上一篇,我們說明了雲端控制矩陣中,關於資安事故回應處理、網路安全控制,以及行動裝置與原始碼存取之管控,本期將繼續說明在雲端控制矩陣中,有關法律議題與營運作業時應實施的風險管理。
在雲端控制矩陣中的第六項是有關法律的議題,主要是針對雲端服務中的人員與服務內容,希望藉由書面協議的正式簽署,確保雲端服務能夠符合組織的安全要求。以下將說明法律議題中的2個控制措施,以及對應ISO 27001的標準內容與實務建議。
因應雲端服務法律議題
LG-01 保密協議
對雲端服務供應商而言,為客戶所提供的各項雲端服務,資訊安全肯定是客戶會關注的重要問題,尤其是服務內容所涵蓋的項目,若是包括了重要資料的儲存和處理,那麼可能接觸到這些資料的人員,就需要擁有足夠的安全意識與技能,才可妥善地確保資料的安全。
這項控制措施是要求針對組織中需要受到保護的,或是與營運相關的資訊,應該被識別並採取文件化的記錄,同時也要求相關人員必須簽署保密協議,並且定期地進行審查。針對保密協議的簽署,在ISO 27001標準中,可參照「A.6.1.5機密性協議」之要求,對於敏感性的職務工作,可以由法務部門會同人事部門,制訂保密政策和程序,據此要求人員簽署保密協議。但協議內容必須能夠反映內部資安政策的要求,因此也要配合定期審查對各項資訊保護的要求,再將其更新至保密協議的內容之中。
LG-02 第三方協議
如果所提供的雲端服務,需要依靠第三方所提供的資源或技術協助,那麼與第三方所協議的相關內容,就會直接或間接地影響雲端服務供應商的營運。因此,有關資訊的處理、存取、傳輸、儲存,以及資產和服務的管理與終止等,在協議內容中就要包括資訊安全要求與資訊的完整性控制,以避免資訊受到不當的揭露、竄改及損毀。
對此,可以參考ISO 27001附錄「A.6.2.3 第三方協議中的安全說明」之要求,也就是在與第三方所簽定的協議與合約之中,必須明訂組織的資訊安全要求、應遵守的相關法規,以及在違反時應負的法律責任等。
規畫進行雲端作業管理
雲端服務的運作,有賴組織中各個階層人員的參與,包括由管理階層來制訂相關政策與程序,透過雲端服務小組的協同運作,技術人員規劃資源運用與設備的維護等,這些都需要有效的作業辦法,才能滿足客戶的需求,並且達到營運的目標。在雲端控制矩陣之中,對於雲端服務的作業管理,也提出了以下幾項的控制要求。
OP-01 作業管理之政策
實務方面,在雲端服務尚未運作之前,管理階層應會同人事部門,針對雲端服務所需的作業人員,定義其工作角色與執掌,並且確認此項工作所需的專業技能、工作經驗與人格特質,以便招募所須的作業人員。
在標準方面,可以參照ISO 27001附錄5.1所提到的兩項控制措施,如A.5.1.1要求資訊安全政策應經由管理階層的核准,並且公布傳達讓所有員工和相關的內外部團體知道,實作方面,在這份資訊安全政策中,除了傳達管理階層對於資訊安全的支持,確保資訊安全與組織營運目標的一致性之外,也需要說明資安的重要性與實施範圍,以及相關人員的職責。A.5.1.2則是要求資訊安全政策若發生重大變更時,也需要進行審查,以確保內容持續地適用充分和有效,因此這份政策,必須配合雲端服務的環境、業務型態、法律合約要求和技術更新等事項,進行持續的修訂與發行。
OP-02 作業管理之文件化要求
在作業管理中,所謂的標準作業程序(SOP),是指有正式的文件化記錄,並且經過管理階層審查核可的內容,才能用於實際的作業環境。所以在雲端服務之中,有關系統組態、安裝與操作,還有所包括的安全功能與管理員的操作指引、系統架構圖等相關文件,都應採取文件化方式建立起來,並且交付給已被授權的作業人員,根據此一標準作業程序來進行各項工作。
針對這項要求,可參照ISO 27001附錄「A.10.1.1文件化作業程序」,只要是與資訊系統活動和作業有關的程序,包括通訊設施的使用、電腦開機與關機、備份方式、資訊設備維護、資訊儲存媒體使用和機房作業管理等,都以文件化方式來呈現,並且讓相關人員在需要的時候即可馬上取得,以便遵照其要求的標準作業程序來進行。
OP-03 容量與資源之規劃
這個控制措施是要求針對各項資源的可用性、品質及所需的容量,依照法規、合約與業務要求來實施規劃與量測,同時也要考量有足夠的能力,因應未來服務系統可能過載的風險。對此,在ISO 27001附錄「A.10.3.1 容量管理」中提到,管理人員需要預作規劃準備,評估未來可能成長的資料量,來添購所需的儲存媒體和設備,以避免因為容量不足的問題而導致系統服務的中斷。
OP-04 設備裝置維護
這個控制措施要求雲端服務供應商對於設備裝置的維護,需要建立政策與程序,以確保各項服務作業的持續與可用性。在實務方面,可以依據ISO 27001附錄「A.9.2.4 設備維護」,要求相關的資訊設備應定期自行維護或尋求廠商協助,相關的維護也需要留下適當的紀錄,以便定期地進行追蹤查核。而實施維護的外部人員,應該事先經過申請與核准,在實際作業時也要有適當的人員來陪同。
有效落實雲端風險管理
在ISO國際標準之中,計劃(Plan)、實施(Do)、監督(Check)、改善(Act)是確保持續營運與降低可能風險的最佳實務架構。因此,組織在管理有關雲端服務的工作時,若能秉持PDCA的精神,並且融入在各項作業程序之中,就能夠降低風險並且讓服務品質更加地精進。在雲端控制矩陣中對於風險管理,也提出了以下五個重要的控制要求。
RI-01 風險管理之計畫
對於雲端服務可能隱含的風險,組織應發展或維持一個風險管理的框架,讓風險可被降低至可接受的水準。對於此項要求,可參考ISO 27001本文4.2.1所提到,依據組織營運、組織、所在位置、資產和技術等特性,定義出資訊安全應受到適當控管的範圍,例如可以部門、系統、業務項目或實體環境來定義所要實施風險控管的範圍,並且建立所需的風險處理計畫。
RI-02 風險管理之評鑑
針對與組織營運有關的風險,這項控制措施要求應至少每年一次進行正式的風險評鑑,以質化或量化的方式,識別所有可能發生和造成業務衝擊的風險。組織可以透過稽核的結果、威脅與弱點分析,以及法規的要求等,建立風險管理的全貌,掌控組織可能隱含或殘餘的風險。
在實務方面,建議參照ISO 27001本文4.2的條款內容,界定組織的風險評鑑作法,並定義風險可以接受的等級。在標準之中對風險評鑑方法的要求,在於風險評鑑後所產出的結果,必須是可比較且可再產生的,換句話說,風險評鑑的方法,必須能夠重複地使用,尤其是在不同時期所進行的風險評鑑,其結果都可用來進行相互分析比較,作為未來風險處理與改善的參考。
RI-03 風險管理之消除與接受
一般來說,風險評鑑的過程是從識別可能的風險開始,再依據其發生的可能性與衝擊,計算出風險值並賦予其適合的風險等級,最後選擇可實施的風險控制措施,以降低風險至可以接受的水準。這項雲端控制即是要求所有風險都需要控制至可接受的程度,而可接受的風險水準,則是基於合理的時間處理與管理階層的核可。對此,ISO 27001本文的4.2條款提到,在完成了風險處理之後,所殘留下來的剩餘風險,都必須要取得管理階層的授權與核可,整個的風險處理過程才算完成。
RI-04 風險管理之業務與政策改變衝擊
雲端服務供應商在完成了風險評鑑之後,風險評鑑的結果應該要更新至安全政策、程序與相關的控制措施,以確保其持續的有效。在ISO 27001方面,此項控制可參照ISO 27001本文的4.2.1條款,在制定政策的時候,就需要考量營運與相關法規的要求,還有合約中所制定的資訊安全責任,像是法律要求必須要保障個人隱私、保護重大營運資訊,或是合約中要求必須保護客戶資料等,這些都是設定資安目標時的重要依據與參考。
因此,定期實施的風險評鑑,可為組織政策的修訂與更新,提供了一個有效的輸入來源,也就是說,依據風險評鑑的結果,可以進一步更新政策要求,以確保各項風險受到了良好的管理。
RI-05 風險管理之第三方存取
在雲端服務中有關第三方的存取行為,是一項明顯可識別的風險來源,在雲端控制矩陣裡,要求所有存取組織資訊系統與資料的行為,都應該被識別監控,同時評估若有不適當的存取時,可能帶來的業務風險與衝擊。換句話說,在提供這些服務供第三方存取之前,就要優先實施補償性的控制措施,以降低存取行為的安全風險。
在ISO 27001方面,可以參考附錄「A.6.2.1與外部團體相關的風險之識別」,要求透過風險評鑑的過程,找出外部團體對組織資訊的處理和使用時,可能存在的資訊安全風險,像是可存取的資訊類型、人員的識別與授權是否適當等。另外,也可參考「A.8.3.3 移除存取權限」,要求所有員工、承包商和第三方使用者,對於資訊、資訊處理設施的存取權限,應在聘僱、合約或協議終止時移除,或依變更進行調整。
最後,還可依據「「A.11.1.1 存取控制政策」,基於營運相關的存取安全要求和使用者可能接觸資訊的安全等級,以文件化的存取控制政策,說明如何去配置其存取權限,並以組織整體的營運風險作為優先考量。(本文刊載於2013年12月號網管人雜誌)
2014年5月4日 星期日
訂閱:
張貼留言 (Atom)
沒有留言:
張貼留言