國際知名的資訊安全管理標準ISO 27001,已經在2013年底正式更新了內容,如果您所屬的組織過去已經導入了2005年的標準,現在也應該要為符合最新的標準要求而做好準備,以確保資訊安全管理制度能夠持續有效地運作實施。
隨著時間的改變,資訊安全的問題也變得更加地多樣化,舉例來說,在五年以前,行動化裝置和雲端服務的安全可能都不會是大家注目的焦點,但時至今日,這些資安風險已成為企業組織不得不去面對的重要課題。
在資訊安全的領域,除了駭客攻防的技術之外,資安管理機制也是必要的措施,而國際標準ISO 27001一向是公認最佳的資安實務參考,隨著不同資安風險的出現,國際標準內容的更新有其必要性,同時也可以讓組織能夠持續地因應新的資安問題,以便採取適當的安全控制措施。
2014年12月10日 星期三
2014年11月30日 星期日
[專欄] 識別員工BYOD的隱私風險 - 漫談行動裝置的安全與管理
隨著愈來愈多的企業,允許員工攜帶自有的行動裝置(BYOD)上班,並且使用在日常工作之中,一旦這些行動裝置離開了企業環境,企業要如何管控行動裝置上所儲存的大量商業資料,實施有效的安全管理,同時也要避免侵害員工的隱私?
隨著Apple iOS、Android及Windows手機與平版電腦如雨後春筍般的銷售成長,其中有一項行銷的策略在於廠商讓消費者明白了,購買這些行動裝置不只可以作為生活中的娛樂之用,更可以同時使用於工作之中,創造了使用者在購買時一次滿足的強烈欲望。
隨著Apple iOS、Android及Windows手機與平版電腦如雨後春筍般的銷售成長,其中有一項行銷的策略在於廠商讓消費者明白了,購買這些行動裝置不只可以作為生活中的娛樂之用,更可以同時使用於工作之中,創造了使用者在購買時一次滿足的強烈欲望。
2014年11月16日 星期日
[專欄] 捍衛網路安全 - 美國白宮網路安全框架 (NIST Cybersecurity Framework) 導覽
對於政府單位或民間企業而言,面對日益增加且來自世界各地的網路攻擊事件,如果沒有一套有效的因應方案,重則會對國家經濟與民生問題造成嚴重打擊,輕則會對企業生產營運產生不必要的損失與影響。
在2014年2月,美國政府正式提出了一項可強化資訊安全的網路安全框架 (NIST Cybersecurity Framework),它主要是來自於2013年美國總統歐巴馬所頒佈的總統執行命令,要求必須著手改善有關網路安全的重要基礎設施。這項框架不但 透過了政府部門與民間產業的攜手合作,利用一年的時間來彼此交流各項最佳實務,更結合了國際上有關資訊安全的標準與作法,除了可以協助已導入其他標準的組織最佳化其安全實務之外,更可提供缺少安全計畫的企業,一項可以完整實施的參考藍圖。
網路安全框架是一項自願性的參與計畫,主要是希望美國聯邦機構和地方政府,同時也包括電力、運輸等重要的基礎產業,能夠強化自身的網路安全,以避免受到來自網路的重大威脅,並且結合了業界標準與最佳實務,幫助企業組織能夠有效地管理網路安全風險。此一框架並非要取代組織中現有的資訊安全與風險管理架構,而是希望能夠與現有的流程結合並互補,以便組織能夠持續地改善以達到更高的安全目標。
在2014年2月,美國政府正式提出了一項可強化資訊安全的網路安全框架 (NIST Cybersecurity Framework),它主要是來自於2013年美國總統歐巴馬所頒佈的總統執行命令,要求必須著手改善有關網路安全的重要基礎設施。這項框架不但 透過了政府部門與民間產業的攜手合作,利用一年的時間來彼此交流各項最佳實務,更結合了國際上有關資訊安全的標準與作法,除了可以協助已導入其他標準的組織最佳化其安全實務之外,更可提供缺少安全計畫的企業,一項可以完整實施的參考藍圖。
網路安全框架是一項自願性的參與計畫,主要是希望美國聯邦機構和地方政府,同時也包括電力、運輸等重要的基礎產業,能夠強化自身的網路安全,以避免受到來自網路的重大威脅,並且結合了業界標準與最佳實務,幫助企業組織能夠有效地管理網路安全風險。此一框架並非要取代組織中現有的資訊安全與風險管理架構,而是希望能夠與現有的流程結合並互補,以便組織能夠持續地改善以達到更高的安全目標。
2014年7月22日 星期二
[專欄] 展現雲端服務的安全成熟度 - 及早取得STAR認證
對雲端服務供應商而言,如果想要展現出高度的資安管理成熟度,唯有藉由第三方獨立公正的稽核,並且進一步取得國際認可的認證,才是最佳的解決方案,除了可以強化本身的市場競爭力,也能夠滿足客戶對於資安的期盼與要求。
隨著雲端運算的蓬勃發展,許多企業紛紛採用了雲端服務,以便降低營運支出成本,或是達成過去缺少資源所能達到的目標。若是從企業高層的治理與管理角度來看,一旦企業導入了雲端服務,並且與本身的業務運作相互結合,那麼就必須評估這項服務,是否會對企業產生無法控制的風險,也就是說,企業需要考慮採用了雲端服務,如果發生了資訊安全的問題,是否將對企業造成衝擊與影響。
因此,選擇一個安全可靠且值得信賴的雲端服務供應商,就成為企業在採用雲端服務時,也能降低營運風險的必要做法。只是,面對市場上眾多的雲端服務業者,到底應該要如何挑選,才能找到品質與安全兼顧的良好夥伴,就成為企業在評估時的頭痛問題。幸好,在2013年年底,針對雲端服務供應商的安全要求,雲端安全聯盟(CSA)與英國標準協會(BSI)正式宣布推出STAR認證,這項認證結合了ISO 27001資訊安全管理系統標準的要求,並且藉由實施雲端控制矩陣(Cloud Control Matrix;CCM),再以成熟度評估的方式來量測出雲端服務的安全水準。
隨著雲端運算的蓬勃發展,許多企業紛紛採用了雲端服務,以便降低營運支出成本,或是達成過去缺少資源所能達到的目標。若是從企業高層的治理與管理角度來看,一旦企業導入了雲端服務,並且與本身的業務運作相互結合,那麼就必須評估這項服務,是否會對企業產生無法控制的風險,也就是說,企業需要考慮採用了雲端服務,如果發生了資訊安全的問題,是否將對企業造成衝擊與影響。
因此,選擇一個安全可靠且值得信賴的雲端服務供應商,就成為企業在採用雲端服務時,也能降低營運風險的必要做法。只是,面對市場上眾多的雲端服務業者,到底應該要如何挑選,才能找到品質與安全兼顧的良好夥伴,就成為企業在評估時的頭痛問題。幸好,在2013年年底,針對雲端服務供應商的安全要求,雲端安全聯盟(CSA)與英國標準協會(BSI)正式宣布推出STAR認證,這項認證結合了ISO 27001資訊安全管理系統標準的要求,並且藉由實施雲端控制矩陣(Cloud Control Matrix;CCM),再以成熟度評估的方式來量測出雲端服務的安全水準。
2014年7月18日 星期五
[新知] 雲端安全聯盟正式發佈CCM和CAIQ v.3.0.1
雲端安全聯盟(CSA)已正式發佈更新版本的 Cloud Controls Matrix (CCM) 和 Consensus Assessments Initiative Questionnaire (CAIQ) v.3.0.1,有興趣的朋友可以自行至CSA的網站下載這兩項文件。
CCM v.3.0.1 - https://cloudsecurityalliance.org/download/cloud-controls-matrix-v3-0-1/
CAIQ v.3.0.1 - https://cloudsecurityalliance.org/download/consensus-assessments-initiative-questionnaire-v3-0-1/
新版的雲端控制矩陣CCM提供了雲端服務供應商基本的安全原則,可以協助業者自行評估所面臨的雲端風險,在CCM v.3.0.1中包括了16項安全領域和基本的安全控制措施,並且可以和業界與國際標準相互參照,以減少稽核時的重覆性與複雜性。
不同於v.3.0的新版主要更新重點如下:
CCM v.3.0.1 - https://cloudsecurityalliance.org/download/cloud-controls-matrix-v3-0-1/
CAIQ v.3.0.1 - https://cloudsecurityalliance.org/download/consensus-assessments-initiative-questionnaire-v3-0-1/
新版的雲端控制矩陣CCM提供了雲端服務供應商基本的安全原則,可以協助業者自行評估所面臨的雲端風險,在CCM v.3.0.1中包括了16項安全領域和基本的安全控制措施,並且可以和業界與國際標準相互參照,以減少稽核時的重覆性與複雜性。
不同於v.3.0的新版主要更新重點如下:
- 新版CCM更新為16項安全領域,並且對應至常見的其他標準,如AICPA 2014 TSC, COBIT 5.0, ISO/IEC 27001:2013等。
- 新版CCM整合了重覆的控制措施,從舊版v.3.0的136個減少至133個,同時重新改寫了控制措施內容,讓目的更清楚,並且可以滿足STAR認證的要求。
- 新版的CAIQ則提供了更簡要清楚的問題內容,並且對應至CCM和雲端運算安全指南v3.0的內容,讓雲端服務供應商可以更容易地進行自我評估,以滿足客戶的期待與要求。
2014年7月9日 星期三
2014年5月12日 星期一
[專欄] 雲端控制矩陣安全措施簡介(七) - 留心發行管理安全要求 災難復原計畫更不可少
上一篇說明了在雲端控制矩陣之中,有關法律議題與營運作業時應實施的安全要求,並且要從整體雲端服務的角度來評估可能的風險,本期將說明有關發行安全管理和災難回復能力之要求。
在雲端控制矩陣中的第九項是有關發行管理的要求,它是針對雲端服務的營運中,評估是否存在相關的變更管理流程與機制,一旦與雲端服務有關的事項有所變動時,服務供應商必須要有能力識別並且實施計畫性的更動,同時也要評估發生災難時可能帶來的衝擊,以及擬定必要的復原程序。以下將說明發行管理中的5個控制措施,以及所對應ISO 27001的標準內容與實務建議。
在雲端控制矩陣中的第九項是有關發行管理的要求,它是針對雲端服務的營運中,評估是否存在相關的變更管理流程與機制,一旦與雲端服務有關的事項有所變動時,服務供應商必須要有能力識別並且實施計畫性的更動,同時也要評估發生災難時可能帶來的衝擊,以及擬定必要的復原程序。以下將說明發行管理中的5個控制措施,以及所對應ISO 27001的標準內容與實務建議。
2014年5月4日 星期日
2014年4月6日 星期日
2014年3月15日 星期六
[活動] Info Security 2014 第十三屆亞太資訊安全論壇
由資安人雜誌所主辦的資安年度盛會又來囉~ 以下是由資安人雜誌所提供的活動訊息,歡迎有興趣的朋友們一起來參加喔。
Info Security 2014 第十三屆亞太資訊安全論壇
有50場演講課程讓您親身體驗及簡易明瞭多元化的未來趨勢。高度能量的資安場合,讓您全面吸取最為豐富及精華的經驗與知識。同時現場教室外還有30家以上專業資安廠商為您示範產品的應用及說明。
歡迎免費報名參加,讓自己充電及吸取最先進的資安新知及新技術。
活動時間: 2014年3月19日(三) ~ 21日(五)
活動地點: 台北世貿南港展覽館 5樓
報名網址: http://www.secutechinfosecurity.com/14/tw/seminar_register.aspx?ff=5
活動洽詢:02-2659-9080 分機667 潘小姐
主辦單位: 資安人雜誌 敬邀
Info Security 2014 第十三屆亞太資訊安全論壇
有50場演講課程讓您親身體驗及簡易明瞭多元化的未來趨勢。高度能量的資安場合,讓您全面吸取最為豐富及精華的經驗與知識。同時現場教室外還有30家以上專業資安廠商為您示範產品的應用及說明。
歡迎免費報名參加,讓自己充電及吸取最先進的資安新知及新技術。
活動時間: 2014年3月19日(三) ~ 21日(五)
活動地點: 台北世貿南港展覽館 5樓
報名網址: http://www.secutechinfosecurity.com/14/tw/seminar_register.aspx?ff=5
活動洽詢:02-2659-9080 分機667 潘小姐
主辦單位: 資安人雜誌 敬邀
2014年1月21日 星期二
[專欄] 雲端控制矩陣安全措施簡介(四) - 資訊安全管理與控制措施(2)
上一次,我們說明了雲端控制矩陣中針對資訊安全管理與控制的要求,並且解說了對應至ISO 27001的各項安全措施,由於此一項目所包含的控制措施內容較多,所以將分成三篇文章來說明介紹,本文將繼續解說在雲端控制矩陣中,有關資安管理控制的各項要求。
在雲端控制矩陣中的第五項「資訊安全」,它是整體雲端服務的管理重點,一共包含了34個控制措施。在這些控制措施之中,從高階管理階層的要求開始,同時也兼顧了技術面的安全要求,因此它能夠協助組織建立整體的資安管理架構,以強化所提供雲端服務的資訊安全,以下將說明第11至21個控制措施的要求和所對應ISO 27001標準的內容。
在雲端控制矩陣中的第五項「資訊安全」,它是整體雲端服務的管理重點,一共包含了34個控制措施。在這些控制措施之中,從高階管理階層的要求開始,同時也兼顧了技術面的安全要求,因此它能夠協助組織建立整體的資安管理架構,以強化所提供雲端服務的資訊安全,以下將說明第11至21個控制措施的要求和所對應ISO 27001標準的內容。
訂閱:
文章 (Atom)