FACEBOOK股價大跌,企業對資訊安全該有哪些冷靜思考?



2018年4月23日 | 產品安全

      

 

圖1:Facebook股價大跌7%

 

近日,Facebook 股價暴跌,兩個交易日內市值蒸發約500億美元。這樁由一個未授權應用而致的5000萬Facebook使用者資料洩漏事件,已經惹怒了使用者,也敲響了企業資訊管理的警鐘。如果個人資訊洩露意味著隱私曝光,那麼商業機密外洩則預示著不計其數的重大經濟損失。

 

哪些是資訊安全事故 「高危險企業」

IT企業依賴資訊技術發展生存,在服務的每個環節都面臨著資訊安全風險,無論是軟體發展、數據中心、系統整合還是線上銷售(電商)都存在莫大的資訊安全隱患。除此之外,處理大量客戶機密資訊的企業如金融類、證券類、諮詢公司、律師事務所、會計事務所等,更應對資訊管理保持高度警惕;保險機構、人才招聘機構、醫院診所和呼叫中心等因業務性質涉及大量個人資訊管存,也應當對資訊管理有全面的認識。 此外,OEM企業如汽車零組件供應商,和一些擁有專利的高新製造企業(如通訊裝備製造企業),因需接收客戶保密樣品、保密圖紙,或掌握需要切實保密的產品資訊,也需要系統地管理資訊安全。

可見,資訊保護不僅對個人而言意義重大,企業也需要建立一套行之有效的資訊安全管理系統,最大限度降低資訊安全風險所造成的不良影響。

 

你真的知道「資訊」的內涵嗎

ISO 27001對「資訊」的定義比我們日常所理解的資訊範疇寬的多,在這裡「資訊」更多指向的是資訊資產,即對組織有價值的知識或資料。在企業的日常營運實踐中,與客戶資訊、企業資訊和相關方的資訊管理都在資訊安全系統的管理範疇之內。事實上,企業面臨著多方面的資訊安全要求:管理人員安全、資訊安全、應用安全、系統安全、網路安全、、運行安全和實體(物理)安全等。

 

資訊安全管理中常見漏洞

不少企業已經意識到資訊安全管理的重要性,也開始採取行動,但仍不足以構成一個邏輯嚴密的資訊安全管理系統,各組織對於資訊安全的危害認知不夠全面,導致組織各級人員的資訊安全意識薄弱,機密資訊隨意擺放;企業資訊安全停留在救火的階段,等到事故發生時才拿出應急救援方案;另外一點則表現在於對不同環節、不同來源資訊的管理是獨立,而非系統的。

重視硬體設施的投入而忽視管理則是另一個常見的管理漏洞。許多企業以為在防火牆、入侵偵測和防毒軟體建設中砸下重金就可以杜絕IT資訊安全事故,而實際上下列三方面的問題,才是災難的開始:

1. 缺乏對網路安全和應急響應技術層面有管理經驗的人員;

2. 由於組織的目的是製造收入,所以大部分組織不會花時間構建有效的資訊安全管理系統;

3. 大部分組織沒有全職人員對資訊安全進行管理。

 

有效的資訊安全管理系統驗證

ISO/IEC 27001是國際廣泛認可的關於組織資訊安全系統管理的驗證標準。它歸納總結如何實施通過獨立評估和驗證的資訊安全管理系統。其核心在於風險評估(公司對驗證範圍內各類資訊的風險評估),及對這些風險的應對措施。要注意的是:ISO/IEC 27001驗證不是一個資訊安全程度的驗證;獲得驗證只代表組織的管理系統滿足組織營運的風險要求,並且風險要求沒有絕對的標準,視組織具體情況而定,即某一個企業的風險要求並不一定等同其它公司的要求。

憑藉ISO/IEC 27001系統,企業可以顯示公司對 對全球最佳實務的承諾和遵循,以向客戶、供應商和股東證明資訊安全保障是公司經營中的當務之急。

 

通過ISO 27001驗證的企業,意味著:

1. 企業已經系統地建立起結構化的程序和一致的工作流程,大幅度地減少由於流程管理不當而導致的錯誤,讓客戶更加滿意;

2. 借助產業最佳實踐,驗證企業可以提高組織資訊安全管理水準,保護組織資產和聲譽;

3. 員工資訊安全意識也將隨之加強。實施資訊安全管理系統,就像是給員工制定一套資訊安全管理規範,使員工在日常工作中提高資訊安全保護意識,進而提升企業的競爭力。

當然,有些時候我們也不得不承認,即使資訊管理系統驗證有一萬點優勢,也不如企業的「客戶要求」來的急迫。尤其對於大企業而言,資訊安全直接關乎商業機密,除了自身資訊安全管理要過關,也要求供應商具備同等的資訊安全管理能力。

 

ISO/IEC 27001資訊安全管理系統適用於各個產業和各種規模的機構。如對ISO/IEC 27001標準有想進一步了解,或想針對產品測試作探討者,歡迎>>點擊此處<<與我們聯繫!

 

質者介紹

胡萌

德國萊因TÜV大中華區管理系統服務資訊產業 | 產品經理

ISO 9001,ISO 14001,OHSAS 18001主任稽核員;

ISO/IEC 27001,ISO/IEC 20000-1主任稽核員;

CSA、ECSA雲端安全稽核員。