为何要注意汽车行业的安全审计。
我们的IT团队最近带领公司进行了一次信息安全审计。PatrykKozłowski(IT经理)和KrzysztofJaworecki(IT专家)讲诉了此次审计工作,以及在准备过程中应该注意什么。
您好。首先,我想请您简单介绍下什么是安全审计。
Patryk Kozłowski: 首先,信息安全审计通常被理解为IT审计。情况并不完全是这样的。信息安全是在处理所有的信息,而不仅仅是计算机或服务器上的数据。这些数据包括各种文件、营销材料、员工文件、财务数据、建设项目——总之,是在公司每个部门处理的所有数据。
这些公司的知识必须得到准确的保护,使得以上信息不被滥用,例如,使用埃尔科专有的产品开发信息生产产品。
它也不是一个IT审计。本次审计的目的是显示我公司的信息是否受到充分保护
审计员可以检查每个部门,甚至可以向在走廊上偶遇的员工提问。
M.M.: 据您所说,信息安全审计的概念经常被误解。是否存在对安全审计错误的普遍认知?
P.K .: 是的,人们认为标准往往强加给我们一些东西,我们必须严格遵循具体的指导方针,这是错误的。唯一的事实是,ISO/IEC27001标准只规定我们必须保护信息,但我们在多大程度上以及如何保护信息,取决于我们。各公司会分别确定其所谓的可接受风险水平。
然而,正如我所提到的,标准只列出了需要被保护的信息点,但如何保护并未涉及。
M.M.: 准则留给了我们很多自由的空间,那么如何选择合适的数据保护方法呢?
P.K .: 首先,我们进行了风险分析。我们识别是否有威胁并试图尽量将其最小化,使它们发生的可能性降低。
审计前,我发起了员工信息安全意识调查。绝大多数的答案都是正确的,但这样的调查也向我们展示了用户不考虑什么,他们不知道什么,以及我们在初始和定期培训期间应该更多地关注什么。
M.M.: 所以我们可以说IT部门为公司制定了一个安全策略?
Krzysztof Jaworecki: 我们准备了一份符合安全标准要求的声明,在该声明中,我们明确说明了我们为保护信息而采取的具体行动。
审计本身是基于这样一个事实,即执行审计的人正在寻找我们所声明的证据。同样值得补充的是,在许多公司中,引入ISO标准只是为了向客户展示证书。
P.K.: 例如,一个审计员来找我们说,“在声明中,您写到您损坏了运输车,所以您应该有车辆的登记信息。我想看看登记信息。”然后我们向他提供了登记文件,审计员之后便表明我们已经合格了。
K.J.: 是的,缺乏报告的证据将意味着不遵守要求,即,不合格。不合格现象的发生不利于产品质量要求。我们将不符合项分类为小的和大的(关键的)。
M.M.: 您想分享更多关于审计本身的有趣的事吗?
K.J.: 今年的审计与之前的审计不同,因为执行审计的人以前是一名程序员。由于他在IT行业有丰富的经验,审计工作非常激烈。第一天我们和审计师呆了大约7个小时,第二天花了3-4个小时。
P.K.: 为了比较,我想说,通常我们部门和审计员这样的会议通常大约持续3个小时。而这一次,彻底检查了上述声明的每个点和子点的符合情况。
M.M.: 所以审计本身就相当耗时了。准备工作当然也需要很多工作。请给我们分享一下在准备过程中您们遇到的最大的挑战。
P.K.: 当然,每年,我们都必须完成数据并培训员工,但这一次,我们第一次自己处理了审计的整个方面。使用声明和安全措施本身对我们来说不是问题,因为我们在IT领域工作,我们知道它,但确保正确准备文件和修订是一项新奇事物和挑战。
K.J.: 我们对审计有更广泛的了解,因此获得了有关我们组织的独立评估的宝贵经验。
P.K.: 我们和Krzysiek负责审计,但MarekZak(初级IT专家)对我们也有很大的帮助。Marek负责帮助台,我们并没有直接向他介绍审计事宜。然而,当我们忙于编制文件和准备审计工作时,马雷克免除了我们的许多日常任务,让我们有机会专注于良好的准备工作。
K.J.: 此外,他还帮助我们实现了许多解决方案,例如。磁盘加密,VPN。我们努力和谐合作,分享知识和经验。
M.M.: 您已经提到过,审计员本人、他的洞察力和他的这次所花费的时间,对我们来说是一次全新的经历。那么疫情大流行的问题呢?它对本次审计的影响是否有所不同?
K.J.: 首先,审计是远程进行的,这在以前从未发生过。我们使用在公司中运行的软件来安全地共享文档,通过共享服务器桌面来实时显示IT应用程序。这种形式的审计结果非常有效。
M.M.: 现在所有可能的工作都被转移到远程条件下。审计后,您是否发现公司有任何变化?
K.J.: 员工对信息安全的意识每年都在提高。这样的系统已经在我们公司运行了多年,员工注意到,IT部门对这些机制的发明不仅具有预防信息泄露的功能,而且也防止了数据丢失。
P.K.: 埃尔科公司希望成为一个可靠的商业合作伙伴和雇主,因此,我们所声明的一切都在公司里得到了一丝不苟的执行。我们的假设之一是持续发展,所以每年审计后,我们都不会安于现状。我们一直在努力采取更有效的安全措施。
M.M.: 自去年的信息安全审计以来,您是否在埃尔科推出了新的解决方案?
P.K.: 是的。一年前,我们并没有笔记本电脑加密。现在,公司里所有的笔记本电脑都是加密的。
K.J.: 实际上,这意味着如果一台笔记本电脑丢失或被盗,其他人也不会从它那里获取数据。即使我卸下磁盘并将其连接到另一台计算机,它也不会读取任何信息。
M.M.: 我们能说审计再次确认了我们的安全质量吗?
P.K.: 是的,我遇到的一些公司的数据保护标准要低得多,所以与其他公司相比,埃尔科在这个领域做得很好。
K.J.: 我们应该记住,被盗或损坏的设备可以买回来,但丢失的公司数据在大多数情况下是无法恢复的。在埃尔科公司,由于实现了先进的现代工具,我们很有可能恢复丢失的数据、意外删除或故意删除。
M.M.: 非常感谢您的采访,因为您我们可以对埃尔科的信息安全充满信心.
P.K.: 谢谢您!