小心處理資安事故 管理與技術雙管齊下

IS-22 資安事故管理

對組織而言，面臨和資訊安全有關的事故時，勢必要有適當的應變處理方法，這項控制措施即是要求與資安相關的事件，應建立政策和作業程序，並且進行分類和及時因應，以建立起完整的事故管理機制。

如果組織已導入ISO 27001標準，則可參照「A.13.1.1 資訊安全事件通報」之要求，建立正式的資安事件通報程序，以便相關人員能透過適當的管道，快速將資安事件回報給管理人員，以及時因應與指示處理。

通常一個完整的通報程序，包括要指定一個正式的聯絡人和代理人，並提供文件化的資安事件通報程序和表單，讓相關人員能夠依照事件通報指示，記錄和事件有關的重要細節，例如發生的時間、地點、系統錯誤訊息、監控指數，以及其他主觀判定異常的行為，以作為事件處理的依據參考。

IS-23 資安事故通報

一旦資安事件發生的時候，到底該由誰來負責通報？應該如何進行呢？其實這都有賴於事前建立完整的做法，在雲端服務中，這項控制措施要求針對合約承包商、員工和第三方的使用者，需要讓他們了解應即時通報安全事件的責任，並且要透過預設的溝通管道，符合法令、法規及合約的要求。

因此，組織需要建立適當的責任區分和作業程序，才能夠迅速有效地回應資安事件，對此，可參考ISO 27001附錄「A.13.2.1 責任與程序」之要求，針對事件區分不同的等級型式，分別建立不同的因應辦法，例如針對單機的電腦中毒，就會有其需要通報的內容說明和處置，而針對來自網路的阻絕服務攻擊，在通報層級和處置方面，則會有顯著的不同。

IS-24 事故回應與法律準備

如果資安事故涉及到法律問題，組織就必須採取相關的法律行動，證明自己並無故意過失，或是對於惡意行為準備進行損害求償。在事故的後續處理方面，這個控制措施是要求針對可能採取的法律行動，應該要有適當的鑑識流程以保全證據，確認證據的蒐集、保存、報告皆能支持所採取的法律行動。

實務方面，可以參照ISO 27001附錄「A.13.2.3 證據的蒐集」的做法，針對資安事故過程進行蒐集、保存和提交相關的證據，以符合法庭在審判時的佐證要求。基本上，數位證據的蒐集是相當專業且不易進行的，因為數位證據本身很容易受到破壞和竄改，進而損及到證據應具有的證明力和證據力，所以可能需要委由刑事鑑識單位或合格的民間業者來進行。

IS-25 事故回應方法

這個控制措施是要求針對資安事故的類型、數量和損失，應建立可實施與監控的作法。針對這項要求，可參照ISO 27001附錄「A.13.2.2 從資訊安全事故中學習」，避免資安事故的效應擴大，在事先採取監督機制，監控資安事故的過程和所造成的衝擊，作為因應未來事故的依據參考。

IS-26 合理使用

這個控制措施是要求針對資訊資產的合理使用，應建立相關的政策和作業程序。

對此，可參照ISO 27001附錄「A.7.1.3 可被接受使用的資產」之要求，對於和資訊處理設施有關的所有資產，其可被接受使用的方式規則，都應被識別、文件化和實施，並制訂相關的規範，例如網路和電子郵件的使用辦法、行動裝置的使用規定，以及USB隨身碟的申請與使用作業辦法等。

IS-27 資產歸還

這個控制措施要求組織在人員的異動和聘雇關係終止時，應事先定義適當的期間之內，要求員工、合約承包商和第三方使用者歸還因工作所持有的各項資產。在實務方面，可以依據ISO 27001附錄「A.8.3.2 資產歸還」，針對應歸還的資產，以清單檢核的方式來確認人員已歸還像是組織的門禁卡、電腦設備、軟體、作業手冊等，如果人員是使用自己的設備進行作業，也要確保其所儲存的資料已經交回，並且執行資料的清除。

IS-28 電子商務交易

如果雲端服務牽涉到電子商務的交易行為，這項控制措施要求針對經過公眾網路的交易資料，必須實施適當的加密防護，以避免資料受到未經授權的修改或揭露，防止詐騙事件的發生。

對於此項要求，可依據ISO 27001附錄「A.10.9.1 電子商務」，保護所有透過公眾網路所進行的電子商務活動，在實務方面，可以採用強健的身分驗證機制如雙因素認證，以及導入網站身分識別標章，讓消費者能夠清楚地識別。

至於交易過程中所產生的資料，包括訂單、付款資訊、寄送地址等，這些客戶資料的存取方面也要有完整的授權流程，以避免資料受到不當的存取與利用。最後在網路傳輸方面，則可參考「A.10.9.2 線上交易」之要求，在連線過程中採用SSL加密機制或其他的加密通訊管道，要求使用安全的通訊協定，以避免交易資訊可能受到來自其他公眾網路的不當存取。