跳著寫呀XD"~
簡單來說,就是維運囉(個人理解啦,也可能想錯了)。
▉A.12.1 運作程序及責任
A.12.1.1 文件化運作程序
就是SOP化的文件,讓人員可以有範本可以依循操作。
A.12.1.2 變更管理
資訊"系統"變更時(事前、事中、事後),都應留下記錄(類似資安事故管理的觀念)。
A.12.1.3 容量管理
監視,預估,接近警示時的作法。舉個例子,就是,公司在運作的客戶資料,留存在NAS的話。
觀察每一季的容量增加量,並且預估NAS的使用量接近90%的時候,需要換更大容量的硬碟。
A.12.1.4 開發、測試及運作環境之分隔
UAT環境跟Product環境是拆開的啦XD"
不過我也真的遇過,開發&測試環境沒有拆開,導致很多問題的。
▉A.12.2 防範惡意軟體
A.12.2.1 防範惡意軟體之控制措施
比如Mail的掃毒,PC的防毒。
▉A.12.3 備份
A.12.3.1 資訊備份
舉例:每週完整備份、每日差異備份。
▉A.12.4 存錄及監視
A.12.4.1事件存錄(資通安全法,六個月)
可參考:資通安全管理法及子法彙編_1100914_.pdf
https://nicst.ey.gov.tw/Page/D94EC6EDE9B10E15/1bc22e09-5d67-4a84-a339-d8e677db375d
記錄事件>一、訂定日誌之記錄 時間週期及留存 政策,並保留日 誌至少六個月。
A.12.4.2日誌資訊之保護
防範存放日誌的設施及日誌資訊遭竄改及未經授權存取。
A.12.4.3管理者及操作者日誌
應存錄系統管理者及操作者之活動,且應保護及定期審查該日誌。
A.12.4.4鐘訊同步
組織或安全領域內所有相關資訊處理系統之鐘訊, 應與單一參考時間源同步。
▉A.12.5運作中軟體之控制
A.12.5.1運作中系統之軟體安裝
應實作各項程序,以控制對運作中系統之軟體安裝。
▉A.12.6技術脆弱性管理
A.12.6.1技術脆弱性管理
應及時取得關於使用中之資訊系統的技術脆弱性資訊、並應評估組織對此等脆弱性之暴露, 且應採取適當措施以因應相關風險。
A.12.6.2對軟體安裝之限制(建議)
應建立並實作使用者安裝軟體之管控規則。比如開源軟體、免費軟體可否安裝使用。
▉A.12.7資訊系統稽核考量
A.12.7.1資訊系統稽核控制措施
應仔細規劃並議定,涉及運作中系統之稽核要求事項及活動,以使營運過程中斷降至最低。