iT邦幫忙

2024 iThome 鐵人賽

DAY 24
0
Security

資訊安全管理系統制度白手起家系列 第 25

[Day 24] 實體控制措施

  • 分享至 

  • xImage
  •  

除以全遠端方式營運的組織外,多半組織都會有一個辦公場域,會有一部或多部的個人電腦或主機 (統稱資訊處理設施)、網路佈建以及需嚴格保護的區域 (如機房) 等,這些都屬於組織的實體資產 (Physical Assets),而實體控制措施 (Physical Controls) 的用意就是要保護這些實體資產,共有14項。

在辦公場域內會留有許多組織在日常營運過程中所產生營運資料 (書面文件、表單、紀錄、工作用素材等),通常不會允許閒雜人等隨意進出,組織需要劃定辦公場域以及辦公場域內需要施加額外控制的週界 (Perimeter) (A.7.1),定義出相關的控制措施 (A.7.2、A.7.3),例如門禁系統、專人看管等,以限制進出的人員及進出條件,而且原則上也要佈建監視系統,門禁與監視系統所產生之進出記錄與監視錄像則依照組織所定義的記錄保存政策 (A.5.28與A.5.33) 的要求予以存錄及保存 (A.7.4)。

在保全場域內因為存放了組織重要的實體資產,除了人員的因素外,也應規劃與實作因應人員以外風險的控制措施 (A.7.5),例如自然的風險 (颱風、地震、洪水、火災等) 以及公用事業的風險 (如電力、供水以及網路) (A.7.11),另外針對實體資產於運作過程中所可能的風險 (如主機過熱、環境潮溼、突然斷電等) 的監控亦需因應,以避免實體資產損壞產生的組織營運風險。

資訊處理設施是ISMS要保護的重點對象,包含電腦 (無論伺服器或用戶端)、儲存設備 (NAS、SAN或電腦內的硬碟)、網路設備、網路佈線等都在範圍內,重要的設施通常會劃出一個場域存放 (如機房),除了前面提到進出監視外,在場域內的活動也需要管制 (如機房僅能由MIS進入,若廠商要進入也應由MIS陪同),對場域內設施的進出亦要有相關的記錄,以確保重要設施未被調包或是偷竊的行為 (A.7.6、A.7.8);為了要讓資訊處理設施能正常運作,組織必須要週期性檢視與維護設施 (A.7.13),若設施是組織擁有但位於組織場域外 (如電子看板) 時,組織亦需要對場域外的設施進行相關的安全管理作為 (A.7.9)。

儲存設備因為會儲存組織的營運資料,除了資料需要定期備份外,對存有敏感資料的儲存設備的實體 (尤其是硬碟、USB隨身碟、記憶卡等) 要嚴格控管,包含因故障替換時,替換下來的設備要進行特殊處置以避免資料被重建而被盜取;若設備仍然可用時,要清除原有的資料後才能夠再利用等等,組織需要制訂儲存設備的管理規則 (A.7.10),以避免敏感資料因為替換設備而發生外洩事件。

除了重要的設備外,在辦公場域內基本上隨處可見許多的插座,包含電源、電話及網路,會由各式的設備所運用 (如個人電腦、印表機、傳真機等),為了確保這些線路不會因為某些異常行為而中斷 (例如不小心被踢掉電源線),在場域內的線路必須要予以保護 (例如將線路隱藏在地板下、天花板上,或是隱藏在辦公桌內,適當的使用配線條壓住線路等),像是機房內設備的網路連接可加上標示,確認網路線所接的設備為何,避免因維護時拔錯線導致可能的中斷;若是長距離的佈線,則要額外考慮有沒有被有心人士破壞的可能性;電話線路則要考慮是否有會被竊聽的風險 (A.7.12)。

最後就是比較偏人員習慣的風險,就是通常辦公桌上會放置很多列印出來的文件,這些文件有可能是敏感資料,放在桌上很容易就被有心人士檢視或取走,螢幕也是,若剛好打開的是敏感資料,而人又剛好離開座位,一樣會被有心人檢視與擷取,因此組織需要規定螢幕與桌面淨空的要求 (A.7.7),要求人員要將敏感資料鎖於可上鎖的置物櫃或辦公櫃內,螢幕則是設定短時間內會進入螢幕保護模式,且恢復時要重新認證使用者否則無法解鎖的控制措施。


上一篇
[Day 23] 人員控制措施
下一篇
[Day 25] 技術控制措施
系列文
資訊安全管理系統制度白手起家32
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言