在雲端控制矩陣之中,擁有最多項控制要求的控制區域,無庸置疑的就是第五項「資訊安全」,在這裡一共包含了34個控制措施。在這些控制措施之中,從高階管理階層的要求開始,一路走到了技術面的安全要求,基本上已涵蓋了組織整體的資訊安全管理架構,分別說明如下。
IS-05 資訊安全政策之複審
這個控制措施是要求管理階層應當在計畫的期間之內,或是當組織有變動的時候,重新審查資訊安全政策,以確保其持續的正確與有效。在實務方面,資安政策的複審期限應以不超過一年為限,並且在遇有重大事件或組織變動時,也需要額外進行重新審查。
在ISO 27001方面,可以參照「A.5.1.2 資訊安全政策之審查」的要求,若發生重大變更時,需要進行資訊安全政策的審查,以確保內容持續地適用且充分有效。這也就是說,資訊安全政策不單單只是一份宣示性的文件,而是必須配合組織環境、業務型態、法律合約要求和技術更新等事項,進行持續的修訂與發行,因此這一項控制措施的重點在於,組織可能會對政策內容進行修改,但也不要忘了更改內容之後,需要重新取得管理階層的核准,並且留下相關的審查記錄才行。
IS-06 資訊安全政策之執行
針對違反資訊安全政策和程序的員工,應建立正式的懲戒或獎懲政策,同時也必須在政策和程序中陳述說明,讓員工能夠知曉若違反規定時,可能會面臨的懲處行動。
實務方面,如果發現了不當的行為,就要引發後續的調查行動,若發現屬實則要給予相關人員適當的懲處,在嚴重時甚至可終止工作合約,並交由人力資源部門進行後續的協調傳達。若是依據ISO 27001之要求,則可參考「A.8.2.3 懲處過程」中提到對違反安全的員工,應有正式的懲處過程。
這項控制措施的重點,在於組織是否公布懲處的程序與方式,是否以正確、公平的方式蒐集客觀的證據,以證明員工違反安全規範,對於嚴重的不當行為,也可允許管理人員解除其職務,或要求其離開辦公作業場所。
IS-07 使用者存取政策
針對應用程式、資料庫、網路基礎設施的正常權限與特殊權限的指派,應建立文件化、經核可後實施的存取政策和程序,並且與商業、安全、法規遵循及服務等級協議(SLA)之要求維持一致。
一般而言,存取政策是廣泛安全政策中的一部份,對於資產的存取應基於僅知原則(need to know)和最小權限原則,並且實施基於角色的存取控制作法,尤其對於實體存取與邏輯上的控制,也需要保持一致。
對於此項要求,可參考ISO 27001中的「A.11.1.1 存取控制政策」要求,依照營運相關的存取安全要求,建立文件化的存取控制政策,並且在這項政策中明確說明每位使用者和使用群組,應該要如何去配置其應有的存取權限。而這些存取權限的考量,則可能來自於本身的職位高低或所接觸資訊的安全等級,以及對組織整體的營運風險考量。
基本上,在組織之中的存取控制措施,將會牽涉整個存取授權的流程,包括如何提出授權的請求、如何審查並賦予權限,以及不需使用時的權限如何移除等。 因此在實務方面,我們建立存取控制規則時,必須掌握一個原則,那就是「除非允許,否則一律禁止」,這項原則可以應用在實體環境的門禁管制,或是邏輯上的防火牆存取規則,這樣將可大幅降低不當的存取設定可能帶來的風險。
IS-08 使用者存取限制與授權
這個控制措施是要求對於擁有正常或特殊權限的使用者,在存取應用程式、系統、資料庫、網路配置和敏感資料時,相關功能必須要加以限制,並且事先取得管理階層的授權。
對此,可參照ISO 27001的「A.11.2.1 使用者註冊」,要求所有的使用者在獲得存取資訊的權限之前,必須經過正式的使用者註冊程序,換句話說,若不再需要存取資訊時,也必須經過適當的註銷程序,撤銷其所具有的存取權限。
在實務方面,最常見的作法是讓使用者透過表單流程來進行申請,在通過審查核可之後,賦予其一個唯一的識別帳號(User ID),藉此來管控並留下使用者存取資訊的記錄。
另外,也可參照「A.11.2.2 特權管理」,針對如系統開發人員和系統管理人員等,這些擁有和一般使用者不同的特殊權限人員,要求必須限制和控管特權的配置與使用,實務上最簡單的作法就是特權申請需要經過管理階層的授權,並且留下相關記錄。另外,特權的使用也要明訂相關的作業辦法,使用的過程也要保存其系統記錄(Log)。
IS-09 使用者存取之撤銷
這個控制措施是要求需要依照員工、合約承包商、客戶、商業夥伴和第三方的情況,及時地解除、撤銷或修改使用者有能力存取組織的系統、資產和資料。所有的變更都必須包含在員工的職務、合約或協議的終止,以及員工聘雇的更動或轉職時的流程進行。
對此,可參照ISO 27001的「A.8.3.3 移除存取權限」控制措施,針對人員的轉調、離職或合約終止,需要確保其使用資訊系統的存取權限已進行適當變更,實務上建議在人員離職日起即暫時凍結使用者帳號,等待確認相關資訊與權限已移轉完成之後,再將其帳號和權限移除。
IS-10 使用者存取之審查
這個控制措施是要求所有的使用者權限,都要在所規劃的一定期限內,由管理階層進行審查。對於違反存取規定的情況,也要依照文件化的存取控制政策和程序,進行後續的矯正行動。
在ISO 27001方面,則可參照「A.11.2.4 使用者存取權限的審查」的作法,要求管理階層需要定期針對使用者的存取權限進行正式的審查,因此實務方面建議在存取控制政策中即納入組織將定期(例如三個月或半年一次)在使用者的職務變更之後,實施權限審查與重新配置,以維持對資訊和系統服務存取的有效性控制。
(「資訊安全」控制措施未完,下期待續)
<本文作者:花俊傑,曾任IT雜誌主編、資安顧問,擁有CISSP、CISA、CISM、CEH、CCSK、CIPP/IT等國際認證,自詡為資安傳教士,樂於分享資安心得,讀者可透過jackforsec@gmail.com與之聯繫。>