top of page
作家相片WESTCON TW

企業資安風險大增!新版ISO 27001如何助企業強化防禦?

新版ISO 27001新增控制措施 企業應更新防禦能力落實合規

最常被主管機關用來要求企業遵循並取得驗證通過的資安管理系統ISO 27001:2022版,在2022年10月發布並經過1年半的過渡期,已於今年5月1日全面生效,也就是新申請者不可再使用2013年版做稽核,而此後舊版證書未繼續轉版驗證者也將於2025年10月底失效。


過去這十年來資安威脅變化甚巨,因此新版也新增11項技術控制措施(見下圖),總計來到34項,期望企業能藉此強化資安體質。賽門鐵克建議企業應善用自動化工具的協助來更有效率地落實資安治理並完成合規。


圖:ISO 27001:2022年版新增11項技術控制措施
圖:ISO 27001:2022年版新增11項技術控制措施

新版ISO 27001新增控制措施 企業常見缺失

近年來的重大資安威脅當屬勒索軟體攻擊,網路罪犯從郵件、網頁等方式將惡意軟體植入端點電腦,而後在企業內部網路肆虐,竊取企業資料及進行加密勒索。因此由此次ISO 27001新增的控制措施,不難看出希望強化企業從雲到地南北向以及內網東西向的監控、偵測以及阻擋的能力,並且需透過威脅情資的搜集掌握即時應變預防。面對如此多的技術控制措施,透過賽門鐵克從端點、Web到資訊本身的安全防護解決方案,是ISO 27001合規的最佳應對策略。

 

以下針對新增控制項當中,企業較容易有缺失之處提出建議:

8.12資料洩漏預防

為有效防範未經授權的資訊揭露,在新版ISO 27001中將資料洩漏預防的措施集中整合,用於處理、儲存、傳輸敏感資訊的系統、網路及裝置上。實務上有許多技術措施可以實現資料洩漏預防,包括防火牆、資料外洩防護(DLP)、網頁安全閘道(SWG)等。以DLP來說可透過閘道端來控管,如監控任何將機敏資料傳輸至外部網站或由郵件傳輸的行為,以及透過端點DLP來做到更徹底的監控。但隨著企業將系統搬遷上雲,在IaaS或SaaS的資料保護則需要透過其他的方式來保護,例如賽門鐵克安全雲。

 

正因為要防範資料洩漏須從不同管道來著手,然而市面上許多DLP產品經常不夠全面,導致企業為了完善監控需購買並管理2套產品。賽門鐵克擁有最完整的DLP解決方案,從端點、網路、儲存到雲端,可以套用一致性的資安政策在所有的控制措施上,讓管理者清楚掌握整個網路中的資料活動及潛藏威脅所在。

Symantec DLP架構圖
Symantec DLP架構圖

● 8.23網頁過濾

在新版ISO 27001中也強調組織應確保對外部網站的存取受到監控,以防遭含有惡意軟體或釣魚網站的攻擊。過去企業雖可透過防火牆或上網安全過濾等設備來進行防護,然而防火牆無法針對應用程式做到更精細的控管,而單靠靜態惡意網址資料庫的上網過濾防護方式已經過時,雲端動態每5分鐘更新一次的服務結合靜態資料庫的方式才能更全面防護網頁惡意內容。此外許多網頁安全閘道器(SWG)解決方案多半只能部署在地端,雲端SWG必須另行購買,如此都增加企業營運及管理的不便。

 

賽門鐵克Symantec Web Protection同時支援地端與雲端SWG部署,且不僅是提供上網過濾,更能做到高風險網站隔離瀏覽、整合DLP以及將傳輸內容解密檢查等,有效保護用戶不受網站不良內容的影響。

 

企業導入現場 流程與工具需緊密結合

除了上述兩種控制措施企業必須與時俱進更新才能因應目前威脅,企業還需注意端點偵測與回應(EDR)技術。EDR主要用於監控內網中的端點活動,能偵測出在內網中橫向移動的可疑異常行為。以應用程式控管來說,許多企業透過設定白名單的技術來管理合法正常應用程式的使用,並阻擋非法應用程式的執行。然而一旦應用程式被加入白名單後,就只能門戶洞開允許其所有的操作行為。而賽門鐵克的EDR解決方案, Symantec Endpoint Security Complete技術能提供更細緻的控制,例如,可以允許A程式使用但不能呼叫B程式等。

 

最後,Westcon首席資安顧問 曹家通建議企業在導入ISO 27001時,必須注意資安管理流程需妥善調整,而流程制度建立後必須能與技術控制措施(工具)結合,由工具產出的數據回填到流程制度當中,兩者融合能達到更好的管理成效。此外教育訓練宣導以及IT/資安組織與人力則是ISO 27001導入成功的另二大要素,尤其是企業須有足夠的資安人力來管理技術控制措施,若是人力不足,所有控制措施都僅由一人負責,再強大的工具也無法發揮效果,這是Westcon顧問在企業導入現場經常看見的實務問題。若有足夠人力再加上CIO或CISO能下達明確的資安政策與指令,往往就能讓流程制度與工具發揮最大成效。



賽門鐵克Symantec 領先全球業界擁有以資料保護為核心,從地到雲的完整資安防護解決方案,以最具前瞻性且與時俱進的AI資安防禦技術滿足現今複雜企業資安需求。持續為全球超過1.5億企業用戶提供高效且全方位的資訊防護及合規需求。


同時,Symantec 賽門鐵克解決方案更榮獲由 Johanson Group 頒發的 ISO 27001 :2022 認證,這一國際標準證明了其技術解決方案在資訊安全管理方面的卓越成就。


此次認證涵蓋賽門鐵克多項雲端安全服務,包括 CloudSOC、DLP、電子郵件安全、端點安全、SAC 和雲端安全網路閘道等系列產品和服務符合 ISO 27001 的規範為全球企業用戶提供高可靠性和全面的資安防護。更持續不斷的為台灣企業提供了強有力的資安保障。想暸解賽門鐵克Symantec如何協助台灣企業實踐資安治理藍圖,打造強健的資安體質及建構資安韌性?請立即與我們連絡!


Comments


bottom of page