iT邦幫忙

2021 iThome 鐵人賽

DAY 21
2
IT管理

稽核師的挑戰系列 第 20

[Day21]ISO 27001 附錄 A.9 存取控制

  • 分享至 

  • xImage
  •  

這個章節的重點就是權限。
最小權限原則,全部關掉只開放給有特殊身份的授權人員。
所以稽核的重點就在於該開的要開,該關的要關。

https://ithelp.ithome.com.tw/upload/images/20211015/20103647DWdXximXJG.png

其實這裡也對應到 CISSP 的 IAAA 噢!
識別(Identification)、驗證(Authentication)、授權(Authorization)、問責(Accountability)
如果想要更詳盡可以參考 CISSP 進階參考線上課程:https://thorteaches.com/cissp-iaaa/

A.9 存取控制

A.9.1 存取控制之營運要求事項

目標:限制對資訊及資訊處理設施之存取。

A.9.1.1 存取控制政策

存取控制政策應依據營運及資訊安全要求事項,建立、文件化及審查之。

  • 存取控制政策或作業規範

A.9.1.2 對網路及網路服務之存取

應僅提供予使用者存取其已被特定授權使用之網路及網路服務

  • 網路服務存取管理之方式,有提供服務網路服務,如何控管?
    在疫情期間,有相關居家辦公的政策,如果有提供 VPN 的服務,那是不是有相關的管理方式?
    如:網段區隔、權限切分、服務的申請表單(新增/停用)

A.9.2 使用者存取管理

確保經授權使用者對系統及服務之存取,並防止未經授權之存取,如:最小權限原則。

A.9.2.1 使用者註冊及註銷

應實作正式之使用者註冊及註銷過程,俾能指派存取權限。

  • 組織要有對使用者註冊及註銷之程序,如:到職、離職、職務異動。

A.9.2.2 使用者存取權限之配置

應實作正式之使用者存取權限配置程序,以對所有型式之使用者對所有系統及服務,指派或撤銷存取權限。

  • 針對一般使用的的權限管理方式,最常見的作法是抽驗新進人員及離職人員有沒有停用或移除權限。

A.9.2.3 具特殊存取權限之管理

應限制及控制具特殊存取權限之配置及使用。

  • 針對特權使用者的權限管理方式,抽驗管理者的權限及異動記錄。

A.9.2.4 使用者之秘密鑑別資訊的管理

應以正式之管理過程控制秘密鑑別資訊的配置。

  • 秘密鑑別資訊: 通行碼、Token、生物辦識,任何屬於秘密鑑別資訊的管理。

A.9.2.5 使用者存取權限之審查

資產擁有者應定期審查使用者之存取權限。

  • 定期審查的紀錄
    這個常常會收到受稽方的反彈,使用者那麼多,是要怎麼逐一審查呢?
    標準作法:看政策是否有相應的規定,大部份的受稽方會完整盤點權限。
    或是盤點核心權限異動人員盤點抽驗部門盤點 等作法。

A.9.2.6 存取權限之移除或調整

所有員工及外部使用者對資訊及資訊處理設施之存取權限,一旦其聘用、契約或協議終止時,均應予以移除;或於其聘用、契約或協議變更時均須調整之。

  • 申請異動或審查之後的權限異動調整,如抽驗職務異動、離職人員之權限。

A.9.3 使用者責任

目標:令使用者對保全其鑑別資訊負責。

A.9.3.1 秘密鑑別資訊之使用

於使用秘密鑑別資訊時,應要求使用者遵循組織之實務規定。

  • 使用者對其秘密鑑別資訊的使用原則,如:機敏資訊的紙本不能拿來墊便當訂飲料。

A.9.4 系統及應用存取控制

目標:防止系統及應用遭未經授權之存取。

A.9.4.1 資訊存取限制

應依存取控制政策,限制對資訊及應用系統功能之存取。

  • 核對權限細部的存取限制,最小權限原則,如:可讀、可寫、可不可以執行或是可不可以看到。

A.9.4.2 保全登入程序

當存取控制政策要求時,應以保全登入程序,控制對系統及應用之存取。

  • 登入系統的流程應該會有保全的方式,例如:帳號密碼、雙因素、跳板機的控管方式為何?

A.9.4.3 通行碼管理系統

通行碼管理系統應為互動式,並應確保嚴謹通行碼。

這裡的通行碼指的就是密碼(Password)

  • 通行碼的管理應採取互動式的機制,如到期時會主動提醒要更換、要符合複雜性,幾代不可重覆,輸入不符合時會主動提醒。

其實之前稽核學校的時候,提到說臺灣學術網路各級與學校資通安全,密碼長度為 6 碼,但資通安全規定是 8 碼,這裡有問過前輩,可以提口頭改善建議嗎?
前輩提到以主管機關的要求為主,稽核不同的組織要以不同組織的政策為主。

A.9.4.4 具特殊權限公用程式之使用

應限制及嚴密控制可能篡越系統及應用控制措施之公用程式的使用。

  • 可以影響到系統的特殊公用程式的使用要管理,可能包含但不限於你寫到的,一些受稽方提供的特殊系統管理工具也可以涵蓋,最常見的就是系統管理工具的權限、Terminal 的權限。

A.9.4.5 對程式源碼之存取控制

應限制對程式源碼之存取。

  • 對程式原始碼要進行存取控制,重點在利用版控軟體的角色存取控制。

參考文獻

國家標準(CNS)網路服務系統:https://www.cnsonline.com.tw/

恐怖遊戲推薦:

嚴懲(Infliction)

Infliction 是一場互動式的噩夢,在一個看上去很正常的郊區住宅中,對潛伏其中的黑暗進行一次可怕的探索。徘徊遊蕩在一個曾經幸福美滿的家庭的廢墟裡,通過閱讀信件和日記、聽取語音郵件和拼湊線索,來瞭解這些引導你來到這裡的可怕事件。

Steam:https://store.steampowered.com/app/692100/Infliction/

Yes


上一篇
[Day20]ISO 27001 附錄 A.8 資產管理
下一篇
[Day22]ISO 27001 附錄 A.10 密碼學
系列文
稽核師的挑戰30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言