本次將解析ISO 27799:2016之資安控制措施在實務方面的做法,先從第八章的資產管理說起,其中包括三個控制類型和十個控制措施,接著介紹第九章的存取控制,共有四個控制類型及十四個控制措施。
8.3.2 媒體之汰除
這個控制措施是要求當媒體不再需要使用的時候,所有儲存的健康醫療資訊都必須採取安全的做法來清除,像是進行重複複寫或實體破壞,讓資訊無法再被存取。
實務方面,除了可移除式媒體,一些可能含有資訊的相關醫療設備,也需要比照媒體汰除的做法,確認裡面已完整清除曾經存在的健康醫療記錄或報告,再進行設備的報廢汰除。
8.3.3 實體媒體之運送
這項控制措施的要求完全比照ISO/IEC 27002的做法,必須確保含有個人健康醫療資訊的媒體在進行運送的時候,過程中必須採取安全的保護機制,例如採取可上鎖的容器、專人運送、要求保存寄送和簽收的記錄等。
使用者和系統的存取控制
在ISO 27799:2016第九章的存取控制中,包含了「存取控制的營運要求事項」、「使用者存取管理」、「使用者責任」以及「系統及應用存取控制」等四個控制類型,以及十四個控制措施,目標是要限制對於資訊和資訊處理設施的存取,以確保只有經過授權的使用者,才能存取所需要的系統服務和資訊,並且對於應用系統也要實施管制,以避免有未經授權存取的情況發生,以下說明各項控制措施的實施要點:
小標9.1.1 存取控制政策
對組織而言,應依照營運和資安的要求,以文件化的方式來建立存取控制政策,而對於個人健康醫療資訊的存取,基本上要以僅知原則(Need to know)的方式讓使用者只能存取其必要的資訊。因此在實務方面,需要清楚地在政策中定義資訊的存取規範和要求,針對特別的緊急情況,也需要說明授權存取的機制和做法。另外,若為了減輕醫療相關人員的負擔,在技術上採取單一登入(Single Sign-on)的機制也是一項可行的措施。
9.1.2 對網路及網路服務的存取
這項控制措施的要求完全比照ISO/IEC 27002的做法,對於所有的網路使用者都應只提供其被授權可使用的網路和網路服務。目前在許多醫療機構,無線網路的使用已相當普遍,因此對於存取內部網路和外部網路的區隔方式,以及網路服務使用的監控機制,也是這項控制措施的重點。
9.2.1 使用者註冊及註銷
這項控制措施是要求需要經過正式的註冊或註銷過程,才能進行使用者存取權限的指派,對健康醫療組織而言,在使用者的註冊過程中,需要確保其職務角色和從事的工作內容,符合其所需的權限等級,而對於權限的授與,也需要定期地審視其適切性。另外,如果使用者的職務有所變動,則原先擁有的存取權限應予以凍結或移除,以避免權限過大的情況發生。
9.2.2 使用者存取權限之配置
這項控制措施的要求完全比照ISO/IEC 27002的做法,組織須建立適當的權限配置方式,清楚定義使用者是否會被賦予可存取個人健康醫療資訊的權限,並且要讓使用者了解若未經授權而存取資訊,可能會遭受的懲處方式和責任。
 |
| ▲個人健康醫療資訊需要受到妥善的防護。 |
9.2.3 具特殊存取權限之管理
在健康醫療資訊系統中,會有一些人配置了與一般使用者不同的特殊權限,像是系統開發人員和管理人員等,以因應系統的開發與維護需要。這項控制措施就是要求組織應限制和管控特權的配置與使用,在實務上最簡單的作法就是特權的申請須經過管理階層的核可,並且留下相關記錄。另外,這些特殊權限的使用也要明訂相關的規範,使用特權的過程也要保存其記錄(Log)。
9.2.4 使用者之秘密鑑別資訊的管理
所謂的秘密鑑別資訊是指可用來驗證使用者身分的資訊,最常見的像是密碼、憑證和智慧卡等。這項控制措施的要求可比照ISO/IEC 27002的做法,但是在健康醫療機構中,針對密碼的使用和變更要求,實務方面可能難以實施,因此也可考慮實施密碼以外的其他身分驗證機制。
9.2.5 使用者存取權限之審查
這項控制措施的要求完全比照ISO/IEC 27002的做法,使用者在獲得存取權限的配發之後,有可能會隨著其調職、升遷、離職等情況,其權限就需要進行適當的對應調整,因此管理階層必須定期地針對使用者的存取權限進行正式審查。
9.2.6 存取權限之移除或調整
這項控制措施的要求,除了比照ISO/IEC 27002的做法,特別要注意的是在大型的健康醫療組織中,相關的資訊使用者除了正式的醫護人員外,還包括實習生、志工和外包廠商等。所以對組織而言,必須嚴謹地來處理當人員因為職務異動或工作條件結束之後,相關的權限必須立即進行調整,以降低可能誤用或濫用的風險。(未完待續)
<本文作者:花俊傑,現為bsi英國標準協會客戶經理,擁有BS 10012和ISO/IEC 27001、27017、27018、29100等主導稽核員資格,自詡為資安傳教士,樂於分享資安心得。>