Hello, 各位 iT 邦幫忙 的粉絲們大家好~~~

本篇是 建構安全軟體開發 系列文的 EP07。

安全開發的重要參考規範 Part1

資訊安全的標準規範

• NIST : SP 800-53
  Security and Privacy Controls for Information Systems and Organizations

• ISO/IEC : FDIS 27001 (Under development)
  Information security, cybersecurity and privacy protection — Information security management systems — Requirements

• CIS (Center for Internet Security)
  Critical Security Controls (v8)

NIST : SP 800-53

NIST 為 美國國家標準 對資訊安全遵循的標準規範。

SP 800-53 目前已發佈 Rev. 5(2020 年 9 月)。

如果往前看到 Rev. 3 發佈的當時(2009 年 8 月) 還沒有直接把 Privacy 寫入，但到了 Rev. 4 發佈的時候 (2013 年 4 月)，就已經把 Privacy 納入考慮了。

而目前 NIST 也針對 SP 800-53 Rev. 5 也持續的在徵詢相關建議，應該會在 2022 年底或 2023 年初再發行一個微調的版本，如果有興趣的捧友可參考連結參與建議:
https://csrc.nist.gov/news/2022/1st-comment-period-for-sp800-53-pub-comment-site

ISO/IEC : FDIS 27001 (Under development)

ISO 為 國際標準組織 對資訊安全遵循的標準規範。

由於 FDIS 27001 尚屬 Under development 的狀態，如果要等到定案發佈，可能還有一陣子。

但可以對照一下其前身的幾個的已發佈的 ISO 27001 規範，會發現 Privacy 是直接被寫到新版的 FDIS 27001 當中。

CIS (Center for Internet Security)

CIS 為 美國民間單位組織 對資訊安全遵循的標準規範。

其中 CIS Controls Ver. 8 文件當中明列出 18 條控制作法達成資訊安全: The 18 CIS Critical Security Controls:

另外也可看一下 CIS Controls Ver. 7 與 Ver. 8 的改變對照:

上圖取自 SANS Institute 的 blog 介紹 CIS Controls v8。

更多參考標準規範與準則

由於 Microsoft 的任何產品或服務都面對著跨區域跨國際的問題，所以對於自家服務如: Azure、Dynamics 365、Microsoft 365...等，應該要遵守的各項法規都有明確的準則要遵守，也訂立出了 Microsoft 合規性方案的列表。

而透過這份列表將可以協助了解各國家、地區和行業特定的資料收集規章。

Microsoft 合規性方案網址:
https://docs.microsoft.com/compliance/regulatory/offering-home