以上三個層面新增的控制措施重點和實施做法,在前三篇文章中都已分享,接下來將陸續說明在技術面新增的7個控制措施。
A.8.9 組態管理
組態管理 (Configuration management) 不是一個新的概念,早在以前曾經流行過的「ITIL」和 ISO 20000 標準中,針對IT服務的管理要求,組態管理就扮演了重要的角色。那到底什麼叫做組態?簡單白話的說法就是設定或配置,它可以用來確保和IT有關的服務能夠正常地運作。
在ISO 27001的組態管理控制措施中,要求「應建立、書面記錄、實作、監視並審查硬體、軟體、服務及網路之組態 (包括安全組態)」。所以在實施方面,組織就必須建立一個過程,以文件化的方式來管理包括硬體、軟體、服務及網路等四個層面有關安全的設定和配置。
對組織而言,基本上就是要先建立硬體、軟體、服務及網路組態的安全基準 (baseline) 或範本 (template),這部份可以參考公開的指引 ,例如由資安院提供的政府組態基準 (GCB),或是參考由IT供應商所提供的安全設定規範。
如果組織有資源,可以進一步考慮建立一個「組態管理資料庫 (Configuration Management Database, CMDB)」,藉此來管理所有和資安有關的硬體、軟體、服務及網路的基本組態,並且記錄異動後的組態設定,再搭配相關工具來達成組態的監視 (Monitor) 和審查 (Review)。
如果組織沒有足夠的資源,則可以結合既有的資訊資產管理過程,利用資產清冊來盤點和記錄有關硬體、軟體、服務及網路組態的安全設定,在建立基本的安全組態要求之後,後續再搭配變更管理的過程來實現組態管理和留存組態異動的記錄。
A.8.10 資訊刪除
接下來在技術面新增的三個控制措施 (A.8.10, A.8.11, A.8.12),主要都和資訊隱私保護 (Privacy) 有關。
資訊刪除 (Information deletion) 的控制要求是「當於資訊系統、裝置或所有其他儲存媒體中之資訊不再屬必要時,應刪除之」,主要目的就是讓組織能避免因保留了不必要的敏感性資訊,遭到未經授權存取而影響了資訊的機密性。
不過,在實務方面常遇到的問題是,組織到底要如何去確認「資訊已不再屬必要?」個人鼓勵可以從以下兩個角度來評估資訊是否可以進行刪除。
- 資訊已過保留期限:這個做法的前提是組織必須清楚定義各項資訊的保留期限,尤其是針對許多以前認為要永久保存的資訊,應該考量法令法規的要求,或是業務上實際的需要,定出一個適當的保留期限,之後才能依據是否已過期了,進行資訊的刪除。
- 當初蒐集、處理及利用的目的已不存在:這類資訊主要是和個人資料有關,如果這些個人資料已經沒有當初蒐集時,告知當事人在蒐集之後和目的有關的活動,也沒有法規要求需要保留的必要性,組織就應該主動的進行刪除。
最後,組織在進行資訊刪除時,需要考量針對不同類型的資訊 (電子檔案或紙本文件) 所儲存的媒體 ,採取有效的刪除方法,並且記錄刪除的過程作為佐證的記錄。如果有委託供應商進行大批的資料銷毀,也要進行過程中的監督和確認,並保存適當的銷毀記錄。
(待續...)
沒有留言:
張貼留言