這個章節就是作業系統的安全管理機制，稽核視角就是檢查如何營運以維護系統安全。

A.12 運作安全

A.12.1 運作程序及責任

目標：確保資訊處理設施之正確及安全操作。

A.12.1.1 文件化運作程序

運作程序應加以文件化，並使所有有需要之使用者均可取得。

• 確認相關作業系統的相關政策或規範，如：更新政策、備份政策、效能監控…等等。

A.12.1.2 變更管理

應控制對影響資訊安全之組織、營運過程、資訊處理設施及系統的變更。

• 除了自行開發的應用系統(A.14.2.2) 程式上版的變更管理，其他相關作業系統、作業程序、防火牆、白名單軟體、軟體設定的變更都應計入變更管理。

變更管理流程：

(1) 評估資產環境

(2) 發現新的補丁

(3) 測試驗證和計畫佈署

(4) 佈署已核准的補丁

A.12.1.3 容量管理

各項資源之使用應受監視及調適，並對未來容量要求預作規劃，以確保所要求之系統效能。

• 一般來說會做監控或是未來的容量需求規劃考量，如，網路傳輸量、CPU 使用率、硬碟空間、記意體容量…任何需要關注的項目，且最好可以發出告警訊息
• 大部份會使用 Network Monitor 來監控，如：Prometheus、PRTG

A.12.1.4 開發、測試及運作環境之區隔

應區隔開發、測試及運作之環境，以降低對運作環境未經授權存取或變更的風險。

• 正式區跟測試區有沒有區隔，並說明如果沒有區隔會造成什麼樣的風險。
  在上更新時，如果直接上可能會導致作系統存可用性失效，所以會在測試區測試完再上正式區。
  如果沒有測試區，那麼會有虛擬環境 或是其他上版前測試的機制嗎？如 Docker？或開發環境？

A.12.2 防範惡意軟體

目標：確保資訊及資訊處理設施，以防範惡意軟體。

A.12.2.1 防範惡意軟體之控制措施

應實作防範惡意軟體之偵測、預防及復原，並合併適切之使用者認知。

• 任何可以做惡意軟體防護之控制，還要確認有效性和偵測到異常時的回應，如：防毒軟體、EDR、XDR

A.12.3 備份

目標：防範資料漏失。

A.12.3.1 資訊備份

應依議定之備份政策，定期取得資訊、軟體及系統的影像備份複本，並測試之。

• 實際驗證是否依政策或作業規範 抽驗實際上是否完成備份，如果有一併驗證【營運持續管理】，會進一步確認是否有相應的回復演練流程？

A.12.4 存錄及監視

目標：記錄事件並產生證據。

• 先有留存和保護完整性的機制才能審查
• 紀錄的時間鐘訊同步需準確
• 保護紀錄的完整性、不可否認性，如核對雜湊值(Hash)，由不同管理人員管理。
• 要審查的重點以風險需求為考量

A.12.4.1 事件存錄

應產生、保存並定期審查記錄使用者活動、異常、錯誤及資訊安全事件之事件日誌。

• 該啟用的紀錄要啟用且保留下來，且對一般的使用者活動進行異常的審查，需要保留多久也要確認

A.12.4.2 日誌資訊之保護

應防範存錄設施及日誌資訊遭竄改及未經授權存取。

• 對保留下來的紀錄盡可能做到不可否認性，任何使用者都無法直接修改內容。

A.12.4.3 管理者及操作者日誌

應存錄系統管理者及操作者之活動，且應保護及定期審查該日誌。

• 特權管理者的紀錄的審查，如：管理者是否直接於資料庫中直接刪除資料而非透過流程刪除。

A.12.4.4 鐘訊同步

組織或安全領域內所有相關資訊處理系統之鐘訊，應與單一參考時間源同步。

• 紀錄保留時間要是對的，才能做做後續的追蹤稽查，織組應該要對單一來源的時間進行校時
• 作業系統的時區 或是 組織內部的 NTP Server 校時
• 應用程式記錄的時間、機房門禁校時、監控系統校時

A.12.5 運作中軟體之控制

目標：確保運作中系統之完整性。

A.12.5.1 對運作中系統之軟體安裝

應實作各項程序，以控制對運作中系統之軟體安裝。

• 針對作業系統的軟體安裝管理方式

A.12.6 技術脆弱性管理

目標：防範對技術脆弱性之利用。

A.12.6.1 技術脆弱性管理

應及時取得關於使用中之資訊系統的技術脆弱性資訊，並應評估組織對此等脆弱性之暴露，且應採取適當措施以因應相關風險。

• 任何造成技術脆弱性的管理方式，要有計畫性實施且要有效，依組織決定之風險進行處理，如：弱點掃掃、滲透測試、系統更新等等資安檢測，是否有修補機制

這裡的重點是發現的弱點，有修補機制嗎？

• 除了原廠軟體發佈的資安通報以外，針對於相關軟體的漏洞警訊，也可以參考行政院國家資通安全會報技術服務中心：https://www.nccst.nat.gov.tw/Vulnerability

圖片來源：https://sensorstechforum.com/55-percent-apps-outdated-skype-vlc-player/

如果有時間，可能會依稽核的系統項目進一步去確認系統弱點：

• Application Security Risks：https://owasp.org/www-project-top-ten/
• API Security Top 10：https://owasp.org/www-project-api-security/
• Mobile Top 10：https://owasp.org/www-project-mobile-top-10/
• IoT Top 10：https://owasp.org/www-project-internet-of-things/

A.12.6.2 對軟體安裝之限制

應建立並實作使用者安裝軟體之管控規則。

• 對用戶端的軟體安裝之管理

A.12.7 資訊系統稽核考量

目標：使稽核活動對運作中系統之衝擊降至最低。

A.12.7.1 資訊系統稽核控制措施

應仔細規劃並議定，涉及查證運作中系統之稽核要求事項及活動，以使營運過程中斷降至最低。

• 在稽核時，不允許在受稽方正式環境操作系統或是下指令

參考文獻

國家標準(CNS)網路服務系統：https://www.cnsonline.com.tw/

恐怖遊戲推薦：

夕生

《夕生(Halflight)》是主打經典解謎的3D冒險遊戲。跟隨著男孩『夕生』，穿行於亦真亦幻的超現實世界。記憶和噩夢交織一起，希望和宿命相依相生，自我的價值將在這裡接受最終的考驗。

Steam：https://steamcommunity.com/app/724370/reviews/?browsefilter=toprated&snr=1_5_100010_

台語發音的恐怖解謎超有趣！