[觀點] 解析資訊安全控制措施(九) - 資訊系統取得、開發與維護

上次談到了ISO 27001中有關網路、作業系統、應用系統的存取控制要求，藉由部署適當的控制措施，可降低組織的安全風險，接下來將說明標準中有關資訊系統取得、開發與維護的安全要求。

對大多數的組織而言，資訊系統的獲得有兩個來源，一個是由內部人員自行開發撰寫應用程式，另一個則是由外部廠商來協助開發或提供套裝軟體。不過，無論是採用委外服務或是自行開發，對於資訊系統所需的安全目標都是一致的，相關的安全控制目標與措施，可以參考ISO 27001附錄A.12「資訊系統取得、開發與維護」的內容，它主要有六個控制項目，依序說明如下。

[新聞] 「Security Guidance for Critical Areas of Focus in Cloud Computing v3.0」已正式發布

CSA已正式發布了「Security Guidance for Critical Areas of Focus in Cloud Computing v3.0」，除了有部份內容經過改寫，特別強調「security、stability、privacy」這三點之外，新版大致上的架構仍是維持不變的，主要有更新的地方，包括新增加一個 Domain 14: Security as a Service，在Domain 3 和 Domain 5 的名稱也作了調整如下：

- Domain 3: Legal Issues: Contracts and Electronic Discovery
- Domain 5: Information Management and Data Security

目前，CCSK的考試仍維持在v2.1版的內容，所以如果您已準備好的話，進行考試還是沒問題的。至於未來考試會不會也配合更新，我想這是可預期的，若有任何更新的資訊，我會再提供給大家囉~

相關資訊請參閱CSA網站：
https://cloudsecurityalliance.org/research/initiatives/security-guidance/

[觀點] 解析資訊安全控制措施(五) - 通訊與作業的安全管理(中)

之前已針對ISO 27001中有關通訊與作業安全的控制措施，談到了監控資訊作業的相關活動和第三方的服務管理，本篇將繼續說明在此控制項目中的其他要求，以及在實務方面可以應用的管控作法。
註：上篇及下篇請參考之前發佈的內容。

過去，只要談到資訊安全防護，大多數人員直接聯想到的就是網路安全，認為需要在組織中部署防火牆和入侵偵測系統等產品，以防止來自網路的入侵和攻擊。雖然，這樣的認知是有點偏於狹隘的，但也突顯出網路安全其實就是組織在資安方面最為關注的地方，也願意將可運用的資源投入在網路安全上。

不過，網路安全除了導入技術面的資安產品之外，最重要的還是需要配合管理面的要求來進行，原因是技術性的作法，通常是為了要在問題發生時進行損害防阻，避免資訊資產受到損失，而管理面則是為了要防範問題於未然，事先透過作業流程的監控與設計，來降低其中潛藏的資安風險，因此，兩者在強化資安防護方面，肯定是相輔相成且缺一不可的。

[觀點] 解析資訊安全控制措施(八) - 存取控制的資安要求(下)

上一期談到了ISO 27001中有關存取控制的營運要求，組織需要建立存取控制的政策和使用者的存取管理，包括像是註冊要求、密碼管理和確保無人看管設備的安全責任等，接下來將說明和網路、作業系統、應用系統的存取控制要求。

在A.11「存取控制」的要求中，第四個控制項目為A.11.4「網路存取控制」，其目標是要確保組織所提供或使用的網路服務，避免受到任何未經授權的存取，因此需要採取一些控管作法，來確保網路本身和使用者在利用時，不會發生安全上的問題，危害到組織的整體營運。

[觀點] 解析資訊安全控制措施(七) - 存取控制的資安要求(上)

上一期談到了ISO 27001中有關通訊與作業管理的各項控制措施，接下來將說明附錄A.11存取控制的資安要求，包括了使用者的存取管理與應有的安全責任、網路與作業系統的存取控制，以及應用系統的存取控制等。

在協助組織規劃有關資訊安全管理的策略時，經常會提到一個俗稱為「PPT」的思考架構，它是指人員(People)、流程(Process)、技術(Technology)，也就是說在資安管理的要求方面，基本上會涵蓋此三個層面：包括需要依照組織營運目標與資訊安全政策，透過教育訓練來讓所有員工了解並落實其應有的安全責任；依照各單位業務屬性不同，訂立各項安全的作業流程，並留下相關的作業記錄；以及透過各項資安技術的協助，來偵測防禦可能來自內部與外部的各項威脅。

因此，針對資訊的存取控制方面，它也是一個很好的參考指標，像是在人員方面的存取控制要求，我們的思考重點在於如何確保資訊只能讓已經過授權的人員才可存取，如何讓人員了解並落實存取資訊時應盡的使用者責任；在流程方面，則是要確保所有的資訊存取，是否都是基於營運所需的安全要求，是否以文件化方式建立了各項和資訊存取有關的政策；至於在技術方面，針對網路、作業系統與應用系統，是否劃分了安全邊界，是否進行良好的使用者身分識別，並且賦予適當的連線控制，以上這些都是組織資安管理的重點。

[提醒] 又接到詐騙電話，請注意個資外洩的問題

最近在一家新成立不久的網路書店買過書，就在今天下午5點半左右，我接到一通聲稱是該公司服務人員的電話(+022752-4815)，其實在電話號碼前出現+號，除非您有很多老外朋友，否則往往就是讓人覺得可疑的地方，不過死豬不怕燙的我，還是接了起來，在吵雜的背景音下，一開始對方感謝我在網站上購書，說最近又到了很多新書，要我有空可以多上去逛逛。

但接下來話鋒一轉，她正確地說出我曾在何時購書、金額是多少，以及是在哪家超商取貨，然後就是典型的詐騙說詞，聲稱雖然我是在超商付款，但是因為人員作業疏失，導致分期重複扣款等等(真不知都已付現了，是要怎樣分期...)。

[觀點] 解析資訊安全控制措施(六) - 通訊與作業的安全管理(下)

上一期我們針對ISO 27001中有關系統規劃管理與網路服務的安全監控，談到了如何降低系統可能出錯的風險，以及網路服務與資訊媒體的控管要求，本期將說明電子商務的安全和系統監控的重要性。

隨著網路應用的蓬勃發展，電子商務已經是一種普遍的業務營運型態，尤其是線上購物更是百家爭鳴的市場，根據資策會的調查顯示，台灣在電子商務的B2C市場規模，在2009年即突破新台幣2000億元，預估至2015年台灣電子商務整體的市場規模將超過1兆元。

[分享] 強化帳戶安全 - Google提供中文化兩步驟身分驗證

如果您是一位資訊工作者，由Google所提供的Gmail、Google doc、Google+等多項應用服務，想必已是每天都不可或缺的工具之一。即使是一般的普羅大眾，在生活中透過電子郵件的往來，信件內容也會包括許多和個人有關的資訊，像是電子帳單、保險資料、網路購物記錄，甚至是電子情書等。

因此，除非您是一個完全沒有秘密或不在乎隱私外洩的人，一旦個人所使用的Google帳號被竊了，勢必會對生活造成非常大的困擾。鑑於這項風險，Google針對使用者的身分驗證方式，推出了兩步驟驗證服務(2-Step Verification)。

[活動] 終結個資外洩之亂研討會

個人認為，參加研討會活動是獲得資訊和認識朋友最快的方法，雖然許多研討會為了能夠順利舉辦，往往需要廠商的協力贊助，所以在內容上面，免不了也會加入相關產品的介紹。不過，為了吸引參加者，研討會也會邀請一些業界的先進，來分享其個人專業或經驗上的知識與心得。

[觀點] 解析資訊安全控制措施(四) - 通訊與作業的安全管理(上)

上一次針對ISO 27001中有關實體安全的控制措施，說明了敏感的安全區域和資訊設備應實施適當的安全控管，以避免因為受到惡意人士的登堂入室，而造成資訊安全的危害，本文將繼續說明有關網路通訊與資訊系統營運的安全作業管理。

[分析] 雲端運算的迷思 - IaaS的安全誰該負責？

許多客戶租用了雲端運算服務，就以為資安的問題，應該都由服務供應商來解決，並且負起相關的責任，但事實上，恐怕不是這麼一回事。

根據Amazon所發布的文件指出，對於其所提供服務的安全，Amazon皆有採取符合相關法規的安全措施(例如SAS 70、ISO 27001、PCI DSS等)，但是客戶也具有相對性的責任，必須自己注意控管安全上的問題。

[分享] 請關心學童的上網行為

暑假到了，小朋友在家的時間更長，您有沒有發現他們黏在電腦前的時間也更增加了呢？根據台灣微軟所發佈的「兒少網路安全調查報告」，提到有將近四成的學童每天都會上網，有近二成的學童每天上網超過六小時，所以很可能延伸出和許多大人一樣的症狀叫作「網路成癮症」。

有位小六學童說，「不上網不打卡，我就覺得自己好像不存在。」這或許是一個比較極端的例子，不過，請問您真的了解小朋友們的網路活動，或是稱之為網路社交生活嗎？

[分享] 保護個人使用Facebook的隱私

關於社群網路，最近有幾則令人矚目的新聞，首先是facebook的使用者在全球已突破七億人；其次則是Google也推出了具有社群網路功能的服務Google+；第三則是有惡意人士盜用媒體的名義，於美國獨立紀念日當天，在Twitter上發佈美國總統歐巴馬遇刺的假消息。

什麼是社群網路？簡單的說就是一些有著共同愛好、興趣，或是為了某項共同目的所結合起來的個人與團體，透過網路無遠弗屆與傳播快速的特色，讓大家可以在線上進行互動、討論，以及分享各種資訊。

[Q&A] Log日誌管理的安全議題

最近，網管人雜誌的媒體朋友，和我聊了幾個有關日誌管理的問題，以下將我的回覆，分享給大家作為參考囉~

Q. 系統日誌普遍存在於各個IT基礎設備中，伺服器、防火牆與入侵偵測系統、路由器、閘道器、資料庫，在在都有些事件日誌的設計以便讓企業能夠即時除錯，為何這些過去早已存在的日誌無法企業遵循個人資料保護法的需求？過去的系統日誌欠缺那些元素？

[觀點] 解析資訊安全控制措施(三) - 實體與環境安全

之前我們談到了在ISO 27001標準中11個控制領域，關於資產管理和人力資源安全的要求，本文將說明實體與環境安全的控制措施，以協助您掌握其重點並進行適當的控管，以降低組織所面臨的資訊安全風險。

[提醒] 小心針對Mac的惡意程式-MacDefender

正所謂樹大招風，隨著蘋果系列電腦在全球的熱賣，一向不太容易中毒的Mac OS X作業系統，也出現了特別針對它的惡意程式，目的是想要騙取使用者的個資和金融資料。

最近出現的「MacDefender」是個偽造的防毒軟體，當使用者瀏覽到某些網站時，它會突然跳出一項訊息，告訴使用者電腦已感染了病毒，需要安裝此一防毒軟體來協助解毒。

[分享] 資安事件管理(SIEM)的魔術象限

談到Gartner的Magic Quadrant(魔術象限)，它是Garther在特定的時間內，對於市場和使用者的體驗，所作出的分析結果，也一向是被許多廠商用來證明自己的產品，已在市場中佔有一席之地。

基本上，它只是一項研究報告，不代表落在象限內的產品就一定是好的產品，但個人認為Gartner對於市場現況的描述和針對各家產品的優缺點分析，是相當適合用來作為在選購產品時的評估和明列相關規格時的參考。

[觀點] 談學校因應個資法應有之作為

不久前，我到一些大專院校演講時，談到了個資法對於學校最大的衝擊，除了在違法時需要負起損害賠償責任，以及相關人員會有刑責之外，在實務方面，其主要的影響來自以下三個層面：

[分享] 關於應用程式安全稽核的現況

上星期有朋友問到有關軟體/應用程式安全稽核的一些現況，以及什麼樣的工具才會是客戶願意使用的檢測工具，就個人的了解，將相關的資訊整理分享如下：

[提醒] 假AppStore，真Spam

隨著iPhone和iPad在全球的熱賣，相信許多人都已經加入成為蘋果一族，而且願意花費數美元不等的金錢來購買有趣或實用的App小軟體。當然，一些惡意人士更不會錯過這個大好機會，也搭上了這班順風列車，藉此來散布垃圾郵件或廣告連結。

最近我就收到一封看似來自Apple AppStore的信，信件主旨是「ID:9406-02708 Apple AppStore Order Notify」，內容則是通知我的訂單被取消了，若要欲知詳情的話，可以點選它附上的「order status」連結來進行查詢。

[Q&A] 什麼是安全港架構(Safe Harbor Framework)？

許多組織，在網站的資料收集和隱私權政策中(像是google的隱私權政策)，常會提到其遵守所謂的「安全港架構(Safe Harbor Framework)」，到底它是什麼架構？要遵循哪些事項？恐怕清楚知道的人就不多了。

[證照] CCSK 雲端安全證照入手

之前介紹了全球第一張雲端安全知識認證CCSK，雖然它目前還不是一個相當知名的證照，但它的考試領域在雲端安全專業知識方面，可說是非常的實用。

雖然準備的時間不多，考試的費用也不便宜，但我還是努力地閱讀了考試建議的兩份參考資料，以及目前所有查得到關於雲端安全的資訊，順利地通過了考試。

[調查] 2011年全球資訊安全人員大調查

由(ISC)2與Frost & Sullivan市調公司合作，所進行的2011全球資訊安全人員大調查已經公布，共有10413位來自世界各個產業與組織的資安專業人員參與，這項調查的結果，將有助於組織發現在未來可能面臨的主要安全威脅，以及資安人員所需要具備的專業技能，讓組織可以降低在資訊安全方面的風險。

這項調查提到了幾項主要的發現，簡要說明如下：

[證照] CCSK - 全球首張雲端安全知識認證簡介

隨著雲端運算技術和服務已成為全球各個產業的熱門應用，如何確保雲端運算的資訊安全，更是在提供或採用雲端服務時，最常被提出來討論的主要議題。

對此，從2008年開始醞釀，直到2009年的RSA會議中，由數十家業者共同組成了雲端安全聯盟(Cloud Security Alliance；CSA)，它是一個非營利性的組織，主要任務是在推廣雲端運算的安全應用實務，提供雲端運算一個安全的架構，同時也肩負了教育訓練工作，來協助組織強化各項雲端運算服務的安全。

[觀點] 解析資訊安全控制措施(二) - 資產管理與人力資源安全

上一次我們談到了在ISO 27001標準中，11個控制領域中的安全政策和資訊安全組織，本文將分析說明資產管理與人力資源安全中的要求，協助您選擇並實施適當的資訊安全控制措施，以降低可能的資訊安全風險。

[觀點] 解析資訊安全控制措施(一)-建立安全政策與資訊安全組織

除多組織為了強化資訊安全管理，因此選擇導入資訊安全管理系統(ISMS)，但是在整體的資訊安全框架之下，除了導入文件化的管理制度之外，還需要運用包括管理面和技術面的控制措施，才能有效防護資訊的安全，接下來一系列的文章，將說明ISO 27001標準中對於資安控制措施的要求，可協助您達成資訊安全的目標。

[觀點] 評估個人資料保護機制與現況

個資法的施行細則，預計在今年6月左右公布，最快可能在2012年初施行，也就是說，無論公務機關或非公務機關，還有一年左右的因應時間，現在正是可以用來提前準備，並評估個人資料保護機制的最佳時機。