在企业信息化飞速发展的今天,信息安全就像一把时刻悬在头顶的利剑,随时可能带来威胁。今天咱就跟着认证审核员的视角,通过一个真实案例,来看看企业在信息安全管理体系认证审核中容易出现哪些问题,以及如何解决。
如今,办公与生产信息化、智能化程度高的企业,对信息安全和网络安全那是相当重视,需求和期望也特别高。但别忘了,这背后的信息安全风险也不少,得好好管控才行。
案例背景大揭秘
案例类型:管理体系认证
认证类型:信息安全管理体系
审核依据:GB/T22080 - 2016 ISO/IEC 27001:2013
审核时间:2023年7月
审核范围:企业生产相关的信息安全管理活动,像多种电缆、光缆的生产及设计等都包含在内。信息安全适用性声明为B/0。
受审核企业啥样
受审核方是一家超厉害的上市企业,专门搞多种线缆及相关产品的研发、生产、销售和工程服务。2017年就开始智能化制造改造啦,同年还按照ISO/IEC 27001:2013标准建立了信息安全管理体系,还号召行业内的企业都用这个标准来管理信息资产呢,听起来是不是很厉害?
审核揪出的大问题
× 网站主机“裸奔”
问题表现:企业对外宣传网站主机和数据库都在内网WEB服务器里,通过NAT映射到外网,而且和内网其他网络及服务器完全没有隔离措施。
潜在风险:NAT映射虽然能让外网访问网站,但这就相当于把公司公有IP地址暴露了,黑客很容易找上门。外网病毒也可能顺着WEB服务器跑到内网里捣乱。
违反标准:GB/T22080 - 2016 ISO/IEC27001:2013 A.13.1.3明确规定,组织应在网络中隔离信息服务、用户及信息系统。
× 明码协议“送密码”
问题表现:受审核方居然用Telnet明码协议对网络设备进行远程操作。
潜在风险:内部办公网和生产网没有物理隔离,要是有人用网络监听工具,就能轻松截获通信内容,把账号和密码都拿走。
违反标准:GB/T22080 - 2016 ISO/IEC27001:2013 A.13.2.3要求,应适当保护包含在电子消息发送中的信息。
× 安全隐患“躺平”
问题表现:第三方检测都发现20项安全隐患了,可受审核方连个正式的处置措施和整改证据都没有。
潜在风险:企业信息主管部门和领导根本没把检测报告当回事,觉得报告里提示的信息安全风险不会发生。但万一发生了,后果不堪设想。
违反标准:GB/T22080 - 2016 ISO/IEC27001:2013 A.12.6.1规定,应及时获取在用的信息系统的技术方面的脆弱性信息,评价组织对这些脆弱性的暴露状况并采取适当的措施来应对相关风险。
整改与验证全记录
√ 网站主机隔离整改
原因分析:企业根本没意识到风险,为了维护管理方便,而且早期又没买云服务,就把网站放在局域网内了。
整改行动:赶紧买了阿里云服务,把网站迁到阿里云服务器上,和公司公网IP隔离开。
提升措施:开展标准要求、迁移技术等培训,让大家的信息安全管理意识和技术能力都提上去。
验证结果:企业提供了相关单据、记录和截图,经过异地书面和在线测试,基本通过啦。
√ 协议加密整改
原因分析:就是为了调试方便,就把Telnet打开了。
整改行动:果断关闭Telnet协议,换成SSH2加密协议。
提升措施:进行标准要求、协议比较等培训,还修改了SNMP协议通信字符串属性。
验证结果:企业提供了相关单据和截图,异地书面验证基本接受。
√ 隐患处置整改
原因分析:企业意识不强,连整改方案都没做,证据也不保留。
整改行动:赶紧编制整改方案并整改,把相关证据都保留好。
提升措施:开展标准要求、常见漏洞处置等培训,统一补丁升级技术手段。
验证结果:企业提供了相关单据和记录,异地书面验证基本接受。
整改成效看得见
通过这一系列整改,受审核方的信息安全风险大大降低甚至消除了,充分体现了管控信息风险的好处。企业信息主管部门的相关技术能力也提高了,大家都认识到信息安全得靠可靠、先进的技术来管控,而且还得定期更新。
信息安全永不止步
信息安全管理就像一场没有终点的马拉松,企业得时刻盯着信息安全风险,不断完善信息安全管理体系。只有这样,才能在信息化的浪潮中稳扎稳打,不被信息安全问题绊倒。
希望今天的案例能给大家提个醒,让咱们一起重视信息安全,为企业的发展保驾护航!
来源:管理体系架构师
本文仅作分享,作品版权归原作者及机构所有,如有侵权请联系,我们立即更正/删除
自主竣工验收
清洁生产审核
排污许可核查
