[分享] ISO 27001:2022 新增的控制措施 (3)

針對ISO 27001:2022新增的11項控制措施，先前已經說明了3項，接下來說明第4項「A.7.4 實體安全監視 (Physical security monitoring)」的要求與實務做法。

A.7.4 實體安全監視

在新版 ISO 27001:2022 標準中對於實體安全監視的要求是「應持續監視場所，以防未經授權之實體進出」，最常見的管控機制就是建置影像監控系統 (CCTV) 了。

其實在舊版 ISO 27001:2013 的實體安全防護方面，針對管制區域像是機房和辦公室的出入口，安裝 CCTV 進行監控並留存影像，本來就是常見的實務做法，只是過往並沒有特別將這項控制措施獨立出來。

基本上，CCTV 只是實體安全監視的其中一項方法，其他可能的管控方式還包括了設置警衛、紅外線或壓力感測入侵警報器等，目的是要達成偵測並及時阻止未經授權的進出。

在新版 ISO 27001:2022 的要求中，針對這項控制措施的重點在於「持續」，所以必須要確保監視的時間和記錄的留存，是否可以滿足組織本身的要求。

最後，組織若要在特定的場所設置監視器，也要特別注意裝設監視器的位置，並依據相關法令法規的規定，千萬不要以監控之名而侵犯了他人的隱私。

(待續...)

[分享] ISO 27001:2022 新增的控制措施 (2)

上一篇文章已說明了「A.5.7 威脅情資」的管控重點，接下來跟各位分享在ISO 27001:2022「A.5 組織控制措施」方面，其他兩個控制措施的重點要求。

ISO 27001:2022 分別在附錄A的四個控制領域 (組織、人員、實體、技術)，增加了11個新的控制措施，在「A.5 組織控制措施」方面，包括了「A.5.7 威脅情資 (Threat intelligence)」、「A.5.23 使用雲端服務之資訊安全 (Information security for use of cloud services)」、「A.5.30 營運持續之ICT備妥性 (Information and Communications Technology readiness for business continuity)」 等三項，接下來說明其它兩項的重點要求。

A.5.23 使用雲端服務之資訊安全

目前已經有愈來愈多的組織，使用了由外部提供的公有雲服務，例如：微軟的 M365、Google的Workspace、AWS EC2 等。有些組織認為，只要利用既有的委外廠商管理作業規範，同樣也能管理這些雲端服務業者來達到資訊安全的要求，但是卻忽略了雲端服務的特性和傳統的委外服務有著很大的差異性，組織既有對於委外廠商的資安要求，恐怕無法完全適用於雲端服務業者。

因此，在 ISO 27001:2022 附錄A，增加了使用雲端服務之資訊安全的控制措施，要求「應依組織之資訊安全要求事項，建立獲取、使用、管理及退出雲端服務的過程」。在這個要求之中，對於雲端服務的資安要求涵蓋了三個層面，我們可以分別從雲端服務使用的前 (獲取)、中 (使用、管理)、後 (退出) 三個階段，考量實施以下的管控機制。

• 使用雲端服務之前 (獲取)：組織需要考量如何評選一家安全可靠的服務業者，可能的條件包括了業者是否有通過雲端安全相關標準的驗證 (ISO 27017, 27018, CSA STAR)、業者是否主動揭露雲端安全和隱私保護的機制，以及在服務等級協議 (SLA) 或合約之中，所承諾要達成的安全事項，是否滿足組織本身的要求。
  
  
• 使用雲端服務期間 (使用、管理)：為了有效管理組織內部雲端服務的使用者，必須建立雲端服務的使用政策或程序，並且針對負責管理雲端服務的單位 (通常是IT部門) 或是具有特權的服務管理者 (Administrator)，需要確認和審查使用雲端服務有關的安全控管機制 (例如：帳號與權限、日誌功能、資料加密等) 是否落實。
  
  
• 終止使用雲端服務 (退出): 組織應考量若有一天要終止雲端服務的使用，或是要轉換使用不同的雲端服務業者時，確認雲端服務上的資料是否能夠取回的方式 (最好事先明訂在合約或協議中)，同時也要確認業者移除所租用的服務或刪除儲存資料的機制 (了解刪除方式和所需時間)。

A.5.30 營運持續之ICT備妥性

對組織而言，營運持續管理 (Business Continuity Management, BCM) 是一個很大的議題，這個控制措施雖然是新增加的，但其實在舊版的 ISO 27001:2013 中，就已經有對於營運持續的資安要求，也就是把營運持續的考量，限縮在資安的層面。如果想要了解有關組織整體的營運持續管理，可以進一步參考它對應的國際標準 ISO 22301。

在這項控制措施的內容方面，它要求「應依營運持續目標及 ICT (Information and Communication Technology) 持續之要求事項，規劃、實作、維護及測試ICT備妥性」，也就是更明確的把對營運持續的要求，聚焦在資通訊技術相關的裝置和設施，組織必須考量由於ICT造成營運中斷的可能性，提前做好準備。

所以在實施方面，組織可以透過進行營運衝擊分析 (Business Impact Analysis, BIA) 來決定有哪些重要的業務活動，需要依靠哪些關鍵的ICT資源來支持業務活動的持續運作，並針對將服務恢復至可正常提供水準的時間要求，訂出恢復的時間目標 (Recovery Time Objective, RTO)。

如果服務還涉及了資訊處理活動，也要依據組織可承受遺失資料的損失程度，訂出資料回復的時間點目標 (Recovery Point Objective, RPO)，並採取對應的備份機制，例如：組織能承受的資料遺失只有一天，那麼就至少必須每24小時進行一次資料備份。當然，除了備份之外，也要定期進行備份資料的回復測試，確認備份檔案的有效性。

完成以上活動之後，組織還需要針對各個可能造成營運中斷的情境，建立完整的營運持續計畫 (Business Continuity Plan, BCP)，將回復ICT相關活動的作業流程、操作步驟、人員職掌等描述清楚，並且安排定期實施BCP演練，確認有能力滿足所訂定的RTO和RPO，並根據演練過程中所獲得的經驗來持續改善，達成組織營運持續的目標。

(待續...)

[分享] ISO 27001:2022 新增的控制措施 (1)

本週在成功大學擔任 ISO 27001 Lead Auditor 主導稽核員的課程講師，有學員詢問 ISO 27001:2022 的標準，最晚在什麼時候一定要完成轉版稽核？以及新版增加的11項控制措施，實施方面的重點和要求是什麼？我想透過以下一系列的文章來和大家分享。

ISO 27001:2022 的轉版要求：ISO 27001:2022 標準正式發布於2022年10月，ISO組織給予持有舊版證書的組織有三年的轉換期，也就是說，所有ISO 27001:2013的證書必須要在2025年10月31日之前完成轉版稽核，否則舊版的證書就會到期或撤銷，因此，還沒有完成轉換的組織目前已剩下不到3個月的時間了，請務必要在截止期限完成才行。

ISO 27001:2022 新增的控制措施：對於想要轉換到新版證書的組織而言，最想了解的就是新版和舊版的主要改變是什麼？基本上，新版標準在管理制度方面的要求，除了新增加一個全新的條款「6.3 變更之規劃」之外 (可參考這篇文章)，最大的改變就是控制措施從原本14個控制領域調整為4個 (組織、人員、實體、技術)，控制措施的數量也整併減少為93個，但是其中卻增加了11個新的控制措施，所以接下來的文章，就逐一來說明這11個控制措施的實施重點和要求。

A.5.7 威脅情資 (Threat intelligence)

針對這個控制措施，首先我們需要先定義什麼叫做「情資」？透過以下 CREST - What is Cyber Threat Intelligence and how is it used? 這份指南所提出的，它會經過「蒐集、處理、分析」三個階段。

Source: CREST

以產生網路威脅情資為例，一開始需要蒐集的是原始資料 (Data)，可能的來源像是網路設備或防火牆所記錄的IP位址或日誌，再將這些資料導入日誌平台或透過工具進行處理，就能得到一些可疑的活動資訊 (Information)。最後，再經由適當的關聯分析和歸納，匯聚成為管理階層可以判斷做出進一步行動的決策依據，這就是所謂的情資 (Intelligence)。

如果參考ISO 27002控制措施的實務指引，它還提到了威脅情資可以分為三個層面，提供和分享給管理階層來進行評估，分述如下：

• 策略面 (Strategic)：分析威脅屬於哪一種攻擊類型？組織可依據自己的現況來建立類型 (例如主機、網路、實體、人員類)，或是參考SANS定義的三種情資類型 (內部、外部、社群或特定產業)。
  
  
• 營運面 (Operational)：分析威脅的攻擊目標主要針對哪些資訊系統？或是可能影響到內部什麼樣的資訊 (例如研發資料、客戶資料、交易資料)？
  
  
• 戰術面 (Tactical)：分析威脅所涉及攻擊者的方法，包括其採用的工具、技術、社交工程手法等。

在了解以上的情資定義和分層評估以做出決策行動之後，我們回頭來看看標準中針對這個控制措施的要求 -「應蒐集並分析與資訊安全威脅相關之資訊，以產生威脅情資。」

所以在實施方面，依據這項要求，組織必須建立威脅情資蒐集的來源，以及處理和分析的過程，並且可透過分層的方式，讓管理階層能易於掌握和理解情資的重要性，以做出決策和採取適當的行動，這樣才能讓組織真正具備預防、偵測及回應威脅的能力。

(待續...)