上一次介紹了雲端控制矩陣針對設備場所與人力資源的要求,並一一說明了其對應ISO 27001的安全控制措施,接下來將繼續說明在雲端控制矩陣中,第五項控制區域有關資訊安全的各項要求。在雲端控制矩陣之中,擁有最多項控制要求的控制區域,無庸置疑的就是第五項「資訊安全」,在這裡一共包含了34個控制措施。在這些控制措施之中,從高階管理階層的要求開始,一路走到了技術面的安全要求,基本上已涵蓋了組織整體的資訊安全管理架構,分別說明如下。
IS-01 資訊安全管理計畫
這個控制措施是要求針對資產的保護,必須防止未經授權的存取、揭露、修改、銷毀,以避免資料的外洩與誤用。因此,組織在經過管理階層的核可之後,需要建立一項資訊安全管理計畫(ISMP),實施的範圍包括了管理面、技術面和實體環境面的安全措施,計畫的內容也應與組織的業務直接相關,它包括但不限於如風險管理、安全政策、組織資訊安全、資產管理、人力資源安全、實體與環境安全、通訊與作業管理、存取控制,以及資訊系統取得、開發與維護等。
如果雲端服務供應商已導入ISO 27001標準,則可參照本文「4.2 建立與管理ISMS」之要求,將雲端服務一併納入至ISMS的範圍之內,至於可參考的控制措施,則包括了「A.6.1.1–A.6.1.8」等,主要是針對內部組織來建立相關的資訊安全角色與責任。
IS-02 管理階層支持與涉入
這個控制措施是要求管理階層和直屬主管,應透過清楚且文件化的指示和承諾,明確地指派任務,並且確認任務執行後的情況,採取正式的行動來展現對於資訊安全的支持。在實務方面,有關資訊安全政策的更新,都應該要經過管理階層的簽署同意,並且分發告知所有的員工,員工則必須清楚地知悉之後來共同遵守。
另外,也可參照ISO 27001的本文「5. 管理階層責任」,以及附錄「A.6.1.1管理階層對資訊安全的承諾」中所提到,管理階層的支持是資訊安全管理制度能有效運作的重要關鍵因素,因此這項控制措施強調管理階層應該要在組織中,明確地指派並確認人員的安全責任,主動地支持各項安全工作,並提供所需要的資源。
IS-03 資訊安全政策
這個控制措施是要求管理階層應核可一份正式的資訊安全政策,並且發佈給全體員工、合約承包商和相關的外部夥伴知悉。在這份資安政策中,應建立明確的組織方向,並且和產業所適用的法令法規、業界的最佳實務相結合,同時資安政策也需要被組織的管理策略與領導計畫,以及明確定義人員角色的資安計畫所支持。
實務方面,可依據ISO 27001附錄「A.5.1.1資訊安全政策文件」,要求資訊安全政策應經由管理階層的核准,並且公布傳達給所有員工和相關的內外部團體知道。在這份資訊安全政策中,主要是傳達管理階層對於資訊安全的支持,確保資訊安全與組織營運目標的一致性,同時說明資訊安全的重要性、實施範圍、要求與目標,以及相關人員的職責。其中關於目標的部份,最好以量化的方式說明,例如為確保相關資安措施符合法令與法規的要求,組織每年應至少實施兩次的資訊安全內部稽核。
IS-04 資訊安全基準線之要求
在這個控制措施中提到,資訊安全之基本要求應被建立,並且實施在應用程式、資料庫系統、網路基礎設施的設計與部署,同時也要求資訊的處理必須遵守政策、標準和適用的法規要求。資訊安全基準線要求和法規遵循,至少每年一次需要進行重新評估,此外,在組織有重大變更時也應該要重新審查。
針對這項要求,可參照ISO 27001「A.12.1.1安全要求分析與規格」,要求在一開始評估規劃資訊系統時,就要將安全項目納入其中,除了從管理面進行風險分析之外,在技術面需要考量的項目包括系統是否具有可自動運作的控制措施,能夠偵測出系統的異常情況,或是具有輔助性的人工控管方法,可進行參數的調整來增加安全的強度。以及也可參照「A.15.2.2 技術遵循性查核」,要求定期採取技術性方式來查核各項資訊系統,例如組織可以使用自動化工具,針對網站進行弱點掃描,或採取手動方式,針對系統進行滲透測試,再提出網站的安全改善報告。特別要注意的是所有技術性的查核過程,都務必要事先取得授權,並且在適當的監督和記錄下,由專業人士來實施,以避免引起其他不必要的問題。
IS-05 資訊安全政策之復審
這個控制措施是要求管理階層應當在計畫的期間之內,或是當組織有變動時,重新審查資訊安全政策,以確保其持續的正確與有效。在實務方面,資安政策的復審期限應以不超過一年為限,並且在遇有重大事件或組織變動時,也需要額外進行重新審查。
在ISO 27001方面,可以參照「A.5.1.2 資訊安全政策之審查」之要求,若發生重大變更時,需要進行資訊安全政策的審查,以確保內容持續地適用且充分有效。這也就是說,資訊安全政策不單單只是一份宣示性的文件,而是必須配合組織環境、業務型態、法律合約要求和技術更新等事項,進行持續的修訂與發行,因此這一項控制措施的重點在於,組織可能會對政策內容進行修改,但也不要忘了更改內容之後,需要重新取得管理階層的核准,並且留下相關的審查記錄才行。
IS-06 資訊安全政策之執行
針對違反資訊安全政策和程序的員工,應建立正式的懲戒或獎懲政策,同時也必須在政策和程序中陳述說明,讓員工能夠知曉若違反規定時,可能會面臨的懲處行動。
實務方面,如果發現了不當的行為,就要引發後續的調查行動,若發現屬實則要給予相關人員適當的懲處,在嚴重時甚至可終止工作合約,並交由人力資源部門進行後續的協調傳達。若是依據ISO 27001之要求,則可參考「A.8.2.3 懲處過程」中提到對違反安全的員工,應有正式的懲處過程。這項控制措施的重點,在於組織是否公布懲處的程序與方式,是否以正確、公平的方式蒐集客觀的證據,以證明員工違反安全規範,對於嚴重的不當行為,也可允許管理人員解除其職務,或要求其離開辦公作業場所。
IS-07 使用者存取政策
針對應用程式、資料庫、網路基礎設施的正常權限與特殊權限的指派,應建立文件化、經核可後實施的存取政策和程序,並且與商業、安全、法規遵循及服務等級協議(SLA)之要求維持一致。一般而言,存取政策是廣泛安全政策中的一部份,對於資產的存取應基於僅知原則(need to know)和最小權限原則,並且實施基於角色的存取控制作法,尤其對於實體存取與邏輯上的控制,也需要保持一致。
對於此項要求,可參考ISO 27001中的「A.11.1.1 存取控制政策」要求,依照營運相關的存取安全要求,建立文件化的存取控制政策,並且在這項政策中明確說明每位使用者和使用群組,應該要如何去配置其應有的存取權限。而這些存取權限的考量,則可能來自於本身的職位高低或所接觸資訊的安全等級,以及對組織整體的營運風險考量。
基本上,在組織之中的存取控制措施,將會牽涉整個存取授權的流程,包括如何提出授權的請求、如何審查並賦予權限,以及不需使用時的權限如何移除等。因此在實務方面,我們建立存取控制規則時,必須掌握一個原則,那就是「除非允許,否則一律禁止」,這項原則可以應用在實體環境的門禁管制,或是邏輯上的防火牆存取規則,這樣將可大幅降低不當的存取設定可能帶來的風險。
IS-08 使用者存取限制與授權
這個控制措施是要求對於擁有正常或特殊權限的使用者,在存取應用程式、系統、資料庫、網路配置和敏感資料時,相關功能必須要加以限制,並且事先取得管理階層的授權。 對此,可參照ISO 27001的「A.11.2.1 使用者註冊」,要求所有的使用者在獲得存取資訊的權限之前,必須經過正式的使用者註冊程序,換句話說,若不再需要存取資訊時,也必須經過適當的註銷程序,撤銷其所具有的存取權限。在實務方面,最常見的作法是讓使用者透過表單流程來進行申請,在通過審查核可之後,賦予其一個唯一的識別帳號(User ID),藉此來管控並留下使用者存取資訊的記錄。
另外,也可參照「A.11.2.2 特權管理」,針對如系統開發人員和系統管理人員等,這些擁有和一般使用者不同的特殊權限人員,要求必須限制和控管特權的配置與使用,實務上最簡單的作法就是特權申請需要經過管理階層的授權,並且留下相關記錄。另外,特權的使用也要明訂相關的作業辦法,使用的過程也要保存其系統記錄(log)。
IS-09 使用者存取之撤銷
這個控制措施是要求需要依照員工、合約承包商、客戶、商業夥伴和第三方的情況,及時地解除、撤銷或修改使用者有能力存取組織的系統、資產和資料。所有的變更都必須包含在員工的職務、合約或協議的終止,以及員工聘雇的更動或轉職時的流程進行。
對此,可參照ISO 27001的「A.8.3.3 移除存取權限」控制措施,針對人員的轉調、離職或合約終止,需要確保其使用資訊系統的存取權限已進行適當變更,實務上建議在人員離職日起即暫時凍結使用者帳號,等待確認相關資訊與權限已移轉完成之後,再將其帳號和權限移除。
IS-10 使用者存取之審查
這個控制措施是要求所有的使用者權限,都要在所規劃的一定期限內,由管理階層進行審查。對於違反存取規定的情況,也要依照文件化的存取控制政策和程序,進行後續的矯正行動。
在ISO 27001方面,則可參照「A.11.2.4 使用者存取權限的審查」的作法,要求管理階層需要定期針對使用者的存取權限進行正式的審查,因此實務方面建議在存取控制政策中即納入組織將定期(例如三個月或半年一次)在使用者的職務變更之後,實施權限審查與重新配置,以維持對資訊和系統服務存取的有效性控制。(本文刊載於2013年9月號網管人雜誌)
沒有留言:
張貼留言