1、 1 印行年月 94 年 10 月 本標準非經本局同意不得翻印 中華民國國家標準 CNS 總號 類號 ICS 35.040.00 14929-4X6046-4經濟部標準檢驗局印行 公布日期 修訂公布日期 94 年 5 月 13 日 年月日 (共 75 頁 )資訊技術資訊技術安全管理指導綱要第 4 部:保護措施之選擇 Information technology Guidelines for the management of IT security Part 4:Selection of safeguards 目錄 節次 頁次 導論 4 1. 適用範圍 . 5 2. 參考文件 . 5 3. 用
2、語釋義 . 5 4. 目標 5 5. 概觀 5 6. 保護措施選擇和基準安全概念之簡介 8 7. 基本評鑑 . 12 7.1 IT 系統型式之識別 12 7.2 實體 /環境條件之識別 12 7.3 評鑑現存 /已規劃的保護措施 13 8. 保護措施 . 13 8.1 組織性和實體性保護措施 14 8.1.1 IT 安全管理和政策 14 8.1.2 安全遵循性檢查 14 8.1.3 事故處置 . 15 8.1.4 人員 15 8.1.5 操作上的議題 16 8.1.6 營運持續規劃 17 8.1.7 實體安全 . 18 8.2 IT 系統特定保護措施 24 8.2.1 識別和鑑別 (I&A).
3、 24 8.2.2 邏輯存取控制和稽核 . 24 8.2.3 惡意程式碼之防護 . 25 8.2.4 網路管理 . 26 8.2.5 密碼學 27 9. 基準作法:依照 IT 系統型式選擇保護措施 . 31 9.1 一般適用之保護措施 . 32 2 CNS 14929-4, X 6046-4 9.2 IT 系統特定之保護措施 . 32 10. 依據安全關注事務和威脅選擇保護措施 . 34 10.1 評鑑安全關注事務 . 34 10.1.1 喪失機密性 . 35 10.1.2 喪失完整性 . 35 10.1.3 喪失可用性 . 35 10.1.4 喪失可歸責性 36 10.1.5 喪失可鑑別性
4、36 10.1.6 喪失可靠性 . 36 10.2 機密性之保護措施 . 37 10.2.1 竊聽 . 37 10.2.2 電磁輻射 . 37 10.2.3 惡意程式碼 . 38 10.2.4 偽裝使用者身分 38 10.2.5 訊息誤選路 /再選路 38 10.2.6 軟體失效 . 38 10.2.7 竊盜 39 10.2.8 未經授權的存取電腦、資料、服務和應用程式 . 39 10.2.9 未經授權的存取儲存媒體 . . 39 10.3 完整性之保護措施 . 40 10.3.1 儲存媒體劣化 40 10.3.2 維護錯誤 . 40 10.3.3 惡意程式碼 . 40 10.3.4 偽裝使用
5、者身分 41 10.3.5 訊息誤選路 /再選路 41 10.3.6 不可否認性 . 41 10.3.7 軟體失效 . 41 10.3.8 供應源失效 (電力、空調 ) . 42 10.3.9 技術失效 . 42 10.3.10 傳輸錯誤 . 42 10.3.11 未經授權的存取電腦資料、服務和應用程式 . 43 10.3.12 使用未經授權的程式和資料 . 43 10.3.13 未經授權的存取儲存媒體 . 43 10.3.14 使用者錯誤 . 44 10.4 可用性之保護措施 . 44 10.4.1 破壞性攻擊 . 44 10.4.2 儲存媒體劣化 45 10.4.3 通訊設備和服務失效 .
6、 45 3 CNS 14929-4, X 6046-4 10.4.4 火、水 45 10.4.5 維護錯誤 45 10.4.6 惡意程式碼 . 46 10.4.7 偽裝使用者身分 46 10.4.8 訊息誤選路 /再選路 46 10.4.9 誤用資源 46 10.4.10 天然災害 47 10.4.11 軟體失效 . 47 10.4.12 供應源失效 (電力、空調 ) 47 10.4.13 技術失效 . 48 10.4.14 竊盜 48 10.4.15 訊務超載 . 48 10.4.16 傳輸錯誤 . 48 10.4.17 未經授權的存取電腦、資料、服務和應用系統程式 . 49 10.4.18
7、 使用未經授權的程式和資料 . 49 10.4.19 未經授權的存取儲存媒體 . 49 10.4.20 使用者錯誤 . 50 10.5 可歸責性、可鑑別性及可靠性之保護措施 . 50 10.5.1 可歸責性 50 10.5.2 可鑑別性 50 10.5.3 可靠性 . 50 11. 依據詳細評鑑選擇保護措施 51 11.1 本系列標準第 3 部和第 4 部之間的關係 51 11.2 選擇原則 . 51 12. 發展全組織性基準 52 13. 彙總 54 參考資料 . 54 附錄 A 資訊安全管理之作業要點 . 55 附錄 B ETSI 基準安全標準特徵和機制 . 58 附錄 C IT 基準保護
8、手冊 60 附錄 D NIST 電腦安全手冊 63 附錄 E 醫療資訊學:醫療資訊系統的安全歸類和保護 65 附錄 F TC68 銀行和相關金融服務資訊安全指導綱要 67 附錄 G 未受正式機密條例涵蓋之敏感資訊的保護電腦工作站建議事項 70 附錄 H 加拿大資訊技術安全手冊 . 72 英中名詞對照表 . 74 4 CNS 14929-4, X 6046-4 導論 本標準之目的為提供資訊技術 (Information Technology; IT)安全管理方面的指引,並非提供解決的方法。組織內負責 IT 安全的相關人員,可採用本標準的內容以符合其特定的需求。本標準的主要目標是: 定義及描述與
9、IT 安全管理有關的概念。 識別 IT 安全管理與一般 IT 管理之間的關係。 呈現一些可以被使用於解釋 IT 安全的模型。 提供 IT 安全管理的一般指引。 本系列標準分為 5 部。第 1 部提供基本概念之概觀與使用於描述 IT 安全管理的模型。這部的內容適合負責 IT 安全之管理者與負責組織整個安全程式的人員。 第 2 部描述管理與規劃方面。這部是與負責關於組織之 IT 系統的管理者有關。包含: 負責監督 IT 系統的設計、實作、測試、採購、或操作的 IT 管理者。 負責 IT 系統之實際使用活動的管理者。 第 3 部描述牽涉專案生命週期中之管理活動 的安全技術,例如:規劃、設計、實作、測
10、試、獲取或操作。 第 4 部提供保護措施之選擇的指引,且如何藉由基準版本模型與控制的使用以支援這些指引。它也描述如何補充在第 3 部所描述的安全技術,與如何使用額外評鑑之方法於保護措施的選擇。 第 5 部針對負責管理 IT 安全的人員,提供關於網路與通訊的指引。本指引支援建立網路安全需求時,必須考量的通訊相關要素的識別與分析。它也包含一個可能的保護措施領域之簡短的導論。 5 CNS 14929-4, X 6046-4 1. 適用範圍 本標準針對選擇保 護措施提供指引 (guidance),其兼顧營運需求和安全關注事務(concerns)。本標準亦依照安全風險及關注事務和組織特定環境,描述選擇保
11、護措施的過程 (process),並顯示如何達到適當的保護及基準 (baseline)安全之應用如何能支援之。本標準列示的做法對如何支援 CNS 14929-3 所述 IT 安全管理的技術,亦提供詳細說明。 2. 參考文件 CNS 14929-1 資訊技術資訊技術安全管理指導綱要第 1 部:資訊技術安全概念與模型 CNS 14929-2 資訊技術資訊技術安全管理指導綱要第 2 部:資訊技術安全管理與規劃 CNS 14929-3 資訊技術資訊技術安全管理指導綱要第 3 部:資訊技術安全管理之技術 CNS 14334-2 資訊技術開放系統互連開放系統之安全框架:鑑別框架 CNS_(ISO/IEC
12、11770-1) 資訊技術安全技術金鑰管理第 1 部:框架 3. 用語釋義 對於本標準之目的, CNS14929-1 所定義之用語適用於可歸責性 (accountability)、資產 (asset)、可鑑別性 (authenticity)、可用性 (availability)、基準控制措施 (baseline controls)、機密性 (confidentiality)、資料完整性 (data integrity)、 衝擊 (impact)完整性、IT 安全、 IT 安全政策、可靠性 (reliability)、殘餘風險 (residual risk)、風險 (risk)、風險分析 (ri
13、sk analysis)、風險管理 (risk management)、保護措施 (safeguard)、系統完整性、威脅 (threat)和脆弱性 (vulnerability)。此外,另使用下列用語: 3.1 鑑別 (authenication) 提供保證 (assurance)個體所宣稱之身分 (identity)CNS 14334-2。 3.2 識別 (identification) 唯一地判定個體之唯一身分的過程。 4. 目標 本標準的目標在於提供選擇保護措施之指引。此指引適用於決定選擇 IT 系統的保護措施: 依照 IT 系統的型式和特性。 依照安全 關注事務 和威脅的廣泛評鑑 (
14、assessment)。 依照詳細風險分析檢討的結果。 除此指引之外,亦提供有對照參考文件 (cross-reference),以指示可藉由使用公開可用之具備保護措施的手冊,來支援保護措施的選擇。 本標準也展示如何產生泛組織 (或組織之部分 )的基準安全手冊。詳細的網路安全保護措施主要是在附錄 A H所引用的文件內討論。數種其他有關網路安全之文件也正在發展中。 5. 概觀 6 CNS 14929-4, X 6046-4 第 6 節簡介保護措施之選擇和基準安全概念。第 7 到 10 節係針對 IT 系統討論基準安全的建立。為選擇適當的保護措施,必需進行一些基本評鑑,而不論後續是否將接著做詳細風險
15、分析。在第 7 節中描述這些評鑑,其包含下列考量: 涉及什麼型式之 IT 系統 (例如:單機個人電腦或連接至網路 )? IT 系統的所在位置及周圍環境條件為何? 已備妥及 /或已規劃之保護措施為何? 已完成之評鑑是否提供足夠資訊,以選擇對 IT 系統之基準保護措施? 第 8 節概述待選擇的保護措施,區分為組織性和實體性保護措施 (其係依照安全相關需求、關注事務和限制條件選擇 )和 IT 系統特定保護措施,兩者均依保護措施之種類分群。對於每一種保護措施,描述最典型的保護措施型式,包括有關其針對提供之保護的簡要解釋。在這些種類內的特定保護措施及其詳細描述,可在本標準附錄 A 至 H 所提及的基準安
16、全文件找到。為方便使用這些文件,針對每一保護措施之種類,以表格提供在此文件之保護措施種類與附錄裡各種不同文件章節之間的對照參考。 如果經決定第 7 節所描述的評鑑型式對選擇保護措施已足夠詳細,則第 9 節對如第7.1 節所描述之每一典型 IT 系統提供適用的保護措施表列。如果基於 IT 系統型式選擇保護措施,則對於單機工作站、網路工作 站或伺服器,可能需要不同的基準。為達成所要求的安全水準,在特定環境之下選擇適用的保護措施,所需要的是與現存的 (或已規劃的 )保護措施比較,且實作尚未實作的保護措施。 如果經決定對選擇有效和適當的保護措施需要較深入的評鑑,則第 10 節提供考量自高層觀看安全關注
17、事務 (依照資訊的重要性 )和可能威脅之該選擇的支援,因此,在本節中將依照所識別的安全關注事務,考慮相關的威脅,最終並考量 IT 系統型式後,對保護措施提出建議。圖 1 所示為選擇 保護措施各方式之概觀,如第 7 節、第 9 節及第 10 節所描述。 7 CNS 14929-4, X 6046-4 圖 1 依據 IT 系統型式或依照安全關注事務和威脅選擇保護措施 簡易或進階準作法簡易作法 進階作法基本評鑑(第7節)IT系統型式之識別 (第7.1節 )實體 /環境狀況之識別 (第7.2節 )評鑑現存 /已規劃的保護措施 (第7.3節 )依據安全關注事務和威脅選擇保護措施(第10節)安全關注事務之
18、評鑑( 第10.1節 )機密性之保護措施 (第10.2節 )完整性 之保護措施 (第10.3節 )可用性 之保護措施 (第10.4節 )、可歸責性 鑑別性及可靠性之保護措施(第10.5節 ):基準作法 依照IT系統類型選擇保護措施(第9節 )一般適用性之保護措施( 第9.1節 )IT系統特定之保護措施( 第9.2節 )第 9 節和第 10 節兩節描述從基準安全保護措施文件選擇保護措施的方法,其可適用於 IT 系統或形成一組可適用於既定環境裡一系列 IT 系統的保護措施。藉由著重於所考慮的 IT 系統型式,在第 9 節所建議的方式產生下列可能性:未充分管理某些風險或選擇不必要或不適當的某些保護措
19、施。在第 10 節所建議的方式係著重於安全關注事務和相關威脅,可能產生較為最佳化的一組保護措施。對於在基準防護範圍內的所有實例,可使用第 9 節和第 10 節以支援保護措施之選擇而不需要更詳細的評鑑。然而,如果使用更詳細評鑑,例如詳細風險分析,則第 9 節和第 10 節仍能支援保護措施之選擇。 第 11 節討論由於高安全關注事務和需求而決定需要詳細風險分析的情況。風險分析指引提供於 CNS 14929-3。 第 11 節描述本系列標準第 3 部和第 4 部之間的關係以及如何使用第 3 部所描述技術結果支援保護措施的選擇。它亦描述可能影響選擇保護措施的其它因素,例如必須考慮任何限制條件、必須滿足
20、任何法律或其它的需求等。在第 11 節所考慮的作 8 CNS 14929-4, X 6046-4 法不同於第 9 節和 10 所描述的作法,其提供指引以選擇對特定狀態最佳化的一組保護措施。這作法並非基準作法,但在某些環境裡可用以選擇其他保護措施以補充(即添加 )基準保護措施。或者,可使用此作法而與基準保護不相關。 第 12 節討論建立整體組織或組織之部分部門的基準安全手冊 (或一覽表 )。為建立一基本安全手冊 (或一覽表 ),宜考慮先前為 IT 系統或 IT 系統之群組所識別的保護措施以及識別一組共同保護措施。視安全需求、關注事務和限制條件而定,能選擇不同層級的基準安全,針對每一組織,討論優點
21、和缺點以幫助訂定適當的決策。 最後,本標準在第 13 節做一彙總,同時,書目 (bibliography)和附錄 A 至 H 提供第8 節所引用保護措施手冊之概述。 6. 保護措施選擇和基準安全概念之簡介 接下來這一節簡介選擇保護措施的主題以及如何和何時能使用 基準 安全概念於過程中。選擇保護措施有兩種主要的作法,即使用基準作法及實行詳細風險分析。有數個不同方式以執行詳細風險分析, CNS 14929-3 詳細描述其中之一,且稱之為詳細風險分析。第 3 部也討論風險分析之不同作法的優點和缺點,以及因而選擇保護措施。 執行詳細風險分析具有廣泛考量各風險的優點。這可用於選擇藉由風險而調整的保護措施
22、,且因而宜予以實作。這避免提供太多或太少保護。因為此方式需要可觀的時間、努力和專門知識 (expertise),可能最適用於高風險的 IT 系統,然而對於較低風險系統,較簡單的方式可視為足夠。使用高階風險分析能識別較低風險系統。此高階風險分析並不需要為正式化或複雜的過程。藉由應用基準安全可選擇低風險系統的保護措施。基準安全至少係組織為每一 IT 系統型式所定義的最小安全層級。此層級基準安全可藉由實作已知為基準保護措施的最小一組保護措施而達成。 由於保護措施選擇過程的各種差異,在此文件考慮有兩種應用基準作法的不同方法: 使用一基準作法,其中,保護措施係依照所考量 IT 系統的型式和特性提出建議。
23、 使用一基準作法,其中,保護措施係依照安全關注事務和威脅以及考慮所考量的IT 系統提出建議。 為對此文件所提供保護措施選擇的不同並行方法具有一概觀,有助於將圖 1 視為較大圖象 (圖 2 所示 )的一部分,該圖象亦提供本系列標準第 3 部和本標準之間關係的理念 (idea)。 9 CNS 14929-4, X 6046-4 圖 2 保護措施選擇之方式 參閱圖 1開始風險分析過程(參閱第2和3部)詳細的風險分析(第3部)基準作法(第3部)高階風險分析依據IT系統型式選擇保護措施依據安全問題和威脅選擇保護措施簡易或較進階基準作法依照能花費在選擇過程的資源、已察覺出的安全關注事務及所考慮的 IT 系
24、統型式和特性,宜選擇待使用的基準作法。如果組織不願在選擇保護措施 (不論任何理由 )上花費許多時間和努力,則建議不使用需進一步評鑑的保護措施的基準作法可能即屬適當。然而,如果組織的營運活動適度依賴 IT 系統或服務,或者所處置的資訊是較為敏感的,極有可能需要額外的保護措施。在這情況,高度建議至少以高階觀點考量資訊的重要性和可能的威脅,以獲得最有效保護 IT 系統所需的保護措施。如果該組織的營運活動極依賴 IT 系統所處理的服務或其處理之資訊是具較高敏感性的,風險有可能較高,則詳細風險之分析是識別適當保護措施的最佳方法。 宜基於詳細的風險分析來識別特定之保護措施,其中: 本標準所考慮的型式並未適
25、當地表示所考量 IT 系統之型式。 感覺上,營運或安全需求並非相稱於在這些節次中所建議的解決方案。 由於 IT 系統對營運具有潛在的高風險或重要性,無論如何都要保證有更詳細的 10 CNS 14929-4, X 6046-4 評鑑。 宜注意的是即使當從事詳細風險分析時,應用基準保護措施於 IT 系統可能仍然有用。 組織必須制定的第一個決策為,是否獨力使用基準作法,或作為更廣泛風險分析策略的一部分 (參閱 CNS 14929-3)。在採取此決策時,宜注意的是,為了選擇保護措施,在使用基準作法於其自己的合成過程,比起若採用較廣的風險分析策略,可能導致較少的最佳化安全。然而,對於選擇安全保護措施所需
26、要的較低成本和較少資源以及達成所有 IT 系統至少最小安全層級,對於決定獨力遵循基準作法可能均為理由。 經由識別和應用一組適用於多種低風險環境的相關保護措施,能達成 IT 系統的基準保護,也就是它們至少達到最小的安全需求。例如:經由依 IT 系統型式建議成組保護措施以保護他們對抗最普通威脅之目錄的使用,可識別適當的基準安全保護措施。雖然這些保護措施的目錄包含保護措施之種類或詳細保護措施的資訊,或兩者,但是一般不指示在特定環境宜應用哪些保護措施。如果組織 (或組織之一部分 )的各 IT 系統在本質和所提供的服務上非常類似,那麼,經由基準作法所選擇的保護措施有可能可適用於所有的 IT 系統。圖 3
27、 顯示使用在本標準中所討論之基準作法的不同方式。 11 CNS 14929-4, X 6046-4 圖 3 選保護措施的作法 保護措施目錄 情況1的保護措施 情況2的保護措施 情況n的保護措施對於一特定範圍-組織-營運系列-服務等依據IT型式選擇(最簡單的作法 )(第 9節 )基準作法依照安全關注事務和威脅選擇 (更細緻的作法 )(第10節 )在每一案例應用相關基準保護措施依照詳細評鑑選擇(為各個情況量身訂做的作法)(第11節)單機工作站連接到內部網路的伺服器考量未經授權的使用者使用軟體的威脅之機密性處理範例: 12 CNS 14929-4, X 6046-4 如果組織決定應用基準安全至整個組
28、織或其部分,則必須決定組織的哪幾部分適用相同基準保護,同時,宜力求此基準於何安全層級。在大部分的案例,當使用基準安全時,不宜允許一較低層級安全性,同時,若已證明確有其事並需要管理中、高風險,則宜實作額外的保護措施。或者,該基準可反映該組織的平均安全層級,也就是如果藉由風險分析結果證實,可允許例外狀況高於或低於基準。 基準安全的好處其中之一是如果它應用於一群 IT 系統,某些安全層級可仰賴該整群系統。在這些環境,通常最有益於發展和明文規定一個組織或全部門安全保護措施的基準項目。 7. 基本評鑑 選擇保護措施的過程總是需要一些待考量 IT 系統型式或特性的知識 (例如:單機工作站、連接至網路的工作
29、站 ),因為這對於我們要選擇的保護 措施會產生重大的影響。而且,以建築物及房間等之觀點,具備基礎建設之理念是有相當助益的。涉及選擇保護措施之另一個重要因素是評鑑現存及 /或已規劃的保護措施。這 避免一些不必要的工作和浪費時間、努力及金錢。因此,我們高度建議總是使用第 7 節所述之評鑑做為選擇保護措施的基礎,當選擇保護措施時,宜考量營運需求和組織執行安全的作法 (參閱 CNS 14929-2)。最後,必須判定這些評鑑是否提供充足資訊以選擇基準保護措施,或是否需要更詳細的評鑑 (如第 10 節所述 )或詳細的風險分析 (如第 11 節所述 )。 7.1 IT 系統型式之識別 對於評鑑現存的或已規劃
30、的 IT 系統,所考量的 IT 系統宜與下列組件比較,且宜識別代表該系統的組件。在第 9 節,針對下列的每一個組件建議保護措施。所從中選擇的組件是: 單機工作站。 連接到網路的工作站 (無分享資源的使用者端 )。 具分享資源且連接到網路的伺服器或工作站。 7.2 實體 /環境條件之識別 環境評鑑包括識別支援現存及已規劃的 IT 系統的實體基礎建設、相關現存及 /或已規劃的保護措施。由於所有的保護措施宜與實體環境相容,所以這些評鑑對成功的選擇是必要的。當考慮基礎建設時,下列的問題可能有所幫助。讀者亦宜思及組織環境和需要考量的任何特別環境。 周遭環境和建築物 建築物位於何處 位於有周邊圍籬的自身場
31、所內,或位於交通流量大的街道上? 建築物是屬於單一使用者或多人共同使用? 如果多人共同使用,則其它使用者是誰? 有哪些敏感的或重要的區域? 進出控制措施 有哪些人有權進出該建築物? 13 CNS 14929-4, X 6046-4 在適當位置是否有實體進出控制系統? 該建築物結構強度如何? 門、窗等之強度夠安全嗎?對它們提供哪些安全保護? 該建築物是否被適當保護?若有保護,則是 24 小時或僅在上班時間內? 內裝重要 IT 設備的建築物或房間是否裝置入侵警報系統? 適當的保護 如何保護包含 IT 系統的房間? 火警偵測、警報和滅火設施是否安裝及其安裝位置? 水 /液體洩漏偵測、警報和消除設施是
32、否安裝及其安裝位置? 合適支援設施如 UPS、給水和空調 (控制溫度和濕度 )嗎? 藉著回應此問題,可輕易地識別現存實 體及其相關的保護措施。值得注意的是,當同時考慮建築物位置以識別關於門、鎖和實體進出控制措施及程序,乃非耗時之體驗。 7.3 評鑑現存 /已規劃的保護措施 在評鑑實體環境狀況及 IT 系統組件之後,宜識別所有其它已經備妥或規劃的保護措施。這是必要的,以避免重新選擇現存的或已規劃的保護措施,熟知實作或已規劃的保護措施將有助於選擇能與其能進一步相結合的保護措施。當選擇新的保護措施時,亦宜考慮與現存的保護措施之相容性問題。新的保護措施可能與另一項保護措施衝突,或破壞其他保護措施所提供
33、的保護。 對於識別現存的或已規劃的保護措施,下列的活動可能有所幫助: 查看包含有關保護措施資訊的文件 (例如: IT 安全計畫或概念 )如果安全過程已明文規定,宜列出全部現存的或已規劃的保護措施和其實作狀況。 與負責人員 (例如: IT 系統安全官、建築物管理者或作業管理者 )和使用者瞭解有哪些保護措施已實作於 IT 系統。 實地查看建築物、觀察保護措施,將已 實作的保護措施與該處宜有者表列相比較,並檢查該等實作者是否正確並有效地操作。 假如判定現存的保護措施超過目前需要,宜考量是否移除這些保護措施。如果考慮移除備用或不必要的保護措施,則宜考量安全和成本因素。由於保護措施彼此影響,移除這些備用
34、保護措施可能減少現存的整體安全。此外,留下保護措施可能較移除它們更便宜。不過,如果保護措施具有高維護成本,移除去它們可能更為節省成本。 8. 保護措施 下列各節概述一些待實作之可行的保護措施以改善安全。其中一些保護措施係屬機制,其他則可能是一些宜被落實之程序。第 8.1 節描述可適用於 IT 系統的組織分工及實體保護措施。第 8.2 節說明特定用於 IT 系統之保護措施。宜注意保護措施之描述無關乎其可能挑選之方式,也就是這些保護措施可能以任何方法挑選,或是藉由詳細的風險分析來挑選出適當的保護措施。 為更容易說明各種不同的保護措施之種類,宜對這些防護種類作些簡介。下列小節 14 CNS 1492
35、9-4, X 6046-4 包含簡短說明這些保護措施的種類。另外附錄 A 至 H 列示有該等手冊的參考文件(A至 H參考文件請參閱此文 件末尾參考資料 )。描述何處可找到本處所述保護措施的相關詳細資訊。 8.1 組織性和實體性保護措施 本節末尾每一小節的相關表格中,列有何處可查閱上述保護措施類型詳細資料。 8.1.1 IT 安全管理和政策 此保護措施之種類包括處理下列項目的所有保護措施: IT 安全管理、宜完成之項目的規劃、該等過程的 責任指派以及所有相關的活動。這些保護措施已於本系列標準第 1 至 3 部介紹。此等保護措施的目標係達成整個組織適當程度和一致之安全水準。在此領域的保護措施列示如
36、下: (1) 企業 IT 安全政策 宜發展包含有規則、指令 (directive)和實務的書面文件,描述在組織內如何管理、保護和分配資產。該文件宜述明 IT 系統安全政策文件的內容需求,並提供其指引。 (2) IT 系統安全政策 對於每一 IT 系統,宜發展一 IT 系統安全政策,描述備妥或宜實作的保護措施、保全此系統所待遵循的程序以及若可能時之證實該保護措施上安全關注事務及 /或風險的彙整。 (3) IT 安全管理階層 宜於組織內依其規模以適當方式整合成立一 IT 安全管理階層,例如:建立一 IT 安全委員會,並任命負責每一 IT 系統安全的人員 (通常為 IT安全官 )。 (4) 分派責任
37、 宜依公司 IT 安全政策和 IT 系統安全政策,清楚地以書面述明和分派全組織 IT 安全責任。 (5) IT 安全組織 宜整合所有能支援 IT 安全的營運過程 (例如:採購、與其他組織合作 ),以安全方式提供支援。 (6) 資產識別和價值分析 宜識別組織內的全部資產以及每一 IT 系統所使用的資產,並評鑑其對經營上的價值。 (7) IT 系統之核可 宜依 IT 安全政策核可 IT 系統。核可過程主要是確保所實作的保護措施能提供適當程度的保護。此項核可宜考量到一 IT 系統可能包括網路連接及基本通信設施。 8.1.2 安全遵循性檢查 由於任一保護措施、規則或政 策僅在使用者遵守和系統符合它們時
38、運作,因此保持遵循所有必要保護措 施和有關法律、規則和政策是重要的。此領 15 CNS 14929-4, X 6046-4 域的保護措施列示如下: (1) 遵循 IT 安全政策及保護措施 宜執行定期檢查,以確保所有的保護措施都已備妥,如列在企業 IT 安全政策和相關 IT 系統安全政策,和其它相關文件,諸如安全操作程序文件和災害復原計畫,係予以正 確實作、正確且有效使用 (包括由終端使用者 )及若有必要時之測試。 (2) 遵循法律和規章需求 宜包含上述遵循性檢查,以確保符合 IT 系統所在國家相關的所有法律和規章需求。如果該等立法存在,這包括對於資料保護和隱私、軟體複製、組織性紀錄保護措施、
39、IT 系統濫用或密碼學等立法。 8.1.3 事故處置 在組織的每一人宜有需 儘快地回報安全事故 (incident)之認知,包括軟體故障和識別弱點。組織宜提供可能的回報方案。事故處置包括: (1) 回報安全事故 每一員工宜有承諾回報安全事故之認知。該等事故亦可由工具識別和回報。為促進有效的意外事故處理,宜由組織提供回報方案和組織內之聯絡點。 (2) 回報安全弱點 如果使用者注意到任何的安全相關弱點,他們宜儘快地向負責人報告。 (3) 回報軟體故障 如果使用者注意到任何的安全相關軟體故障,他們宜儘快地向負責人報告。 (4) 事故管理 宜備妥管理過程以支援防護事故、其偵測及回報以及採取適當事故反應
40、措施。如果發生安全事故,宜收集和評估事故的資訊,以避免未來事故的發生,或限制其損壞程度。 8.1.4 人員 此類保護措施宜降低人員 (永久或約聘 )因錯誤、故意或無心違反安全規定所導致的安全風險。此領域的保護措施列示如下: (1) 永久和臨時員工的保護措施 所有的員工宜認知他們在安全上所扮演的角色和責任。人員宜遵守的所有安全相關程序,而這些程序都宜述明於文件內。員工在就業之前宜接受招募檢查,且如果必要,宜簽署保密協議。 (2) 約聘人員的保護措施 宜管制約聘人員 (如清潔或維修人員 )和其他訪客。約聘 (確定長期者 )人員在出入 (實體或邏輯 )組織之 IT 設施之前宜簽署保密協議。 (3)
41、安全認知和訓練 使用、發展、支援及存取 IT 設備的所有人員,宜接收定期安全認知簡報和資料。此宜確保人員知道所處理資訊對營運的重要性、 相關威脅、 16 CNS 14929-4, X 6046-4 脆弱性和風險,且因此瞭解需要保護措施的原因。使用者也宜受訓,以正確地使用 IT 設施,且避免錯誤。對於所選擇的人員,例如 IT 安全官、安全管理者,可能需要有較特定的安全訓練。 (4) 懲處過程 所有員工宜清楚瞭解,違反 (故意或無意 )泛組織和特定 IT 系統安全政策或任何其他明文規定之安全協議的後果。 8.1.5 操作上的議題 在此領域的保護措施主要針對 維護資訊技術設備和相關使用系統的安全、正
42、確和可靠之功能的所有程序 。實作組織性程序能實現這些保護措施的大部分。操作性保護措施必需結 合其它保護措施,例如:實體和技術的保護措施。在操作性議題領域的保護措施列示如下: (1) 組態和變更管理 組態管理係持續追蹤 IT 系統變更的過程。其主要安全目標係確保 IT 系統的變更將不會降低所提供保護措施的有效性和整體性安全。當 IT 系統發生變更時,變更管理有助於識別新的安全蘊含。 (2) 容量管理 容量管理可避免因容量不足而導致的系統失效。當評鑑 IT 系統所需要的容量時,宜考量未來容量需求及目前趨勢。 (3) 文件 宜明文規定所有 IT 組態及操作之各方面,以確保持續性和一致性。 IT系統的
43、安全也需要明文規定在 IT 系統安全政策、安全操作程序文件、營運持續策略報告和計畫。文件宜為最新且隨時可取用。 (4) 維護 宜正確維護 IT 設備以確保其持續可靠性、可用性和完整性。維護廠商所有該遵守的安全規定都宜全部明文規定在維護合約之中。維護工作宜依照供應者合約執行,且僅宜由權責人員執行。 (5) 監視安全相關變更 宜監視變更所造成的衝擊、威脅、脆弱性和風險以 及它們的相關特性。監視宜包括現存的和新設兩層面。亦宜監視系統所在之環境。 (6) 稽核存底和登錄 宜利用伺服器 (例如:記 錄稽核存底和分析設施 )、網路 (例如:防火牆或路由器的稽核設施 )和應用程式 (例如:傳訊應用程式或交易
44、處理應用程式的稽核設施 )中的稽核和登 錄能力,以記錄安全相關事故的細節。這包括詳細迅速識別未經授權或錯誤事故和細節,這包括表面上正常,但可能需要在稍後時間再分析的事故。宜定期審查稽核存底和日誌,以偵測未經授權的作業,且允許採取適當的矯正措施。亦宜分析日誌中的事故,以找出類似事故之重複性,其可指示存在有保護措施不足的脆弱性或威脅。分析這些表面上不相關事故的型樣,可能可以識別出未經授 17 CNS 14929-4, X 6046-4 權之作業,或找出安全問題的根本原因。 備考: 在本標準中系統應用程式的稽核能力和登錄能力係用以表示相同事物。雖然該等能力能用來支援較廣的財務完整性稽核,但是,它們僅
45、符合該等作業需求的一部分,同時,讀者宜知道這個術語的用途。 (7) 安全測試 宜使用安全測試以確保所有 IT 設備和所有相關軟體組件以安全方式操作。安全測試宜包含 IT 系統安全政策和測試計畫既定的安全性需求,且宜建立驗收準則以展示達成必要的安全水準。 (8) 媒體之控制措施 媒體控制措施包括多種保護措施,以提供磁帶、磁碟、列印資料和其它媒體之實體和環境的保護和可歸責性。這包括標示、登錄、完整性查證、實體性存取保護、環境保護、傳輸和安全銷毀方法。 (9) 確實地刪除儲存資料 先前寫至儲存裝置的機密性資訊,如果該等資訊 不再需要,宜加以保護。宜確保包含機密性資料的檔案被刪除且實質重寫或破壞 (啟
46、動刪除的功能並非總能如此 )。宜具有經 負責人員 (如 IT 安全官 )核准的設施,以供使用者使用而完全和安全的刪除。 (10) 職能分工 為將風險和特權濫用的可能性降到最低,宜視需要和儘可能應用職能分工。若有些特定職務及機能如果結合後可能可以規避保護措施或稽核,或導致員工獲得不當利益,則這些職務宜保持分工。 (11) 正確的軟體使用 宜確保有版權之軟體不被複製,且遵守軟體之授權協議書。 (12) 軟體變更控制措施 當執行變更時,軟體變更控制措施宜適用於維護軟體的完整性 (軟體變更控制措施僅應用於軟體,然而,描述於本小節保護措施領域的組態和變更管理應一體適用於 IT 系統及其環境 )。宜建立一
47、變更控制程序管理所有變更且確保在整個過程維護軟體安全。這包括變更的授權、中間解決方案的安全考量和最後解決方案的安全檢查。 8.1.6 營運持續規劃 為保護企業 (尤其是關鍵營運流程 ),避免受重大故障或災害的影響,並將受該等事故引起的損壞減到最 少,宜備妥有效的營運持續策略及計畫,包括應變規劃 /災害復原。這包括下列的保護措施: (1) 營運持續策略 基於經識別由於不可用性、修改和破壞所導致的潛在不利衝擊,宜制定並明文規定相關於所考量 IT 系統的營運持續策略,包括應變規劃 /災害復原事故。 18 CNS 14929-4, X 6046-4 (2) 營運持續計畫 基於營運持續策略,宜發展和明文
48、規定營運持續計畫,包括事故應變和災害復原的計畫。 (3) 測試及更新營運持續計畫 在營運持續計畫被接受之前,宜徹底地加以測試被詳細地測試,以確保該計畫在實際環境下依然可行,且宜為所有相關成員所知悉。由於營運持續計畫會很快過時,所以定期加以更新是相當重要的。一有需要時,亦宜更新營運持續策略。 (4) 備份 所有的重要檔案、營運資料、重要系統程式及文件宜執行備份。備份頻率宜符合資訊和營運持續計畫的重要性。備份宜安全且異地儲存,並定期檢查其復原性以確認可靠性。 8.1.7 實體安全 本領域的保護措施係處理實體性保護。他們宜與第 7.2 節所討論的環境識別同時考量,下列某些項目適用於建築物、安全區域、
49、電腦機房和 辦公室。保護措施之選擇視考量的建築物部位而定。本領域的保護措施列示如下: (1) 實質保護 實體保護措施係保護建築物,包括圍牆、實體進出控制措施、堅固的牆壁、門和窗戶。在建築物裡面的安全區域宜藉由實體進出控制措施、警衛等以防護未經授權的進出,安全區域對 IT 設備是必要的,諸如用來支援重要營運活動的伺服器、相關軟體及資料,宜盡量限制必要的最少人員進出該等安全區域,且加以記錄在日誌上。宜安全儲存所有的診斷和控制設備,且宜嚴格控制使用。 (2) 火災防護 設備以及周圍可以進出的區域,宜加以保護,以防止建築物或毗連建築物火災的蔓延。宜盡量降低重要設備所在之區域或鄰近之房間的火災受損程度。重要設備的所在房間 /區域之火災 或受火災之影響也宜適當保護。保護措施包括火災偵測和煙霧偵測、警報和滅火設備。宜小心防火措施不得導致 IT 系統受水或其他滅火裝置的損害。 (3) 水 /液體防護 重要設施不宜放置在任何有可能嚴重氾濫、水或其它液體洩漏的區
