對雲端服務供應商而言,如果已經導入並取得了ISO 27001資訊安全管理系統的認證,那麼將相關的資訊安全控制要求,也涵蓋到所提供的雲端服務範圍之內,將是組織最容易強化雲端安全的做法。
目前,在雲端控制矩陣中的每一項控制措施,都可直接對應至ISO 27001的標準,因此建議組織將ISO 27001標準的實務做法,回應至雲端開放認證架構的第二層要求,在未來若想要通過第三方的獨立稽核時,就可達到事半功倍的效果。
設備場所安全之控制措施
雲端控制矩陣的第三項控制區域是有關設備與場所安全的要求,它一共包括了8個控制措施,分別說明如下。
FS-01 設備場所安全政策
這個控制措施是要求對於辦公室環境、資訊設施及安全區域,必須建立相關的安全政策與作業程序,以維護這些設備場所的安全。實務上可行的做法是對於場所的進出都要有適當的管控,例如必須使用門禁卡,要求所有訪客必須登記並配載識別證才可進出等。
如果雲端服務供應商已導入ISO 27001標準,則可參照「A.5.1.1安全政策」的要求,說明資訊安全的重要性與實施場所範圍,經由管理階層核准之後,公布傳達給所有員工和相關人員;並依據「A.9.1.3保護辦公室、房間和設施安全」的控制措施,對於重要的資訊處理設備,應避免放在公眾可觸及的地方;或參照「A.9.1.5在安全區域工作」的要求,制訂在安全區域內的工作規則,例如除非經過授權,才可在安全區域使用照相機、錄音錄影等設備,尤其敏感區域可視需要禁止攜入可拍照的手機,並對員工提供適當的說明。
FS-02 設備場所安全之使用者存取
這個控制措施是要求針對資訊資產的實體存取,應依相關人員的職務和支援上的需要,進行適當的限制。實務上建議的做法,可依據人員的職務賦予所需的最小權限,限制只有必要的人員才可進入安全區域,並且實施多因素的身分驗證機制。
另外,也可參照ISO 27001標準「A.9.1.1實體安全邊界」的要求,藉由圍牆、門禁刷卡系統、或是大門設置接待人員,來保護區域內資訊與資訊處理設備的安全;或依據「A.9.1.2實體進入控制」,當訪客要進入辦公處所時,應該在接待櫃台進行登記,並記錄進入和離開的日期和時間,同時也要求其配戴訪客識別證,即使是在同一棟大樓裡活動,樓層入口也應有適當的管制,像是刷卡才可進入。若要進入資訊機房,更必須要事先獲得授權且有人員陪同,告知並要求其遵守有關資訊安全的規定。
FS-03 設備場所安全之存取點控制
這個控制措施是要求實體環境的安全邊界,必須要有清楚的劃分,並且針對敏感資料和資訊系統實施安全的保護。
實務方面,建議雲端服務供應商可以對關鍵的資訊系統,包括從進入時的門禁管制,到存取系統時的多因素身分認證(以帳號密碼並搭配如指紋等生物辨識方式),實施多重的存取控制。或是依據ISO 27001附錄「A.9.1.1實體安全邊界」的要求,在劃分公共區域與安全區域時,依照所評估的風險等級來決定所實施的控制措施,例如內部專用的會議室與提供給訪客的休息區,在控管的程度一定有所不同,不一定都要強制採刷卡方式才能進入;而辦公區域的大門,一般都會設有門鎖,或是經過保全人員確認身分之後才可通行;公共進出的通道則要採取明顯的標示說明,針對無人的區域則設置防盜系統或監視器等。
FS-04 設備場所安全之安全區域授權
這個控制措施是要求針對場所的入口和出口,必須限制只有經過授權的人員才可進出,並且具備安全的監控措施。建議雲端服務供應商可以配合FS-03的要求來一併進行,也可參照FS-02中所提到的ISO 27001標準「A.9.1.2實體進入控制」,在所有的進出管道,進行人員身分的確認。
FS-05 設備場所安全之未授權人員入口
這個控制措施是要求對於雲端服務區域中,所有未授權人員可能進出的管道,需要實施安全監控,如果可能的話,針對資料儲存設備與處理的設施,也要進行隔離和限制,以避免不當的資料遺失或外洩。
在實務方面,除了同樣可以依照FS-03的控制要求來進行之外,也可依據ISO 27001標準的「A.9.1.6 公眾存取、遞送和裝貨區域」,要求辦公處所若需要收發或裝卸物品,則設置收發室櫃台來統一收件,不讓外部人員可未經控管就能直接進入,若相關物品卸載之後需要移至使用的地點,也可設置廠商設備的檢查區及裝卸區,經過適當的檢查之後才放行。
FS-06 設備場所安全之外地授權
為了確保在組織之外的場所,相關的軟硬體設備和儲存的資料也能獲得安全保護,這個控制措施要求當設備和資料需要移至外地時,必須事先獲得管理階層的授權。實務方面,在FS-01的設備場所安全政策中,就要定義包括設備和資料移轉,以及資產變更管理的要求。
若依據ISO 27001標準,則可參考「A.9.2.7資產的調動」要求,在資產的使用與調度方面,所有的資訊設備、軟體,相關物品的攜出和攜入都需要事先授權;以及參照「A.10.1.2 變更管理」,除了所有變更事項都要取得主管的授權之外,特別要注意的是務必保存相關的變更紀錄,包括作業核准的程序、重大變更事項的識別和紀錄、變更規劃與測試計畫,以及萬一在變更不成功時,如何中止並進行復原的程序等。
FS-07 設備場所安全之外地設備
針對位於組織外的場所和設備,這個控制措施要求必須要有相關的政策,並且規範資產的使用、維護和安全處置的程序,以確保相關設備的安全。對於此項要求,可依據ISO 27001標準中的「A.9.2.5 場所外設備安全」,要求組織的資訊設備,在攜出辦公場所外使用時,應注意其在不同場所可以面臨的威脅與安全風險。例如筆記型電腦在外部使用時,小心可能遭竊的問題,避免留置在遠離視線可及之處,在技術方面也可使用硬碟加密,以強化敏感資訊的安全。
另外,目前普遍使用的智慧型手機、USB隨身碟等,也要訂立相關的使用辦法,並訓練員工能夠理解並遵守,以避免不當的資料遺失或外洩。 對於設備的處置,則可參照「A.9.2.6 設備安全的處置和再利用」,要求資訊處理設備在轉移給其他單位或重新交由其他員工使用時,所儲存的資料和安裝的應用軟體都要清除。針對要汰換的硬碟等儲存設備,如果曾經存放過敏感資料,建議採取實體破壞的方式,以避免資料可能再次被還原。
FS-08 設備場所安全之資產管理
針對重要的資產,這個控制措施要求應建立文件化的資產清單,並且指定資產的擁有者。對此,可參照ISO 27001標準「A.7.1.1 資產清冊」的要求,清查盤點和雲端服務有關的資產,實務方面在進行盤點時,建議事先設定資產的類別,例如區分為資訊類(電子檔、紙本)、人員類(內部、外部)、軟體類(套裝、自行開發)、實體類(電腦設備、辦公處所)、服務類(電力、網路)等,仔細清查每一筆資產的型式、位置、數量、擁有者、使用者、保管者和營運價值,最後彙整成一份組織的資產清冊,並依據「A.7.1.2 資產的擁有權」的要求,指定實際上能夠控制資產的處理、發展、使用和安全的個人或部門作為擁有者,要求負起資產的保管責任。
人力資源安全之控制措施
對公有雲端服務的使用者來說,雲端服務就是一項委外服務,也就是必須將組織的資料或應用系統架構在雲端服務供應商所提供的環境之中,因此有一項風險會來自於服務供應商的人員,因為具備了存取或接觸資料的管理權限,如果沒有實施適當的安全控制,就可能危害到重要資料的安全。
在雲端控制矩陣的第四項控制區域,主要就是針對雲端服務供應商的員工和利害關係人,要求實施必要的安全管控,以確保雲端服務的安全,在此共有3個控制措施,分別說明如下。
HR-01 人力資源安全之背景審查
這個控制措施是要求依照當地的法令和合約要求,針對包括雲端服務供應商的應徵者、合作夥伴與相關的第三方人員,依據其可能接觸機密資料的比例、業務要求及可接受的風險等級,進行適當的背景查核。
建議雲端服務供應商可參照ISO 27001標準的「A.8.1.2篩選」控制措施,針對這項要求制定人員篩選的作業程序,說明將由何人、何時、何種方式來進行查核確認的工作。在進行背景審查時,則務必徵求應徵者本人的同意,並遵守個人資料保護法及隱私權的要求,再針對像是人員的學經歷資料、專業資格及信用記錄等進行查核。
HR-02人力資源安全之聘僱協議
這個控制措施是要求在賦予人員對於場所設施、系統或資料的實體或邏輯上的存取權限之前,必須簽署與聘僱關係或服務合約相關的協議和使用條款。在實務方面,雲端服務供應商可以在聘僱合約中加入保密協議的要求,並且對人員實施基礎的資訊安全意識的教育訓練,再依照其職務角色或可接觸的機密等級,個別實施必要的安全訓練。
針對保密協議,則可參照ISO 27001標準「A.6.1.5 機密性協議」的作法,定期地識別並審查對各項資訊保護的要求,評估協議的內容是否適當,再將它納入需要簽署的保密協議之中。至於聘僱合約則可依據「A.8.1.3 聘僱條款與條件」,事先擬定必要的資訊安全條款與保密切結書等文件,並向相關人員說明,取得其同意和簽署之後,才可授權讓其存取組織的資料和使用資訊處理設施。
HR-03人力資源安全之聘僱終止
這個控制措施是要求針對員工的聘僱終止或聘僱程序的異動,應指派相關人員的角色與責任,保持良好的溝通並且留下文件化的記錄。在實務方面,一旦雲端服務供應商有人員職務終止的情況,就必須依照人力資源政策中的相關流程來進行,至於在客戶方面,則由其對自己所創建的使用者帳戶負責管理。
在ISO 27001標準中,可依照「A.8.3.1 終止責任」的做法,針對人員的轉調或離職,指定專責的單位和人員來處理,一般而言,可藉由人力資源部門來進行相關人員的終止程序,以確認符合了聘僱條件與合約的要求。(本文刊載於2013年8月號網管人雜誌)
沒有留言:
張貼留言