ISO 27001:2013【條文】ISO 27001:2013【稽核】這二篇文章之後,又更新了一些。

(1)全機關導入ISO 27001
(2)驗證範圍
,上述(1)及(2)可不相等。

不符合=/=缺失。
不符合=有要求,但沒有被滿足;即「要求」與「現況」的比對結果為「不一致」。
改善機會,OFI:可以更好的機會(目前是好的;可做可不做)
觀察事項OBS:國際標準沒有這項,但認證機構可能會寫。

一、新的要求

4.2 (c)此等要求事項中之哪些要求事項,將透過資訊安全管理系統因應。
#與資訊安全管理有關之要求事項進行識別及回應。

4.4……,包括所需過程及其互動。
#驗證A系統,也驗證存放A系統的實體機房、網路、權限管理系統。
#只要會造成A系統不安全的情境。

6.2(d)受監視。
(g)以文件化資訊提供。
#監督資訊安全目標是必須的。--全組織(老闆)的目標是股價200元,「股價200元」對於各部門將有各自不同的目標。

6.3當組織決定需要對資訊安全管理系統變更時,應以規劃之方式執行變更。
#組織需要明確指出必要流程及相互作用。

7.4(d)溝通或傳達方式。
#溝通是雙向的。
#傳達是單向的。

8.1-建立過程之準則。
-依準則實作過程之控制措施。
#上述「準則」可以沒有文件化,本文下行敘述之「應提供文件化資訊,其程度須足以達成其過程已依規劃執行之信心」,前段「」內之敘述可參考控制項A.5.18存取權限,沒說一定要文件化。

9.1(b)監督、量測、分析及評估之適用方法,以確保有效的結果。所選擇之方法宜產生適於比較及可重製視為有效的結果。
#監督monitoring:狀況的改變(有變化),EX:有無(網路瞬斷)、正負
#量測measurement:對數值的追蹤(變多少),EX:網路效能
#KPI是否可以反應資安狀況

9.3.2(c)與資訊安全管理系統相關關注方之需要及期望的變更。
#內外部議題=issues=事
#關注方=parties=一群人(客戶、員工、法律)

二、寫法之異動
(1)9.2拆成9.2.1、9.2.2
(2)9.2及9.3分段
(3)10.1及10.2順序互調:x.1敘述精神及大方向。在x.2(含之後的數字)為具體作法。
(4)控制項的「控制目標」移除,變兩層式架構:【2013】A.5領域domain-A.5.1目標objective-A.5.1.1措施controls。【2022】THEME主題-Controls。

三、其它變動(文字修正等……略)

ISO/IEC 27002:2022為參考書,促進思考,並無強制。

控制措施分為4個THEME
(1)組織,基本上無法歸類於人員、實體、技術者,皆歸類於此。
(2)人員
(3)實體
(4)技術

控制措施有5個屬性
(1)控制類型
(2)資訊安全特性
(3)網宇安全概念
(4)運作能力:組織日常運作能力
(5)安全領域

四、新的控制措施
A.5.7威脅情資:應蒐集並分析與資訊安全威脅相關之資訊,以產生威脅情資。
#「情資」比資訊更高階層。
#「情資」可以幫助決策。
#注重點在於「訊息管道暢通」、「分析」,採取措施為A.8.8技術脆弱性管理。

A.5.23使用雲端服務之資訊安全:應依組織之資訊安全要求事項,建立獲取、使用、管理及退出雲端服務的過程。
#依照「限制」使用雲。

A.5.30營運持續之ICT備妥性:應依營運持續目標及ICT持續之要求事項,規劃、實作、維護及測試ICT備妥性
#備妥性readiness:預先準備的程度。
#營運持續目標business continuity objectives:影響帶來的衝擊是組織無法承受的狀況(服務可以停多久/營運衝擊分析BIA)。
#識別通訊科技的readiness?因各別switch替換容易,所以可能不用逐台盤查,但網路可用性仍要列入ICT元件(EX:骨幹網路)。
#演練包含(1)設備(2)人的能力,計畫內容與真實情境一致、排除意外。

A.7.4實體安全監視:應持續監控場所,防止未經授權之實體進出。
#持續監控:7*24小時。
#效果:防止;此與警察錄影不同,警察沒有「防止」。

A.8.9組態管理:應建立、書面記錄、實作、監視並審查硬體、軟體、服務及網路之組態(包括安全組態)。
#5個動作:建立、書面記錄(文件化)、實作、監視、審查。
#4大類別:硬體、軟體、服務(使用者角度)、網路。
#文件化的方式:組態管理表、例外管理表。
#需要管理的組態才列入。

A.8.10資訊刪除:當資訊系統、裝置或所有其他儲存媒體中之資訊不再屬必要時,應刪除之。
#不再屬必要no longer required,通常是「業務存續」而不是「客戶存續」。
#資訊刪除流程:法令法規(Legal)、人員、流程、技術。

A.8.11資料遮蔽:應使用資料遮蔽,依組織關於存取控制之主題特定政策及其他相關的主題特定政策,以及營運要求事項,並將適用法令納入考量。
#法令、主題特定政策topic-specific policy、營運要求。
#資料遮蔽如信用卡前顯示前6碼及後4碼,中間以*表示。
#匿名化:完全無法回推。
#擬匿名化:可以透過一定方式查找,例如:員工編號。

A.8.12資料洩露預防:應將資料洩露預防措施,套用至處理、儲存或傳輸敏感性資訊之系統、網路及所有其他裝置
#敏感性資訊sensitive information:依各地風俗民情而有所不同,例如:宗教。
#使用「浮水印」也是一種預防措施。
#裝置devices包含紙。

A.8.16監視活動:應監視網路、系統及應用之異常行為,並採取適切措施,以評估潛在資訊安全事故。
#標的:網路、系統、應用。

A.8.23網頁過濾:應管理對外部網站之存取,以降低暴露於惡意內容。
#避免惡意軟體傷害。
#實作方法考慮:網站類型、預防的方法、需要實施的人、如何維持有效性、控制措施負責人。

A.8.28安全程式設計:軟體開發應施行安全程式設計原則。
#開發前,例如定義可用的語法。
#開發中,例如進行原碼掃描。
#開發後:防止程式遭受竄改。

arrow
arrow
    全站熱搜

    Rinoa 發表在 痞客邦 留言(0) 人氣()