2011年9月9日 星期五

[觀點] 解析資訊安全控制措施(七) - 存取控制的資安要求(上)

上一期談到了ISO 27001中有關通訊與作業管理的各項控制措施,接下來將說明附錄A.11存取控制的資安要求,包括了使用者的存取管理與應有的安全責任、網路與作業系統的存取控制,以及應用系統的存取控制等。

在協助組織規劃有關資訊安全管理的策略時,經常會提到一個俗稱為「PPT」的思考架構,它是指人員(People)、流程(Process)、技術(Technology),也就是說在資安管理的要求方面,基本上會涵蓋此三個層面:包括需要依照組織營運目標與資訊安全政策,透過教育訓練來讓所有員工了解並落實其應有的安全責任;依照各單位業務屬性不同,訂立各項安全的作業流程,並留下相關的作業記錄;以及透過各項資安技術的協助,來偵測防禦可能來自內部與外部的各項威脅。

因此,針對資訊的存取控制方面,它也是一個很好的參考指標,像是在人員方面的存取控制要求,我們的思考重點在於如何確保資訊只能讓已經過授權的人員才可存取,如何讓人員了解並落實存取資訊時應盡的使用者責任;在流程方面,則是要確保所有的資訊存取,是否都是基於營運所需的安全要求,是否以文件化方式建立了各項和資訊存取有關的政策;至於在技術方面,針對網路、作業系統與應用系統,是否劃分了安全邊界,是否進行良好的使用者身分識別,並且賦予適當的連線控制,以上這些都是組織資安管理的重點。