ISO 27001 資訊安全管理系統 雲端控制 法規遵循 資料治理

評估設備場所與人力資源 確保雲端服務安全可信

2013-08-15
上次介紹了雲端控制矩陣針對法規遵循與資料治理的要求,並一一說明了對應的安全控制措施,接下來將繼續說明控制區域中的第三項設備場所安全,以及第四項人力資源安全的各項控制做法。
對雲端服務供應商而言,如果已經導入並取得了ISO 27001資訊安全管理系統的認證,那麼將相關的資訊安全控制要求,也涵蓋到所提供的雲端服務範圍之內,將是組織最容易強化雲端安全的做法。

目前,在雲端控制矩陣中的每一項控制措施,都可直接對應至ISO 27001的標準,因此建議組織將ISO 27001標準的實務做法,回應至雲端開放認證架構的第二層要求,在未來若想要通過第三方的獨立稽核時,就可達到事半功倍的效果。

設備場所安全之控制措施

雲端控制矩陣的第三項控制區域是有關設備與場所安全的要求,它一共包括了8個控制措施,分別說明如下。

FS-01 設備場所安全政策

這個控制措施是要求對於辦公室環境、資訊設施及安全區域,必須建立相關的安全政策與作業程序,以維護這些設備場所的安全。實務上可行的做法是對於場所的進出都要有適當的管控,例如必須使用門禁卡,要求所有訪客必須登記並配載識別證才可進出等。

如果雲端服務供應商已經導入ISO 27001標準,則可以參照「A.5.1.1安全政策」的要求,說明資訊安全的重要性以及實施場所範圍,經由管理階層核准之後,公布傳達給所有員工和相關人員;並依據「A.9.1.3保護辦公室、房間和設施安全」的控制措施,對於重要的資訊處理設備,應避免放在公眾可觸及的地方。

或者參照「A.9.1.5在安全區域工作」的要求,制訂在安全區域內的工作規則,例如除非經過授權,才可在安全區域使用照相機、錄音錄影等設備,尤其敏感區域可視需要禁止攜入可拍照的手機,並對員工提供適當的說明。

FS-02 設備場所安全之使用者存取

這個控制措施是要求針對資訊資產的實體存取,應該要依據相關人員的職務和支援上的需要,進行適當的限制。實務上建議的做法,可以依據人員的職務賦予所需的最小權限,限制只有必要的人員才得以進入安全區域,並且實施多因素的身分驗證機制。

另外,也可參照ISO 27001標準「A.9.1.1實體安全邊界」的要求,藉由圍牆、門禁刷卡系統、或是大門設置接待人員,來保護區域內資訊與資訊處理設備的安全;或依據「A.9.1.2實體進入控制」,當訪客要進入辦公處所時,應該在接待櫃台進行登記,並記錄進入和離開的日期和時間,同時也要求其配戴訪客識別證,即使是在同一棟大樓裡活動,樓層入口也應有適當的管制,像是刷卡才可進入。若要進入資訊機房,更必須事先獲得授權且有人員陪同,告知並要求其遵守有關資訊安全的規定。

FS-03 設備場所安全之存取點控制

這個控制措施是要求實體環境的安全邊界,必須要有清楚的劃分,並且針對敏感資料和資訊系統實施安全的保護。

實務方面,建議雲端服務供應商可以對關鍵的資訊系統,包括從進入時的門禁管制,到存取系統時的多因素身分認證(以帳號密碼並搭配如指紋等生物辨識方式),實施多重的存取控制。或是依據ISO 27001附錄「A.9.1.1實體安全邊界」的要求,在劃分公共區域與安全區域時,依照所評估的風險等級來決定所實施的控制措施。

例如內部專用的會議室與提供給訪客的休息區,在控管的程度一定有所不同,不一定都要強制採刷卡方式才能進入;而辦公區域的大門,一般都會設有門鎖,或是經過保全人員確認身分之後才可通行;公共進出的通道則要採取明顯的標示說明,針對無人的區域則設置防盜系統或監視器等。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!