现代 IT 环境需要 IT 资源、网络基础设施、硬件和软件应用程序以及各类服务之间的协调互动。高性能和安全运行的关键在于对所有相关系统、组件和应用程序进行正确配置。ISO 27001:2022 更新版中新增的信息安全控制 8.9 "配置管理 "规定了设计、实施和定期审查配置管理的适当安全措施。鉴于安全风险日益增加,以下博文概述了配置管理与信息安全的相关性以及新安全控制的内容。
日益增加的复杂性和威胁
不正确的设置和安全配置会给信息安全带来不可估量的风险。鉴于现代 IT 环境日益复杂,配置管理(即持续、系统地定义、记录、实施、监控和审查安全配置)正成为一项具有挑战性的任务,并延伸到组织的合规管理中。
对于局外人来说,IT 基础设施是一个由应用程序、设备、网络组件和服务组成的混乱网络,无论是内部托管还是云托管。特别是在冠状病毒大流行期间,后者的数量急剧增加。然而,对于 IT 团队来说,配置越来越多的系统组件以及持续监控和调整系统配置意味着相当大的工作量,这往往令员工不堪重负。如果没有系统化的配置管理,这可能会导致相当大的安全风险以及数据(包括个人数据)的丢失或滥用。
毕竟,在 2022 年德国的一项研究中,81% 的安全管理人员表示,漏洞和未知的错误配置是其基础设施中最大的安全问题。而在云安全联盟(Cloud Security Alliance)就大流行期间云计算中最严重的漏洞所做的研究 "大流行十一"(Pandemic Eleven)中,错误配置也赫然排在第三位。
因此,近年来的发展必然会对信息技术中的配置管理给予更多关注,例如在未经授权的访问方面。因此,新版ISO/IEC 27001:2022专门针对这一主题制定了一项单独的信息安全控制措施。
标准模板
标准模板的定义有助于组织实现配置管理的系统化。在开发过程中应考虑以下基本方面:
- 公开提供的指导,例如来自供应商或独立安全机构的指导
- 确保充分安全所需的保护级别
- 支持内部信息安全政策、特定主题指南、标准和其他安全要求
- 配置在组织环境中的可行性和适用性
应定期审查和更新已制定的标准模板,特别是在需要应对新的威胁或漏洞时,或在组织引入新的软件或硬件版本时。
创建模板时还应考虑其他一些要点。这些都有助于防止对配置进行未经授权或不正确的更改:
- 尽量减少具有特权或管理访问权限的身份数量
- 停用不必要、未使用或不安全的身份
- 停用或限制不需要的功能和服务
- 限制访问功能强大的实用程序和主机参数设置
- 时钟同步
- 安装后立即更改制造商的默认验证数据和默认密码,并检查重要的安全相关参数
- 调用超时设施,在一段时间不活动后自动注销计算机设备
- 检查是否符合许可证要求
有关新 ISO/IEC 27001:2022 的问答
我们的标准专家解释
通过免费白皮书加深对修订标准的了解。我们的标准专家回答了 44 个来自现场的重要问题,并提供了对关键变化的见解。从适用性声明到认证,内容广泛。
配置的管理和监控
所有配置都应记录在案,并可靠地记录更改情况,以便在事故发生后排除错误配置。这些信息必须安全存储,例如存储在配置数据库或模板中。
所有更改均应遵守控制 8.32 "更改控制 "的规定,该规定描述了更改信息处理准则和信息系统的准则。配置记录必须包含所有必要信息,以便随时跟踪信息技术系统或资产的状态以及对其所做的任何更改。例如,这包括以下信息
- 有关资产的当前信息 - 谁是所有者或联系人?
- 上次配置更改的日期
- 配置模板的版本
- 与其他资产配置的连接和关系
一套全面的系统管理工具(如维护程序、远程支持、企业管理工具以及备份和还原软件)有助于监控和定期检查配置。在这些工具的帮助下,管理人员可以验证配置设置、评估密码强度并评估所执行的活动。
还可以将实际状态与定义的目标模板进行比较,并在出现偏差时采取适当的应对措施--要么自动执行定义的目标配置,要么手动分析偏差并采取后续纠正措施。自动化,例如通过基础设施即代码(可编程基础设施),可以高效安全地管理虚拟化环境和云计算中的安全配置。
信息安全中的配置管理 - 概述
信息安全中的配置管理是一项重要的安全工具,可为大幅减少错误配置造成的安全漏洞做出持久贡献。它的系统化方法减轻了内部团队的负担,有助于实现高效的 IT 运营、系统加固以及信息和机密数据的可用性。例如,对个人数据保护的积极影响也是显而易见的。
配置管理还可以集成到资产管理流程和相关工具中。通过对安全设置的集中管理,可以对系统可用性和数据保护方面的新威胁和漏洞做出快速反应,从而有助于最大限度地减少系统的潜在攻击面。ISO 27001的新信息安全控制 8.9 为组织及其管理层提供了重要的安全贡献。
公司和组织必须落实这一附加值。必须将控制 8.9 的要求与当前状况进行比较,并通过受控变更流程进一步优化。我们拥有超过 35 年的审核和认证专业知识,是您理想的合作伙伴,可以为您提供信息安全方面的建议和支持。
更新对您的认证意味着什么?
ISO/IEC 27001:2022 于 2022 年 10 月 25 日发布。
因此,用户的过渡期限和时间如下
根据 "旧 "ISO 27001 进行初始/再认证审核的最后日期
- 2024 年 4 月 30 日之后,DQS 将只根据新的 ISO/IEC 27001:2022 标准进行初始审核和再认证审核
根据 "旧版 "ISO/IEC 27001:2013 将所有现有证书转换为新的 2022 版本
- 自 2022 年 10 月 31 日起有 3 年过渡期
- 根据 ISO/IEC 27001:2013 或 DIN EN ISO/IEC 27001:2017 颁发的证书最迟在 2025 年 10 月 31 日之前有效,否则必须在该日期撤销
ISO/IEC 27001:2022- 信息安全、网络安全和隐私保护 - 信息安全管理系统 - 要求
DQS:简单利用安全
各组织仍有一些时间向新版 ISO/IEC 27001 过渡。目前基于旧标准的证书将于 2025 年 10 月 31 日失效。不过,我们建议他们尽早应对信息安全管理系统(ISMS)要求的变化,启动适当的变更流程,并相应地加以实施。
作为拥有三十多年经验的审核和认证专家,我们可以帮助您实施新的 ISO 27001:2022。请向我们众多经验丰富的审核员了解最重要的变化及其与贵公司的相关性,并相信我们的专业知识。我们期待您的来信。
信任和专业知识
我们的文章和白皮书均由我们的标准专家或长期审核员独家撰写。如果您对文章内容或我们为作者提供的服务有任何疑问,请联系我们。
DQS通讯
马库斯 杰盖尔卡
DQS信息安全管理系统(ISMS)专家和ISO 9001、ISO/IEC 27001标准及德国能源工业法(EnWG)第11.1a条规定的IT安全目录的长期审核员。