[觀點] 解析資訊安全控制措施(十) - 資安事故管理與營運持續

上一次我們談到了ISO 27001中有關資訊系統的安全規格要求，以及在系統開發時，如何導入適當的安全控制來降低系統的安全風險，本期將說明接下來的資安事故管理與營運持續的控制措施。

在資訊安全的世界裡，無法達到所謂百分之百的安全，能夠做到的只有相對的安全，這是組織務必要體認的實際情況，因此，難免會有一些資安事件，像是電腦中毒、駭客入侵、資料損毀等狀況發生。既然無法保證絕對不會發生資安事件，那麼在事件發生時，為了要降低可能的損害，就需要事先建立處理應變的方式，才能將衝擊降到最低，甚至還要進一步擬定營運持續計劃，以便在災害擴大時，仍能保持業務營運的正常水準。

[觀點] 解析資訊安全控制措施(九) - 資訊系統取得、開發與維護

上次談到了ISO 27001中有關網路、作業系統、應用系統的存取控制要求，藉由部署適當的控制措施，可降低組織的安全風險，接下來將說明標準中有關資訊系統取得、開發與維護的安全要求。

對大多數的組織而言，資訊系統的獲得有兩個來源，一個是由內部人員自行開發撰寫應用程式，另一個則是由外部廠商來協助開發或提供套裝軟體。不過，無論是採用委外服務或是自行開發，對於資訊系統所需的安全目標都是一致的，相關的安全控制目標與措施，可以參考ISO 27001附錄A.12「資訊系統取得、開發與維護」的內容，它主要有六個控制項目，依序說明如下。

[新聞] 「Security Guidance for Critical Areas of Focus in Cloud Computing v3.0」已正式發布

CSA已正式發布了「Security Guidance for Critical Areas of Focus in Cloud Computing v3.0」，除了有部份內容經過改寫，特別強調「security、stability、privacy」這三點之外，新版大致上的架構仍是維持不變的，主要有更新的地方，包括新增加一個 Domain 14: Security as a Service，在Domain 3 和 Domain 5 的名稱也作了調整如下：

- Domain 3: Legal Issues: Contracts and Electronic Discovery
- Domain 5: Information Management and Data Security

目前，CCSK的考試仍維持在v2.1版的內容，所以如果您已準備好的話，進行考試還是沒問題的。至於未來考試會不會也配合更新，我想這是可預期的，若有任何更新的資訊，我會再提供給大家囉~

相關資訊請參閱CSA網站：
https://cloudsecurityalliance.org/research/initiatives/security-guidance/

[觀點] 解析資訊安全控制措施(五) - 通訊與作業的安全管理(中)

之前已針對ISO 27001中有關通訊與作業安全的控制措施，談到了監控資訊作業的相關活動和第三方的服務管理，本篇將繼續說明在此控制項目中的其他要求，以及在實務方面可以應用的管控作法。
註：上篇及下篇請參考之前發佈的內容。

過去，只要談到資訊安全防護，大多數人員直接聯想到的就是網路安全，認為需要在組織中部署防火牆和入侵偵測系統等產品，以防止來自網路的入侵和攻擊。雖然，這樣的認知是有點偏於狹隘的，但也突顯出網路安全其實就是組織在資安方面最為關注的地方，也願意將可運用的資源投入在網路安全上。

不過，網路安全除了導入技術面的資安產品之外，最重要的還是需要配合管理面的要求來進行，原因是技術性的作法，通常是為了要在問題發生時進行損害防阻，避免資訊資產受到損失，而管理面則是為了要防範問題於未然，事先透過作業流程的監控與設計，來降低其中潛藏的資安風險，因此，兩者在強化資安防護方面，肯定是相輔相成且缺一不可的。

[觀點] 解析資訊安全控制措施(八) - 存取控制的資安要求(下)

上一期談到了ISO 27001中有關存取控制的營運要求，組織需要建立存取控制的政策和使用者的存取管理，包括像是註冊要求、密碼管理和確保無人看管設備的安全責任等，接下來將說明和網路、作業系統、應用系統的存取控制要求。

在A.11「存取控制」的要求中，第四個控制項目為A.11.4「網路存取控制」，其目標是要確保組織所提供或使用的網路服務，避免受到任何未經授權的存取，因此需要採取一些控管作法，來確保網路本身和使用者在利用時，不會發生安全上的問題，危害到組織的整體營運。