上一期我們介紹了雲端安全開放認證架構(Open Certification Framework;OCF),它是一個可以用來評估雲端服務供應商的安全認證標準,在其所要求的三層式架構中,第一步就是要自我描述各項針對雲端服務的安全要求和因應措施,然後將它傳送到CSA的註冊管理單位(STAR Registry)進行審查,在此一層次中,除了使用自我評估問卷(Consensus Assessments Initiative Questionnaire;CAIQ)之外,直接採用雲端控制矩陣(Cloud Controls Matrix;CCM)所要求的安全控制,更可為第二層需要面對的外部稽核,預先做好準備。
雲端控制矩陣是雲端安全聯盟設計作為評估雲端安全的基礎,也是建議雲端服務供應商可以採用的最佳實務作法,它可歸納為十一項控制區域(Control Area)共98個控制措施,並且也能對應到其他的標準法規要求,包括COBIT 4.1、HIPPA/HITECH Act、ISO 27001、NIST SP800-53、FedRAMP、PCI DSS v2.0、AICPA Trust Service Criteria等,導入雲端控制矩陣的目的,就是希望能夠幫助需要遵守許多不同法規的廠商,減輕必須重複實施的相關工作。
對雲端服務供應商而言,若想要符合雲端安全開放認證架構,就必須在CAIQ問卷或雲端控制矩陣的控制區域中,一一具體回應填寫已實施的作法與現況,所以接下來一系列的文章,將會解說雲端控制矩陣中所要求的控制區域,並且搭配ISO 27001標準的實務做法,以協助您能夠有效回應雲端開放認證架構之要求。
法規遵循之控制措施
雲端控制矩陣的第一項控制區域是有關法規遵循的要求,它一共包括了6個控制措施,分別說明如下。
CO-01 稽核計劃
這個控制措施是要求專注在資料複製、存取和儲存邊界限制等相關的稽核計劃、活動和實施項目,應被設計用來降低業務流程中可能發生中斷的風險,因此這些稽核活動必須要提前規畫,並且獲得利害關係人的同意。對此,實務上可回應的做法為經由內部稽核或資安小組來擬定每年需要實施的稽核計劃,呈交給管理階層審查以獲得同意,然後定期實施並產出稽核報告,再針對不符合事項進行追蹤改善,以降低可能的資料安全風險。
如果雲端服務供應商已導入ISO 27001標準,則可參照本文的「4.2.3 監督與審查」所要求,將利害關係人的建議納入定期審查,以及依所規劃時間來實施內部稽核等作法,作為此控制要求的回應內容。
CO-02 獨立稽核
這個控制措施是要求至少每年一次或定期進行獨立審查和評鑑(例如內稽/外稽、驗證、弱點和滲透測試),以確保符合了相關政策、程序、標準和適用的法規要求。實務建議的做法為可參照ISO 27001標準的要求,定期進行內部稽核,並由獨立的外部驗證公司進行審查,或是由外部定期進行弱點掃瞄或滲透測試,實施技術性的獨立查核。
CO-03 第三方稽核
這個控制措施是要求第三方服務供應商,在資訊安全、機密性、服務定義和交付協議及合約中,展現出已遵守相關的法規,同時第三方的報告、記錄和服務,也應當接受定期的稽核與審查,以確保符合服務交付協議所要求的法規遵循。
在實務方面,建議雲端服務供應商可以在與第三方的合約中,明確要求有權定期實施第三方的稽核,或是依據ISO 27001附錄「A.6.2.3第三方協議中的安全說明」,也就是在與第三方所簽定的協議與合約之中,明訂組織的資訊安全要求、應遵守的相關法規,以及違反時需要負起的法律責任等。
CO-04 合約與授權之維護
這個控制措施是要求應按照組織業務和客戶需求,符合相關法律、法規和合約規定,並與當地的政府機關保持聯繫;另外,針對資料、應用程式、基礎設施和硬體,必須確立其適用的法律和管轄權。建議雲端服務供應商可以指定特定人員作為法律問題和執法當局的聯絡窗口,並且與法律顧問、特定廠商、技術論壇等人員保持聯繫,以便必要時可請求其提供支援。
對此,也可參照ISO 27001標準「A.6.1.6與權責機關的聯繫做法」,擬定適當的作業程序,說明何種事件需要由何人進行通報,包括了哪些需要連繫的權責機關,以及參考「A.6.1.7與特殊利害相關團體的連繫」,平時就要與各種團體、專家協會等保持適當的連繫管道。
CO-05 資訊系統法規對照
這個控制措施是要求法律、法規和合約之要求,在所有資訊系統的元件中都應定義清楚,而組織用來符合已知的要求和新的命令的方法,也應被明確地定義、文件化及更新。這裡所提到的資訊系統的元件,可能包括了資料、物件、應用程式、基礎設施和硬體等,每個元件都可能會被分配到其適用的法律和管轄權,以便與法規進行對照。
在實務做法上,建議雲端服務供應商可以在服務描述中,說明本身所適用的法令和所屬的管轄區域,並且定期審查是否有新的法令或更新的要求。在ISO 27001標準方面,則可參照包括:「A.15.1.1識別適用的法條」,將適用的法律識別出來,並在內部的管理程序中,清楚明訂其要求;「A.15.1.3組織記錄的保護」,評估究竟有哪些記錄需要留存,需要採取什麼樣的安全措施,考量如何記錄、存在地點、存放型式、加密方式和存取權限等;「A.15.1.4個人資訊的資料保護與隱私」,依照個資法對於個資蒐集、處理和利用的要求,在作業辦法中加入符合法律的措施;「A.15.1.6加密控制措施的規定」,確認在資料保護上所使用的加密機制,已遵守當地國家法令的要求,並了解這些可實施加密的設備,是否會有進出口的限制。
CO-06 智慧財產權
為了保護智慧財產權,這個控制措施要求必須建立和實施相關的政策、流程和程序,並且透過法律管轄權和合約限制,以保障組織專有軟體的使用。在實務方面, 可宣導並要求所有員工必須遵守智慧財產權法,同時確認所有的軟體均有合法的授權。
依據ISO 27001標準,則可參照「A.15.1.2智慧財產權」,要求組織必須確保所使用的資料和軟體,不會涉及違反智慧財產權的法律要求,並建立適切的管理程序。舉例來說,組織可在管理程序中明訂購置軟體的方式和原則,說明為尊重智慧財產權,內部一律使用合法授權的軟體,並嚴禁非法下載音樂、影片和未授權的軟體,同時也為合法軟體建立一份軟體清單,並且定期清查以避免違法的情事發生。
資料治理之控制措施
雲端控制矩陣的第二項控制區域,主要是針對雲端服務供應商所擁有的資料,要求建立相關的政策和作業程序,以確保雲端資料的安全,在此一共有8個控制措施,分別說明如下。
DG-01 擁有權和管理職責
這個控制措施是要求所有的資料都應被指派定義、記錄和溝通其管理職責。實務上最簡單的做法,就是建立一份資訊資產清冊,註明資料所在的位置、安全等級和擁有者,然後定期的重新檢查更新。
雲端服務供應商也可參照ISO 27001標準中包括:「A.6.1.3資訊安全責任的配置」,由管理階層指定各部門主管和個人的安全責任,並且界定各項資產的保護與作業流程;「A.7.1.2 資產的擁有權」,在資產清冊中,為每筆資訊資產指定其擁有者,這裡所謂的擁有者,並不是指對於資產本身擁有財產權,而是指實際上能夠控制資產的處理、發展、使用和安全,也就是對資產負有管理職責的個人或部門。
DG-02 分級分類
這個控制措施是要求針對資料本身和物件中所包含的資料,應基於資料類型、司法管轄權、所在地法律、合約要求、價值、對組織的敏感性和重要性,以及第三方對於資料的保存與防止未經授權的揭露責任,指定其安全等級。
在實務方面,雲端服務供應商可以自行定義其資料分級分類的做法,或是參照ISO 27001標準「A.7.2.1 分類指引」,將資料依照其對組織的價值、法律要求、敏感性和重要性進行分類,但是,建議資訊的分類不宜過多,以避免太過複雜而造成各業務單位實施的困擾。
DG-03 處理/標示/安全政策
這個控制措施是要求針對資料本身和物件中所包含的資料,應建立標示、處理和安全的政策和程序,必須對於保有資料的容器實施標示的繼承機制。建議實務作法為進行資料分級和標示,撰寫所需的安全指引手冊,或是參照ISO 27001「A.7.2.2 資訊標示和處理」,發展和定義組織的資訊處理標示和分類方法,例如在文件上面可標示其所屬的機密等級,或是標示在電子資料的meta-data之中。
DG-04 保留政策
這個控制措施是要求應建立資料保留和儲存的政策和程序,並且實施備份和備援機制,以確保符合管理、法律、合約或業務的要求,針對備份還原的測試,也必須依所規劃的時間來實施。在實務方面,除了建立備份政策和程序之外,雲端服務供應商可採取異地備援和持續同步備份等方式,以確保所儲存的資料安全,也可參照ISO 27001標準「A.10.5.1 資訊備份」,針對資料本身不同的屬性,定義出不同的備份方式如完整備份、增量備份、差異備份等,並且考量實施備份的頻率,像是每年、每月、每週、每日等,以確保資料擁有多重的防護。
DG-05 安全處置
這個控制措施是要求為達成安全處置和徹底移除儲存媒體中曾存放的資料,必須建立相關的政策、程序和做法,確保資料不會被以其他方式復原回來。在實務方面,對於不再使用的儲存媒體,可採取實體破壞方式,使其不可能被還原回來,處置的過程也要妥善地加以記錄保存。
至於需要再使用的儲存媒體,則可參照ISO 27001標準「A.9.2.6 設備安全的處置和再利用」,要求資訊處理設備在轉移給其他單位或重新交由其他人使用時,具有版權的軟體需要重新整理移除,所儲存的資料也要一併清除;針對需要進行報廢的設備,則依據「A.10.7.2 媒體的報廢」要求,需要依照一定的安全程序進行報廢,以確保資料不會被復原。
DG-06 非生產環境資料
這個控制措施是要求生產環境中的資料不應被同步複製或使用在非生產環境之中,實務方面建議應嚴格禁止非公開的客戶資料,從生產環境中移到非生產區域,除非是已獲得客戶同意或在法務部門指導下才可進行。
針對應用程式的開發,則可參照ISO 27001標準「A.10.1.4 開發、測試與運作環境的區隔」,備妥開發流程、測試和上線運作的程序文件,同時,所使用的資訊軟硬體設備,也要加以適當的區隔,不將資訊存放在相同的儲存媒體中;若要進行測試,則依據「A.12.4.2 系統測試資料的保護」要求,在測試時注意所使用的資料是否已經過授權取得,剔除或替代資料中敏感性的內容,並在測試完成之後,徹底將資料從系統中清除。
DG-07 資訊洩漏
這個控制措施是要求必須實施安全做法以避免資訊外洩,實務上可採取嚴格的身分驗證與授權(IAM),以及導入防範資料外洩方案(DLP)來進行,針對資訊系統本身,則可參照ISO 27001標準「A.12.5.4 資料外洩」的要求,在系統上線前進行系統掃描,確認是否有不當的訊息外送或開放的傳輸埠,另外也要監測系統資源的使用與網路活動,以防範資料洩漏的事件發生。
DG-08 風險評鑑
這個控制措施是要求風險評鑑必須配合資料治理的要求來定期實施,包括針對敏感資料儲存與傳輸的教育訓練、遵守所定義的資料保留期限和處置要求,以及針對資料分級分類以防止受到未經授權的存取和遺失損毀等。實務方面,建議參照ISO 27001標準本文中「4.2.1 (c)界定組織的風險評鑑作法、(d)識別各項風險」之要求來進行,以及「4.2.3 (d)依照已規劃的期間,審查風險評鑑的結果,並且審查剩餘風險的等級與已識別的可接受風險」。(本文刊載於2013年7月號網管人雜誌)
沒有留言:
張貼留言