上一期我們說明了在雲端控制矩陣之中,有關法律議題與營運作業時應實施的安全要求,並且要從整體雲端服務的角度來評估可能的風險,本期將說明有關發行安全管理和災難回復能力之要求。
在雲端控制矩陣中的第九項是有關發行管理的要求,它是針對雲端服務的營運中,評估是否存在相關的變更管理流程與機制。
發行管理之安全要求
一旦與雲端服務有關的營運事項有所變動時,服務供應商必須要有能力識別並且實施計畫性的更動,同時也要評估發生災難時可能帶來的衝擊,以及擬定必要的復原程序。
以下將說明發行管理中的5個控制措施,以及所對應ISO 27001的標準內容與實務建議。
RM-01 新開發與取得要求
這項控制措施是要求對於新的應用程式、系統、資料庫、基礎建設、服務、操作和設施的開發或取得,必須建立管理授權的相關政策和程序,也就是在一開始評估與規劃時,即考量所需的安全要求。
在ISO 27001的標準中,可以參照「A.12.1.1 安全要求分析與規格」之要求,了解新的資訊系統對組織整體營運的重要性為何?評估系統萬一失效或受到入侵時可能產生的安全風險?所需要的資安防護層面有哪些?如果系統本身無法達到所需的安全強度,是否可尋求其他的配套措施來降低風險?
另外,在「A.6.1.4 資訊處理設施的授權過程」中提到,組織大都會採購資訊相關設備,並且給予員工在作業時使用,為了確認這些新設施能夠符合資訊安全的要求,因此有關資訊設備的使用,必須先取得管理階層的核准,換句話說,組織應明訂此一授權程序和流程,才可確保符合了資安政策的要求。
RM-02 生產之變更
如果組織所提供的雲端服務,需要進行與生產環境有關的變更,變更的項目一般包括了軟體和硬體,像是應用程式、系統、資料庫、網路裝置等,可能變更的內容則涵蓋了安裝修補程式(patches and service pack)和其他的更新與修改,因此這項控制措施要求在變更進行之前要先獲得主管授權,採取文件化方式的流程並且進行測試。
有關的生產變更之要求,可以參考「A.10.1.2 變更管理」,以確保和資訊處理設施與系統有關的變更事項,都能夠受到妥善的管理控制。實務方面,除了所有的變更內容務必要取得主管的授權之外,特別要注意的是務必保存相關的變更記錄,包括作業核准的程序、重大變更事項的識別和記錄、變更規劃與測試計劃,以及在變更失敗時,如何中止並進行復原的程序等。
此外,在「A.12.5.1 變更控制程序」中也提到,針對資訊系統的變更,需要制訂正式的變更程序才可進行,也就是說重點在於整個過程都需要有適當的監控,因此最好的作法是有文件化的變更作業程序,同時依據之前A.10.1.2變更管理的相關要求來實施。
RM-03 品質測試
這項控制措施是要求組織中所有的軟體開發,都必須建立系統化的監督和評估計畫,以確保達到品質標準的要求。針對資訊系統的更新和版本變更,都要以文件化方式進行,在系統開發和被採用之前,也都要事先進行安全測試。管理階層需要有足夠的能力來監督品質測試的過程,以確認符合當初的開發目的,並且在釋出上線之前解決可能發生的問題。
對此,可以參考「A.10.1.4 開發、測試與運作環境的區隔」之要求,也就是應分隔在開發、測試和運作所使用的資訊設施,以避免因設備的誤用或資訊的不當修改,而產生不必要的風險。
在實務方面,針對應用程式的開發,務必要備妥開發流程、測試和上線運作的程序文件,同時,所使用的資訊軟硬體設備,也要加以適當的區隔,不在同一個環境上進行,也不將資訊存放在相同的儲存媒體中。特別是要避免使用正式的上線環境和營運資料進行測試,以免影響日常的營運。
在系統完成更新之後,可依照「A.12.5.2 作業系統變更後的應用程式技術審查」之要求來進行審查測試,以確認不會影響到組織的作業或其他關鍵系統。換句話說,只要有系統進行了變更作業,就要對應到後續的技術審查過程,而且所有更新作業與運作情況,都需要留下適當的記錄才行。
RM-04 外包之開發
這項控制措施是要求針對所有外包軟體之開發,必須建立系統化的監控與評估計畫,以確保符合品質標準之要求,同時所有外包的軟體開發,都應受到組織的管控和安全要求,包括了開發環境需經過合格人士的獨立審查,開發人員需接受安全認證訓練,以及進行原始碼的檢測等。至於相關的安全認證則要符合ISO 17024之認證規範,或是符合當地法定認可機構所頒發的執照與認證。
針對此項安全要求,在「A.12.5.5 委外的軟體開發」中提到,服務供應商若選擇委外廠商來進行軟體開發,就必須要加以適當的監督,確認其遵守了組織的安全政策,這部份同時可參照「A.10.2 第三方服務交付管理」的要求,實務上更建議組織應將安全要求明列在所簽訂的委外合約之中。