組態管理 (Configuration Management) 是ISO 27002:2022中所新增的11項控制措施之一，屬於技術控制措施，但它也是這11個控制措施中最難以理解的一種控制措施，雖然每個字都看得懂，但一組合起來瞬間就變成了「天書」，其實在ISO 27002:2022指引內已有相對清楚的說明，不過由於組態管理這個詞在太多領域中都有使用，所以在定義上很容易與其他的領域混淆，就連新版標準已公布過兩年，不同的稽核團隊對這個控制措施的稽核準則仍然會有差異。

組態 (Configuration) 在ISO 27000:2018中並沒有名詞定義，大多數的文章資訊都是以ISO 10007:2017的定義，因此這裡就以它作為定義來源：

Interrelated functional and physical characteristics of a product or service defined in Configuration Information. (ISO 10017:2017 3.1)
定義於組態資訊內的產品或服務之相互功能與實體特性。

那麼組態資訊 (Configuration Information) 又是什麼呢？

Requirements for product or service design, realization, verification, operation and support. (ISO 10017:2017 3.5)
產品或服務設計、實現、驗證、運作與支援的需求。

由組態資訊的定義來解讀，組態是由組成產品或服務的許多不同元素所構成，且可能會在不同的階段作為素材使用，就如同產品製造稱Configuration為「構型」的意義相似，一個產品生產的開始到結束會有很多的要求，如原料材質、尺寸；製造的工序方法與步驟、步驟中會做什麼調整與控制；半成品的加工或後製；品質要求水準以及最後產品的包裝方式等一系列的元素，都可以被稱為組態資訊，而組態又是將這些資訊所串連起來的總稱，因此組態管理的範疇會比其他控制措施要大，或者會與其他控制措施交疊 (如A.8.7防範惡意程式，防毒軟體也能算是一種組態)。

若以這個方式延伸到ISO 27002:2022，那麼就不難理解ISMS內的組態管理要實作的程度為何；在ISO 27001:2022附錄A中，對組態管理這一項的要求是：

Configurations, including security configurations, of hardware, software, services and networks shall be established, documented, implemented, monitored and reviewed (ISO 27001:2022 A.8.9).
應建立、書面記錄、實作、監視並審查硬體、軟體、服務及網路之組態 (包含資訊安全組態)。

就前面所討論的組態的定義，組織應該要制訂出硬體、軟體、服務及網路的組態項目，其中會包含資訊安全的組態項目，並以文件化資訊記錄後，予以實作，且於運作過程中監控及審查是否有效。雖然是如此，但在實務上要執行是有一定的困難度，光是要訂到多細這件事就有得吵的，訂太粗怕會無法涵蓋到必要的範疇，訂太細又會變得複雜，組織內部會需要做取捨，基於全景與風險評鑑的結果來決定，或是考量是否有其他管理系統的需求。

組態管理某種程度可以與資產清冊 (A.5.9) 一併處理，最少要先知道組織有哪些類型的資訊資產，依硬體、軟體、服務及網路區別，然後依資產的分類辨識需要的組態，因為即便都是硬體，依照其分類與運用方式不同，會有不同的組態要求，例如伺服器跟防火牆雖然都是硬體，但組態要求一定不會完全相同；又如個人電腦與伺服器雖然都是運算型的硬體，但組態要求也一定不會完全相同。

就實務上來看，每一類型的資產至少要有三種組態：

1. 基本能力要求，如硬體能力要求、軟體系統需求、服務部署的要求以及網路通訊的要求。
2. 讓其正常運作的要求，通常是指讓硬體、軟體、服務及網路元件可以處於正常運作下所需的設定。
3. 基本的安全要求，通常是指硬體、軟體、服務及網路能夠維持在組織的安全要求下運作所需的設定。

例如一個網站服務 (Web Application Service) 的組態制訂會如下表所示。

組態項目盤點出來後，即要針對其最小可安全運作的需求進行設計，制訂出組態基準 (Configuration Baseline)，組態基準會作為安裝、部署及運作期間監視的依據，而組態基準可以在同一個類型的資產上重覆使用，以簡化管理的程序及減少管理成本。

將組態基準落實到各個資產時可運用自動化工具進行，例如組織可以制訂出個人電腦或主機的安全組態設定後，使用AD的群組原則 (Group Policy) 進行部署，即可簡化手動在每台電腦或主機上設定的麻煩；若是運用雲端上的資源，還可以進一步使用程式化基礎建設 (Infrastructure as Code) 的作法，快速部署已包含相同安全組態的大量主機 (VM) 或服務；在地端也可以運用如部署腳本或大量部署之自動化工具，預先設定安裝時自動設定的相關安全組態後，再依其組態進行部署；組態部署後，可運用自動化工具蒐集各個資產內的組態數據，確認組態是否有被異動、是否符合最小運行組態要求 (如磁碟空間可用程度) 等作業，確保組態已落實於各個資產內。

另外，組態基準一經設定，若要進行變更就必須要經過組織所制訂的過程進行審查 (主條文6.3)，審查通過才允許進行變更，以確認組態是受控於組織的過程內，當然依照主條文的要求，審查的過程要留存證據。

總結一下，若要滿足組態管理的控制措施，組織要做到：

1. 制訂組態管理的相關制度，包含角色、責任與程序。
2. 針對ISMS實作範圍內的IT資產 (硬體、軟體、服務及網路) 盤點組態，包括基本能力要求、運作正常要求及基本安全要求的組態。
3. 將組態導入 (部署) 到IT資產內，並定期監控與審查組態的有效性。
4. 組態的變更要依照程序執行。

針對IT資產管理的相關作業，可參考ISO 19770-1:2017。