.png)
ISO 27001:2022 分別在附錄A的四個控制領域 (組織、人員、實體、技術),增加了11個新的控制措施,在「A.5 組織控制措施」方面,包括了「A.5.7 威脅情資 (Threat intelligence)」、「A.5.23 使用雲端服務之資訊安全 (Information security for use of cloud services)」、「A.5.30 營運持續之ICT備妥性 (Information and Communications Technology readiness for business continuity)」 等三項,接下來說明其它兩項的重點要求。
A.5.23 使用雲端服務之資訊安全
目前已經有愈來愈多的組織,使用了由外部提供的公有雲服務,例如:微軟的 M365、Google的Workspace、AWS EC2 等。有些組織認為,只要利用既有的委外廠商管理作業規範,同樣也能管理這些雲端服務業者來達到資訊安全的要求,但是卻忽略了雲端服務的特性和傳統的委外服務有著很大的差異性,組織既有對於委外廠商的資安要求,恐怕無法完全適用於雲端服務業者。
因此,在 ISO 27001:2022 附錄A,增加了使用雲端服務之資訊安全的控制措施,要求「應依組織之資訊安全要求事項,建立獲取、使用、管理及退出雲端服務的過程」。在這個要求之中,對於雲端服務的資安要求涵蓋了三個層面,我們可以分別從雲端服務使用的前 (獲取)、中 (使用、管理)、後 (退出) 三個階段,考量實施以下的管控機制。
- 使用雲端服務之前 (獲取):組織需要考量如何評選一家安全可靠的服務業者,可能的條件包括了業者是否有通過雲端安全相關標準的驗證 (ISO 27017, 27018, CSA STAR)、業者是否主動揭露雲端安全和隱私保護的機制,以及在服務等級協議 (SLA) 或合約之中,所承諾要達成的安全事項,是否滿足組織本身的要求。
- 使用雲端服務期間 (使用、管理):為了有效管理組織內部雲端服務的使用者,必須建立雲端服務的使用政策或程序,並且針對負責管理雲端服務的單位 (通常是IT部門) 或是具有特權的服務管理者 (Administrator),需要確認和審查使用雲端服務有關的安全控管機制 (例如:帳號與權限、日誌功能、資料加密等) 是否落實。
- 終止使用雲端服務 (退出): 組織應考量若有一天要終止雲端服務的使用,或是要轉換使用不同的雲端服務業者時,確認雲端服務上的資料是否能夠取回的方式 (最好事先明訂在合約或協議中),同時也要確認業者移除所租用的服務或刪除儲存資料的機制 (了解刪除方式和所需時間)。
A.5.30 營運持續之ICT備妥性
對組織而言,營運持續管理 (Business Continuity Management, BCM) 是一個很大的議題,這個控制措施雖然是新增加的,但其實在舊版的 ISO 27001:2013 中,就已經有對於營運持續的資安要求,也就是把營運持續的考量,限縮在資安的層面。如果想要了解有關組織整體的營運持續管理,可以進一步參考它對應的國際標準 ISO 22301。
在這項控制措施的內容方面,它要求「應依營運持續目標及 ICT (Information and Communication Technology) 持續之要求事項,規劃、實作、維護及測試ICT備妥性」,也就是更明確的把對營運持續的要求,聚焦在資通訊技術相關的裝置和設施,組織必須考量由於ICT造成營運中斷的可能性,提前做好準備。
所以在實施方面,組織可以透過進行營運衝擊分析 (Business Impact Analysis, BIA) 來決定有哪些重要的業務活動,需要依靠哪些關鍵的ICT資源來支持業務活動的持續運作,並針對將服務恢復至可正常提供水準的時間要求,訂出恢復的時間目標 (Recovery Time Objective, RTO)。
如果服務還涉及了資訊處理活動,也要依據組織可承受遺失資料的損失程度,訂出資料回復的時間點目標 (Recovery Point Objective, RPO),並採取對應的備份機制,例如:組織能承受的資料遺失只有一天,那麼就至少必須每24小時進行一次資料備份。當然,除了備份之外,也要定期進行備份資料的回復測試,確認備份檔案的有效性。
完成以上活動之後,組織還需要針對各個可能造成營運中斷的情境,建立完整的營運持續計畫 (Business Continuity Plan, BCP),將回復ICT相關活動的作業流程、操作步驟、人員職掌等描述清楚,並且安排定期實施BCP演練,確認有能力滿足所訂定的RTO和RPO,並根據演練過程中所獲得的經驗來持續改善,達成組織營運持續的目標。
(待續...)
沒有留言:
張貼留言