上一期,我們說明了雲端控制矩陣中,關於資安事故回應處理、網路安全控制,以及行動裝置與原始碼存取之管控,本期將繼續說明在雲端控制矩陣中,有關法律議題與營運作業時應實施的風險管理。
有效落實雲端風險管理
在ISO國際標準之中,計畫(Plan)、實施(Do)、監督(Check)、改善(Act)是確保持續營運與降低可能風險的最佳實務架構。因此,組織在管理有關雲端服務的工作時,若能秉持PDCA的精神,並且融入在各項作業程序之中,就能夠降低風險並且讓服務品質更加地精進。在雲端控制矩陣中對於風險管理,也提出了以下五個重要的控制要求。
RI-01 風險管理之計畫
對於雲端服務可能隱含的風險,組織應發展或維持一個風險管理的框架,讓風險可被降低至可接受的水準。對於此項要求,可參考ISO 27001本文4.2.1所提到,依據組織營運、組織、所在位置、資產和技術等特性,定義出資訊安全應受到適當控管的範圍,例如可以部門、系統、業務項目或實體環境來定義所要實施風險控管的範圍,並且建立所需的風險處理計畫。
RI-02 風險管理之評鑑
針對與組織營運有關的風險,這項控制措施要求應至少每年一次進行正式的風險評鑑,以質化或量化的方式,識別所有可能發生和造成業務衝擊的風險。組織可以透過稽核的結果、威脅與弱點分析,以及法規的要求等,建立風險管理的全貌,掌控組織可能隱含或殘餘的風險。在實務方面,建議參照ISO 27001本文4.2的條款內容,界定組織的風險評鑑作法,並定義風險可以接受的等級。在標準之中對風險評鑑方法的要求,在於風險評鑑後所產出的結果,必須是可比較且可再產生的,換句話說,風險評鑑的方法,必須能夠重複地使用,尤其是在不同時期所進行的風險評鑑,其結果都可用來進行相互分析比較,作為未來風險處理與改善的參考。
RI-03 風險管理之消除與接受
一般來說,風險評鑑的過程是從識別可能的風險開始,再依據其發生的可能性與衝擊,計算出風險值並賦予其適合的風險等級,最後選擇可實施的風險控制措施,以降低風險至可以接受的水準。這項雲端控制即是要求所有風險都需要控制至可接受的程度,而可接受的風險水準,則是基於合理的時間處理與管理階層的核可。對此,ISO 27001本文的4.2條款提到,在完成了風險處理之後,所殘留下來的剩餘風險,都必須要取得管理階層的授權與核可,整個的風險處理過程才算完成。
RI-04 風險管理之業務與政策改變衝擊
雲端服務供應商在完成了風險評鑑之後,風險評鑑的結果應該要更新至安全政策、程序與相關的控制措施,以確保其持續的有效。在ISO 27001方面,此項控制可參照ISO 27001本文的4.2.1條款,在制定政策的時候,就需要考量營運與相關法規的要求,還有合約中所制定的資訊安全責任,像是法律要求必須要保障個人隱私、保護重大營運資訊,或是合約中要求必須保護客戶資料等,這些都是設定資安目標時的重要依據與參考。因此,定期實施的風險評鑑,可為組織政策的修訂與更新,提供了一個有效的輸入來源,也就是說,依據風險評鑑的結果,可以進一步更新政策要求,以確保各項風險受到了良好的管理。
RI-05 風險管理之第三方存取
在雲端服務中有關第三方的存取行為,是一項明顯可識別的風險來源,在雲端控制矩陣裡,要求所有存取組織資訊系統與資料的行為,都應該被識別監控,同時評估若有不適當的存取時,可能帶來的業務風險與衝擊。換句話說,在提供這些服務供第三方存取之前,就要優先實施補償性的控制措施,以降低存取行為的安全風險。在ISO 27001方面,可以參考附錄「A.6.2.1 與外部團體相關的風險之識別」,要求透過風險評鑑的過程,找出外部團體對組織資訊的處理和使用時,可能存在的資訊安全風險,像是可存取的資訊類型、人員的識別與授權是否適當等。另外,也可參考「A.8.3.3 移除存取權限」,要求所有員工、承包商和第三方使用者,對於資訊、資訊處理設施的存取權限,應在聘僱、合約或協議終止時移除,或依變更進行調整。最後,還可依據「A.11.1.1 存取控制政策」,基於營運相關的存取安全要求,使用者可能接觸資訊的安全等級,以文件化的存取控制政策,說明如何去配置其存取權限,並以組織整體的營運風險作為優先考量。
<本文作者:花俊傑,曾任IT雜誌主編、資安顧問,擁有CISSP、CISA、CISM、CEH、CCSK、CIPP/IT等國際認證,自詡為資安傳教士,樂於分享資安心得,讀者可透過jackforsec@gmail.com與之聯繫。>