近年来,很多企业为了合规都要求安全工作流满足 ISO 标准之上。疫情发生后,企业对于安全态势的需求也并没有因为推行远程办公而减少。
ISO 合规有助于企业将用户、技术和工作流统一集中管理。本文将介绍 ISO/IEC 27001 合规需要达到哪些标准,以及如何在远程办公期间满足合规。
1. 什么是 ISO 标准?
ISO 全称为国际标准化组织(International Organization for Standardization),成立于1947年,制定了国际公认的技术和业务运营标准,涵盖了产品制造、员工管理、服务提供、行业协会等不同行业和内容。
要获得 ISO 认证,各类企业不论规模都必须遵守针对信息安全管理的 ISO/IEC 27001 标准。为了保证网络信息安全,企业必须创建信息安全管理系统(ISMS),并采取下列措施:
-
系统性检查企业现有信息安全风险
-
全面实施安全控制措施,防范化解风险
-
采用集中管理法,确保企业始终满足安全需求
虽然企业为远程员工实施了各种安全协议,但建立 ISMS 能进一步集中管理和保护财务信息、知识产权和员工档案等机密信息。下面将分别介绍 ISMS 措施的具体内容:
1)系统性检查信息安全
要在远程办公期间依旧满足 ISO 合规,企业必须系统性地检查信息安全风险,充分考虑潜在漏洞,并了解这些漏洞对企业安全态势可能产生的影响。
ISMS 的关键因素之一是时刻掌握 IT 基础架构运行情况,通过整体身份管理工具控制访问权限。为此,企业需要持续监控所有网络流量,同时确保信息易于访问。此外,还可以使用事件日志工具监控用户及其系统,充分检测基础架构中的潜在风险。
2)全面实施安全控制
可行的 ISMS 包括一套全面的安全控制措施,用于解决企业的典型风险因素。即使在远程办公期间,也需要保护用户和 IT 资源安全,具体措施包括:
-
尽可能使用多因素认证(MFA)
-
培训员工使用复杂特殊的长密码
-
为 IT 系统启用全盘加密(FDE)
-
使用访问管理(AM)软件
-
将软件更新到最新版本
企业可以采用零信任安全模型,全面实施安全控制。例如将每个资源访问实例都视为潜在威胁,从而保护用户和 IT 基础架构免受各种网络攻击。
3)采用集中管理法
在远程办公期间实现 ISO 合规的最后一步是确保安全控制始终满足企业的信息安全需求。具体方法是通过集中实施身份和访问管理 (IAM) 工具,实现跨资源的安全控制自动化。
很多合规企业都会使用单点解决方案将用户连接到不同操作系统、应用、网络、IaaS 平台等资源。但在远程环境中,用户身份分散在多个平台很难集中管理,管理员要管控用户和设备也不太容易。
通过基于云的集中式身份管理法,可以实现用户预配自动化并在整个系统群中落实安全工作流,在满足合规性的同时,还可以为 IT 基础架构的迅速调整留出空间。
2. 使用云目录平台实现 ISO 合规
云目录平台又称目录即服务(DaaS),可以帮助企业在远程办公期间依然满足 ISO 合规要求。通过与遗留系统的集成,将身份管理基础架构整合,支持企业随时随地管理用户和系统。
云目录平台不仅是适用远程办公的管理总平台,还可内置多因素认证(MFA)、云 LDAP 和 RADIUS 服务以及 SAML 2.0 Web 认证功能,管理员可以授权用户单点登录。此外,云目录平台还提供关于目录服务、应用程序、系统和网络身份验证事件的全面日志。