上一期談到了ISO 27001中有關通訊與作業管理的各項控制措施,接下來將說明附錄A.11存取控制的資安要求,包括了使用者的存取管理與應有的安全責任、網路與作業系統的存取控制,以及應用系統的存取控制等。在協助組織規劃有關資訊安全管理的策略時,經常會提到一個俗稱為「PPT」的思考架構,它是指人員(People)、流程(Process)、技術(Technology),也就是說在資安管理的要求方面,基本上會涵蓋此三個層面:包括需要依照組織營運目標與資訊安全政策,透過教育訓練來讓所有員工了解並落實其應有的安全責任;依照各單位業務屬性不同,訂立各項安全的作業流程,並留下相關的作業記錄;以及透過各項資安技術的協助,來偵測防禦可能來自內部與外部的各項威脅。
因此,針對資訊的存取控制方面,它也是一個很好的參考指標,像是在人員方面的存取控制要求,我們的思考重點在於如何確保資訊只能讓已經過授權的人員才可存取,如何讓人員了解並落實存取資訊時應盡的使用者責任;在流程方面,則是要確保所有的資訊存取,是否都是基於營運所需的安全要求,是否以文件化方式建立了各項和資訊存取有關的政策;至於在技術方面,針對網路、作業系統與應用系統,是否劃分了安全邊界,是否進行良好的使用者身分識別,並且賦予適當的連線控制,以上這些都是組織資安管理的重點。
上次談到了ISO 27001中有關網路、作業系統、應用系統的存取控制要求,藉由部署適當的控制措施,可降低組織的安全風險,接下來將說明標準中有關資訊系統取得、開發與維護的安全要求。
CSA已正式發布了「Security Guidance for Critical Areas of Focus in Cloud Computing v3.0」,除了有部份內容經過改寫,特別強調「security、stability、privacy」這三點之外,新版大致上的架構仍是維持不變的,主要有更新的地方,包括新增加一個 Domain 14: Security as a Service,在Domain 3 和 Domain 5 的名稱也作了調整如下:
之前已針對ISO 27001中有關通訊與作業安全的控制措施,談到了監控資訊作業的相關活動和第三方的服務管理,本篇將繼續說明在此控制項目中的其他要求,以及在實務方面可以應用的管控作法。
上一期談到了ISO 27001中有關存取控制的營運要求,組織需要建立存取控制的政策和使用者的存取管理,包括像是註冊要求、密碼管理和確保無人看管設備的安全責任等,接下來將說明和網路、作業系統、應用系統的存取控制要求。
上一期談到了ISO 27001中有關通訊與作業管理的各項控制措施,接下來將說明附錄A.11存取控制的資安要求,包括了使用者的存取管理與應有的安全責任、網路與作業系統的存取控制,以及應用系統的存取控制等。
