Day 10
ISO 27001 資訊安全管理系統, kachung (iThome)
https://ithelp.ithome.com.tw/users/20145763/articles
關於 ISO 27001 覺得整理的最完整的是這些文章
包含最後一篇算附錄的內容共有44篇。
接下來會從 ISO 27001 來繼續資訊安全的學習。
壹、 資訊安全簡介
一、資訊安全的定義:保護資訊的機密性、完整性、可用性。
*有他特別的安全需求則會在這三項定義中再因需求附加其他項目。
二、基本要素:資訊安全管理的基本要素,可以區分為軟體、硬體、
人員、網路及環境設施。
◎軟體:
1.軟體設計人員設計以滿足功能需求為優先。
原來的軟體設計並沒有將資訊安全納入考量。
2.承上常見的做法是在發現危害之後再去做其他的補救措施。
發現傳輸方式不安全改用其他安全通道處理之類的做法。
3.資訊安全代表要花更多的成本。
4.作業系統漏洞永遠存在。
為了使硬體設備正常運作通常先考慮方便性,方便通常等於不夠安全
,漏洞必須存在。
◎硬體:
1.成本的考量也會影響硬體的安全性。
硬體、韌體、軟體三者之間會相互影響也可以互相配合。
2.行動設備,帶來便利性也對資訊安全造成安全隱憂。
3.IoT設備,這種透過簡單設計即可運用韌體、軟體進行資料處理的
設備也會造成一些資訊安全議題。
4.工控設備,這些設備有些是配合特殊環境需求而製造的資安議題會
對設備有影響。例如:捷運行車控制。
◎人員:
1.駭客:早期多以成名、理念為主;近期多以利益為主;隨著技術的進步
特定漏洞可以被快速發現;近期的駭客也不一定具有相關專業技能而是
使用特定駭客工具發動攻擊。
2.惡意的員工:人是最難分析的因素,組織內如果有存在惡意的員工,對
於資訊安全上會有極大的風險。有
3.疏忽的員工:員工可能在無意的情況下對資訊造成機密性、完整性及可
用性的破壞。應有相對應的教育訓練及協議,以充分協助員工認知並遵
守相關資訊安全事宜。
4.訪客(外部人員):組織外部人員如果會使用到組織的內部資訊及資源,
其對資訊安全之影響應該視其所存取或使用的資訊程度加以分類管制,
並有一定之規範及約束力。
◎網路:
1.早期的網路設計是用來交換資料並沒有納入安全考量,近期因為網路傳
輸資料被竊取的問題已經開始注意資料傳輸的安全性。
2.無線網路是解決資料傳輸的一種方案,尤期是在行動式裝置的應用,在
無線網路傳輸中也有些安全性考量要注意。
3.VPN的安全性,有些組織或企業會使用VPN來確保對外連線或部門連線間
的安全。可是不當使用也會造成危害。
4.網路區隔,目前政府機關希望組織內的網路做好區隔:外部網路以防火
牆做阻隔,內部網路分成 DMZ、伺服主機群、使用者三個部份,三者之併
以防火牆、路由器做阻限制各區之間的資訊交換。
◎環境設施:以往的資訊安全僅考量環境設施的實體安全性,但因為環境
因素變化會對資訊安全產生重大影響,所以必須有完整的規畫以減輕其所
造成的結果。
1.實體區域安全:放置設備場地的安全維護,包含設備內資料的安全性以
及進出人員的管理、記錄措施。
2.BYOD(Bring Your Own Device):對於環境設施,BYOD絕對是影響安全
性的事項,行動設備愈來愈方便攜帶、儲存空量越來越大對於環境安全關
鍵的影響力。
3.基礎關鍵設施:網路、電力、水等相關關鍵設施及來源,對資訊安全的
可用性會造成一定的損害應及早規劃。
三、威脅:外部事件或狀態對於基本要素會產生破壞。威脅會隨時間、技
術及社會產生變化;資訊安全管理系統就是在管理如何因應這些威脅降低
這些威脅對資訊安全造成的衝擊及影響。具體做法是風險管理的組織及顧
問會定期發佈威脅的變化,對當年度的發生的事件進行統計分析下一年度
需要面對的威脅,對於資訊安全來說針對威脅做出應對措施降低組織的風
險很重要。
1.駭客:從資訊開始發展以來,駭客是伴隨著資訊一起成長的,早期的駭
客以成名或宣揚理念為主,所製造的病毒以破壞性著稱,例如:紅色警戒
(Code Red)造成數以百萬計的電腦無法運作。現今的駭客以營利為主,
所製造的病毒以封鎖資訊為主,如果受駭組織肯付錢,可以解除其封鎖,
例如勒索病毒加密檔案。
2.內部破壞及攻擊:最堅固的堡壘通常是從內部開始破壞的,就如同前面
基本因素的分析,就算做好各項防範措施,如果是內部人員將可輕易繞過
這些措施,對所要保護的目標造成損失。
3.第三方及供應鏈:專注於本身業務大量使用委外或供應鏈的模式節省自
身的人力以及相關專業性的負荷。可是這種第三方本身就是一種威脅,這
個威脅來源就來自於委外廠商,另外雲端也算是另一種委外模式,雲端的
威脅是一種新的威脅模式。
4.法令遵循:各國政府不約而同對資訊安全相關法令日趨嚴謹;對組織與
企業來看,威脅又增加一項是有關違反法令要求後要面對的行政處罰。資
料外洩的案例層出不窮,這項威脅有與日俱增的趨勢。
5.技術:資訊技術進步也會被視為一種威脅。近期大數據及AI技術有長足
的進展,水能載舟亦能覆舟,這些進展也可被利用來破壞資訊安全,AI被
駭客應用在入侵方面的案例已經有相當程度展現。
貳、 相關標準介紹
一、 組織
ISO/IEC JTC 1/SC 27是負責開發訂定保護資訊和資訊通信技術的標準。
這個組織分成五個工作小組。
1.WG 1:負責開發和維護資訊安全管理系統相關的標準及指引。
2.WG 2:負責開發和維護資訊通信技術系統有關密碼學及安全機制相關
的標準及指引。
3.WG 3:負責開發和維護IT安全規範、IT系統、組件和產品的評估、測
試和認證的標準安全評估標準。
4.WG 4:負責開發和維護與資訊通信系統安全控制和服務相關的標準。
5.WG 5:負責開發和維護有關身份識別管理、生物識別和個人資料保護
的安全方面的標準和指引。
二、 標準
各個工作小組間所制定的標準互相具有關聯性
1.資訊安全管理系統 ISO 27001、治理 ISO 27014
2.控制措施 ISO 27002 (雲端 ISO 27017, ISO 27018)
3.風險管理 ISO 27005
4.量測 ISO 27004
5.驗證稽核 ISO 27006、ISO 27007、ISO 27008
6.控制措施指引
7.導入及整合 ISO 27003
8.控制措施參考
9.調查證據
*數字太多覺得重要的記起來就好。
參、管理系統概述
一、客戶導向:管理的重點在於滿足客戶的要求,並為超出客戶要求而努力。
二、領導統御:各級領導者建立統一的目標、方向和人員參與,使組織能夠調
整其策略、政策、流程和資源,並創造條件,使參與的人能共同實現組織的
資訊安全目標。
三、全員參與:鼓勵所有人員參與有關資訊安全的事務,資訊安全管理系統是
所有人的議題並非只專屬於資訊部門。
四、過程導向:將各項控制措施理解為相互關聯的過程並作為一個連貫的管理
系統來進行管理,這樣就可以更有效地獲得一致且可預測的結果。資訊安全
管理系統由相互關聯的過程組成,了解每一個關聯性可使組織優化管理系統
及其效能。
五、持續改善:成功的組織不會滿足於現狀,而是對內外部的變化確保能隨時
創造機會,整體管理系統能獲得改善。
六、事實決策:決策是一個複雜的過程,並且涉及不確定性、多種型態、輸入
來源以及對它們的解釋,這可能會是主觀的意識,所以深入了解因果關係和
潛在的意外後果非常重要,基於資料內容和資訊特性分析和評估,比較有可
能產生預期的結果後執行決策。
七、關係管理:為了獲得持續的成功,組織需要管理與利害關係者,因其會影
響組織的績效;當組織管理與所有利害關係者的關係以優化其對績效的影響
時,更有可能獲得持續的成功。
https://i.imgur.com/m2IQcF1.png
覺得這段內容很教條希望這些東西看到最後能真的懂。