ISO 27001 是國際通用的資訊安全管理標準,幫助組織控管資安風險並建立保護機制。隨著數位環境的演變,現行的標準已將範疇從單純的「資訊安全」擴大至網宇安全(包含實體與虛擬環境、網路、裝置及人員)隱私保護,成為組織數位運作最堅實的後盾。
整個制度的核心圍繞著 CIA 三原則來確保安全,並透過 PDCA 四階段的持續改善循環,讓防護機制與時俱進。以下帶大家認識 ISO 27001 如何落實保護。
資訊與隱私保護的 CIA 原則
資訊對於組織而言是十分重要的資產,我們都希望機構所擁有的捐款資料可以妥善地被保管,但要如何來判斷這些捐款資訊是不是有妥善地被保管,這時就需要透過CIA資訊安全保護三原則來判斷,CIA三點原則分別為:
- Confidentiality機密性:確保資訊只有經過授權的人員及程序才可以使用。
- Integrity完整性:確保資訊或資料不被未授權的篡改。
- Availability可用性:取得授權可以及時地且不間斷地讀取或使用資料。
以下透過簡單案例來對資料安全性三點原則應用做解說,目前捐款系統上有機構管理權限功能,機構可以對系統使用者設定登入權限,如此一來僅有被開放權限的使用者才可以做資料檢視以及修改動作,未授權的使用者則無法使用保護捐款資料機密性;對外防範上,捐款系統也有對捐款人個資做機敏資料加密動作,今天當駭客使用非正常管道入侵系統時無法讀取捐款資料!為避免系統遭植入惡意軟體而造成捐款資料遭盜取,我們也有透過限縮系統權限功能,限制檔案上傳的權限來遏止惡意程式執行,保護資料的完整性以及可用性!
PDCA四步驟 持續對資訊安全做檢測
現在我們對資料保護的準則有了,接下來我們需要對公司資訊安全做全盤風險評估,並針對潛在風險制定適當的方法來降低風險發生可能,而這些方法在制定完成後,我們會依照PDCA四步驟不斷循環來對資訊安全做評估改善,以下我們就來看看PDCA究竟是什麼,以及如何透過這四個步驟來對資訊安全防護做改善吧!
- Plan (計畫):評估風險,制定資安目標與政策。若環境改變(如全面改用雲端辦公),需事先規劃變更流程。
- Do (執行):實際運行計畫中的控制措施,例如落實威脅情資蒐集,主動預防新型態駭客攻擊。
- Check (查核):透過內部稽核與績效評估,監視系統是否正常運作,檢查執行成果與預計目標的差異。
- Act (行動):針對漏洞提出修正方案。ISO 27001 的精神在於持續改善,確保組織的數位免疫力能不斷增強。
俗話說百密總有一疏,訂定資訊安全的準則也不可能一次就到位,因此我們需要對資安執行計畫做查核,並對原先計畫漏洞提出改善措施,才可以確保資訊安全可以更加完善!
四大主題:全方位的控制措施
現行的 ISO 27001 將控制措施整併為四大主題,讓管理更為直覺且全面:
- 組織控制:制定資安政策、管理雲端服務風險及蒐集威脅情資。
- 人員控制:針對員工與志工的入職、在職訓練及權限異動進行規範。
- 實體控制:強化辦公場所、機房或敏感區域的監視與進出管制。
- 技術控制:包含組態管理、防毒軟體、網頁過濾及資料洩漏預防工具的應用。
在看完以上對資訊安全準則以及整體運作模式的介紹,大家是不是對ISO27001有基本的認識了呢?對 NPO 夥伴而言,這套標準不只是制度,更能幫您主動管理雲端服務安全、預防資料洩漏,並在事故發生時快速恢復能量。讓資安成為一種防禦機制,守護每一份支持者的託付。
網軟已通過 ISO 27001 認證,並將 CIA 原則與 PDCA 循環落實於系統中,
讓資安不只是制度,而是每天都在運作的機制。
