正如其名,組織控制措施 (Organizational Controls) 是站在組織層級的觀點所施加的控制措施,也就是一個站在管理的角度來施行的控制方式,共有37項,占所有控制措施的39%,也是四大類控制措施中最多的,因為是站在管理的角度,所以基本上組織控制措施可視為所有ISMS控制措施的最高位,其他人員、實體與技術控制措施都是環繞著組織控制措施而實作的。
組織控制措施有一部份會跟主條文有所連動,例如A.5.1資訊安全政策就跟主條文5.2連動、A.5.2資訊安全之角色與責任與主條文5.3連動、A.5.4管理階層責任則與主條文5.1連動、A.5.37書面記錄運作程序則與主條文8.1連動等等,因此在實作主條文時,有時也會間接的實作到特定的控制措施。
組織控制措施可分為十一項主題:
資訊資產管理 (Information Asset Management) 是ISMS的老面孔,自ISO 17799時代就已經存在,因為資訊資產是多數組織要保護的有價值事物,尤其是營運或業務資料,所以歷次ISMS都把資訊資產的地位視為重中之重,而ISO 27005:2022則是將資訊資產類型切分為企業營運資產 (Primary Asset) 與支援資產 (Support Asset),不同的資產有著不同的風險來源與威脅類型,也有著截然不同的風險因應措施,不過就ISO 27001的角度來看,由管理面施加控制措施是不變的,因此像資產清冊、資產可接受使用審查、資訊分級分類及標示等,都是一貫必須要做的事情。
身份識別與存取管理則是組織在授予人員存取資產時十分重要的管制措施,均屬於存取控制 (Access Control) 政策的一環,組織在授予人員存取權的時候,必須有效的控制身份識別的生命週期、身份鑑別的有效措施、存取權限的授予以及控制等,每一項都攸關組織資訊資產的安全,所以ISMS對存取控制的要求十分嚴格,不僅有組織控制措施,連人員控制措施、實體控制措施與技術控制措施都有存取控制的相關項目。
供應者關係 (Supplier Relationship) 之資訊安全則是要控制供應者與組織互動之間的安全,互動包含資料交換、產品或服務交付、委外或是資源供應 (如雲端) 等,為了要具體闡述與規定雙方的安全義務,因此供應者關係列為組織控制措施的一環,且因為供應鏈攻擊事件層出不窮,供應者關係的安全也會被視為ISMS的重點項目。
資訊安全事故管理 (Information Security Incident Management) 的重點在於組織在發生資訊安全事件及事故時組織的反應能力、應變及處理能力,以及於每次事件或事故中學習經歷藉以持續改善ISMS,因此組織需要定義資訊安全事故的通報、分級準則、處理、回應以及學習的制度與規範,並要求組織人員落實執行。
營運持續管理 (Business Continuity Management) 為組織韌性的表現,之所以營運持續會列在ISMS的範疇,主要是因為Availability (可用性),因此組織必須執行營運持續相關的分析、定義及實作活動,同時為確認營運持續計畫的有效性,還要定期規劃演練腳本進行演練。
合規性 (Compliance) 對組織而言相當重要,它攸關於組織的可信賴性,且組織在法律實體 (如政府) 的治理下,若違反相關法規的後果會相當嚴重,所以組織必須要清楚自己要符合的法規要求,以避免因法律問題所產生的風險;與它相似的議題則是符合性與有效性 (Conformity and Effectively),組織必須證明自己有符合ISMS的標準,並證明依照自己所訂定的規章執行,以有效的控制風險及達成目標,才會具有授予ISMS符合性認證的資格。
情報與聯繫 (Intelligence and Communication) 為與外部關注者保持溝通與聯繫,並且可由外部關注者或其他情報來源獲取可能的威脅情報 (Threat Intelligence),以及早因應準備,組織需要制訂相關程序以分析及處理可能對組織有危害或風險的威脅情報,它也可以作為資訊安全事故管理的前期程序。
專案管理之資訊安全則是較特別的一種類型,它主要是要求組織要將資訊安全的控制措施與組織的專案管理過程揉合,以確保組織在進行專案的過程中能夠符合資訊安全的要求,例如專案內的資訊安全風險控制、存取控制與管理、專案過程中若有與其他組織 (如客戶) 進行資料交換時要予以保護等等,組織要規劃在專案管理各個階段或程序中所要採取的保護作為。
將落實於資訊處理設施 (如主機、網路設備、儲存設備等) 的控制措施程序予以文件化可讓程序得以交接給其他人員,或是當主要負責人員因故無法執行 (如離職、請假等) 時,可由其他代理人員依文件化的程序維持設施的有效控制,組織也可以運用自動化機制來簡化過程,但也要考量當自動化機制失效時的風險。
iThome鐵人賽
看影片追技術