以前,许多IT经理只需进行简单供应商管理 (vendor management) 便能赚取不错的收入。进入2025年,香港情况不太一样,在家工作模式引入的大批来自印度、中国、越南等地的廉价劳力竞争、人工智能革命及廉价资金的消失均冲击着业界。想要生存的IT经理必须武装自己,并在老板面前显得聪明。希望这篇关于网络安全的文章能提供有用的营养。
ISO 27001,即ISO/IEC 27001:2022,是一项创建资讯安全管理系统(ISMS)的国际标准,确保敏感数据的机密性、完整性和可用性,对管理大量业务关键信息的企业资源计划(ERP)系统至关重要。ISO 27001提供系统化方法来管理资讯安全风险,首次发表在2005年并于2022年更新,是ISO/IEC 27000家族的一部分,也是唯一可认证的标准,其核心组成部分包括风险评估、14个类别内的114项控制措施(附录A)以及持续改进。根据2021年的ISO调查,全球已有超过50,000张认证,ISO 27001是各种规模机构信赖的框架。
ERP系统集成了会计、采购和供应链管理等核心业务流程,集中管理金融记录和客户信息等敏感数据,成为网络攻击的主要目标。数据泄露可能导致财务损失、声誉受损或运营中断,因此需要像ISO 27001这样强有力的安全措施。
ERP系统处理的敏感数据容易受到攻击。ISO 27001的控制措施,如访问管理(附录A.9)和密码学(附录A.10),可确保调制解调器密性与完整性。对于云计算ERP系统,加密和密钥管理可保证数据传输过程中的安全,减少加密后门等风险。
ISO 27001的风险基础方法(条款6.1)可识别并减轻ERP系统中的漏洞。尤其近年来,香港不少小型供应商或ERP初哥以免费、开源的ERP系统作招徕,根据Synopsys的OSSRA报告,开源社区中高达75%的代码基础包含高风险的开源组件,及时修补和漏洞管理(附录A.12.6)对防止被攻击非常重要。
ERP系统经常处理需符合GDPR或NIS 2等法律的受管控数据。认证证明遵守全球标准,提高可信度。
ERP中断可使运营停摆。ISO 27001确保系统抵御零日漏洞等网络威胁,通过健全的事件响应(附录A.16)最小化停机时间,维持运营效率。
魔鬼就在细节,对于ISO 27001的问题,许多CTO和IT经理不知不觉的一直被供应商蒙骗。以下解释不合格ERP供应商或顾问通常使用的蒙混过关手段。
AWS或Azure等知名云服务供应商通常都获得ISO 27001认证。不合格的供应商通常宣称系统将托管在ISO:27001认证的云服务供应商上,所以所有都会符合要求。这是不正确的!用户的敏感数据不仅仅由云服务供应商处理,还会由供应商提供的ERP系统处理。如果供应商未获ISO:27001认证,则实际上是不合格的。
另一种常见方法是不合格供应商使用ERP SaaS的ISO:27001合规作为证明。在2025年,最佳的ERP SaaS系统如SAP、Netsuite、Multiable等,均100%符合ISO:27001,但这还不够。许多小规模ERP项目并非直接由ERP供应商提供,而是由第三方顾问或经销商承担。因此,ERP数据 – 企业的核心机密经常落入这些第三方手中。如果这些ERP顾问或经销商本身未获ISO:27001认证,数据泄露风险同样存在,不符合ISO:27001。
针对不合格供应商的伎俩,有关ISO:27001合规的条款应更加明确。应撰写类似以下文本的条款:
各位IT经理达人,我建议马上查看现有的标书模板。如若发现上述漏洞,请立即更正。最后但同样重要的是,别忘了向老板发送邮件,告知发现和相应的修改。CTO永远在寻找不只是在新采购进程中复制粘贴(copy-and-paste)历史标书的IT经理。祝好运!
