ISO 27001 資訊安全管理系統 雲端控制 法規遵循 雲端安全 資料治理

小心處理資安事故 管理與技術雙管齊下

2013-11-29
上一期,我們說明了雲端控制矩陣中,關於資安教育訓練、管理者與使用者安全責任、加密與金鑰管理,以及漏洞修補和防範惡意程式等控制措施,本期將繼續說明在資安管理控制項目中,剩下的各項安全要求。
雲端控制矩陣中的第五項「資訊安全」,是整體雲端服務的管理重點,一共包含了34個控制措施,以下將說明第22至34個控制措施的要求,以及其所對應的ISO 27001標準內容和實務建議。

IS-22 資安事故管理

對組織而言,面臨和資訊安全有關的事故時,勢必要有適當的應變處理方法,這項控制措施即是要求與資安相關的事件,應建立政策和作業程序,並且進行分類和及時因應,以建立起完整的事故管理機制。

如果組織已導入ISO 27001標準,則可參照「A.13.1.1 資訊安全事件通報」之要求,建立正式的資安事件通報程序,以便相關人員能透過適當的管道,快速將資安事件回報給管理人員,以及時因應與指示處理。

通常一個完整的通報程序,包括要指定一個正式的聯絡人和代理人,並提供文件化的資安事件通報程序和表單,讓相關人員能夠依照事件通報指示,記錄和事件有關的重要細節,例如發生的時間、地點、系統錯誤訊息、監控指數,以及其他主觀判定異常的行為,以作為事件處理的依據參考。

IS-23 資安事故通報

一旦資安事件發生的時候,到底該由誰來負責通報?應該如何進行呢?其實這都有賴於事前建立完整的做法,在雲端服務中,這項控制措施要求針對合約承包商、員工和第三方的使用者,需要讓他們了解應即時通報安全事件的責任,並且要透過預設的溝通管道,符合法令、法規及合約的要求。

因此,組織需要建立適當的責任區分和作業程序,才能夠迅速有效地回應資安事件,對此,可參考ISO 27001附錄「A.13.2.1 責任與程序」之要求,針對事件區分不同的等級型式,分別建立不同的因應辦法,例如針對單機的電腦中毒,就會有其需要通報的內容說明和處置,而針對來自網路的阻絕服務攻擊,在通報層級和處置方面,則會有顯著的不同。

IS-24 事故回應與法律準備

如果資安事故涉及到法律問題,組織就必須採取相關的法律行動,證明自己並無故意過失,或是對於惡意行為準備進行損害求償。在事故的後續處理方面,這個控制措施是要求針對可能採取的法律行動,應該要有適當的鑑識流程以保全證據,確認證據的蒐集、保存、報告皆能支持所採取的法律行動。

實務方面,可以參照ISO 27001附錄「A.13.2.3 證據的蒐集」的做法,針對資安事故過程進行蒐集、保存和提交相關的證據,以符合法庭在審判時的佐證要求。基本上,數位證據的蒐集是相當專業且不易進行的,因為數位證據本身很容易受到破壞和竄改,進而損及到證據應具有的證明力和證據力,所以可能需要委由刑事鑑識單位或合格的民間業者來進行。

IS-25 事故回應方法

這個控制措施是要求針對資安事故的類型、數量和損失,應建立可實施與監控的作法。針對這項要求,可參照ISO 27001附錄「A.13.2.2 從資訊安全事故中學習」,避免資安事故的效應擴大,在事先採取監督機制,監控資安事故的過程和所造成的衝擊,作為因應未來事故的依據參考。

IS-26 合理使用

這個控制措施是要求針對資訊資產的合理使用,應建立相關的政策和作業程序。

對此,可參照ISO 27001附錄「A.7.1.3 可被接受使用的資產」之要求,對於和資訊處理設施有關的所有資產,其可被接受使用的方式規則,都應被識別、文件化和實施,並制訂相關的規範,例如網路和電子郵件的使用辦法、行動裝置的使用規定,以及USB隨身碟的申請與使用作業辦法等。

IS-27 資產歸還

這個控制措施要求組織在人員的異動和聘雇關係終止時,應事先定義適當的期間之內,要求員工、合約承包商和第三方使用者歸還因工作所持有的各項資產。在實務方面,可以依據ISO 27001附錄「A.8.3.2 資產歸還」,針對應歸還的資產,以清單檢核的方式來確認人員已歸還像是組織的門禁卡、電腦設備、軟體、作業手冊等,如果人員是使用自己的設備進行作業,也要確保其所儲存的資料已經交回,並且執行資料的清除。

IS-28 電子商務交易

如果雲端服務牽涉到電子商務的交易行為,這項控制措施要求針對經過公眾網路的交易資料,必須實施適當的加密防護,以避免資料受到未經授權的修改或揭露,防止詐騙事件的發生。

對於此項要求,可依據ISO 27001附錄「A.10.9.1 電子商務」,保護所有透過公眾網路所進行的電子商務活動,在實務方面,可以採用強健的身分驗證機制如雙因素認證,以及導入網站身分識別標章,讓消費者能夠清楚地識別。

至於交易過程中所產生的資料,包括訂單、付款資訊、寄送地址等,這些客戶資料的存取方面也要有完整的授權流程,以避免資料受到不當的存取與利用。最後在網路傳輸方面,則可參考「A.10.9.2 線上交易」之要求,在連線過程中採用SSL加密機制或其他的加密通訊管道,要求使用安全的通訊協定,以避免交易資訊可能受到來自其他公眾網路的不當存取。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!