近年來,很多企業為了合規都要求安全工作流滿足 ISO 标準之上。疫情發生後,企業對于安全态勢的需求也并沒有因為推行遠端辦公而減少。
ISO 合規有助于企業将使用者、技術和工作流統一集中管理。本文将介紹 ISO/IEC 27001 合規需要達到哪些标準,以及如何在遠端辦公期間滿足合規。
1. 什麼是 ISO 标準?
ISO 全稱為國際标準化組織(International Organization for Standardization),成立于1947年,制定了國際公認的技術和業務營運标準,涵蓋了産品制造、員工管理、服務提供、行業協會等不同行業和内容。
要獲得 ISO 認證,各類企業不論規模都必須遵守針對資訊安全管理的 ISO/IEC 27001 标準。為了保證網絡資訊安全,企業必須建立資訊安全管理系統(ISMS),并采取下列措施:
- 系統性檢查企業現有資訊安全風險
- 全面實施安全控制措施,防範化解風險
- 采用集中管理法,確定企業始終滿足安全需求
雖然企業為遠端員工實施了各種安全協定,但建立 ISMS 能進一步集中管理和保護财務資訊、知識産權和員工檔案等機密資訊。下面将分别介紹 ISMS 措施的具體内容:
1)系統性檢查資訊安全
要在遠端辦公期間依舊滿足 ISO 合規,企業必須系統性地檢查資訊安全風險,充分考慮潛在漏洞,并了解這些漏洞對企業安全态勢可能産生的影響。
ISMS 的關鍵因素之一是時刻掌握 IT 基礎架構運作情況,通過整體身份管理工具控制通路權限。為此,企業需要持續監控所有網絡流量,同時確定資訊易于通路。此外,還可以使用事件日志工具監控使用者及其系統,充分檢測基礎架構中的潛在風險。
2)全面實施安全控制
可行的 ISMS 包括一套全面的安全控制措施,用于解決企業的典型風險因素。即使在遠端辦公期間,也需要保護使用者和 IT 資源安全,具體措施包括:
- 盡可能使用多因素認證(MFA)
- 教育訓練員工使用複雜特殊的長密碼
- 為 IT 系統啟用全盤加密(FDE)
- 使用通路管理(AM)軟體
- 将軟體更新到最新版本
企業可以采用零信任安全模型,全面實施安全控制。例如将每個資源通路執行個體都視為潛在威脅,進而保護使用者和 IT 基礎架構免受各種網絡攻擊。
3)采用集中管理法
在遠端辦公期間實作 ISO 合規的最後一步是確定安全控制始終滿足企業的資訊安全需求。具體方法是通過集中實施身份和通路管理 (IAM) 工具,實作跨資源的安全控制自動化。
很多合規企業都會使用單點解決方案将使用者連接配接到不同作業系統、應用、網絡、IaaS 平台等資源。但在遠端環境中,使用者身份分散在多個平台很難集中管理,管理者要管控使用者和裝置也不太容易。
通過基于雲的集中式身份管理法,可以實作使用者預配自動化并在整個系統群中落實安全工作流,在滿足合規性的同時,還可以為 IT 基礎架構的迅速調整留出空間。
![Python實作ISE批量添加網絡裝置ISE簡介API建構請求實作批處理[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)