身為軟體開發者的你,一定有用過Slack(即時通訊和協作工具)和GitHub(網站原始碼託管服務)。Slack和GitHub。這兩者的其中一個共同點就是,它們都實施了ISO 27001標準,並在組織內定期進行風險評估、員工資訊安全培訓、和外部稽核來確保用戶資料的安全。
| Day | 規劃主題 |
|---|---|
| Day14 | 管理篇:1 on 1 / 績效評估 |
| Day15 | 管理篇:優先排序與個人時間管理 |
| Day16 | 管理篇:設定專案成功標準 |
| Day17 | 管理篇:風險管理 / 資訊安全管理 |
| Day18 | 管理篇:科技創新與管理 |
| Day19 | 管理篇:變革管理 |
ISO 27001是資訊安全的國際標準,透過系統化框架幫助企業識別、評估和管理資訊安全風險。
許多企業在選擇供應商時,會考慮其是否符合ISO 27001標準。這樣的認證可以成為公司在市場競爭中的一個優勢,幫助其獲得更多的商機。例如,GitHub在獲得ISO 27001認證後,吸引了許多對安全性有高要求的企業客戶,進一步擴大了市場市占率,還能增強客戶信任和市場競爭力。
許多知名軟體公司如GitHub和Slack在導入ISO 27001後,通過定期的風險評估和員工培訓,成功減少了安全事件的發生率,並迅速應對了潛在的威脅。
假設Slack的開發團隊為了確保產品在開發和維運過程中的安全性,參加了一次專門針對安全風險的工作坊。在這次工作坊中,團隊使用了風險識別工具,例如失效模式與影響分析(FMEA)和風險矩陣,集體討論並識別出了多個潛在的安全風險。這些風險包括:
資料洩露風險:由於不安全的資料儲存或傳輸方式,可能導致用戶的敏感訊息(如密碼、個人資料)被未經授權的第三方訪問。
身份驗證漏洞:如果身份驗證機制不夠強大,可能允許攻擊者使用弱密碼或暴力破解技術進行非法登錄。
第三方應用程式整合風險:與第三方應用程式的整合可能引入安全漏洞,這些應用程式可能不符合安全標準,導致數據被洩露或竄改。
系統漏洞:開發過程中可能會引入未經測試的程式碼或library,這些程式碼可能存在已知的漏洞,容易被攻擊者利用。
未加密的通訊:如果用戶與伺服器之間的通信未進行加密,就可能會遭遇中間人攻擊(Man-in-the-Middle Attack),導致數據被竊取或篡改。
缺乏安全知識培訓:員工對安全政策和Best practice最佳實踐的認識不足,可能導致錯誤的資料庫操作或不當的資料取得行為,增加安全風險。
不當的權限管理:若使用者的訪問權限過於寬鬆,可能導致未經授權的資料訪問和操作。
災難復原計劃不足:缺乏有效的災難復原計劃,可能在系統故障或資料丟失時無法迅速恢復服務。
合規性風險:如果公司業務與歐洲有往來,但未遵循相關法律法規(如GDPR),可能會面臨法律責任和罰款,影響公司的聲譽和財務狀況。
在識別出以上潛在安全風險後,Slack團隊將這些風險記錄在資訊安全管理系統(ISMS)中,為後續的風險評估和應對措施奠定基礎。其中,風險識別率」就是用於評估已識別的風險數量與潛在風險的比率。這些指標和措施幫助軟體開發團隊在日益複雜的安全環境中,持續維護使用者的資料安全,並提高整體的安全防護能力。
風險評估頻率,指的是定期進行風險評估的次數。Slack的資訊安全團隊每季進行一次全面的風險評估。在最近的一次九月評估中,團隊從威脅情報中發現了新出現的安全漏洞,可能影響用戶資料的安全。透過定期評估,團隊能夠及時更新安全策略,並在發現問題後迅速制定計劃進行修復,確保用戶資料的安全。
風險應對計劃的實施率,則是評估已實施的風險應對措施與計劃中措施的比率。假設Slack團隊識別出了9個主要的安全風險,並針對制定了相應的應對計劃,包括加強身份驗證措施的功能實作計劃和定期進行安全測試。若Slack發現其平台存在多個安全漏洞,團隊決定將開發資源放在實施「新的加強加密技術」,經過幾個月實作的努力,團隊顯著提升了安全性,也增強了使用者的安全感,成功降低了潛在的法律責任和財務損失。
事故反應時間
假設在某天,Slack的資訊安全團隊收到了來自使用者的報告,指出在使用過程中出現了異常登錄行為。團隊立即啟動了事故應變計劃,並在接到報告後的2小時內完成了調查和修復,成功阻止了潛在的資料洩露。這次迅速的響應不僅保護了用戶的數據,還增強了用戶對Slack的信任。
內部稽核次數與持續改進計劃的實施率
每年Slack會進行至少一次的ISO 27001內部稽核,以確保其資訊安全管理系統的有效性。此外持續改進計劃的實施率也非常重要,已實施的改進計劃與計劃中改進項目的比率通常會被用來衡量進展。例如,若80%的持續改進計劃已實施,則顯示團隊在安全管理上持續努力,達到Plan - Do - Check - Act的改善循環。
身為公司內部資安專案的管理者,我深刻體會到軟體公司導入ISO 27001的原因主要在於建立一套資訊安全管理標準來保護公司資產與使用者資料。現代社會資料遭到洩露和系統遭受網路攻擊的風險越來越高,導入ISO 27001可以幫助公司建立有效的安全控制措施,降低資料洩露的風險。
對我們而言,通過ISO認證不僅能提高公司的資訊安全標準,還能增強客戶和合作夥伴的信任。對於需要有更好資安管理制度的軟體公司來說是不可或缺的一步。
iThome鐵人賽
看影片追技術