如何实现合规的远程办公？

近年来，很多企业为了合规都要求安全工作流满足 ISO 标准之上。疫情发生后，企业对于安全态势的需求也并没有因为推行远程办公而减少。

ISO 合规有助于企业将用户、技术和工作流统一集中管理。本文将介绍 ISO/IEC 27001 合规需要达到哪些标准，以及如何在远程办公期间满足合规。

1. 什么是 ISO 标准？

ISO 全称为国际标准化组织（International Organization for Standardization），成立于1947年，制定了国际公认的技术和业务运营标准，涵盖了产品制造、员工管理、服务提供、行业协会等不同行业和内容。

要获得 ISO 认证，各类企业不论规模都必须遵守针对信息安全管理的 ISO/IEC 27001 标准。为了保证网络信息安全，企业必须创建信息安全管理系统（ISMS），并采取下列措施：

• 系统性检查企业现有信息安全风险

• 全面实施安全控制措施，防范化解风险

• 采用集中管理法，确保企业始终满足安全需求

虽然企业为远程员工实施了各种安全协议，但建立 ISMS 能进一步集中管理和保护财务信息、知识产权和员工档案等机密信息。下面将分别介绍 ISMS 措施的具体内容：

1）系统性检查信息安全

要在远程办公期间依旧满足 ISO 合规，企业必须系统性地检查信息安全风险，充分考虑潜在漏洞，并了解这些漏洞对企业安全态势可能产生的影响。

ISMS 的关键因素之一是时刻掌握 IT 基础架构运行情况，通过整体身份管理工具控制访问权限。为此，企业需要持续监控所有网络流量，同时确保信息易于访问。此外，还可以使用事件日志工具监控用户及其系统，充分检测基础架构中的潜在风险。

2）全面实施安全控制

可行的 ISMS 包括一套全面的安全控制措施，用于解决企业的典型风险因素。即使在远程办公期间，也需要保护用户和 IT 资源安全，具体措施包括：

• 尽可能使用多因素认证（MFA）

• 培训员工使用复杂特殊的长密码

• 为 IT 系统启用全盘加密（FDE）

• 使用访问管理（AM）软件

• 将软件更新到最新版本

企业可以采用零信任安全模型，全面实施安全控制。例如将每个资源访问实例都视为潜在威胁，从而保护用户和 IT 基础架构免受各种网络攻击。

3）采用集中管理法

在远程办公期间实现 ISO 合规的最后一步是确保安全控制始终满足企业的信息安全需求。具体方法是通过集中实施身份和访问管理 （IAM） 工具，实现跨资源的安全控制自动化。

很多合规企业都会使用单点解决方案将用户连接到不同操作系统、应用、网络、IaaS 平台等资源。但在远程环境中，用户身份分散在多个平台很难集中管理，管理员要管控用户和设备也不太容易。

通过基于云的集中式身份管理法，可以实现用户预配自动化并在整个系统群中落实安全工作流，在满足合规性的同时，还可以为 IT 基础架构的迅速调整留出空间。

2. 使用云目录平台实现 ISO 合规

云目录平台又称目录即服务（DaaS），可以帮助企业在远程办公期间依然满足 ISO 合规要求。通过与遗留系统的集成，将身份管理基础架构整合，支持企业随时随地管理用户和系统。

云目录平台不仅是适用远程办公的管理总平台，还可内置多因素认证（MFA）、云 LDAP 和 RADIUS 服务以及 SAML 2.0 Web 认证功能，管理员可以授权用户单点登录。此外，云目录平台还提供关于目录服务、应用程序、系统和网络身份验证事件的全面日志。