ISO/IEC 27001：远程办公领域的信息安全

在过去几年中，我们看到美国企业的经营方式发生了巨大转变。福布斯的一篇文章称，"截至 2023 年，12.7% 的全职员工在家工作，28.2% 的员工采用混合模式工作"，"98% 的员工希望至少在某些时间远程工作"。这篇文章还提到，"计算机和IT行业是 2023 年最适合远程工作的行业"。如果不仅运营部门可以远程办公，IT团队也可以远程办公，这对网络安全和信息安全意味着什么？

ISO/IEC 27001:2022的最新修订版现已发布，2023年10月之后的所有审核都必须符合2022标准。2022修订版新增了远程工作网络安全和确保工作场所网络安全的新要求，即使该工作场所是您的家庭办公室。这些修订将使高管和管理团队放心，因为修订版概述了最低要求，可以为信息安全制定一个健康的计划。

2022年修订版要求的一个例子是，企业必须有一个收集信息安全威胁信息的计划，才能符合要求。由于IT团队不会设置远程员工的工作环境，因此需要有一种方法来跟踪威胁，并利用从这项工作中获得的知识来防止数据安全漏洞，这对企业来说是一种帮助。随着ISO/IEC 27001的实施，整个组织的意识都将得到提高，因为这需要持续的认同和承诺才能保持合规。

员工个人在远程工作时如何保证组织的数据安全？首先，我们要求所有新入职的员工接受网络安全培训，并对已入职的员工进行年度更新培训。这些必要的培训虽然对普通员工来说可能显得乏味，但确实能指导他们在遇到网络钓鱼企图时该怎么做，并提供有关新威胁的信息，有助于减少危险行为。此外，还包括在处理合同等业务相关项目时始终连接到组织的VPN，以及更改路由器密码（初始默认密码）等。

在携带组织设备和个人设备旅行时，应始终保持设备在视线范围内，不要让设备处于无人看管的状态，不要让设备通过蓝牙和 Wi-Fi 连接，因为这些设备可能包含间谍软件等有害威胁。在旅行前，应定期将设备更新到最新版本的软件和保护措施。每天都会有新的威胁出现，因此应定期进行更新，以确保设备得到最佳保护。

但是，如果威胁不是来自组织内部，比如知名的23&Me数据泄露事件呢？根据《连线》上的文章，23&Me公司发言人表示："我们认为，威胁行为者可能违反了我们的服务条款，在未经授权的情况下访问了23andme.com账户，并从这些账户中获取了信息"。即使有最好的软件和安全检查，事情总是有可能发生。新的威胁可能在不经意间出现，那么接下来会发生什么呢？ISO/IEC 27001:2022中规定了组织在面临风险时制定计划的大纲。从问题发生的那一刻起，这些计划就会自动推进，以最有效地处理问题、查找源头、解决问题等。ISO/IEC 27001不仅包括对员工的要求，还包括问题发生后的议程，以及为客户和顾客制定指导方针。

那么，谈到ISO/IEC 27001:2022，我们是否意味着它也适用于保护客户数据和顾客数据？是的，这意味着员工要谨慎处理客户提供的数据和信息，同时客户也需要跟进以协助保护数据。服务条款[ToS]和隐私政策不仅能让企业更好地保护自身免受风险，还能帮助客户防止自己的账户和信息遭受风险。当客户与你的产品互动或使用你的服务时，他们同意服务条款和隐私政策，其中可能包括如何使用服务和产品的限制，以及如何使用客户提供的数据。此外，还可能包括关于设置 "双因素授权 "的附加指南，以最好地保护客户方的数据。作为一个组织，即使有了这些协议，您也必须努力做到万无一失，因为并不是每个人都会遵守要求或找到绕过障碍的方法，这可能是内部的，也可能是外部的。

要找出保护信息的最佳方法，ISO/IEC 27001 是最好的起点。从ISO/IEC 27001到ISO/IEC 27701，再到ISO 9001和 ISO 45001 等管理系统。无论您是首次实施ISO/IEC 27001 标准，还是希望从ISO/IEC 27001:2013 升级，我们都很乐意与您探讨 ISO/IEC 27001的相关事宜。

ISO/IEC 27001:2022的新特点概述

ISO/IEC 27001描述了信息安全管理系统（简称ISMS）的框架--无论公司的组织结构、规模或方向如何，都是如此。这里的关键是风险管理。不断变化的网络威胁正在不断利用公司的新的潜在漏洞，目的是攻击和破坏信息流，从而影响业务流程。这种机制对信息安全的三个基本保护目标--保密性、完整性和可用性--产生的风险必须被识别和管理。

ISO/IEC 27001:2022的更新涉及管理这些信息安全风险的最佳实践。新的ISO/IEC 27001:2022的规范性附件A中可能的信息安全控制清单与修订后的ISO/IEC 27002:2022指南中的内容相同。该实施指南已于今年2月通过，并采用了更简单的分类法和当代安全控制。随着新的ISO/IEC 27001:2022的发布，成功的ISO标准串联ISO/IEC 27001/27002及其宝贵的建议措施再次成为最先进的标准。

新的ISO/IEC 27001:2022的另一个重大变化是，随着对所谓的协调结构的适应，过程导向的要求被置于有效的ISMS的重点。有效的管理系统的基础是明确的过程和它们的相互作用，以及这些过程的目标导向标准，以便对它们进行控制。