隨著數位時代的來臨,網路攻擊、資料外洩的事件日益增加,企業需要有國際認證的「資安管理準則」來訂定統一的資安規範,避免缺乏一致性造成資訊落差。
國際標準化組織(ISO)與 國際電工委員會(IEC) ,共同制定ISO/IEC 27000系列,透過一套全球制定的規範,幫助企業組織建立一致性、系統化的資安管理制度,降低資安風險。
ISO/IEC 27001 是國際的資訊安全管理系統標準(ISMS, Information Security Management System), 他的核心精神在於:
ISO/IEC 27002不是一份「認證標準」是輔助於資訊安全控制措施的選擇與實施,針對ISO/IEC 27001附錄A控制措施做延伸解釋與實作指南, 比較像是指引參考書,幫助組織在導入資訊安全管理系統(ISMS) 時,能夠清楚了解「應該採取哪些控制」以及「如何正確落實」。
雖然這兩者時常被一同提及,但定位卻大不同
因應ISO 27002 (8.9 組態管理) 條文:建立硬、軟體、服務及網路之安全組態標準的管理輔助工具。
| ISO 27002-2023 (8.9 組態管理) 條文 | 中華龍網端點資安合規管理平台 (GCB) 模組 |
| (a) 將具特殊權限或系統管理者等級之存取權限的身分數目減至最小。 | 停用系統管理員 (Administrator) 帳戶:TWGCB-01-005-0089 (帳戶:Administrator帳戶狀態) 等項目。 |
| (b) 停用非必要、未使用或不安全之身分。 | 停用來賓 (Guest) 帳戶:TWGCB-01-005-0091 (帳戶:Guest帳戶狀態) 等項目。 |
| (c) 停用或限制非必要之功能及服務。 | 限制遠端桌面服務:TWGCB-01-005-0042 (提供遠端協助) 等項目。 |
| (d) 限制對強效公用程式及主機參數設定之存取權限。 | 限制程式安裝需系統管理員權限:TWGCB-01-005-0170 (使用者帳戶控制:在管理員核准模式,系統管理員之提升權限提示的行為) 等項目。 |
| (e) 將鐘訊同步。 | 可設定NTP伺服器以達成鐘訊同步:TWGCB-01-005-0054 (設定Windows NTP用戶端)。 |
| (f) 安裝後,立即變更廠商預設鑑別資訊 (諸如預設通行碼),並審查其他重要預設安全相關參數。 | 重新命名預設帳戶名稱:TWGCB-01-005-0093 (帳戶:重新命名系統管理員帳戶名稱)、TWGCB-01-005-0094 (帳戶:重新命名來賓帳戶名稱)。 |
| (g) 於預先決定之期限無動作後,調用時設施,自動登出算裝置。 | 超過未使用時間限制時執行螢幕保護裝置並鎖定該工作階段:TWGCB-01-005-0306 (啟用螢幕保護裝置) 等項目。 |
| (h) 查證是否符合使用授權之要求。 (verifying that licence requirements have been met) | 中華龍網端點資安合規管理平台 IAM (資產盤點模組) 可盤點資訊資產,相關資訊可用以輔助查證是否符合使用授權之要求。 |
許多客戶會將 ISO 27001認證視為基本門檻,確保合作資料、客戶資訊能受到有系統系的保護,擁有證照更容易獲得合作機會與市場信任。
每當有資安事件發生都有可能帶來財務或商譽上的損失,ISO 27001核心改念是防範資安風險、制定應變措施,才能降低資安事件的發生及損失。
ISO 27001明確要求組織企業落實管理制度,建立標準化流程及規範,確保運作有效率、透明化,避免不清楚的責任歸屬導致資安風險發生。