ISO/IEC 27001 : 2022 附录 A 8.1 用户终端设备
向远程工作的过渡和对移动设备的日益依赖有利于提高员工的工作效率和节省组织的成本。不幸的是,笔记本电脑、手机和平板电脑等用户端点容易受到网络威胁。网络犯罪分子经常利用这些设备非法访问公司网络并泄露机密信息。
网络犯罪分子可能会试图以网络钓鱼为目标的员工,说服他们下载受恶意软件感染的附录,该附录可用于在整个公司网络中传播恶意软件。这可能导致信息资产的可用性、完整性或机密性丧失。
一项针对 700 名 IT 专业人员的调查显示,70% 的组织在 2020 年因用户设备攻击而遭受了信息资产和 IT 基础设施的破坏。
ISO 27001:2022 附录 A 控制 8.1 概述了组织可以采取的步骤,以确保其在用户端点设备上托管或处理的信息资产免受损害、丢失或被盗。这包括建立、维护和实施相关政策、程序和技术措施。
ISO 27001:2022 附录 A 8.1 的目的
ISO 27001:2022 附录 A 8.1 允许公司保护和维护存储在端点用户设备上或可从端点用户设备访问的信息资产的安全性、机密性、完整性和可用性。这是通过建立适当的政策、程序和控制来实现的。
附录 A 的所有权 8.1
首席信息安全官应负责确保符合 ISO 27001:2022 附录 A 控制 8.1 的要求,这需要制定和维护组织范围的政策、程序和技术措施。
ISO 27001:2022 附录 A 8.1 合规性的一般指南
根据 ISO 27001:2022 附录 Al 8.1,组织必须制定涵盖用户端点设备安全配置和使用的策略。
必须让员工了解此政策,其中包括:
哪些类型的数据,特别是在安全级别方面,可以在用户端点中处理、保存或利用?
设备必须注册。
设备的物理保护是强制性的。
禁止在设备上安装软件程序。
必须遵守在设备上安装软件和更新软件的规则。
管理用户端点设备连接到公共网络或异地网络的规则。
访问控制。
必须对托管信息资产的存储介质进行加密。
应保护设备免受恶意软件入侵。
可以禁用或禁止使用设备,并且可以远程删除存储在其中的数据。
应制定备份计划和协议。
有关使用 Web 应用程序和服务的规则。
分析最终用户的行为,以深入了解他们如何与系统交互。
可移动存储介质(例如 USB 驱动器)可以发挥很大的作用。此外,可以禁用物理端口,例如 USB 端口。
隔离功能可用于将组织的信息资产与保存在用户设备上的其他资产区分开来。
根据《通用指南》,组织应考虑通过技术控制禁止在用户端点设备上存储敏感数据。
禁用本地存储功能(如SD卡)可能是采用的技术控制措施之一。
组织应按照 ISO 27001:2022 附录 A 控制 8.9 中的规定实施配置管理,并利用自动化工具。
关于用户责任的补充指南
应告知员工用户端点设备的安全措施及其遵守这些措施的职责。此外,他们应该了解他们在实施这些措施和程序中的作用。
组织应指导人员遵守以下规定和流程:
不再需要服务或会话完成后,用户应注销并终止服务。
人员不应让其设备无人看管。不使用时,员工应使用物理措施(例如钥匙锁)和技术措施(例如强密码)来确保其设备的安全。
工作人员在缺乏安全性的公共场所使用包含机密数据的端点设备时应格外小心。
必须防止用户端点设备被盗,尤其是在酒店房间、会议室或公共交通等危险场所。
组织应设计一个特殊的系统来管理用户端点设备的丢失或被盗。这一制度的建设必须考虑到法律、合同和安全的需要。
关于使用个人设备的补充指南
允许人员使用自己的设备进行与工作相关的活动可以为组织节省资金,但是,它会使机密数据面临潜在风险。
ISO 27001:2022 附录 A 8.1 建议组织在允许员工使用其个人设备进行与工作相关的活动时需要考虑的五件事:
应采取软件工具等技术措施,将个人和企业对设备的使用分开,以保护组织的信息。
员工可以访问自己的设备,前提是他们同意以下内容:
员工承认他们有责任对设备进行物理保护并完成必要的软件更新。
人员同意不对公司数据主张任何所有权。
人员一致认为,如果设备中的数据丢失或被盗,可以根据个人信息的法律准则进行远程擦除。
设置有关使用用户终结点小工具生成的知识产权权利的准则。
关于此类访问的法定限制,如何访问人员的私人设备。
允许员工使用他们的个人小工具可能会因在这些小工具上应用第三方软件而承担法律责任。公司应该反思他们与供应商签订的软件许可协议。
关于无线连接的补充指南
组织应创建并维持以下实践:
在设备上配置无线连接时应小心。确保每个连接都安全可靠。
必须使用无线或有线连接,其带宽符合特定于主题的策略。
