前言: 作為資安小白,這次也是我第一次聽到 ISO-27001 這組國際標準化組織代號。 這次也有幸參與公部門針對 ISO-27001:2022 版本中的控制主題增設的 11 項條例的解說。 本次解說是建立會眾已了解 ISO-27001:2005 及 ISO-27001:2013 兩種版本的狀況下進行。 老實說對我來說是非常吃力的。 以下內容將針對 ISO-27001:2022 版中控制主題增設的 11 項條例進行解析, 另外有些內容為主講人補充的,我有記錄到的也會一併寫入。 正題: 首先主講人提到 資通安全管理也是能夠符合 PDCA 循環準則來進行作業的, 所謂的 PDCA 循環指的是 PLAN → DO → CHECK → ACT ↑ ↓ ←←←←←←←←←←←← 中文全名為循環式品質管理 主講人為資安管理做出下列舉例: (P) 計畫 - 建立資訊安全管理系統 (D) 執行 - 實作與操作 (C) 檢查 - 監控與審查 (A) 行動 - 維護與改進 至於辦理本次說明講座, 其主因是公部門委外廠商未來須符合 ISO-27001 安全開發準則外, 也針對民間企業做出一個簡易的宣告。 近年來民眾個資外洩問題日益嚴重, 如今年農曆年後發生的 iRent 個資與信用卡資料外洩事件外, 其他知名企業如:博客來、迪卡儂等,皆有個資外洩事件。 更別說是一些小型企業或者電商網站。 主講人呼籲,資安管理已是企業必備需求之一。 且不僅僅於軟體,硬體方面也會有資安相關問題。 這部分會在後續內容中探討。 條例 5.7 威脅情資: 控制:應收集與分析資訊安全威脅相關資訊,以產出威脅情資。 目的:提供關於組織環境威脅的認知,以便能夠採取適當緩解措施。 條例 5.23 使用雲端服務的資訊安全: 控制:應根據組織資訊安全要求建立雲端服務的獲取、使用、管理和退出流程。 目的:指定和管理使用雲端服務的資訊安全。 條例 5.30 為營運持續備便 ICT: 控制:應根據營運持續目標和 ICT 持續要求規劃、實施、維護和測試 ICT 備便情況。 目的:確保組織資訊和其他相關資產在中斷期間的可用性。 ※ ICT:Information and Communication Technology 資訊與通信科技 條例 7.4 實體安全監控: 控制:應持續監控場所是否存在未經授權的實體存取。 目的:檢測和阻止未經授權的實體存取。 條例 8.9 組態管理: 控制:應建立、記錄、實施、監控和審查硬體、軟體、服務和網路的組態,包括安全組態。 目的:確保硬體、軟體、服務和網路在所需的安全組態下正常運行,並且組態不會因未經授權或不正確的更改而改變。 條例 8.10 資訊刪除: 控制:存儲在資訊系統、設備或任何其他存儲介質中的資訊在不再需要時應予以刪除。 目的:防止不必要地暴露敏感資訊,並遵守法律、法規、法規和契約對資訊刪除的要求。 補充: 資訊刪除不僅包含軟體,硬體紙本文件也有可能以廢紙形式流出。 主講人就有提到曾有某間公司的廢紙回收後,該公司職員在某間以廢紙作為填寫點菜單的小吃店看到自家公司的廢紙。 雖不是重要機密資訊,但也是非常震撼的。 資訊刪除需設立流程,並非直接刪除就好。 像是如何刪除、需保留多久、由誰來刪除。 如何確保留下刪除完成證據及確實銷毀資料使其不外流, 都是需要考慮的內容。 條例 8.11 資料遮罩: 控制:應根據組織的特定主題存取控制策略和其他相關特定主題策略以及業務要求使用資料遮罩,同時考慮適用的法律。 目的:限制包括 PII 在內的敏感資訊的暴露,並遵守法律、法令、法規和契約要求。 ※ PII:Personally Identifiable Information 個人可識別資訊 條例 8.12 防止資料洩漏: 控制:處理、存儲或傳輸敏感資訊的系統、網路和任何其他設備都應採取資料洩漏預防措施。 目的:檢測和防止個人或系統未經授權披露和提取資訊。 條例 8.16 監控作業: 控制:應監控網路、系統和應用程式的異常行為,並採取適當的措施來評估潛在的資訊安全事件。 目的:檢測異常行為和潛在的資訊安全事件。 條例 8.23 網站過濾: 控制:應應管理對外部網站的存取,以減少暴露於惡意內容。 目的:保護系統免受惡意軟體的破壞,並防止存取未經授權的 Web 資源。 條例 8.26 應用軟體安全需求: 控制:在開發或獲取應用程式時,宜識別、指定和批准資訊安全要求。 目的:確保在開發或獲取應用程式時識別並解決所有資訊安全要求。 條例 8.28 安全開發: 控制:安全開發原則應該應用於軟體開發。 目的:確保安全地編寫軟體,從而減少軟體中潛在的資訊安全漏洞的數量。 後記: 該公部門資訊室辦理本次會議, 除了告知 ISO-27001:2022 版本新增的條例之外。 也針對政府相關單位的委外廠商做一個提醒, 政府會開始針對核心功能的委外廠商做稽核。 委外廠商也要特別注意, 公部門標案也會將資安管理寫入委外共同說明書中。 未來稽核時未落實可能會面臨罰款。 這樣聽完一場近 3 小時的說明會議, 老實說有那麼一點點覺得說服力不足。 公部門在本次會議中提供的文件內容有大量的中國用語, 與本次以資安為主題的會議稍有矛盾之處。