FineArt News

資安新知

ISO 27002:2022 控制措施納入DLP,強化資料保護

ISO 27001是資訊安全的國際標準,旨在幫助組織通過建立資訊安全管理系統(“ISMS”)來保護其數據。ISMS期望使企業能夠識別、分析、管理和降低公司資訊數據外洩的潛在風險。 組織可以由ISO 27001認證的取得,向客戶、潛在客戶和合作夥伴顯示其資訊安全控制,達到國際公認的一定水準。

通常,ISO 27001可以代表公司信譽和聲譽的一種升級,而達到此標準並不容易。ISO 27001是廣泛的資訊安全標準家族系列的一部分,其中之一是ISO 27002安全控制實施指引,應用於協助實施ISO 27001。

 

更新的資訊安全控制技術強化數據保護

軟體攻擊、智慧財產權盜竊或破壞,只是組織面臨的眾多資訊安全風險中的一部分。後果可能是巨大的。大多數組織都有適當的控制措施來保護,但我們如何確保這些控制措施足夠?資訊安全控制指引的ISO 27002剛完成更新發佈,原本ISO/IEC 27002:2013為” Information technology — Security techniques —Code of practice for information security controls”,改成了ISO/IEC 27002:2022  為”Information security, cybersecurity and privacy protection — Information security controls”。並且

納入了近年來發展成熟的技術,其內容明顯是以「資料」為中心,強化資料保護的控制方法。一方面因應了GPDR的符規需求,而且滿足更廣泛的資訊安全和隱私要求,適用於任何處理 PII 的組織。

 

ISO 27002:2022改變了什麼

以前的ISO 27002規定了十四個控制領域,而新版本只規定了四個類別。分別為組織、人員、實體和技術。控制項的數量已從 114 個合併或減少至 93項。 雖然控制項變少了,但並非是廢除舊控制項。相反地,它們已被整併和更新,使其更適合 2022 年以來的安全趨勢發展。

 

 

  • 35 個控制項,現在重新排列分類為 4 個類別,分別是是組織控制、人員控制、實體控制和技術控制。
  • 附件A中包含的安全控制措施,已從114項更新為總共93項控制措施
  • 1 個控制被拆分,即控制項2.3 技術合規性審查分為:
    • 3.6 – 遵循資訊安全政策、規則和標準
    • 8 – 技術漏洞管理
  • 23個控制項被重新命名
  • 原本的57 個控制項被合併成24個

 

此外,ISO 27002:2022 還增加了11項新控制措施。包含:

  • 7 Threat intelligence 威脅情報
  • 23 Information security for cloud services  雲端服務的資訊安全
  • 30 ICT readiness for business continuity 維持業務持續通訊準備
  • 4 Physical security monitoring 實體安全監控
  • 9 Configuration management 配置管理
  • 10 Information deletion 資訊消除
  • 11 Data masking 資訊遮罩
  • 12 Data leakage prevention 資訊外洩防護
  • 16 Monitoring activities 監視活動
  • 23 Web filtering 網頁過濾
  • 28 Secure coding 安全編碼 

在此次 ISO 27002:2022 的變更時,很明顯將以前彼此接近的控制措施,整併移動並且更明確的分類。另一個重大更改是,賦予每個控制項屬性表,其中的值以#hashtags表示。這些在附錄 A 中定義,告訴您控制措施是預防性、檢測性或改正性的控制措施,是否涉及機密性、完整性或可用性,涵蓋哪些網路安全概念:識別、保護、檢測、回應或復原,有助於清晰化單位實施控制決策的參考依據。這些#hashtags 的想法是,可以使用這些標籤為不同的部門,依照其業務屬性分類建立 ISMS 管理政策。若需要查詢跨領域的控制措施,只要針對需求進行排序即可。

 

資訊分類與預防資訊外洩

本次改版對於資訊分類是一個翻天覆地的變化,以往的條文並無明顯提及應該使用的具體工具或安全系統。然而,此次版本將DLP納入8.12 Data leakage prevention安全控制措施;以及8.16 Monitoring activities 之中,指引內容描述幾乎就是SIEM,再加上UAM(使用者活動監視)。

防止資訊外洩是防止和偵測個人或系統,在未經授權狀況下被揭露和存取資訊的過程。對於處理、儲存或傳輸敏感資訊的系統、網路和任何其他設備,採取相對應預防控制措施。這些措施應該是政策、流程和技術工具的結合。

可能應用的預防外洩控制流程:

  • 識別和分類資訊系統與業務流程
  • 制定存取控制規則策略
  • 檔案文件管理政策
  • 資訊分類政策

可利用的技術工具:

  • 監控潛在的資訊洩漏管道,例如電子郵件、檔案傳輸、端點設備和外接式儲存媒體
  • 識別和監控未經授權暴露風險的敏感資訊
  • 偵測敏感資訊的洩漏,必要的警告及回應措施
  • 阻擋外洩敏感資訊的使用者操作行為、凍結裝置或中斷網路傳輸

組織應決定是否有必要限制使用者操作文件時,將內容複製貼上,或上傳到組織外部的服務、設備和儲存裝置。實施資訊外洩防護工具及其搭配政策,除監視控制之外,如果業務需要而上傳文件,系統應具備使用者操作的內容及留存存取的文件檔案。這些保存的內容應集中儲存以供追查或究責。

 

組織的控制需要更新嗎?

對於已經取得ISO 27001認證的組織,雖然不必急著更新所有的控制措施,但須慎重評估新增的控制要求。可以利用ISO 27002:2022標準文件末的對照表,檢查目前已經實現的控制措施,審查和更新風險處理計劃,以檢查新定義的控制措施,是否和組織的風險管理項目相關。並且更新適用性聲明,依此更新您的政策和程序,調整新控制措施相關的內容。