在雲端控制矩陣中的第九項是有關發行管理的要求,它是針對雲端服務的營運中,評估是否存在相關的變更管理流程與機制,一旦與雲端服務有關的事項有所變動時,服務供應商必須要有能力識別並且實施計畫性的更動,同時也要評估發生災難時可能帶來的衝擊,以及擬定必要的復原程序。以下將說明發行管理中的5個控制措施,以及所對應ISO 27001的標準內容與實務建議。
發行管理之安全要求
RM-01 新開發與取得要求
這項控制措施是要求對於新的應用程式、系統、資料庫、基礎建設、服務、操作和設施的開發或取得,必須建立管理授權的相關政策和程序,也就是在一開始評估與規劃時,即考量所需的安全要求。在ISO 27001標準中,可參照「A.12.1.1安全要求分析與規格」之要求,了解新的資訊系統對組織整體營運的重要性為何?評估系統萬一失效或受到入侵時可能產生的安全風險?所需要的資安防護層面有哪些?如果系統本身無法達到所需的安全強度,是否可尋求其他的配套措施來降低風險?
另外,在「A.6.1.4資訊處理設施的授權過程」中提到,組織大都會採購資訊相關設備,並且給予員工在作業時使用,為了確認這些新設施能夠符合資訊安全的要求,因此有關資訊設備的使用,必須先取得管理階層的核准,換句話說,組織應明訂此一授權程序和流程,才可確保符合了資安政策的要求。
RM-02 生產之變更
如果組織所提供的雲端服務,需要進行與生產環境有關的變更,變更的項目一般包括了軟體和硬體,像是應用程式、系統、資料庫、網路裝置等,可能變更的內容則涵蓋了安裝修補程式(patches and service pack)和其他的更新與修改,因此這項控制措施要求在變更進行之前要先獲得主管授權,採取文件化方式的流程並且進行測試。
有關的生產變更之要求,可以參考「A.10.1.2 變更管理」,以確保和資訊處理設施與系統有關的變更事項,都能夠受到妥善的管理控制。實務方面,除了所有的變更內容務必要取得主管的授權之外,特別要注意的是務必保存相關的變更記錄,包括作業核准的程序、重大變更事項的識別和記錄、變更規劃與測試計劃,以及在變更失敗時,如何中止並進行復原的程序等。
此外,在「A.12.5.1 變更控制程序」中也提到,針對資訊系統的變更,需要制訂正式的變更程序才可進行,也就是說重點在於整個過程都需要有適當的監控,因此最好的作法是有文件化的變更作業程序,同時依據之前A.10.1.2變更管理的相關要求來實施。
RM-03 品質測試
這項控制措施是要求組織中所有的軟體開發,都必須建立系統化的監督和評估計畫,以確保達到品質標準的要求。針對資訊系統的更新和版本變更,都要以文件化方式進行,在系統開發和被採用之前,也都要事先進行安全測試。管理階層需要有足夠的能力來監督品質測試的過程,以確認符合當初的開發目的,並且在釋出上線之前解決可能發生的問題。
對此,可以參考「A.10.1.4 開發、測試與運作環境的區隔」之要求,也就是應分隔在開發、測試和運作所使用的資訊設施,以避免因設備的誤用或資訊的不當修改,而產生不必要的風險。在實務方面,針對應用程式的開發,務必要備妥開發流程、測試和上線運作的程序文件,同時,所使用的資訊軟硬體設備,也要加以適當的區隔,不在同一個環境上進行,也不將資訊存放在相同的儲存媒體中。特別是要避免使用正式的上線環境和營運資料進行測試,以免影響日常的營運。
在系統完成更新之後,可依照「A.12.5.2 作業系統變更後的應用程式技術審查」之要求來進行審查測試,以確認不會影響到組織的作業或其他關鍵系統。換句話說,只要有系統進行了變更作業,就要對應到後續的技術審查過程,而且所有更新作業與運作情況,都需要留下適當的記錄才行。
RM-04 外包之開發
這項控制措施是要求針對所有外包軟體之開發,必須建立系統化的監控與評估計畫,以確保符合品質標準之要求,同時所有外包的軟體開發,都應受到組織的管控和安全要求,包括了開發環境需經過合格人士的獨立審查,開發人員需接受安全認證訓練,以及進行原始碼的檢測等。至於相關的安全認證則要符合ISO 17024之認證規範,或是符合當地法定認可機構所頒發的執照與認證。
針對此項安全要求,在「A.12.5.5 委外的軟體開發」中提到,服務供應商若選擇委外廠商來進行軟體開發,就必須要加以適當的監督,確認其遵守了組織的安全政策,這部份同時可參照「A.10.2第三方服務交付管理」的要求,實務上更建議組織應將安全要求明列在所簽訂的委外合約之中。
RM-05 未授權的軟體安裝
這項控制措施是要求應建立政策和程序,並且實施相關作法來限制未授權的軟體安全。對此,可參照「A.10.4.1 對抗惡意碼的控制措施」之要求,制定正式政策來規範使用者不可任意自網路上下載安裝未經授權的軟體,並實施教育訓練讓使用者有足夠的認知,以避免來自網路和電子郵件等惡意程式的入侵。同時也可依據「A.11.6.1 資訊存取限制」之要求,遵守所制定的存取控制政策,確保只有符合擁有存取權限的人員才可存取系統。
災難回復之安全要求
雲端服務的運作,除了必要的安全管控措施之外,還需要更進一步思考可能發生的潛在危機和災難,藉此來提早防範於未然。在雲端控制矩陣之中,對於雲端服務的災難復原事項,也提出了以下8個的安全控制要求。
RS-01 災難復原之管理計畫
在實務方面,有關業務持續與災難復原的政策、流程和程序,應依據組織的業務、法令法規及合約的要求來制訂完成,將預期到的可能災難風險,降低至可接受的水準,並透過預防與復原的措施,減少災難對於組織的衝擊與影響。組織的復原管理計畫,應與組織業務所有相關人員進行溝通,並且發佈給這些人員,將它存放在災難發生時易於被取得的地方。
在標準方面,可以參照ISO 27001附錄「A.14.1.1 將資訊安全納入業務持續管理流程」,要求組織依照業務所需的資安要求,發展和維持整體的業務持續管理流程,也就是需要去識別和業務有關的關鍵活動,以及支持這些關鍵活動所需的資產,例如人員、場地、資訊、技術、供應商、利害關係人等,組織必須充分地了解這些資產所需的安全要求,以及這些資產可能引起營運中斷的風險,評估其可能造成的衝擊,然後再選擇適當的控制措施。
RS-02 衝擊分析
對於可能造成組織營運中斷的風險,必須以文件化方式來定義其可能的衝擊,這項控制措施提到的相關作法包括了:
- 識別關鍵產品與服務
- 識別支持關鍵活動所需的作業流程、應用程式、業務夥伴及第三方的服務供應商。
- 了解對關鍵產品與服務的威脅
- 對於計畫或非計畫中的中斷事件,依時間變化決定其對組織的衝擊影響。
- 建立最大可容忍的中斷時間(MTPD)
- 建立復原的優先順序
- 建立回復關鍵產品與服務的目標時間(RTO)
- 評估復原活動的所需資源
針對這項控制要求,可參照「A.14.1.2 業務持續與風險評鑑」,要求組織必須識別可能導致營運中斷的事件,研判其可能發生的機率,評估可能造成損害的等級,以及對組織的衝擊和影響。一般而言,由資安事件引發的系統錯誤、設備失效、天然災害等問題,多數能夠藉由風險評鑑加以識別,並且依其損壞程度和復原時程,判斷如何恢復至正常運作的水準。
所以在進行規劃時,建議最好由業務活動和資源的擁有者來參與,才能完整的識別出正常營運所需的資源、可容忍的中斷時間及復原的順序,如此也才能識別出各項風險,進而決定組織業務持續管理的整體作法,避免落入過度偏重在添購資訊設備的備援情境中。
RS-03 業務持續計畫
這個控制措施是要求雲端服務供應商,必須建立業務持續計畫的框架,並以文件化方式確保和組織的資訊安全要求維持一致。
業務持續計畫的內容包括了:
- 定義目標和範圍,並與相關附屬要求保持一致
- 讓需要使用的人容易理解並取得
- 指定負責人以便進行更新、審查及核可
- 定義溝通的管道、人員角色與責任
- 詳細描述復原程序、人工作業方式與所需的資訊
對此,可參考「A.14.1.3 發展與實作包括資訊安全的持續計畫」之內容,要求針對各項可能造成營運中斷的風險,建立對應之維持或恢復運作的計畫,以確保在一定時間內達到資訊可用的要求等級。所以,建議組織在規劃時需考量可以接受的服務中斷時間,還有可供使用的人力、物力等各項資源。
另外,「A.14.1.4 業務持續計畫框架」中也提到, 業務持續計畫需要確保一致性,也就是實施時務必要依照組織的整體作法,例如在每一份計畫中都會涵蓋特定的計畫擁有人、聯絡清單、啟動條件、緊急程序等,這些就是所謂的框架,依照這些項目來建立各項業務持續計畫的內容,同時明訂測試與維護的優先順序。
RS-04 業務持續之測試
這個控制措施要求業務持續計畫必須在規劃時,或是組織與環境有重大變更時需進行測試,以確保計劃的有效性。在實務方面,可以依據「A.14.1.5 業務持續計畫的測試、維護及重新評鑑」,要求所有的業務持續計畫,都需要定期測試與更新,以確保計畫內容與作法,符合當下的真實環境。因為對組織而言,或許無法同時完整測試所有計畫,但應規劃其測試時程和方法,再視情況選擇採取紙本演練、狀況模擬、技術測試或完整演練等,確保在災難發生時,能夠依照預先設想的步驟來執行,以達成業務持續的目標。
RS-05 環境的風險
這個控制措施是要求自然發生的災難或是蓄意的攻擊,都應該要進行事先的預測、規劃及實施對應的控制措施,對此,可參考「A.9.1.4 保護來自外部與環境的威脅」中提到,利用適當的實體防護,以降低外在的環境威脅,如火災、地震、水災等的侵襲影響。
RS-06 設備之所在地
這個控制措施是要求為了減少來自環境的威脅,以及未經授權存取的風險,針對設備的所在地需要實施控管,並且在合理的距離之外設置備援設備。針對設備的問題,在「A.9.2.1 設備的設置與保護」中提到,資訊相關設備應適當地進行安置、保護及監控,以降低環境威脅所造成的損害,或是受到未經授權的存取。舉例來說,像是電子產品須要受到良好的環境溫溼度監控;操作資訊系統時,應有適當的遮蔽來避免敏感資訊的外洩,例如機房就最好不要採用完全透明的玻璃作為隔間來使用。
RS-07 設備電力之失效
這個控制措施是要求對於設備運作所需的公用服務,例如電力失效和網路中斷等,需要採取安全防護和備援設施。對此,可參考「A.9.2.2 支援的公用事物」之要求,在機房部署不斷電系統。但要注意的是,若面臨長時間的電力中斷,不斷電系統應確保足以循序地將重要主機進行關機,若要確保能夠持續運作,則要考量是否有獨立的備援電力供應站,或是使用燃油發電機來運作,而除了電力之外,電信與網路系統也要有備援,以確保在中斷期間的通訊能夠正常運作。
RS-08 電力與通訊
這個控制措施是要求針對通訊線路和電力纜線應提供適當的保護,避免其受損而導致服務中斷,並且要設計替代的線路或取得其他的電力來源。對於電力與通訊的問題,在「A.9.2.3 佈線的安全」中提到,傳送資料與電力的纜線應有適當的標示、固定及保護,建議設於地下或其他已受到適當防護的管道,尤其要避免經過公共區域。另外,電力與網路線也要作適當的阻隔,以避免相互干擾而造成資料傳輸的問題,以上這些都是實務方面可以因應的參考做法。(本文刊載於2014年1月號網管人雜誌)
沒有留言:
張貼留言