[觀點] 解析資訊安全控制措施(七) - 存取控制的資安要求(上)

上一期談到了ISO 27001中有關通訊與作業管理的各項控制措施，接下來將說明附錄A.11存取控制的資安要求，包括了使用者的存取管理與應有的安全責任、網路與作業系統的存取控制，以及應用系統的存取控制等。

在協助組織規劃有關資訊安全管理的策略時，經常會提到一個俗稱為「PPT」的思考架構，它是指人員(People)、流程(Process)、技術(Technology)，也就是說在資安管理的要求方面，基本上會涵蓋此三個層面：包括需要依照組織營運目標與資訊安全政策，透過教育訓練來讓所有員工了解並落實其應有的安全責任；依照各單位業務屬性不同，訂立各項安全的作業流程，並留下相關的作業記錄；以及透過各項資安技術的協助，來偵測防禦可能來自內部與外部的各項威脅。

因此，針對資訊的存取控制方面，它也是一個很好的參考指標，像是在人員方面的存取控制要求，我們的思考重點在於如何確保資訊只能讓已經過授權的人員才可存取，如何讓人員了解並落實存取資訊時應盡的使用者責任；在流程方面，則是要確保所有的資訊存取，是否都是基於營運所需的安全要求，是否以文件化方式建立了各項和資訊存取有關的政策；至於在技術方面，針對網路、作業系統與應用系統，是否劃分了安全邊界，是否進行良好的使用者身分識別，並且賦予適當的連線控制，以上這些都是組織資安管理的重點。

[提醒] 又接到詐騙電話，請注意個資外洩的問題

最近在一家新成立不久的網路書店買過書，就在今天下午5點半左右，我接到一通聲稱是該公司服務人員的電話(+022752-4815)，其實在電話號碼前出現+號，除非您有很多老外朋友，否則往往就是讓人覺得可疑的地方，不過死豬不怕燙的我，還是接了起來，在吵雜的背景音下，一開始對方感謝我在網站上購書，說最近又到了很多新書，要我有空可以多上去逛逛。

但接下來話鋒一轉，她正確地說出我曾在何時購書、金額是多少，以及是在哪家超商取貨，然後就是典型的詐騙說詞，聲稱雖然我是在超商付款，但是因為人員作業疏失，導致分期重複扣款等等(真不知都已付現了，是要怎樣分期...)。

[觀點] 解析資訊安全控制措施(六) - 通訊與作業的安全管理(下)

上一期我們針對ISO 27001中有關系統規劃管理與網路服務的安全監控，談到了如何降低系統可能出錯的風險，以及網路服務與資訊媒體的控管要求，本期將說明電子商務的安全和系統監控的重要性。

隨著網路應用的蓬勃發展，電子商務已經是一種普遍的業務營運型態，尤其是線上購物更是百家爭鳴的市場，根據資策會的調查顯示，台灣在電子商務的B2C市場規模，在2009年即突破新台幣2000億元，預估至2015年台灣電子商務整體的市場規模將超過1兆元。

[分享] 強化帳戶安全 - Google提供中文化兩步驟身分驗證

如果您是一位資訊工作者，由Google所提供的Gmail、Google doc、Google+等多項應用服務，想必已是每天都不可或缺的工具之一。即使是一般的普羅大眾，在生活中透過電子郵件的往來，信件內容也會包括許多和個人有關的資訊，像是電子帳單、保險資料、網路購物記錄，甚至是電子情書等。

因此，除非您是一個完全沒有秘密或不在乎隱私外洩的人，一旦個人所使用的Google帳號被竊了，勢必會對生活造成非常大的困擾。鑑於這項風險，Google針對使用者的身分驗證方式，推出了兩步驟驗證服務(2-Step Verification)。

[活動] 終結個資外洩之亂研討會

個人認為，參加研討會活動是獲得資訊和認識朋友最快的方法，雖然許多研討會為了能夠順利舉辦，往往需要廠商的協力贊助，所以在內容上面，免不了也會加入相關產品的介紹。不過，為了吸引參加者，研討會也會邀請一些業界的先進，來分享其個人專業或經驗上的知識與心得。