ISO/IEC 27001 : 2022 附录 A 8.23 监测活动
如果员工访问包含恶意内容的网站,则存在对公司网络和信息系统进行恶意软件攻击的风险。
例如,攻击者可以向员工的工作电子邮件发送网络钓鱼电子邮件,诱使他们点击链接并访问网站。如果员工访问此网站,恶意软件可能会自动上传到员工的设备,从而渗透到公司网络中。在这种攻击中,一旦员工访问网站,恶意软件就会自动下载,称为偷渡式下载。
因此,组织必须实施适当的 Web 过滤控制,以限制和控制对外部网站的访问并防止安全威胁。
ISO 27001:2022 附录 A 8.23 的目的
ISO 27001:2022 的附录 A 控制 8.23 还帮助组织消除安全风险,例如访问带有恶意内容的外部网站时感染恶意软件。
附录A的所有权 8.23
首席信息安全官负责确保采取适当措施遵守 8.28,其中包括识别高风险的外部网站以及设计和实施适当的访问和网络过滤控制。
ISO 27001:2022 附录 A 8.23 的一般指南
为了保护员工免于访问可能包含病毒、网络钓鱼材料或其他类型的非法信息的外部网站,组织应建立并实施所需的控制措施。
通过阻止危险外部网站的IP地址或域,可以阻止对此类网站的访问。例如,恶意软件的自动检测可以通过某些浏览器和反恶意软件工具完成。
ISO 27001 附录 A 的控制 8.23 建议组织确定不应允许员工访问哪些类型的网站。
具体来说,建议屏蔽以下类型的网站:
具有上传信息功能的网站。获得访问权限应经过授权,并且仅在商业原因有效的情况下授予。
已知或怀疑包含恶意材料的网站,例如包含恶意软件的网站。
服务器用于命令和控制。
威胁情报识别的恶意网站。欲了解更多信息,组织应参考附录A控制5.7。
发布非法材料和内容的网站。
建议组织在实施本附录 A 控制之前制定安全、适当地访问和使用在线资源的规则。此外,应限制包含不当材料的网站。
应定期进行审查和更新。
员工培训补充指引
ISO 27001:2022 的控制 8.23 规定,所有员工都应接受有关安全访问在线资源的培训。
组织应进行此培训,以确保员工了解自己的规则以及如何报告安全问题。
此外,培训还应涵盖出于合法商业原因访问受限制网站的例外过程。
此外,培训应涵盖浏览器咨询消息,警告用户网站不安全,但允许他们继续。这些警告必须由工作人员解决。
附录 A 8.23 补充指导
用于 Web 过滤的技术包括:
启发式。
签名。
禁止和可接受的网站列表。
域配置。
