工业 4.0、数字化和人工智能:很难想象没有数字数据流的日常工作生活。无论您的公司规模大小,属于哪个行业,是否在全球范围内运营,信息安全都是每个人都关心的话题。因此,中小型企业(SMEs)尤其应将 2022 年信息安全管理系统国际标准 ISO 27001 的修订视为一个契机。
中小企业的信息安全
时代在变,中小企业的网络安全要求也在变。许多中小型企业都在快速成长,而且往往是所在行业的市场领导者。因此,它们对保护自己通常独有的技术诀窍和商业机密--但原则上也包括所有数据和信息--免遭未经授权的访问的需求也相应较高。
采取必要的保护措施是一件复杂的事情,需要采取系统的方法。
然而,由于资源有限,中小型企业即使意识到信息技术和数据安全全局中的安全风险,也很少拥有在企业层面实现无缝信息安全的必要手段。信息技术领域专家的短缺和运营自己的安全运营中心(SOC)所需的巨额成本只是阻碍中小企业优化网络安全的众多问题中的两个。
特别是由于紧张的地缘政治局势和不断增加的供应链攻击,中小企业面临着越来越多的网络犯罪分子的攻击,这就更加棘手了。攻击范围从大规模发送勒索软件到针对单个公司的有针对性的专业攻击。攻击者也越来越多地将云服务作为攻击载体,出于成本和效率的考虑,中小企业(不得不)经常使用云服务。
德国保险公司HDI Versicherungen在 2024 年进行的一项调查显示,53% 的中小企业已经成为网络攻击的目标。不过,这一数字并不能反映攻击的全部情况,而只能记录那些公司公开承认的事件。
如果一家公司的员工人数不超过 249 人,年营业额不超过 5000 万欧元,或者资产负债表总额不超过 4300 万欧元,那么该公司就属于中小型企业(SME)。这是欧盟委员会2003 年 5 月 6 日的定义。
德国《Gothaer 中小企业研究 2024》证实了这一印象,根据该研究,网络犯罪是 48% 中小企业面临的最大风险。根据这项研究,37% 的小型企业还预计,在未来 12 个月内,遭受网络攻击的风险将进一步增加。这还不包括那些根本不是来自网络的信息安全风险,这些风险属于内部风险,主要是个人风险,在全面信息安全方面发挥着重要作用。
适用于小型企业的 ISO 27001
作为中小型企业的信息安全官(ISO)和数据保护官,如今你几乎别无选择:你必须确保敏感数据和信息的安全。这不仅仅是信息技术安全的问题。结构性措施、组织程序和流程以及人员要求也必须考虑在内。人的因素在信息安全中也起着核心作用,必须予以相应考虑。
系统化信息安全的黄金标准是国际标准ISO/IEC 27001。它为实施信息安全管理系统(ISMS)提供了既定的测试基础和指导原则--适用于任何组织结构、方向或规模的公司。新版 ISO/IEC 27001:2022 附件 A 涉及信息安全的方方面面--从组织措施、个人和物理措施到技术安全措施--为小型公司提供了一个很好的入门指南。
Loading...
ISO 27001:2022
44 个用户问题和专家解答
信息安全的 "新标准":用户和标准专家提供的有关 ISO 27001 修订版的有用详细信息:
- 新的控制措施是怎么回事?
- 流程导向需要考虑哪些因素?
- 我们什么时候应该改用新标准?
- ......以及更多
新控制措施提高了中小企业的 IT 安全性
仅附件 A 的实用性就使 ISO 27001 成为小型企业的理想选择。它包含 93 项信息安全措施(控制措施),其中 11 项是 2022 年上一次更新时新引入的。
新的控制措施主要侧重于数字领域的数据和结构安全,因此提供了宝贵的指导原则,可显著提高中小企业的信息安全。以下是一些新功能的概述,以及小公司如何从中受益:
- 5.7 威胁情报、8.16 活动监控、8.23 网页过滤
这些用于检测、预防和及时识别网络攻击的控制措施在安全和业务连续性管理方面对中小企 业几乎具有举足轻重的意义。小公司不仅因资源有限而容易受到网络犯罪的攻击,而且一旦出现勒索软件,也会很快达到全面破产的地步。
- 5.23 使用云服务的信息安全
由于中小型企业经常使用外部云服务,因此实施适当的云服务获取、使用、管理和退出流程尤为重要。该措施还考虑到了云服务提供商和使用云服务的组织在适当的云安全方面的责任。
- 5.30 信息和通信技术为业务连续性做好准备
业务连续性对小公司也至关重要,因为它们有时是深度整合供应链的一部分,要将财务损失保持在最低水平。ICT 业务连续性准备 "控制有助于在发生事故时建立适当的组织结构和 ICT 连续性计划,包括响应和恢复程序。
- 8.9 配置管理
现代 IT 环境的高性能和安全运行在很大程度上取决于所有相关系统、组件和应用程序的适 当配置。这对小型公司的 IT 安全来说是件好事:一旦配置完成,大部分监控流程都可以自动执行,因此几乎不会产生额外的人力成本。信息技术的安全配置管理属于技术或工艺措施的范畴。
- 8.10 删除信息,8.11 数据屏蔽,8.12 防止数据泄漏
中小型企业往往凭借其独特的专业知识在市场上独树一帜。这种特殊知识是它们成功的关键,因此值得保护。信息安全技术措施有助于企业避免不必要的数据外流和数据丢失,并最大限度地减少黑客和工业间谍的攻击面。
ISO 27001 附件 A 中的控制措施对中小型企业具有重要价值,尤其是考虑到欧盟即将出台有关工业网络安全的 NIS 2 指令。
NIS2:中小企业为何需要加强信息安全
欧盟于 2022 年底发布了新版《网络与信息安全指令》(NIS)。NIS2 对重要行业的企业提出了新的信息安全要求,也将影响许多中小企业的数据和 IT 结构保护。
根据 NIS2 指令,相关行业中拥有 50 名或以上员工且营业额达到 1000 万欧元的公司必须满足要求。中小企业是指员工人数不超过 249 人、营业额不超过 5000 万欧元的公司,因此它们会受到直接影响。但必须认识到,即使规模较小的公司也可能通过供应链间接受到 NIS2 的影响,即成为受影响公司的供应商。在将于 2024 年 10 月 17 日生效的针对具体国家的实施方案中,这些限额还可能进一步下调。
中小型企业没有太多时间为新要求做好准备。好消息是:有了 ISO 27001 标准,小公司可以朝着正确的方向迈出一大步,因为该标准已经涵盖了 NIS 2 要求的大部分内容(约 95%)。
Loading...
关于中小型企业的信息安全,不仅需要根据 ISO 27001 实施和认证全面的 ISMS(请参见 NIS-2),而且在某些情况下,结构要求也发生了根本性的变化。这是因为,如今许多中小型企业已经拥有符合 ISO9001 标准的认证质量管理体系,这意味着综合管理体系和 ISO 27001 的基础已经到位,从而节省了时间、人员和成本。因此,小型企业通过 ISO 27001 认证指日可待。
与 DQS 合作无间
我们的认证审核为您提供清晰的信息。通过对人员、流程、系统和结果的全面、中立的外部观察,可以了解您的管理系统的有效性以及实施和控制情况。对我们来说,重要的是您不要将我们的审核视为检查,而要视为对您管理体系的丰富。
我们的方法总是始于审核清单的终点。我们会特别询问 "为什么",因为我们希望了解贵公司选择特定实施方式的原因。我们关注改进的潜力,鼓励改变观点。这种彻底的方法可确保您确定可操作的领域,从而不断改进您的管理系统。
阅读提示:记录信息
信息的传播和处理速度是当今组织面临的一大挑战。信息的多样性使得识别与组织及其管理系统相关的关键信息变得越来越困难。
与此同时,使用现代通信手段来控制文件信息也带来了全新的问题。因此,可用性、完整性和保密性变得越来越重要。然而,随着可用性程度的提高,除非采取适当的保护措施,否则信息安全性就会下降。
信任和专业知识
我们的文本和手册完全由我们的标准专家或长期审计员撰写。如果您对文本内容或我们为作者提供的服务有任何疑问,请联系我们。
DQS通讯
了解最新资讯,订阅我们的通讯
作者
André 塞克尔
在DQS担任信息安全管理的产品经理。作为信息安全和IT安全目录(关键基础设施)领域的标准专家,André Säckel负责以下标准和行业特定标准等。ISO 27001、ISIS12、ISO 20000-1、KRITIS和TISAX(汽车行业的信息安全)。他也是ISO/IEC JTC 1/SC 27/WG 1工作组的成员,作为德国标准化研究所DIN的国家代表。
Loading...
