信息比黄金更有价值。但我们通常只有在它们不再可用或落入坏人之手时才意识到它们的价值。信息安全(InfoSec)就是为了防止此类事件发生。
严格来说,信息安全是一种状态。在这种状态下,数据受到保护,免受各种威 RCS 数据波兰 胁和危险。这些威胁包括数据盗窃和数据丢失。
与普遍的看法相反,信息安全并不是一个独立的 IT 问题。其范围是全面的,因此不仅限于电子数据,还考虑到所有类型的信息。因此,除了 IT 系统之外,文件柜等物理位置也会被考虑在内。
信息安全的一个重要方面是确保所谓的保护目标。
保密性
只有选定的人员才被允许访问信息。
必须记录对数据的完整性
更改,以便清楚了解是谁进行的更改。
可用性
信息应该在需要时可用。
用英语来说,三个保护目标是机密性(Confidentiality)、完整性(Integrity)和可用性(Availability)。他们也被称为 CIA 三合会。
信息安全威胁
威胁信息安全的风险种类繁多。为了说明这一点,我们整理了各种危险源的例子,分类如下:
外部因素
自然损害(例如火灾、水灾等)
战争
自然灾害
硬件和软件问题
硬件或软件故障
系统故障
破坏系统或数据存储设备
未经授权的数据处理
数据造假
非法数据处理
犯罪
网络犯罪(例如盗窃或加密数据)
硬件、数据存储设备或文件盗窃
人为因素
用户错误
向未经授权的人员披露信息
数据操纵
未经授权访问数据
因信息安全漏洞造成的损失
采取主动措施并提高信息安全意识以最大限度地降低潜在风险至关重要。信息安全漏洞可能造成多种后果,从轻微破坏到严重损害。
业务活动短期中断,例如由于系统故障
丧失竞争优势,例如因商业机密被盗
违反法律要求,例如由于数据保护事件
客户和业务合作伙伴的声誉受损
由于需要 IT 取证和系统恢复,成本高昂
中长期业务活动中断,例如由于勒索软件攻击
信息安全措施
为了实现高水平的安全性,必须识别所有潜在风险。然后需要确定并实施适当的措施来尽量减少风险。
技术措施
参考所使用的技术和具体的技术方案。
示例包括实施防火墙、入侵检测系统 (IDS)、加密技术、访问控制、安全补丁以及软件和系统的定期更新。
组织措施
与组织内部政策、程序和流程的制定和实施相关。示例包括制定安全政策和标准、定期培训和提高员工的安全实践意识以及建立信息安全方面的角色和职责。
信息安全管理体系
信息安全是一个多样化且复杂的话题。因此,只有结合系统的方法才能实现可持续的高水平安全。为此,我们实施了信息安全管理系统 (ISMS)。
ISMS 形成了一个框架,规范了组织内信息安全的实践方式。一个基本组成部分是控制回路(例如基于PDCA 循环),它可确保对 ISMS 进行持续监控和优化。您可以在这里了解更多信息:ISMS – 任务和好处。