《前言》
資通安全防護及控制21~28條的規範都算是很基本的資安規範,請大家多注意這十二條裡面,哪些是該『訂定』或『建立』的?哪些是要『定期』檢視或辦理的,多注意指引內的規定。
=====================================
第六章 資通安全防護及控制措施
第二十一條、 建立使用者通行碼管理之作業規定,如:預設密碼、密碼長度、密碼複雜度、密碼歷程記錄、密碼最短及最長之效期限制、登入失敗鎖定機制,並評估於核心資通系統採取多重認證技術。
第二十二條、 定期審查特權帳號、使用者帳號及權限,停用久未使用之帳號。
第二十三條、 建立資通系統及相關設備適當之監控措施,如:身分驗證失敗、存取資源失敗、重要行為、重要資料異動、功能錯誤及管理者行為等,並針對日誌建立適當之保護機制。
第二十四條、 針對電腦機房及重要區域之安全控制、人員進出管控、環境維護(如溫溼度控制)等項目建立適當之管理措施。
第二十五條、 留意安全漏洞通告,即時修補高風險漏洞,定期評估辦理設備、系統元件、資料庫系統及軟體安全性漏洞修補。
第二十六條、 訂定資通設備回收再使用及汰除之安全控制作業程序,以確保機敏性資料確實刪除。
第二十七條、 訂定人員裝置使用管理規範,如:軟體安裝、電子郵件、即時通訊軟體、個人行動裝置及可攜式媒體等管控使用規則。
第二十八條、 每年定期辦理電子郵件社交工程演練,並對誤開啟信件或連結之人員進行教育訓練,並留存相關紀錄。
=======================================
《探討及分析》
有關第二十一條,是關於密碼管理的部分,該條分為七個重要的項目:
- 預設密碼
- 密碼長度
- 密碼富雜度
- 密碼歷程記錄
- 密碼最短及最長之效期限制
- 登入失敗鎖定機制
- 評估於核心資訊系統採取多重認證技術
第二十二條是有關帳號管理的部分,主要分成三個重要的項目:
- 定期審查特權帳號
- 使用者帳號及權限
- 停用久未使用之帳號
這兩條主要是針對帳號及密碼之管理,有關密碼與帳號的管理,通常會制訂在『電腦化資訊系統處理』的『程式及資料存取控制作業』內,我們在查核的時候,最好也能依這兩條,抽樣檢視樣本是否有做到以上十個項目,並且寫入報告之內。
再來,就是有關第二十三條的部分,只要有登入不管重不重要,都得要留存軌跡下來,如果有存取失敗的情況,當然也要做紀錄,如果異常登入登出過多,或有不正常操作、搬移資料等等,資訊單位都要立刻詢問使用者,同時,稽核單位在檢視異常作業時,也需調閱紀錄,視情況查核。
第二十四條,是有關機房管控,目前是訂在『電腦化資訊系統處理』的『檔案及設備之安全控制作業』內,不過,最好是在『不動產、廠房及設備循環』內訂入本條,尤其如果公司的廠房及設備都具有高度機密性,又或者有特殊規定,例如無塵室等,這條也是必須遵守的。
第二十五條是有關漏洞之通報,目前這部分會訂在『電腦化資訊系統處理』的『檔案及設備之安全控制作業』內,其實不只是電腦,如果是重要的機器設備也是要定期更新,修補漏洞的。
這裡另外提到一點,因為最近剛好注意到,就是目前有關監視器的安全性控制,我們知道目前很多公司,都會忽略監視器的管控,但監視器似乎到處都有,而且很多監視器都是對岸來的,有些公司如果真的安裝是對岸的系統,查核時就要多注意,記得要詢問一下,監視器的監控軟體是否是對岸的軟體,這是大家可能會忽略掉的部分,至於要不要用對岸的修補程式,這最好詢問一下原廠商,在此,還是建議,監視器的軟體最好還是用台灣國產。最好是把監視器訂在在『不動產、廠房及設備循環』內,並且要多注意查核。
第二十六條是有關設備回收再使用及汰除之安全控制,這部分通常是訂在『電腦化資訊系統處理』的『檔案及設備之安全控制作業』及『編製系統文書之控制作業之稽核』內,有關於這部分,筆者覺得機敏性資料被攜出,可能會比銷毀不銷毀還重要,資料刪除有時候是可以復原的,所以最好是能夠加強門禁,減低被攜出的風險,這些也會跟『生產循環』及『研發循環』會有關連性,因此,在這兩個循環也要訂入資安的規定。
第二十七條是有關人員裝置使用管理規範的訂定,目前是大部分是會訂在『程式及資料存取之控制作業』之內,電腦的存取權限,也要定期的檢視調整,本條有列舉了五種裝置的控管:
- 軟體安裝
- 電子郵件
- 即時通訊軟體
- 個人行動裝置
- 可攜式媒體
以上這些都是很基本的應用軟體或裝置,前三項尚可控管,但是後面兩項,要做好管理實在不容易,畢竟是可以移動的,不容易做好管控。
第二十八條是有關定期的社交演練等訓練,通常會定訂在『資通安全檢查之控制』作業項目裡,這個社交演練的部分,已經算是一個很普遍教育訓練必強調的部分,只是這類社交工程問題還是經常在發生,或者像誤點擊到不該開的信件這種事,有時就算多重驗證,其實還是可能出錯的。
以是給大家做參考。
iThome鐵人賽
看影片追技術