許多企業在做舊版ISO27001:2013的A.13通訊安全時,會以防火牆、VPN進行網路管理,側重的面向會是限制外到內網路存取,同時,A.12.6.2對軟體安裝之限制也會要求到內部員工不能恣意安裝應用程式到工作用設備。但目前以業界的情況看起來,除公家機關,以及部分公司會禁止員工上臉書、推特等社群網站外,大多數的企業不會去做由內聯出去的限制。
新版ISO27001:2022的A.8.23網頁安全防護(Web filtering)即對此做出糾正,要求組織管理對外部網站的存取,最主要目的是防止內部員工點不該點的網站、下載不該下載的應用程式,甚至不慎將內部資料流出。換句話說,新版的ISO27001:2022希望透過這個新的控制項保護內部員工不直接暴露於日新月異、瞬息萬變的網路安全威脅之中。
像之前討論社交工程時有舉例、釣魚網頁誘騙隱私資料、彈出式廣告這些我們觀察到最容易引發資安事故的社交工程手段,也是這項新要求重點防範的重點。ISO27002還另外建議組織結合威脅情報(Threat Intelligence)的蒐集,掌握並且查封這些惡意網站。
Comentários