▉今天突然跳這個筆記,是我的mail裡面躺著的關鍵字,一直有立陶宛這個XD" 默默的在看,它是啥?
└而且隨之而來的新聞很有趣,小米本來不予回應,到今天要找第三方廠商驗證提供說明XDDD"
它從9/22,到昨天9/28,小米本來的不予回應,到昨天回應已找第三方資安廠商要證明沒有觸犯隱私權XD"
繼續觀察囉。
也剛好在瞄新聞的過程,看到小米聲稱符合『 ISO / IEC 27001 資訊安全管理標準和 ISO / IEC 27701 隱私資訊管理體系要求』。
所以今天筆記就先歪到ISO/IEC 27701了。
(它是27001+27002的延伸,但我一時找不出來是27001的哪個項目?A.9存存控制嗎?)
▉關於 ISO/IEC 27701
ISO/IEC 27701作為ISO/IEC 27001與ISO/IEC 27002在管理上的延伸標準
,其目標是通過新增的要求來增強現有資訊安全管理體系(ISMS),
以便建立、實施、維護和不斷改進隱私資訊管理體系(PIMS),
標準概述了適用於個人身份資訊(PII)控制者和PII處理者的框架,用於隱私控制管理,以降低對個人隱私的各種風險。
▉然後,立陶宛是什麼?
NCSC(英國國家網路安全中心)> https://www.ncsc.gov.uk/
來自 https://stli.iii.org.tw/article-detail.aspx?no=83&tp=4&d=7725
成立於2016年11月1日的英國國家網路安全中心(NCSC)是英國網路安全的主責單位,且隸屬於GCHQ之下;
NCSC融合並取代了CESG(GCHQ的資訊安全部門),網路評估中心(CCA),英國電腦緊急應變小組(CERT UK)
以及國家基礎設施保護中心的網路相關責任 CPNI)。
▉需要參考新聞的話:
└09/23的新聞|小米手機有資安疑慮?NCC:可選資安檢測合格產品
https://technews.tw/2021/09/23/ncc-smart-phone-pass-the-test/
筆記點:
資安檢測分成3級(阿我三級的找不到?發生了什麼事XDDD")
1級檢測是針對手機內建軟體更新來源的資料傳輸對象要求要跟宣告表相符合,
2級檢測要求手機內建軟體開啟的網路傳輸埠與宣告表相符合,負責檢測的資安實驗室對手機連接的伺服器比對跟宣告表相同後,才會發出檢測合格報告。
翁柏宗表示,建議民眾依需求評估選購已通過資安檢測的手機,NCC不會特別針對特定品牌來檢視,但每年都會針對販賣較好的數十款手機,定期做資安抽測並對外公告結果。
也會請手機製造商積極把手機提送資安檢測,共同維護消費者權益。
根據NCC資料,目前智慧型手機資安檢測,申請者除了取得智慧型手機資安審定證明外,也可以獲得智慧型手機系統內建軟體資安測試認證標章(ESS認證標章)。
標章上星星數量表示該款手機通過的資安檢測等級,共分成3級。
報告還點名華為P40 5G手機,認為用戶在華為應用商店引導下,可能接觸到病毒應用,會有資安風險。
但報告也稱,另一個大陸品牌一加5G手機並沒有問題。
小米23日回應強調,公司設備沒有對用戶的通訊內容進行審查,也絕不會限制用戶對手機軟體的使用,
並強調小米完全符合歐盟一般資料保護規範(GDPR)。華為則回應,公司遵從各國法規及資安數據隱私,
數據不會在華為設備之外進行處理,華為應用商店的運作模式也與其他應用商店相同。
└09/24新聞:控預設審查功能 立陶宛點名小米
來自 https://wantrich.chinatimes.com/news/20210924S483270
綜合陸媒23日報導,立陶宛國防部國家資安中心9月21日公布報告表示,發現小米的Mi 10T 5G手機內建內容審查軟體,
會偵測如「解放西藏」、「台灣獨立」、「民主運動」等詞彙,該軟體並可被遠端遙控開啟。
小米手機還向新加坡的伺服器發送加密資訊,恐違反歐洲數據法規。
└09/26的新聞:立陶宛警告小米手機資安風險 德國展開調查
https://udn.com/news/story/6811/5773246
└09/27的新聞:遭立陶宛質疑資安風險 小米找專家評估手機審查功能
https://money.udn.com/money/story/5604/5775276
└09/28的新聞:立陶宛警告中製手機暗藏資安風險,小米駁:符合 GDPR 所有要求
https://technews.tw/2021/09/28/lithuanian-government-says-xiaomi-smartphones-have-security-risks/
小米認為營運符合 ISO / IEC 27001 資訊安全管理標準和 ISO / IEC 27701 隱私資訊管理體系要求。
從 2016 年起,小米也收到 TrustArc 每年一次企業隱私安全認證。這些都確保小米為終端使用者提供最大限度的隱私安全保護。
▉其他參考資料:
└PIMS是什麼 > 2018年的資料|個人資訊管理系統(PIMS)國際標準
https://ws.ndc.gov.tw/Download.ashx?u=LzAwMS9hZG1pbmlzdHJhdG9yLzEwL3JlbGZpbGUvMC8xMTYxOS8zMmU3NmFlNC05M2E3LTQyNGItYjEyYi00YTQ1ZGNhNmMwY2YucGRm&n=5pyA5paw5YCL5Lq66LOH6KiK566h55CG57O757Wx77yIUElNU%2B%2B8ieWci%2Bmam%2Baomea6li5wZGY%3D&icon=..pdf
└一文读懂全新隐私信息管理国际标准ISO/IEC 27701:2019
https://www.sgsgroup.com.cn/zh-cn/news/2019/08/cbe-0816-isoiec27701-news
└英國國家網路安全中心釋出漏洞揭露工具包
https://www.ithome.com.tw/news/140012
工具包提供了組織如何對安全研究人員揭露自家安全政策、漏洞揭露程序及聯絡窗口的說明範本,
也提供常見網站弱點如跨站指令碼(XSS)漏洞的回應方式
ISO/IEC 27701 大綱如下:
認識資訊安全管理系統
國際趨勢與相關標準
ISO 27001:2013 架構解說
PDCA 模式、資訊安全政策
驗證分類和風險評估
稽核過程、技巧、準備
啟始會議
缺失、觀察事項、演練與管理審查
營運持續性計劃、適用說明書
事件管理、閉幕會議、筆試