在雲端控制矩陣中的第五項「資訊安全」,它是整體雲端服務的管理重點,一共包含了34個控制措施。在這些控制措施之中,從高階管理階層的要求開始,同時也兼顧了技術面的安全要求,因此它能夠協助組織建立整體的資安管理架構,以強化所提供雲端服務的資訊安全,以下將說明第11至21個控制措施的要求和所對應ISO 27001標準的內容。
另外,附錄「A.8.2.1 管理階層責任」也提到,應要求員工、承包商和第三方使用者,依照組織所建立的政策和程序來履行安全事項。在實務方面,也可參照「A.11.2.4 使用者存取權限的審查」,要求管理階層定期地針對使用者的存取權限進行正式的審查,因此,建議在存取控制政策中即明訂組織將定期(例如三個月或半年一次)在人員的職務變更之後,實施權限審查與重新配置,以維持對於資訊和系統服務存取的有效控制。
IS-15 資訊安全之權責區分
這個控制措施是要求在安全政策、流程以及作業程序之中,應納入實施和確保適當的職責區分要求,如果在某些情況中存在使用者角色的利益衝突,就必須要實施相關的技術控制,以消除組織的資訊資產,可能受到未經授權的更改與誤用濫用的風險。
在ISO 27001方面,可參照「A.10.1.3 職務區隔」之要求,避免某些工作職務皆由同一個人來進行(例如會計和出納),以確保不會有人可以一手遮天,有能力侵佔款項後同時竄改紀錄。
在實務方面,如果公司規模不大且人員數量不多,可能很難做到完全的職務劃分,這時候可以選擇其他的配套方法,像是妥善保存作業活動上的監視紀錄,以及經常實施獨立的安全稽核,並且配合實施人員的教育訓練等,盡可能的來降低資訊安全風險。
IS-16 資訊安全之使用者責任
除了管理階層的監督與要求之外,使用者也有其應盡的安全責任,在這個控制措施中提到,應該讓使用者意識並察覺其應有的安全責任,包括了遵守適用的法令法律與工作規定,維持一個安全的工作環境,以及離開工作區域時應妥善保護所持有的資訊資產。
在實務方面,可以參考ISO 27001附錄「A.11.3.1 密碼的使用」,要求使用者一旦獲得其系統使用的帳號密碼,在使用方面就必須按照組織要求的安全規定,像是避免使用不安全的懶人密碼,選用一定長度以上、大小寫數字混合的嚴謹密碼,並要求定期進行密碼的變更。
IS-17 資訊安全之工作區域
一般而言,工作區域屬於所有員工都要負起共同安全責任的地方,這項控制措施要求保護工作區域中可見並包含敏感資料的文件,以及所使用的資訊系統在閒置或未使用時應登出,並且也要明訂相關的安全政策與作業程序。對於此項要求,可依據ISO 27001附錄「A.9.1.5 在安全區域工作」,對於組織所劃分出的安全區域,制訂所需的安全工作規則,並對員工提供適當的說明,依職務了解其可以進行的相關活動。
此外,對於需要使用的無人看管設備,可依照「A.11.3.2 無人看管的使用者設備」來要求實施適當的保護,例如一些公共區域使用的電腦,在一定閒置時間或結束使用時會強制終止其現有連線,或是設定有密碼保護的螢幕保護程式,以避免受到未經授權的使用。
IS-18 資訊安全之加密
在雲端服務之中,資料本身的安全防護是無法忽視的重點,這個控制措施是要求對於儲存在資訊設備或媒體中的資料(例如檔案伺服器和行動裝置),以及跨越不同系統或公用網路的資料傳輸時,必須依照訂定的安全政策與作業程序來實施加密。
對此,可參照ISO 27001的「A.10.8.3 運送中的實體媒體」,要求對於含有敏感資訊的媒體,在進行運送時需要依照安全程序來進行,例如確認運送人員的身分、保留運送過程的紀錄、使用安全的運送方式等。
另外,也可參照「A.10.9.2 線上交易」,在網路連線過程中採用SSL加密機制或其他的加密通訊管道,必須使用安全的通訊協定,以避免所傳輸的資訊會受到來自其他公眾網路的存取。
至於加密的政策方面,可參考「A.12.3.1 使用加密控制措施的政策」,針對與營運或是個人隱私有關的敏感資訊,依照組織的風險評鑑結果,制訂統一的加密政策,說明將會採取何種加密技術或控制方法來保護這些資訊。
例如包括智慧型手機等行動裝置,或是可移除式的媒體像是行動硬碟、隨身碟等,針對這些設備的使用、授權方式及加密做法,都應該在相關政策或作業程序中加以說明。
IS-19 加密之金鑰管理
為了確保組織的加密機制能夠有效落實,這個控制措施是要求建立金鑰管理的相關政策和作業程序,實務方面可以參考ISO 27001附錄「A.10.7.3 資訊處置程序」,要求在組織之中,只要是和營運活動相關或敏感性的資訊需要處理,就應該建立其處理和儲存程序,以確保資訊不會受到不當的揭露和誤用。
另外,也可參照附錄「A.12.3.2 金鑰管理」,要求在金鑰管理的生命周期中,從金鑰產生、分派、儲存、更新、廢止到銷毀等,都要有完整的作業程序作為基礎,同時,只要是和金鑰有關的作業活動,都需要保留完整的紀錄,以便進行後續的安全稽核。
IS-20 弱點與漏洞修補管理
針對應用系統和網路設備可能的安全弱點,這個控制措施要求應基於風險管理的做法,定期地評估並且及時地採取修補行動,以降低可能的安全風險,相關的實施做法,也應明訂在安全政策和作業程序之中。
在ISO 27001方面,可以參照「A.12.6.1 技術脆弱性控制」的內容,要求組織能夠及時取得和弱點有關的資訊,並採取對應行動來降低因被公開的安全弱點而遭受到不必要的攻擊。
實務的做法為建立一份完整的資訊資產清冊,詳細記載應用系統和網路設備的相關資訊,例如版本、廠商、部署狀態、負責人員等,並與廠商保持溝通連繫,以掌握可能的安全風險與現況。至於在作業程序方面,可參考「A.12.5.1 變更控制程序」,針對資訊系統的變更,必須制訂正式的變更程序才可進行,並且要求整個修補的過程,都需要有適當的監控並且留下紀錄。
IS-21 防毒程式與惡意軟體
針對常見的病毒事件,這個控制措施是要求必須確保所有的防毒程式,都有能力去偵測、移除、保護未知的惡意攻擊,並且需要在每12個小時內更新防毒程式的病毒碼。
在ISO 27001方面,則可參照「A.10.4.1 對抗惡意碼的控制措施」,在系統上安裝防毒軟體並定期地更新病毒碼,以確保防毒軟體能夠有效運作。此外,在政策方面,可要求使用者不可任意自網路下載未經授權的軟體並進行安裝,也要實施教育訓練讓使用者有足夠的安全認知,降低來自網路和電子郵件等惡意程式的入侵風險。(未完,下期待續)
<本文作者:花俊傑,曾任IT雜誌主編、資安顧問,擁有CISSP、CISA、CISM、CEH、CCSK、CIPP/IT等國際認證,自詡為資安傳教士,樂於分享資安心得,讀者可透過jackforsec@gmail.com與之聯繫。>