優化容量和防禦惡意軟體：ISO 27001 控制措施 A.8.06 和 A.8.07 詳解

A.8.6 容量管理

這項控制旨在確保資訊處理設施、人力資源、辦公室和其他設施所需的容量。

應識別並監控資訊處理系統、人力資源、辦公室和其他設施的容量需求。作為監控活動的一部分，應透過調整資源來提高可用性和效率，從而實現改進。應進行壓力測試，以確認能夠滿足峰值容量需求。

將系統託管遷移到雲端有助於容量管理，因為雲端服務供應商具備彈性伸縮能力，可以快速擴展和縮減資源以滿足高峰需求。這些功能可以根據高峰時段進行配置，從而確保系統的可用性和效能。

為了管理執行業務任務所需的資源容量，例如人力資源和辦公空間，應利用當前和預測的趨勢來預測未來的需求。管理者應利用這些資訊來識別和避免關鍵人員方面可能存在的限制，這些限制可能會對系統安全或服務構成威脅，並據此制定相應的計劃。

A.8.7 防範惡意軟體

此項控制旨在確保您的資訊處理設施免受惡意軟體的侵害。

您需要確保具備偵測、預防和復原惡意軟體的控制措施。

最常見的情況是，在員工的電腦上安裝防毒軟體，以幫助保護他們的電腦，並允許企業集中管理和更新防毒軟體。
這一領域至關重要，因為網路釣魚和憑證竊取是企業面臨的最常見資訊安全威脅。建議您諮詢專家，確保應對得當。

您還需要考慮其他基礎設施，以及如何保護您的資料、產品和客戶環境免受勒索軟體等風險的影響。
應投入大量精力來檢測和預防惡意軟體。幾乎每天都要與員工討論如何應對惡意軟體和網路釣魚。這當然也是每月全體員工都要參加的管理會議的議題之一。

務必密切注意惡意軟體和網路釣魚威脅，因為稍有疏忽就可能造成巨大損失。

重點總結

重點摘要如下

• 使產能與業務目標一致確保容量規劃與當前和預期的業務需求保持一致，包括成長、可擴展性和冗餘性。
• 監測和分析使用趨勢持續監控系統效能、資源利用率和儲存情況，以識別容量趨勢並預測未來需求。
• 使用自動化產能工具利用產能監控和管理工具進行即時數據收集和分析。
• 實施並持續更新強大的反惡意軟體解決方案在所有系統和終端上使用信譽良好的防毒和反惡意軟體，並確保定期更新。
• 教育用戶：訓練員工辨識網路釣魚攻擊、惡意網站和可疑文件行為。

其他貼文

• 本系列其他文章請見： ISO 27001實施的策略方法
• 查看本系列的前一篇：存取管理簡化：特權權限和身分驗證控制 A.8.02 – A.8.05
• 閱讀本系列下一篇：透過有效管理控制措施 A.8.08 和 A.8.09 中的漏洞和配置來減輕威脅