在雲端控制矩陣之中,擁有最多項控制要求的控制區域,無庸置疑的就是第五項「資訊安全」,在這裡一共包含了34個控制措施。在這些控制措施之中,從高階管理階層的要求開始,一路走到了技術面的安全要求,基本上已涵蓋了組織整體的資訊安全管理架構,分別說明如下。
IS-01 資訊安全管理計畫
這個控制措施是要求針對資產的保護,必須防止未經授權的存取、揭露、修改、銷毀,以避免資料的外洩與誤用。因此,組織在經過管理階層的核可之後,需要建立一項資訊安全管理計畫(ISMP),實施的範圍包括了管理面、技術面和實體環境面的安全措施,計畫的內容也應與組織的業務直接相關,它包括但不限於如風險管理、安全政策、組織資訊安全、資產管理、人力資源安全、實體與環境安全、通訊與作業管理、存取控制,以及資訊系統取得、開發與維護等。
如果雲端服務供應商已導入ISO 27001標準,則可參照本文「4.2 建立與管理ISMS」之要求,將雲端服務一併納入至ISMS的範圍之內,至於可參考的控制措施,則包括了「A.6.1.1–A.6.1.8」等,主要是針對內部組織來建立相關的資訊安全角色與責任。
IS-02 管理階層支持與涉入
這個控制措施是要求管理階層和直屬主管,應透過清楚且文件化的指示和承諾,明確地指派任務,並且確認任務執行後的情況,採取正式的行動來展現對於資訊安全的支持。在實務方面,有關資訊安全政策的更新,都應該要經過管理階層的簽署同意,並且分發告知所有的員工,員工則必須清楚地知悉之後來共同遵守。
另外,也可參照ISO 27001的本文「5. 管理階層責任」,以及附錄「A.6.1.1 管理階層對資訊安全的承諾」中所提到,管理階層的支持是資訊安全管理制度能有效運作的重要關鍵因素,因此這項控制措施強調管理階層應該要在組織中,明確地指派並確認人員的安全責任,主動地支持各項安全工作,並且提供所需要的資源。
IS-03 資訊安全政策
這個控制措施是要求管理階層應核可一份正式的資訊安全政策,並且發佈給全體員工、合約承包商和相關的外部夥伴知悉。在這份資安政策中,應建立明確的組織方向,並且和產業所適用的法令法規、業界的最佳實務相結合,同時資安政策也需要被組織的管理策略與領導計畫,以及明確定義人員角色的資安計畫所支持。
實務方面,可以依據ISO 27001附錄「A.5.1.1 資訊安全政策文件」,要求資訊安全政策應該經由管理階層的核准,並且公布傳達給所有員工和相關的內外部團體知道。在這份資訊安全政策當中,主要是傳達管理階層對於資訊安全的支持,確保資訊安全與組織營運目標的一致性,同時說明資訊安全的重要性、實施範圍、要求與目標,以及相關人員的職責。
其中關於目標的部份,最好以量化的方式說明,例如為確保相關資安措施符合法令與法規的要求,組織每年應至少實施兩次的資訊安全內部稽核。
IS-04 資訊安全基準線之要求
在這個控制措施中提到,資訊安全之基本要求應被建立,並且實施在應用程式、資料庫系統、網路基礎設施的設計與部署,同時也要求資訊的處理必須遵守政策、標準和適用的法規要求。資訊安全基準線要求和法規遵循,至少每年一次需要進行重新評估,此外,在組織有重大變更時也應該要重新審查。
針對這項要求,可參照ISO 27001「A.12.1.1 安全要求分析與規格」,要求在一開始評估規劃資訊系統時,就要將安全項目納入其中,除了從管理面進行風險分析之外,在技術面需要考量的項目包括系統是否具有可自動運作的控制措施,能夠偵測出系統的異常情況,或是具有輔助性的人工控管方法,可進行參數的調整來增加安全的強度。
以及也可參照「A.15.2.2 技術遵循性查核」,要求定期採取技術性方式來查核各項資訊系統,例如組織可以使用自動化工具,針對網站進行弱點掃描,或採取手動方式,針對系統進行滲透測試,再提出網站的安全改善報告。特別要注意的是所有技術性的查核過程,都務必要事先取得授權,並且在適當的監督和記錄下,由專業人士來實施,以避免引起其他不必要的問題。