Day 10
ISO 27001 资讯安全管理系统, kachung (iThome)
https://ithelp.ithome.com.tw/users/20145763/articles
关于 ISO 27001 觉得整理的最完整的是这些文章
包含最后一篇算附录的内容共有44篇。
接下来会从 ISO 27001 来继续资讯安全的学习。
壹、 资讯安全简介
一、资讯安全的定义:保护资讯的机密性、完整性、可用性。
*有他特别的安全需求则会在这三项定义中再因需求附加其他项目。
二、基本要素:资讯安全管理的基本要素,可以区分为软件、硬件、
人员、网络及环境设施。
◎软件:
1.软件设计人员设计以满足功能需求为优先。
原来的软件设计并没有将资讯安全纳入考量。
2.承上常见的做法是在发现危害之后再去做其他的补救措施。
发现传输方式不安全改用其他安全通道处理之类的做法。
3.资讯安全代表要花更多的成本。
4.作业系统漏洞永远存在。
为了使硬件设备正常运作通常先考虑方便性,方便通常等于不够安全
,漏洞必须存在。
◎硬件:
1.成本的考量也会影响硬件的安全性。
硬件、韧体、软件三者之间会相互影响也可以互相配合。
2.行动设备,带来便利性也对资讯安全造成安全隐忧。
3.IoT设备,这种透过简单设计即可运用韧体、软件进行资料处理的
设备也会造成一些资讯安全议题。
4.工控设备,这些设备有些是配合特殊环境需求而制造的资安议题会
对设备有影响。例如:捷运行车控制。
◎人员:
1.骇客:早期多以成名、理念为主;近期多以利益为主;随着技术的进步
特定漏洞可以被快速发现;近期的骇客也不一定具有相关专业技能而是
使用特定骇客工具发动攻击。
2.恶意的员工:人是最难分析的因素,组织内如果有存在恶意的员工,对
于资讯安全上会有极大的风险。有
3.疏忽的员工:员工可能在无意的情况下对资讯造成机密性、完整性及可
用性的破坏。应有相对应的教育训练及协议,以充分协助员工认知并遵
守相关资讯安全事宜。
4.访客(外部人员):组织外部人员如果会使用到组织的内部资讯及资源,
其对资讯安全之影响应该视其所存取或使用的资讯程度加以分类管制,
并有一定之规范及约束力。
◎网络:
1.早期的网络设计是用来交换资料并没有纳入安全考量,近期因为网络传
输资料被窃取的问题已经开始注意资料传输的安全性。
2.无线网络是解决资料传输的一种方案,尤期是在行动式装置的应用,在
无线网络传输中也有些安全性考量要注意。
3.VPN的安全性,有些组织或企业会使用VPN来确保对外连线或部门连线间
的安全。可是不当使用也会造成危害。
4.网络区隔,目前政府机关希望组织内的网络做好区隔:外部网络以防火
墙做阻隔,内部网络分成 DMZ、伺服主机群、使用者三个部份,三者之并
以防火墙、路由器做阻限制各区之间的资讯交换。
◎环境设施:以往的资讯安全仅考量环境设施的实体安全性,但因为环境
因素变化会对资讯安全产生重大影响,所以必须有完整的规画以减轻其所
造成的结果。
1.实体区域安全:放置设备场地的安全维护,包含设备内资料的安全性以
及进出人员的管理、记录措施。
2.BYOD(Bring Your Own Device):对于环境设施,BYOD绝对是影响安全
性的事项,行动设备愈来愈方便携带、储存空量越来越大对于环境安全关
键的影响力。
3.基础关键设施:网络、电力、水等相关关键设施及来源,对资讯安全的
可用性会造成一定的损害应及早规划。
三、威胁:外部事件或状态对于基本要素会产生破坏。威胁会随时间、技
术及社会产生变化;资讯安全管理系统就是在管理如何因应这些威胁降低
这些威胁对资讯安全造成的冲击及影响。具体做法是风险管理的组织及顾
问会定期发布威胁的变化,对当年度的发生的事件进行统计分析下一年度
需要面对的威胁,对于资讯安全来说针对威胁做出应对措施降低组织的风
险很重要。
1.骇客:从资讯开始发展以来,骇客是伴随着资讯一起成长的,早期的骇
客以成名或宣扬理念为主,所制造的病毒以破坏性著称,例如:红色警戒
(Code Red)造成数以百万计的电脑无法运作。现今的骇客以营利为主,
所制造的病毒以封锁资讯为主,如果受骇组织肯付钱,可以解除其封锁,
例如勒索病毒加密档案。
2.内部破坏及攻击:最坚固的堡垒通常是从内部开始破坏的,就如同前面
基本因素的分析,就算做好各项防范措施,如果是内部人员将可轻易绕过
这些措施,对所要保护的目标造成损失。
3.第三方及供应链:专注于本身业务大量使用委外或供应链的模式节省自
身的人力以及相关专业性的负荷。可是这种第三方本身就是一种威胁,这
个威胁来源就来自于委外厂商,另外云端也算是另一种委外模式,云端的
威胁是一种新的威胁模式。
4.法令遵循:各国政府不约而同对资讯安全相关法令日趋严谨;对组织与
企业来看,威胁又增加一项是有关违反法令要求后要面对的行政处罚。资
料外泄的案例层出不穷,这项威胁有与日俱增的趋势。
5.技术:资讯技术进步也会被视为一种威胁。近期大数据及AI技术有长足
的进展,水能载舟亦能覆舟,这些进展也可被利用来破坏资讯安全,AI被
骇客应用在入侵方面的案例已经有相当程度展现。
贰、 相关标准介绍
一、 组织
ISO/IEC JTC 1/SC 27是负责开发订定保护资讯和资讯通信技术的标准。
这个组织分成五个工作小组。
1.WG 1:负责开发和维护资讯安全管理系统相关的标准及指引。
2.WG 2:负责开发和维护资讯通信技术系统有关密码学及安全机制相关
的标准及指引。
3.WG 3:负责开发和维护IT安全规范、IT系统、组件和产品的评估、测
试和认证的标准安全评估标准。
4.WG 4:负责开发和维护与资讯通信系统安全控制和服务相关的标准。
5.WG 5:负责开发和维护有关身份识别管理、生物识别和个人资料保护
的安全方面的标准和指引。
二、 标准
各个工作小组间所制定的标准互相具有关联性
1.资讯安全管理系统 ISO 27001、治理 ISO 27014
2.控制措施 ISO 27002 (云端 ISO 27017, ISO 27018)
3.风险管理 ISO 27005
4.量测 ISO 27004
5.验证稽核 ISO 27006、ISO 27007、ISO 27008
6.控制措施指引
7.导入及整合 ISO 27003
8.控制措施参考
9.调查证据
*数字太多觉得重要的记起来就好。
参、管理系统概述
一、客户导向:管理的重点在于满足客户的要求,并为超出客户要求而努力。
二、领导统御:各级领导者建立统一的目标、方向和人员参与,使组织能够调
整其策略、政策、流程和资源,并创造条件,使参与的人能共同实现组织的
资讯安全目标。
三、全员参与:鼓励所有人员参与有关资讯安全的事务,资讯安全管理系统是
所有人的议题并非只专属于资讯部门。
四、过程导向:将各项控制措施理解为相互关联的过程并作为一个连贯的管理
系统来进行管理,这样就可以更有效地获得一致且可预测的结果。资讯安全
管理系统由相互关联的过程组成,了解每一个关联性可使组织优化管理系统
及其效能。
五、持续改善:成功的组织不会满足于现状,而是对内外部的变化确保能随时
创造机会,整体管理系统能获得改善。
六、事实决策:决策是一个复杂的过程,并且涉及不确定性、多种型态、输入
来源以及对它们的解释,这可能会是主观的意识,所以深入了解因果关系和
潜在的意外后果非常重要,基于资料内容和资讯特性分析和评估,比较有可
能产生预期的结果后执行决策。
七、关系管理:为了获得持续的成功,组织需要管理与利害关系者,因其会影
响组织的绩效;当组织管理与所有利害关系者的关系以优化其对绩效的影响
时,更有可能获得持续的成功。
https://i.imgur.com/m2IQcF1.png
觉得这段内容很教条希望这些东西看到最后能真的懂。