現代 IT 環境需要 IT 資源、網路基礎設施、硬體和軟體應用程式以及各種類型的服務的協調互動。高效能和安全操作的關鍵在於所涉及的所有系統、元件和應用程式的正確配置。資訊安全方面的新控制措施(8.9),即 ISO 27001:2022 更新版本中的 “配置管理” ,制定了適當的安全措施來設計、實施和定期審查配置管理。鑑於安全風險不斷增加,以下部落格文章概述了配置管理在資訊安全中的相關性以及新安全控制的內容。
複雜性和威脅不斷增加
錯誤的設定和安全配置會對資訊安全帶來不可估量的風險。鑑於現代 IT 環境日益複雜,配置管理(即安全配置的持續和系統化定義、文件、實施、監控和審查)正在成為一項具有挑戰性的任務,並延伸到整個行業。合規管理一個組織的。
對於局外人來說,IT 基礎設施是一個由應用程式、裝置、網路元件和服務組成的令人困惑的網絡,無論是託管在本地還是雲端。尤其是後者在冠狀病毒大流行期間急劇增加。然而,對於 IT 團隊來說,配置越來越多的系統元件以及持續監控和調整系統配置意味著大量的工作,這往往會讓員工不堪重負。如果沒有系統的配置管理,這可能會導致相當大的安全風險以及資料(包括個人資料)的遺失或誤用。
畢竟,德國 81% 的安全經理從2022年開始學習表示漏洞和未知的錯誤配置導致其基礎架構中出現最大的安全性問題。並且在疫情十一雲端安全聯盟對疫情期間雲端運算中最嚴重的漏洞進行了一項研究,錯誤配置也位居第三位。
因此,近年來發展的必然結果是更加關注資訊科技中的組態管理,例如在未經授權的存取的情況下。因此,新的ISO/IEC 27001 :2022針對此主題特別設定了單獨的資訊安全控制。
ISO 27001:2022 背景下的組態管理
從 2022 年起,ISO 27001 的重組附件 A 包含 93 項資訊安全措施(控制措施),其中包括 11 項新措施。透過更新,控制項現在按主題分為四個部分
- 組織措施
- 個人措施
- 物理措施
- 技術措施
資訊科技中的安全配置管理屬於技術或技術措施的主題領域,並在附錄 A 8.9 中列出。它是支持這三個方面的預防工具之一資訊安全保護目標(保密性、完整性和可用性)。
標準模板
標準範本的定義有助於組織將其配置管理系統化。在此發展過程中應考慮以下基本面:
- 公開可用的指南,例如來自供應商或獨立安全機構的指南
- 確保足夠安全所需的保護級別
- 支援內部資訊安全策略、特定主題指南、標準和其他安全要求
- 配置在組織環境中的可行性和適用性
應定期審查和更新開發的標準模板,尤其是在需要解決新的威脅或漏洞時,或在組織中引入新的軟體或硬體版本時。
建立模板時還需要考慮許多其他要點。這些都有助於防止未經授權或不正確的配置變更:
- 最大限度地減少具有特權或管理存取權限的身份數量
- 停用不必要的、未使用的或不安全的身份
- 停用或限制不需要的功能和服務
- 限制對強大實用程式和主機參數設定的訪問
- 時鐘同步
- 安裝後立即更改製造商的預設身份驗證資料和預設密碼並檢查重要的安全性相關參數
- 呼叫超時功能,在一定時間不活動後自動登出電腦設備
- 檢查是否滿足許可要求
Loading...
關於 ISO/IEC 27001:2022 的常見問題
關於 ISO/IEC 27001:2022 的常見問題 | 德商 DQS 台灣子公司
透過以下內容加深您對修訂後標準的了解 DQS 免費白皮書。我們的標準專家解答44 種要並提供關鍵變化的見解。主題範圍廣泛,從適用性聲明到認證。
設定管理和監控
應記錄所有配置並可靠地記錄更改,以排除事件後的錯誤配置。此資訊必須安全存儲,例如儲存在配置資料庫或範本中。
所有變更均根據控制措施 8.32「變更控制」進行,該控制措施描述了資訊處理指南和資訊系統變更的指南。配置記錄必須包含追蹤 IT 系統或資產的狀態以及隨時對其進行的任何更改所需的所有資訊。例如,這包括以下資訊
- 有關相關資產的最新資訊 - 誰是所有者或聯絡人?
- 上次配置更改的日期
- 配置模板的版本
- 與其他資產配置的連結和關係
一套全面的系統管理工具 - 例如維護程序、遠端支援、企業管理工具以及備份和復原軟體 - 有助於監控和定期檢查配置。借助這些工具,管理人員可以驗證配置設定、評估密碼強度並評估所執行的活動。
還可以將實際狀態與定義的目標範本進行比較,並在出現偏差時啟動適當的回應 - 透過自動執行定義的目標配置或手動分析偏差和後續糾正措施。自動化,例如透過基礎設施即程式碼(可程式基礎架構),可以有效且安全地管理虛擬化環境和雲端運算中的安全性配置。
Loading...
資訊安全中的設定管理 - 總結
資訊安全中的組態管理是重要的安全工具,為顯著減少由錯誤配置引起的安全漏洞做出了持久的貢獻。其係統化方法減輕了內部團隊的負擔,有助於高效的 IT 營運以及系統的強化以及資訊和機密資料的可用性。例如,對個人資料保護的正面影響也是顯而易見的。
配置管理還可以整合到資產管理流程和相關工具中。安全設定的集中管理可以對系統可用性和資料保護方面的新威脅和漏洞做出快速反應,有助於最大限度地減少系統中的潛在攻擊面。新資訊安全管控8.9起ISO 27001為組織及其管理提供重要的安全貢獻。
這種附加價值必須由公司和組織來實施。控制 8.9 的要求必須與當前狀態進行比較,並透過受控變更過程進一步優化。憑藉超過 35 年的審核和認證專業知識,我們是您理想的合作夥伴,可以為您提供資訊安全的建議和支援。
此次更新對您的認證意味著什麼?
ISO/IEC 27001:2022 於 2022 年 10 月 25 日發布。
這導致用戶過渡的截止日期和期限如下
「舊」ISO 27001 下初/再認證審核的最後日期
- 2024年4月30日之後,DQS將僅根據新的ISO/IEC 27001:2022標準進行初次和再認證審核
根據「舊」ISO/IEC 27001:2013 將所有現有憑證轉換為新的 2022 版本
- 自2022年10月31日起實施3年過渡期
- 根據 ISO/IEC 27001:2013 或 DIN EN ISO/IEC 27001:2017 頒發的證書最遲有效期至 2025 年 10 月 31 日,否則必須在此日期撤銷
ISO/IEC 27001:2022 - 資訊安全、網路安全和隱私保護 - 資訊安全管理系統 - 要求
DQS:簡單地利用安全性
組織仍然有一些時間過渡到新版本的 ISO/IEC 27001。基於舊標準的當前證書將於 2025 年 10 月 31 日失效。不過,我們強烈建議他們應對更改後的要求一個資訊安全管理體系(ISMS) 在早期階段啟動適當的變革流程並相應實施。
作為專家審計和認證憑藉三十多年的經驗,我們可以支持您實施新 ISO 27001:2022 。從我們眾多經驗豐富的審核員那裡了解最重要的變化及其與您公司的相關性 - 並相信我們的專業知識。我們期待您的回音。
Loading...
信任和專業知識
我們的文章和白皮書由我們的標準專家或長期資深人士專門撰寫稽核員。如果您對文字內容或我們為作者提供的服務有任何疑問,請與我們聯絡。
DQS 電子報
隨時了解並訂閱我們的電子報!
作者
Markus Jegelka
DQS 資訊安全管理系統 (ISMS) 專家和 ISO 9001、ISO/IEC 27001 標準和根據德國能源工業法 (EnWG) 第 11.1a 條的 IT 安全目錄的長期稽核員
Loading...