ISO發佈如何提升企業網絡安全復原力？

    詳情：https://www.iso.org/contents/news

    /2022/11/incorporate-cyber-resilience.html

    隨着技術日益成熟，網絡罪犯的攻擊手段也越來越高明。在充滿不確定性的時代，信任彌足珍貴。對大眾來說，系統安全是信心和保證的最基本要求，而ISO的兩項國際資訊科技標準——ISO/IEC 15408和ISO/IEC 18045正好能夠幫助人們重拾對技術的信任。

    米蓋爾 · 班農（Miguel Bañn）是網絡安全評估及認證專家，也是ISO和國際電工委員會（IEC）安全評估、測試與規範工作組的召集人。他認為，這兩項標準就好比“自行車踏板”協同工作，兩者必須相輔相成，ISO/IEC 15408是一套資訊安全準則和規範的說明，而ISO/IEC 18045則明確了資訊安全評估的通用測試方法。但在實際應用上，兩項標準基本是相同的。

    及時修訂標準

    為了滿足新時代日趨複雜的需求，兩項標準於近期作出了修訂，並且來得十分及時。班農說：“修訂工作重點着眼於技術保障、檢測認證、以及就確保技術本身的安全性提供標準。這也是解決方案的重要組成部分。”標準能幫助管理資訊並對整體作出全面評估，但技術的安全性是最關鍵的前提。

    要在市場上取得成功，就必須取得客戶的信任。在技術層面上也是同樣道理。面對快速湧入市場的琳琅滿目的新產品，如以智能汽車為例，若我們對無人駕駛技術沒有信心，又如何能放心讓它自動駕駛呢？

    班農稱：“ISO/IEC 15408和ISO/IEC 18

    045兩項標準提供了國際公認最佳、也是唯一的IT產品和系統安全測試及評估方法”。他指出，以往不起眼的網絡安全領域如今已成為了主流，且市場本身亦將網絡安全的重要性放在首位，因此，決策者和領導者必須進一步提高對網絡風險的重視程度。

    建立網絡安全復原力

    各國政府對於這個問題越見重視。班農表示，網絡安全引起了廣泛的關注，帶來了許多積極的成果，例如即將出台的歐盟立法將提出強化網絡安全系統的法案。

    他說：“《歐盟網絡安全法案》的實施，為整個歐洲的認證工作提供了統一框架。過去，IT產品進行安全認證是以各國家制度為依據﹔而現在，首個泛歐洲IT產品認證體系即將推出，而這是基於ISO/IEC 15408制訂的”。

    他還指出，資訊系統安全並非新議題，在過去曾實施的一些標準，也確實為市場上的IT產品帶來積極影響。他說道：“通過遵循如操作系統、網絡設備等標準，許多傳統產品得到了改進和發展，使黑客不得不另尋更容易擊破的產品或攻擊面”。

    遵循ISO/IEC 15408標準的產品，都有着高度成熟、對攻擊有強抵抗力的優點。對於當今我們屢屢聽到的重大攻擊事件，班農認為，很有可能是因為黑客針對未經該標準認證或分析的產品下手。他說：“假設你是黑客，你定必會針對整個鏈條上最薄弱的一環作出攻擊，而現在最簡單的途徑就是攻擊未經標準認證的產品”。

    獨立而公正

    班農坦言：“信任是一切問題的根源，按照我們的標準，首先要對產品進行非常嚴格、獨立而公正的審查，再作出一系列評估和認證，確保得到用戶的信任。舉個例子，有誰希望買到不符合安全規定的洗衣機？因此，標準合規既是市場的需求，也是網絡安全方案在全球取得巨大成功的依據，既可防範惡意攻擊，也能讓用戶安心”。

    澳門生產力暨科技轉移中心一直致力協助各公、私營機構與國際接軌，為企業提供相關的支援服務，包括“國際管理系統標準認證資助計劃”、諮詢輔導及培訓交流服務。

    如欲購買上述 ISO國際標準，或對國際管理系統標準認證的考取、資助計劃及支援服務有任何疑問，可於辦公時間內聯繫生產力中心——標準管理及培訓考試部，電話：2878-1313。