[分享] ISO 27001:2022 新增的控制措施 (1)

本週在成功大學擔任 ISO 27001 Lead Auditor 主導稽核員的課程講師，有學員詢問 ISO 27001:2022 的標準，最晚在什麼時候一定要完成轉版稽核？以及新版增加的11項控制措施，實施方面的重點和要求是什麼？我想透過以下一系列的文章來和大家分享。

ISO 27001:2022 的轉版要求：ISO 27001:2022 標準正式發布於2022年10月，ISO組織給予持有舊版證書的組織有三年的轉換期，也就是說，所有ISO 27001:2013的證書必須要在2025年10月31日之前完成轉版稽核，否則舊版的證書就會到期或撤銷，因此，還沒有完成轉換的組織目前已剩下不到3個月的時間了，請務必要在截止期限完成才行。

ISO 27001:2022 新增的控制措施：對於想要轉換到新版證書的組織而言，最想了解的就是新版和舊版的主要改變是什麼？基本上，新版標準在管理制度方面的要求，除了新增加一個全新的條款「6.3 變更之規劃」之外 (可參考這篇文章)，最大的改變就是控制措施從原本14個控制領域調整為4個 (組織、人員、實體、技術)，控制措施的數量也整併減少為93個，但是其中卻增加了11個新的控制措施，所以接下來的文章，就逐一來說明這11個控制措施的實施重點和要求。

A.5.7 威脅情資 (Threat intelligence)

針對這個控制措施，首先我們需要先定義什麼叫做「情資」？透過以下 CREST - What is Cyber Threat Intelligence and how is it used? 這份指南所提出的，它會經過「蒐集、處理、分析」三個階段。

Source: CREST

以產生網路威脅情資為例，一開始需要蒐集的是原始資料 (Data)，可能的來源像是網路設備或防火牆所記錄的IP位址或日誌，再將這些資料導入日誌平台或透過工具進行處理，就能得到一些可疑的活動資訊 (Information)。最後，再經由適當的關聯分析和歸納，匯聚成為管理階層可以判斷做出進一步行動的決策依據，這就是所謂的情資 (Intelligence)。

如果參考ISO 27002控制措施的實務指引，它還提到了威脅情資可以分為三個層面，提供和分享給管理階層來進行評估，分述如下：

• 策略面 (Strategic)：分析威脅屬於哪一種攻擊類型？組織可依據自己的現況來建立類型 (例如主機、網路、實體、人員類)，或是參考SANS定義的三種情資類型 (內部、外部、社群或特定產業)。
  
  
• 營運面 (Operational)：分析威脅的攻擊目標主要針對哪些資訊系統？或是可能影響到內部什麼樣的資訊 (例如研發資料、客戶資料、交易資料)？
  
  
• 戰術面 (Tactical)：分析威脅所涉及攻擊者的方法，包括其採用的工具、技術、社交工程手法等。

在了解以上的情資定義和分層評估以做出決策行動之後，我們回頭來看看標準中針對這個控制措施的要求 -「應蒐集並分析與資訊安全威脅相關之資訊，以產生威脅情資。」

所以在實施方面，依據這項要求，組織必須建立威脅情資蒐集的來源，以及處理和分析的過程，並且可透過分層的方式，讓管理階層能易於掌握和理解情資的重要性，以做出決策和採取適當的行動，這樣才能讓組織真正具備預防、偵測及回應威脅的能力。

(待續...)

[分享] 如何選擇適用的雲端安全標準

上一篇文章，分享了「導入雲端安全標準前應思考的三件事」，如果您已經確認組織所提供的服務，符合了雲端運算的五個基本特徵，並且歸納出是屬於哪一種部署模式和服務型式，也清楚了組織的角色是雲端服務顧客 (CSC) 或是雲端服務提供者 (CSP)，那接下您就可以參考這一篇文章，選用適合實施和進行驗證的雲端安全標準。

Source: BSI

可實施驗證的雲端安全標準

目前國際上認可和雲端安全有關，常見並且可以實施驗證的四個標準如下：

1. ISO/IEC 27001：它是適用於各行各業的資訊安全管理標準，可協助組織建立一個資訊安全管理系統 (ISMS)，藉由執行風險評鑑來選擇適當的控制措施，定義組織要達成的資安目標，再透過定期實施的內部稽核和管理審查，讓組織秉持PDCA的精神來持續改善資安，組織必須先通過ISO 27001驗證，這是獲得其他雲端安全標準證書的基本要求。
   
   
2. ISO/IEC 27017：它是基於ISO 27002，所延伸補充的雲端服務資訊安全控制措施的實作指引 (Code of practice for information security controls based on ISO/IEC 27002 for cloud services)，可適用於四種部署模式 (公有雲、私有雲、社群雲、混合雲) 和三種服務型式 (SaaS, PaaS, IaaS)，也同時適用雲端服務顧客 (CSC) 和雲端服務提供者 (CSP) 兩種角色。換句話說，它是目前適用性最廣泛的雲端安全標準。
   
   
3. CSA STAR：它是由雲端安全聯盟 (CSA)，所推出由產業認可的雲端安全標準，本身是基於由產業工作小組所聯合發展的雲端控制矩陣 (Cloud Control Matrix, CCM)，在實施之後，雲端服務提供者可藉由完成雲端安全自評表 (CAIQ)，或委由獨立公正的驗證單位像是BSI實施稽核，讓組織來展現已達成CSA STAR Level 1和Level 2的驗證。適用的對象，通常是以提供公有雲的三種服務型式為主的雲端服務提供者 (CSP) 。
   
   
4. ISO/IEC 27018：它是基於ISO 29100的隱私框架 (Privacy Framework) 和延伸補充自ISO 27002的控制措施，提供給PII處理者於公有雲環境，依據合約或協議處理個人可識別資訊 (PII) 時可遵循的實作指引 (Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors)。這個標準是目前適用性範圍最小的，適用的對象包括提供公有雲的三種服務型式，但必須是PII處理者 (經由控制者委託處理PII) 的雲端服務提供者 (CSP)。

最簡單的評估和選擇方法

看了以上的說明，各位肯定還是眼花繚亂和一頭霧水，對吧？

別擔心，這裡介紹簡單選用的三個步驟 - 先釐清組織角色 (CSC or CSP)、確認服務類型 (SaaS, PaaS, IaaS)、選用部署模式 (公有雲、私有雲、社群雲、混合雲)，再依下列方法來選擇。

選擇一，無論您的組織是雲端服務顧客 (CSC) 或是雲端服務提供者 (CSP) ，使用或提供的是哪一種服務型式，也不管是哪一種部署模式，ISO 27017 肯定是最為適用的雲端安全標準。

選擇二，如果您的組織是雲端服務提供者 (CSP)，提供了任何一種的服務型式 ，通常部署的模式為公有雲 (Public Cloud) ，那麼選擇實施 CSA STAR 沒問題。

選擇三，如果您的組織是雲端服務提供者 (CSP)，在公有雲上提供了任何一種的服務型式，並且受到您的顧客委託 (有簽訂合約或協議)，使用雲服務來進行個資 (PII) 處理的活動，那麼您可以選擇實施ISO 27018來強化雲端服務的個資與隱私保護。

最後，再從組織角色方面，歸納出以下最簡單的判斷方式。

• 如果您是雲端服務顧客 (CSC)，只能驗證 ISO 27001 + ISO 27017。
• 如果您是雲端服務提供者 (CSP)，可以驗證 ISO 27001 + ISO 27017 + CSA STAR。
• 如果您是雲端服務提供者 (CSP)，並且也是公有雲的PII處理者，可以驗證 ISO 27001 + ISO 27017 + CSA STAR + ISO 27018。

 

[分享] 導入雲端標準前應思考的三件事

本週協助講授雲端服務資安管理主導稽核員的訓練課程，有學員詢問：「如果想要導入和驗證雲端服務的標準，那要如何確認自己是什麼樣的雲服務和適用哪一個國際標準？」

這是一個好問題，基本上，許多有興趣導入和實施雲標準的組織，最常見的情況就是不太清楚自己是真正的雲服務，還是只是傳統的網站服務，也不太知道自己是哪一種服務型式。

幸好，在雲端服務發展的初期，美國國家標準和技術研究院 (NIST) 就提出了雲端運算的定義 (NIST 800-145)，我個人喜歡把它稱之為「雲端運算的543」，組織可以利用它來評估自己是否有應用了雲端運算，而且是提供哪一類型的雲端服務。

Source: CSA Security Guidance

雲端標準導入第一步- 先確認自己是不是雲

關於雲端運算的543，其中5個基本特徵指的是:

1. 廣泛的網路存取 (Broad network access)：所提供的服務支援各種用戶端設備，包括但不限於手機、筆記型電腦、平板電腦等，基本上只要此設備上面有瀏覽器，就可以透過網路來存取雲端服務。
   
   
2. 快速且彈性的運作 (Rapid elasticity)：雲端服務的功能或資源可以快速且彈性的配置和調整，以租用IaaS的虛擬機器（VM）為例，租用雲端服務的顧客，可以依需求調整VM的數量，快速從10台擴展至50台，或是從50台減少至10台；若是SaaS的儲存服務，同樣也可以快速取得更多的儲存空間。在服務過程中，除了可自由手動配置之外，還可透過相關技術 (ex. API) 進行自動調整，如果口袋夠深，就可以實現在非常短時間內，獲得難以想像的運算能力，這是傳統IT架構比較難以達成的地方。
   
   
3. 可量測的服務 (Measured service)：雲端服務是一種租賃的服務，雲端服務顧客（Cloud Service Customer, CSC）可以透過網路取得雲端服務提供者（Cloud Service Provider, CSP）所提供的各項運算資源 (例如：儲存、運算、頻寬、線上應用服務的帳戶等)，通常可採用按次付費或按使用資源收費的方式。所以對雲端服務提供者而言，就必須提供透明化的方式，並且有能力可以監控、控制和提供報表，讓雲端服務顧客可以清楚掌握目前資源使用的情況，以及需要付出的費用。
   
   
4. 隨需的自助化服務 (On-demand self-service)：雲端服務可以讓顧客就像吃自助餐一樣，依照自己的喜好和需求來配置雲端運算的能力和資源，不需要透過雲端服務提供者的人工介入，包括申請、使用、配置功能和資源，都可以透過業者的雲端服務入口網站來達成。
   
   
5. 資源池的調配 (Resource pooling)：由於雲端服務提供給為數眾多的顧客來使用，所以會形成一種共用資源的多租戶模式 (multi-tenant model)，為了要達成上面提到的快速且彈性的擴充和運作，對於雲端服務提供者來說，就必須要有能力匯整和調配包括實體和虛擬化的資源 (例如處理器、記憶體、儲存空間及網路頻寬)，快速地提供給需要的顧客，或是由不使用的顧客端進行回收。這些資源池可能位於世界各地，讓租用服務的顧客可以快速取用，業者也可順利的回收匯整。

對有意導入和驗證雲標準的組織，第一步就是要確認自己提供或使用的服務，是否運用了雲端運算，能夠符合雲端服務的5個基本特徵。

舉例來說，如果組織提供的服務是一個官方網站，它使用了一台實體的主機 (Windows Server + IIS)，放在自己的機房，設定開放對外的網路 (TCP 80, 443 port)，提供了組織簡介和產品資訊等內容，也開放給使用者可加入網站會員，申請帳號並利用它來登入網站使用電子報的訂閱和取消功能。

雖然它可滿足了一項雲端運算的特徵 (廣泛的網路存取)，但在其他4項特徵方面如果都沒有相關的功能和機制，只能說它其實還是傳統的網站服務，並不是所謂的雲端服務，也不太適用雲端服務的標準。

當然，目前NIST並沒有定義雲端服務需要完全滿足以上5個特徵，但若只是符合其中一項或二項，然後就認為自己是雲端服務的提供者，那實在是有點牽強。既然本質上不是雲端服務，又要強求去實施雲端服務相關的控制措施，恐怕很多的控制措施都很難展現和達成，也是浪費了組織的時間和人力成本。

但是，官方網站真的不能適用和驗證雲端服務的標準嗎？

有一種情況是可以實現的，就是組織同樣提供官網和會員的網站服務，但不是放在自家建置的環境，而是租用了其他業者的雲端服務，例如跟AWS, Azure, GCP租用虛擬主機，在上面運行所提供的網站服務。

這時候，藉由租用符合雲端運算5個基本特徵的雲端服務提供者的資源，就可以對外宣稱自己的網站服務是運用了雲端運算的服務，只不過組織的角色，並不會因此就直接變成雲端服務提供者，組織本身其實是雲端服務顧客的角色。

如果組織的目的是為了強化內部使用雲端服務的資訊安全，那就可以導入和驗證適用顧客的雲端標準 (ISO 27017) 了。

雲端標準導入第二步- 提供什麼類型的雲服務

關於雲端運算的543，剩下的4和3指的是：

• 4種部署模式：公有雲 (開放給大眾使用)、私有雲 (限單一組織使用)、社群雲 (具有共同目標的族群)、混合雲 (使用兩種以上部署模式)
  
  
• 3種服務型式： SaaS 軟體即服務 (ex. M365, Dropbox)、PaaS 平台即服務 (ex. 開發環境或容器運作平台)、IaaS 基礎設施即服務 (ex. VM)

若是確認了自己的服務已具備雲端運算的基本特徵，接下來請問問自己，採用的部署模式是什麼？所提供的是哪一類型的雲服務。

雲端標準導入第三步- 釐清自己的角色

如果您的組織和Microsoft、Google、Amazon一樣，提供各式各樣的雲服務給大家使用，並且滿足雲端服務的5大特徵，您就是「雲端服務提供者 (Cloud Service Provider, CSP)」。

如果您的組織單純只是使用現有的雲服務，例如：M365, GCP, AWS EC2等，那您就是「雲端服務顧客 (Cloud Service Customer, CSC)」。

如果您的組織像是儲存服務的業者Dropbox，在底層的儲存空間租用了AWS S3服務 (IaaS)，並且利用它來打造成為自己的檔案儲存應用服務 (SaaS)，此應用服務也藉由自己提供的機制符合了雲端運算的五大特徵，那麼您就是同時兼具了雲端服務顧客 (面對AWS)，同時也是雲端服務提供者 (面對Dropbox顧客)的角色。

最後，如果您已完全清楚了以上三件事，下一篇文章將告訴您如何選擇適用的雲端服務國際標準。

[分享] 製造業的資安管理重點

上週到新竹某個高科技製造業公司，擔任 ISO 27001 Lead Auditor 的課程講師，現場有參與課程的學員問到，對高科技製造業者來說，需要考量的資安管理重點是什麼？

一般來說，高科技製造業的資安管理，至少需要涵蓋以下三個層面：

1. 生產製造：建立機台相關控制系統的存取控制、網路管理及端點裝置防護的流程；

2. 內部系統：實施基礎設施的實體安全管理、強化內部系統安全 (ex. MES, ERP) 及資料保護的控制措施；

3. 外部服務：針對供應商和供應鍊的安全管理，以及使用外部提供的新興科技服務 (ex. Cloud, AI) 的管控機制。

另外，除了定期實施一般人員的資安訓練，防範社交工程和釣魚郵件的威脅，強化最高管理階層的資安認知也是必要的工作，唯有最高管理階層具備資安風險管理的觀念，才有辦法帶領組織和員工落實資訊安全的要求。

[證照] 通過CCSK v5考試

趁著最近在講授ISO 27017和ISO 27018課程的空檔，總算把先前花了錢購買了考試代幣，但是拖了很久沒動的CCSK v5考試給完成了。 

跟我上一次考的CCSK v3相比，CCSK v5的考試總算是對考生比較友善了，題目內容不長且難易適中，只要閱讀和利用CSA提供可免費下載的「CCSK Offical Study Guide」，應該就能順利通過考試，當然比較保險的話，把「Security Guidance (對岸有簡體中文版可下載)」也看過一遍，對於整體的雲端安全觀念會更加完整。

對於考試有興趣的夥伴們，可直接到CSA官網下載「CCSK v5 Prep Kit」，裡面提供很豐富的資訊 (包括上面提到的 Offical Study Guide 和 Security Guidance)，以下則是利用AI彙整的考試說明，請參考。 

CCSK 考試注意事項

• 考試形式：考試是線上進行的開卷考試 (Open book)。 

• 考試結構：考試包含 60 題多重選擇題，每個題目都是單選題，這些問題是從題庫中隨機選取的，因此每次考試的問題不一定相同。 

• 時間限制：CCSK v5 考試的時間限制為 120 分鐘，考生可以先註記困難的題目，最後再回頭作答。

• 通過分數：考試的最低通過分數是 80%。 

• 考試次數與代幣費用 (Standard Exam Token)：一個標準考試代幣的費用是 $445 美元，包含最多 2 次考試機會，如果你在第一次嘗試時失敗了，沒有強制規定需要等待多久才能參加第二次考試，但建議在失敗後花時間重新學習一下不熟的知識領域。 

• 考試時間與地點：考試不需預約特定的考試日期，因為是線上考試，可以隨時自行安排並使用自己的電腦，你也不需要到考試中心參加考試。

• 考試結果與檢討：考試結束之後，結果會立即知道，通過就可以取得電子版的證書。為了維護考試的完整性，考試平台不會提供你答錯的具體題目答案，但是，平台會顯示每個領域的題目數量，以及你在每個領域答對的數量，這有助於考生了解哪些知識領域需要加強學習。