什麼是 ISO 27001?
ISO 27001 是目前國際上使用最廣泛,且最完整的檢驗資訊安全管理系統(Information Security Management System, ISMS)標準。在台灣《資通安全管理法》規定,不論是 A 級、B 級和 C 級的公務或是特定非公務機關,都必須在 2 年內取得臺版 CNS 27001 或是 ISO 27001 的資安認證。
而透過 ISO 27001 標準,能協助組織管理與降低資訊上所面臨的各種威脅與風險,是現今國際科技大廠上游供應鏈廠商稽核要點之一。
檔案加密能達成哪些 ISO27001 認證標準?
導入檔案加密軟體協助企業符合 ISO 27001 第 7.5.3 條文中 4 個條款,以及附錄 A(風險控制方式)中對於文件資訊安全要求的 2 個控制群與 3 個控制項:
7.5.3 條文:文件化資訊之控制
- 使文件資料受到保護,防止機密外洩、不當使用或任意竄改。
- 確保文件傳送與存取的安全,並分類文件以方便使用。
- 對檔案的變更有控制權(例:版本控制)。
- 保留文件各項紀錄,並防止逾期文件被誤用。
A.6.2.2:遠距工作
保護遠距工作資料的使用安全。
A.10.1.1:加密控制措施
使用密碼來保護資料的安全。
A.12.4:存錄與監視
留存使用、異常、錯誤及操作的紀錄,並防止紀錄遭竄改與未授權存取。
A.13.2 :資訊傳送
保護通訊設施與電子傳訊時的資料,並與外部組織訂定安全傳送的方式。
A.15.1.2:於供應者協議中闡明安全性
與能使用資料的供應商,建立資訊安全的要求事項。
如何達成文件管控標準?
要符合 ISO 27001 資安認證標準,內部需建立一套依循的標準,透過審查、內部稽核及預防措施等方式,建置文件化資訊安全管理機制、強化資安防護、保護資訊資產並提高供應商與客戶在資訊安全上的信心。
營業秘密怎麼保護
機密文件在發佈、閱覽、列印過程被不當取得?
對的文件只給對的人開啟或修改,設定授權文件使用權限與期間。
智財如何防洩露
員工將公司內重要的設計圖檔及生產流程有意或無意的將資料洩漏?
精確掌握文件流向,有異常狀況可隨時召回。
數位檔案足跡怎麼查
文件軌跡如何進行資料追蹤?
詳實紀錄文件使用軌跡,位置資訊與修改紀錄等。
對外如何安全共享
重要資訊被儲存與外流,或錯發給外部廠商?
管制外發資料,並強化版浮水印,管控列印與閱讀次數,有異常狀況可隨時召回。
如何安全傳遞資料
電子資訊傳送要如何確保資料安全?
建議可使用 DRM 核心加密技術,文件到哪加密就跟到哪。
公開資料如何保護
對外開放的文件,被惡意竄改或變更?
唯讀模式,讓資料只可閱讀無法修改。
ARES PP 協助企業落實「檔案加密與資訊安全管控」
用檔案加密防範被忽視的資安風險
- 嚴格要求員工保密
- 設置資安部門
- Windows ACL (存取控制清單) 管控權限
- Office 文件設定密碼
- 使用壓縮軟體壓縮加密碼
- 電腦螢幕資料被手機偷拍
- 不符合個資法、資安法
- 公司機密不受營業秘密法保護
- 通訊軟體傳輸資料外洩
- 駭客竊取公司機密
- 發給外部廠商資料被外洩
- 員工可能開啟重要文件
- 內含機密文件的設備遺失
- 無法掌握外發文件的動向
- 離職員工拷貝機密技術
企業如何評估是否需文件加密系統,以符合 ISO 規範?
用 9 大問題評估文件管理安全性!
-
1. 能否阻止受保護的文件檔案內容被剪下,貼至未保護的文件檔案上?
是 否 -
2. 當受保護的文件被另存成其它檔案格式時,仍然能受到保護?
是 否 -
3. 能否終止任何一份檔案的使用權限?
是 否 -
4. 當文件檔案被大量惡意刪除時,是否能夠還原?
是 否 -
5. 能否透過整合 AD(Active Directory)帳號管控文件檔案?
是 否 -
6. 能否防止手機偷拍電子文件檔案?
是 否 -
7. 您的系統能否保護任何電子檔案的格式?
是 否 -
8. 能夠使用原生的應用程式開啟加密後的文件檔案嗎?
是 否 -
9. 加密後能不改變原始檔的副檔名嗎?
是 否