ISO27001和Linux/Ubuntu

Question

我的公司有ISO 27001认证。他们给我提供了一台装有Windows 8操作系统的新笔记本电脑。我问我是否可以安装Linux/Ubuntu，他们说，由于ISO 27001标准，这是不可能的。

是真的还是公司的技术人员不知道如何安装Linux/Ubuntu？

Answer 1

ISO 27001的要求之一是管理对公司IT资源的访问控制。

如果您只是在您的笔记本上安装Ubuntu，所有的访问控制将由您直接管理，而不是您的公司。因此，例如，当您的经理想解雇您时，您的IT部门将无法在方便的时候阻止您的本地膝上型电脑帐户。

当然，Linux可以连接到中央身份验证系统(AD、IPA、CAS等)，但首先您的IT部门需要构建所需的能力(一名员工知道如何做到这一点是不够的，因为所有ISO标准都需要书面、可重复和可验证的流程)。

另一方面，有关如何将Windows连接到AD并部署中央身份验证的知识在IT中或多或少是常见的，因此您的公司可能已经有了ISO流程。因此，它们允许您只使用Windows。

Answer 2

ISO 27001是关于记录你做了什么，你是如何做的，以及你有什么控制，以审计事情是他们应该做的方式。这意味着，典型的笔记本电脑安装非常非常标准化，与已知的模板(您如何做到这一点)。PC机很可能安装在Active Directory中，GPO被强制执行，监控到位(AV、防火墙等)。为审计目的。

所有这些都意味着他们不会在你的笔记本上安装你最喜欢的发行版甚至软件，即使他们知道怎么做。

*这是在软件安装的背景下，用很少的话来说，有专门讨论这个主题的整本书。

Answer 3

这完全取决于贵公司的政策和标准。ISO 27001是一个安全管理系统，但是它对政策和标准的实际内容几乎没有严格的要求。

我在一家ISO 27001公司工作，该公司允许技术人员自行安装另一种操作系统。有一定的技术要求(公司硬件、磁盘加密等)。但是一旦遇到这种情况，自动安装就像公司安装一样。我认为这种安排是非常罕见的。一些公司允许BYOD (自带设备)，尽管BYO设备的访问权限通常是有限的。