FACEBOOK股价大跌,企业对信息安全该有哪些冷思考?



2018年4月17日 | 产品安全

      

 

图1:Facebook股价大跌7%

 

近日,Facebook 股价暴跌,两个交易日内市值蒸发约 500 亿美元。这桩由一个未授权应用而致的5000万Facebook用户数据泄漏事件,惹怒了网民,也敲响了企业信息管理的警钟。如果个人信息泄露意味着隐私曝光,那么商业机密外泄则预示着不可估量的重大经济损失。

 

哪些是信息安全事故 “高危企业”

IT企业依赖信息技术发展生存,在服务的每个环节都面临着数据安全风险,无论是软件开发、数据中心、系统集成还是在线销售(电商)都存在莫大的信息安全隐患。除此之外,处理大量客户机密信息的企业如金融类、证券类、咨询公司、律师事务所、会计事务所等,更应对信息管理保持高度警惕;保险机构、人才招聘机构、医院诊所和呼叫中心等因业务性质涉及大量个人信息存管,也应当对信息管理有全面的认识。 此外,OEM企业如汽车零部件供应商,和一些拥有专利的高新制造企业(如通讯装备制造企业),因需接收客户保密样品、保密图纸,或掌握需要切实保密的产品信息,也需要系统地管理信息安全。

可见,信息保护不仅对个人而言意义重大,企业也需要建立一套行之有效的信息安全管理体系,最大限度降低信息安全风险所造成的不良影响。

 

你真的知道“信息”的内涵吗?

ISO 27001对“信息”的定义比我们日常所理解的信息范畴宽的多,在这里“信息”更多指向的是信息资产,即对组织有价值的知识或数据。在企业的日常运营实践中,与客户信息、企业信息和相关方的信息管理都在信息安全体系的管理范畴之内。事实上,企业面临着多方面的信息安全要求:管理人员安全、数据安全、应用安全、系统安全、网络安全、数据安全、运行安全和实体(物理)安全等。

 

信息安全管理中常见漏洞

不少企业已经意识到信息安全管理的重要性,也开始采取行动,但仍不足以构成一个逻辑严密的信息安全管理体系,各组织对于信息安全的危害认识不够全面,导致组织各级人员的信息安全意识薄弱,机密信息随意摆放;企业信息安全停留在救火的阶段,等到事故发生时才拿出应急救援方案;另外一点则表现为对不同环节、不同来源信息的管理是独立,而非系统的。

重视硬件设施的投入而忽视管理则是另一个常见的管理漏洞。许多企业以为花重资投入到防火墙、入侵检测和防病毒软件建设中就可以杜绝IT信息安全事故,而实际上下列三方面的问题,才是灾难的开始:

1. 缺乏对网络安全和应急响应技术层面有管理经验的人员;

2. 由于组织的目的是制造收入,所以大部分组织不会花时间构建有效的信息安全管理体系;

3. 大部分组织没有全职人员对信息安全进行管理。

 

行之有效的信息安全管理体系认证

ISO/IEC 27001是国际广泛认可的关于组织信息安全系统管理的认证标准。它概述了如何实施经独立评估和认证的信息安全管理体系。其核心在于风险评估(公司对认证范围内各类信息的风险评估),及对这些风险的对应措施。要注意的是:ISO/IEC 27001认证不是一个信息安全程度的认证;获得认证只代表组织的管理系统满足组织运营的风险要求,并且风险要求没有绝对的标准,视组织具体情况而定,即某一个企业的风险要求并不一定等同其它公司的要求。

凭借ISO/IEC 27001体系,企业可以显示对全球最佳实务的承诺和遵循,以向客户、供应商和股东证明信息安全保障是公司经营中的头等大事。

通过ISO 27001认证的企业,意味着:

1. 企业已经系统地建立起结构化的程序和一致的工作流程,很大程度上减少了由于流程管理不得当而导致的错误, 让客户更加满意;

2. 借助行业最佳实践,认证企业可以提高组织信息安全管理水平,保护组织资产和声誉;

3. 员工信息安全意识也将随之加强。实施信息安全管理体系,就像是给员工制定一套信息安全管理规范,使员工在日常工作中提高信息安全保护意识,从而提升企业的竞争力。

当然,有些时候我们也不得不承认,即使信息管理体系认证有一万点优势,也不如企业的“客户要求”来的急迫。尤其对于大企业而言,信息安全直接关乎商业机密,除了自身信息安全管理要过关,也要求供应商具备同等的信息安全管理能力。

ISO/IEC 27001信息安全管理体系适用于各个行业和各种规模的机构。更多相关信息,请咨询TÜV莱茵专家。

 

 

质者介绍

胡萌

TÜV莱茵大中华区管理体系服务信息行业产品经理 |

ISO 9001, ISO 14001,OHSAS 18001主任审核员; ISO/IEC 27001,ISO/IEC 20000-1主任审核员;
CSA、ECSA 云安全审核员