檔案加密系統如何落實 ISO 27001?
導入檔案加密軟體協助企業符合 ISO 27001 第 7.5.3 條文中 4 個條款,以及附錄 A(風險控制方式)中對於文件資訊安全要求的 2 個控制群與 3 個控制項:
7.5.3 條文:文件化資訊之控制
- 使文件資料受到保護,防止機密外洩、不當使用或任意竄改。
- 確保文件傳送與存取的安全,並分類文件以方便使用。
- 對檔案的變更有控制權(例:版本控制)。
- 保留文件各項紀錄,並防止逾期文件被誤用。
A.6.2.2:遠距工作
保護遠距工作資料的使用安全。
A.10.1.1:加密控制措施
使用密碼來保護資料的安全。
A.12.4:存錄與監視
留存使用、異常、錯誤及操作的紀錄,並防止紀錄遭竄改與未授權存取。
A.13.2 :資訊傳送
保護通訊設施與電子傳訊時的資料,並與外部組織訂定安全傳送的方式。
A.15.1.2:於供應者協議中闡明安全性
與能使用資料的供應商,建立資訊安全的要求事項。
你以為的檔案加密保護,真的安全嗎?
- 嚴格要求員工保密
- 設置資安部門
- Windows ACL (存取控制清單) 管控權限
- Office 文件設定密碼
- 使用壓縮軟體壓縮加密碼
- 電腦螢幕資料被手機偷拍
- 不符合個資法、資安法
- 公司機密不受營業秘密法保護
- 通訊軟體傳輸資料外洩
- 駭客竊取公司機密
- 發給外部廠商資料被外洩
- 員工可能開啟重要文件
- 內含機密文件的設備遺失
- 無法掌握外發文件的動向
- 離職員工拷貝機密技術
.電腦螢幕資料被手機偷拍
.不符合個資法、資安法
.公司機密不受營業秘密法保護
.通訊軟體傳輸資料外洩
.駭客竊取公司機密
.發給外部廠商資料被外洩
.員工可能開啟重要文件
.內含機密文件的設備遺失
.無法掌握外發文件的動向
.離職員工拷貝機密技術
ARES PP 檔案加密保護 6 大重點
要符合 ISO 27001 資安認證標準,內部需建立一套依循的標準,透過審查、內部稽核及預防措施等方式,建置文件化資訊安全管理機制、強化資安防護、保護資訊資產並提高供應商與客戶在資訊安全上的信心。
營業秘密怎麼保護
機密文件在發佈、閱覽、列印過程被不當取得?
對的文件只給對的人開啟或修改,設定授權文件使用權限與期間。
智財如何防洩露
員工將公司內重要的設計圖檔及生產流程有意或無意的將資料洩漏?
精確掌握文件流向,有異常狀況可隨時召回。
數位檔案足跡怎麼查
文件軌跡如何進行資料追蹤?
詳實紀錄文件使用軌跡,位置資訊與修改紀錄等。
對外如何安全共享
重要資訊被儲存與外流,或錯發給外部廠商?
管制外發資料,並強化版浮水印,管控列印與閱讀次數,有異常狀況可隨時召回。
如何安全傳遞資料
電子資訊傳送要如何確保資料安全?
建議可使用 DRM 核心加密技術,文件到哪加密就跟到哪。
公開資料如何保護
對外開放的文件,被惡意竄改或變更?
唯讀模式,讓資料只可閱讀無法修改。
文件加密系統評估
用 9 大問題評估文件加密系統的安全性!
-
1. 能否阻止受保護的文件檔案內容被剪下,貼至未保護的文件檔案上?
是 否 -
2. 當受保護的文件被另存成其它檔案格式時,仍然能受到保護?
是 否 -
3. 能否終止任何一份檔案的使用權限?
是 否 -
4. 當文件檔案被大量惡意刪除時,是否能夠還原?
是 否 -
5. 能否透過整合 AD(Active Directory)帳號管控文件檔案?
是 否 -
6. 能否防止手機偷拍電子文件檔案?
是 否 -
7. 您的系統能否保護任何電子檔案的格式?
是 否 -
8. 能夠使用原生的應用程式開啟加密後的文件檔案嗎?
是 否 -
9. 加密後能不改變原始檔的副檔名嗎?
是 否