上次介紹了雲端控制矩陣針對法規遵循與資料治理的要求,並一一說明了對應的安全控制措施,接下來將繼續說明控制區域中的第三項設備場所安全,以及第四項人力資源安全的各項控制做法。
FS-04 設備場所安全之安全區域授權
這個控制措施是要求針對場所的入口和出口,必須限制只有經過授權的人員才可進出,並且具備安全的監控措施。建議雲端服務供應商可以配合FS-03的要求來一併進行,也可參照FS-02中所提到的ISO 27001標準「A.9.1.2實體進入控制」,在所有的進出管道,進行人員身分的確認。
FS-05 設備場所安全之未授權人員入口
這個控制措施是要求對於雲端服務區域中,所有未授權人員可能進出的管道,需要實施安全監控,如果可能的話,針對資料儲存設備與處理的設施,也要進行隔離和限制,以避免不當的資料遺失或外洩。
在實務方面,除了同樣可以依照FS-03的控制要求來進行之外,也可依據ISO 27001標準的「A.9.1.6 公眾存取、遞送和裝貨區域」,要求辦公處所若需要收發或裝卸物品,則設置收發室櫃台來統一收件,不讓外部人員可未經控管就能直接進入,若相關物品卸載之後需要移至使用的地點,也可設置廠商設備的檢查區及裝卸區,經過適當的檢查之後才放行。
FS-06 設備場所安全之外地授權
為了確保在組織之外的場所,相關的軟硬體設備和儲存的資料也能獲得安全保護,這個控制措施要求當設備和資料需要移至外地時,必須事先獲得管理階層的授權。實務方面,在FS-01的設備場所安全政策中,就要定義包括設備和資料移轉,以及資產變更管理的要求。
若依據ISO 27001標準,則可參考「A.9.2.7資產的調動」要求,在資產的使用與調度方面,所有的資訊設備、軟體,相關物品的攜出和攜入都需要事先授權;以及參照「A.10.1.2 變更管理」,除了所有變更事項都要取得主管的授權之外,特別要注意的是務必保存相關的變更紀錄,包括作業核准的程序、重大變更事項的識別和紀錄、變更規劃與測試計畫,以及萬一在變更不成功時,如何中止並進行復原的程序等。
FS-07 設備場所安全之外地設備
針對位於組織外的場所和設備,這個控制措施要求必須要有相關的政策,並且規範資產的使用、維護和安全處置的程序,以確保相關設備的安全。對於此項要求,可依據ISO 27001標準中的「A.9.2.5 場所外設備安全」,要求組織的資訊設備,在攜出辦公場所外使用時,應注意其在不同場所可以面臨的威脅與安全風險。
例如筆記型電腦在外部使用時,小心可能遭竊的問題,避免留置在遠離視線可及之處,在技術方面也可使用硬碟加密,以強化敏感資訊的安全。另外,目前普遍使用的智慧型手機、USB隨身碟等,也要訂立相關的使用辦法,並訓練員工能夠理解及遵守,以避免不當的資料遺失或外洩。
對於設備的處置,則可參照「A.9.2.6 設備安全的處置和再利用」,要求資訊處理設備在轉移給其他單位或重新交由其他員工使用時,所儲存的資料和安裝的應用軟體都要清除。針對要汰換的硬碟等儲存設備,如果曾經存放過敏感資料,建議採取實體破壞的方式,以避免資料可能再次被還原。
FS-08 設備場所安全之資產管理
針對重要的資產,這個控制措施要求應建立文件化的資產清單,並且指定資產的擁有者。對此,可參照ISO 27001標準「A.7.1.1 資產清冊」的要求,清查盤點和雲端服務有關的資產。
實務方面在進行盤點時,建議事先設定資產的類別,例如區分為資訊類(電子檔、紙本)、人員類(內部、外部)、軟體類(套裝、自行開發)、實體類(電腦設備、辦公處所)、服務類(電力、網路)等,仔細清查每一筆資產的型式、位置、數量、擁有者、使用者、保管者和營運價值,最後彙整成一份組織的資產清冊,並依據「A.7.1.2 資產的擁有權」的要求,指定實際上能夠控制資產的處理、發展、使用和安全的個人或部門作為擁有者,要求負起資產的保管責任。
人力資源安全之控制措施
對公有雲端服務的使用者來說,雲端服務就是一項委外服務,也就是必須將組織的資料或應用系統架構在雲端服務供應商所提供的環境之中,因此有一項風險會來自於服務供應商的人員,因為具備了存取或接觸資料的管理權限,如果沒有實施適當的安全控制,就可能危害到重要資料的安全。
在雲端控制矩陣的第四項控制區域,主要就是針對雲端服務供應商的員工和利害關係人,要求實施必要的安全管控,以確保雲端服務的安全,在此共有3個控制措施,分別說明如下。
HR-01 人力資源安全之背景審查
這個控制措施是要求依照當地的法令和合約要求,針對包括雲端服務供應商的應徵者、合作夥伴與相關的第三方人員,依據其可能接觸機密資料的比例、業務要求及可接受的風險等級,進行適當的背景查核。
建議雲端服務供應商可參照ISO 27001標準的「A.8.1.2篩選」控制措施,針對這項要求制定人員篩選的作業程序,說明將由何人、何時、何種方式來進行查核確認的工作。在進行背景審查時,則務必徵求應徵者本人的同意,並遵守個人資料保護法及隱私權的要求,再針對像是人員的學經歷資料、專業資格及信用記錄等進行查核。
HR-02 人力資源安全之聘僱協議
這個控制措施是要求在賦予人員對於場所設施、系統或資料的實體或邏輯上的存取權限之前,必須簽署與聘僱關係或服務合約相關的協議和使用條款。在實務方面,雲端服務供應商可以在聘僱合約中加入保密協議的要求,並且對人員實施基礎的資訊安全意識的教育訓練,再依照其職務角色或可接觸的機密等級,個別實施必要的安全訓練。
針對保密協議,則可參照ISO 27001標準「A.6.1.5 機密性協議」的做法,定期地識別並審查對各項資訊保護的要求,評估協議的內容是否適當,再將它納入需要簽署的保密協議之中。
至於聘僱合約則可依據「A.8.1.3 聘僱條款與條件」,事先擬定必要的資訊安全條款與保密切結書等文件,並向相關人員說明,取得其同意和簽署之後,才可授權讓其存取組織的資料和使用資訊處理設施。
HR-03 人力資源安全之聘僱終止
這個控制措施是要求針對員工的聘僱終止或聘僱程序的異動,應指派相關人員的角色與責任,保持良好的溝通並且留下文件化的記錄。在實務方面,一旦雲端服務供應商有人員職務終止的情況,就必須依照人力資源政策中的相關流程來進行,至於在客戶方面,則由其對自己所創建的使用者帳戶負責管理。
在ISO 27001標準中,可依照「A.8.3.1 終止責任」的做法,針對人員的轉調或離職,指定專責的單位和人員來處理,一般而言,可藉由人力資源部門來進行相關人員的終止程序,以確認符合了聘僱條件與合約的要求。
<本文作者:花俊傑,曾任IT雜誌主編、資安顧問,擁有CISSP、CISA、CISM、CEH、CCSK、CIPP/IT等國際認證,自詡為資安傳教士,樂於分享資安心得,讀者可透過jackforsec@gmail.com與之聯繫。>