資訊安全中的設定管理

日益複雜與威脅

不正確的設定和安全配置會對資訊安全帶來難以估量的風險。鑑於現代 IT 環境日益複雜，配置管理——即對安全配置進行持續、系統化的定義、記錄、實施、監控和審查——正成為一項極具挑戰性的任務，其範圍遠不止於此。合規管理一個組織的。

對局外人來說，IT 基礎架構就像一個錯綜複雜的網絡，由應用程式、裝置、網路元件和服務組成，無論這些服務是部署在本地還是雲端。尤其是在新冠疫情期間，雲端服務的數量更是急劇增長。然而，對於 IT 團隊而言，配置日益增多的系統元件，並持續監控和調整系統配置，意味著大量的工作，這常常讓員工不堪重負。如果沒有系統化的配置管理，這可能會導致嚴重的安全風險，以及資料（包括個人資料）的遺失或濫用。

畢竟，81%的德國安全經理 2022年的研究他們表示，漏洞和未知的錯誤配置是其基礎架構中最大的安全問題根源。 大流行十一雲端安全聯盟的一項研究調查了疫情期間雲端運算中最嚴重的漏洞，結果顯示，設定錯誤也名列第三。

因此，近年來資訊科技的發展促使人們更加重視配置管理，例如在防止未經授權存取的情況下，這是合乎邏輯的必然結果。因此，新的ISO/IEC 27001 2022年已為此特別制定了一項資訊安全控制措施。

ISO 27001:2022 框架下的組態管理

2022 年版 ISO 27001 修訂後的附錄 A 包含 93 項資訊安全措施（控制措施），其中包括 11 項新增措施。更新後，這些控制措施按主題分為四個部分進行組織。

• 組織措施
• 個人措施
• 物理測量
• 技術措施

資訊科技中的安全配置管理屬於技術措施範疇，列於附錄 A 8.9 節。它是支援所有三種情況的預防性工具之一。資訊安全保護目標（保密性、完整性和可用性）。

標準模板

標準範本的定義有助於組織系統化地管理配置。在製定標準模板時，應考慮以下基本面向：

• 公開可取得的指導意見，例如來自供應商或獨立安全機構的指導意見。
• 為確保充分安全，需要達到必要的保護級別
• 支援內部資訊安全策略、特定主題指南、標準和其他安全要求
• 在組織環境中，各種配置的可行性與適用性

已製定的標準範本應定期審查和更新，尤其是在需要應對新的威脅或漏洞，或向組織引入新的軟體或硬體版本時。

建立模板時還需要考慮其他一些要點。這些要點都有助於防止對配置進行未經授權或錯誤的更改：

• 盡量減少擁有特權或管理存取權限的身份數量
• 停用不必要、未使用或不安全的身份
• 停用或限制不需要的功能和服務
• 限制對強大實用程式和主機參數設定的訪問
• 時鐘同步
• 安裝後立即更改製造商的預設身份驗證資料和預設密碼，並檢查重要的安全性相關參數。
• 呼叫超時機制，在電腦設備長時間不活動後自動登出設備。
• 檢查是否符合許可證要求

設定管理和監控

所有配置都應記錄在案，變更也應可靠地記錄下來，以便在事故發生後排除配置錯誤的可能性。這些資訊必須安全存儲，例如儲存在配置資料庫或範本中。

所有變更均按照控制規則 8.32「變更控制」進行，該規則描述了資訊處理指南和資訊系統變更的準則。配置記錄必須包含追蹤 IT 系統或資產狀態及其任何變更所需的所有資訊。例如，這包括以下資訊。

• 關於該資產的當前資訊—所有者或聯絡人是誰？
• 上次配置更改的日期
• 配置模板版本
• 與其他資產配置的連結和關係

一套全面的系統管理工具——例如維護程序、遠端支援、企業管理工具以及備份和復原軟體——有助於監控和定期檢查配置。借助這些工具，管理人員可以驗證組態設定、評估密碼強度並評估已執行的活動。

實際狀態還可以與預先定義的目標範本進行比較，並在出現偏差時啟動相應的回應——既可以自動強制執行預先定義的目標配置，也可以手動分析偏差並採取後續糾正措施。例如，透過基礎架構即程式碼（可程式基礎架構）等自動化方式，可以有效率且安全地管理虛擬化環境和雲端運算中的安全配置。

資訊安全中的組態管理概述

資訊安全中的組態管理是一項重要的安全工具，它對顯著減少因配置錯誤而導致的安全漏洞做出了持久貢獻。其係統化的方法減輕了內部團隊的負擔，有助於提高IT維運效率，增強系統安全性，並確保資訊和機密資料的可用性。例如，它在個人資料保護方面的正面影響也顯而易見。

配置管理還可以整合到資產管理流程和相關工具中。對安全設定的集中管理能夠快速應對系統可用性和資料保護方面的新威脅和漏洞，有助於最大限度地減少系統中的潛在攻擊面。新的資訊安全控制 8.9 來自ISO 27001為組織及其管理提供重要的安全保障。

企業和組織必須落實這項附加價值。必須將控制措施 8.9 的要求與現狀進行比較，並透過受控變更流程進一步優化。憑藉超過 35 年的審計和認證經驗，我們是您理想的合作夥伴，能夠為您提供資訊安全的建議和支援。

此次更新對您的認證有何影響？

ISO/IEC 27001:2022 於 2022 年 10 月 25 日發布。

因此，使用者過渡的截止日期和期限如下。

舊版 ISO 27001 標準下首次/再認證審核的最後日期

• 自2024年4月30日起，DQS將僅依照新的ISO/IEC 27001:2022標準進行初步審核和再認證審核。

將所有現有證書根據「舊版」ISO/IEC 27001:2013標準轉換為新的2022版標準

• 自2022年10月31日起，實行為期3年的過渡期。
• 根據 ISO/IEC 27001:2013 或 DIN EN ISO/IEC 27001:2017 標準頒發的證書最遲有效期至 2025 年 10 月 31 日，否則必須於該日撤銷。

ISO/IEC 27001:2022資訊安全、網路安全和隱私保護 - 資訊安全管理系統 - 要求

DQS：輕鬆利用安全性

各組織仍有時間過渡到新版 ISO/IEC 27001 標準。基於舊標準的現有證書將於 2025 年 10 月 31 日失效。儘管如此，建議各組織儘早應對新標準的變更要求。資訊安全管理系統（ISMS）早期階段，啟動適當的變革流程並相應地實施。

作為專家審計和認證憑藉三十多年的經驗，我們可以協助您實施新版 ISO 27001:2022向我們經驗豐富的審計師團隊諮詢最重要的變化及其對貴公司的影響——並信賴我們的專業知識。期待您的詢問。

信任和專業知識

我們的文章和白皮書均由我們的標準專家或資深人士撰寫。審計員如果您對文字內容或我們為作者提供的服務有任何疑問，請與我們聯絡。