们相互认识,往往对他们有一定的信任--有时会造成不愉快的后果。结构良好的信息安全管理为确保需要保护的信息的安全提供了基础。

结论。ISO 27001的实践 - 附件A

在附件A.7中,ISO/IEC 27001提供了人员安全的参考措施,这些措施必须作为标准引入的一部分来实施。公司应将这些控制措施作为其单独的、更深入的信息安全政策设计的基础。这些措施并不依赖于对员工的不信任,而是依赖于结构清晰的人事流程。

专业知识和信任

经过认证的公司重视管理系统,认为它是高层管理的工具,可以创造透明度,减少复杂性并提供安全性。然而,管理系统的作用甚至更大。由中立和独立的第三方(如DQS )进行评估和认证它们能使有关各方对您公司的业绩产生信任。

许多组织仍然将认证视为一种合规性检查。另一方面,我们的客户将其视为一个机会,以关注成功的关键因素和他们的管理系统的结果。因为我们的核心能力在于执行认证审计和评估。这使我们成为全球领先的供应商之一,并声称在任何时候都要在可靠性、质量和客户导向方面设定新的标准。

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Certification according to ISO 27001

您需要做多少工作才能使您的信息安全管理系统通过ISO 27001认证?免费且无义务地了解一下。

请注意: 我们的文章是由我们内部的管理系统专家和长期的审核员独家撰写的。如果您有任何关于信息安全(ISMS)的问题要问我们的作者,请联系我们。我们期待着与您交流。

作者
André 塞克尔

在DQS担任信息安全管理的产品经理。作为信息安全和IT安全目录(关键基础设施)领域的标准专家,André Säckel负责以下标准和行业特定标准等。ISO 27001、ISIS12、ISO 20000-1、KRITIS和TISAX(汽车行业的信息安全)。他也是ISO/IEC JTC 1/SC 27/WG 1工作组的成员,作为德国标准化研究所DIN的国家代表。

Loading...