• 資訊安全規範

    ID-100290755

    這篇文章主要探討資訊安全規範有哪些? 導入與遵循要注意的地方

     

    最常見的例如

    • ITIL
    • ISO 27001 / ISO 27002

    Security Standards

     

    這些規範在資訊安全領域的關係為呢?

    哪些是 Best Practices 哪些是 industry regulation?

    哪些是 IP service operations、哪些是系統開發、哪些是針對金融系統的規範? 列表如下:

    Source: Lundin, Mark. “Industry Issues and Standards—Effectively Addressing Compliance Requirements.” ISACA San Francisco Chapter

     

    sec standard table

     

     

    sec standard2

     

    對於雲端服務提供的業者來說, ISO 27001 是最基本的開始。

    除此之外,針對行業別的特性,可能會有法規上的要求,分述如下:

    • Sarbanes-Oxley
    • PCI DSS
    • HIPAA

     

    Sarbanes-Oxley Act

    對雲端資訊業者或是IT來說,SOX 主要注重的是公司處理財務資訊程序的有效性,

    包含財務與會計程序、訂單到收款程序等。例如 ERP 系統與交易系統。範圍包含內部與外包所有系統。

     

    如果有公司應用 SaaS的雲端財務應用處理服務來提供財務報表,

    如果該交易活動與財務金額重大,那麼該SaaS就會是該SOX 的審查範圍之一。

    另外一種情況,如果有公司運用PaaS的雲端平台建至財務系統。

    那麼 SOX 的資訊安全控制範圍就會包還這些雲端開發的財務系統。

    對於 IT 來說,就必須要注意到

    • 使用者權限管理
    • 權責分工
    • 系統開發、監控、備份等程序

    對於雲端開發的服務提供者則是提供相關的控制流程幫助客戶達到 SOX 的規範。

     

    PCI DSS

    (Payment Card Industry (PCI) Data Security Standard Requirements and Security Assessment Procedures, Version 1.2, October 2008.)

    公司處理信用卡交易就必須要符合 PCI DSS 的規範Payment Card Industry (PCI) Data Security Standard (DSS)

     

    PCI DSS 包含下列12項資訊安全規範

    • Install and maintain a firewall configuration to protect cardholder data.
    • Do not use vendor-supplied defaults for system passwords and other security parameters.
    • Protect stored cardholder data.
    • Encrypt transmission of cardholder data across open, public networks.
    • Use and regularly update antivirus software.
    • Develop and maintain secure systems and applications.
    • Restrict access to cardholder data based on the business’s need to know.
    • Assign a unique ID to each person with computer access.
    • Restrict physical access to cardholder data.
    • Track and monitor all access to network resources and cardholder data.
    • Regularly test security systems and processes.
    • Maintain a policy that addresses information security.

    對於雲端服務提供者來說,應該要清楚的定義信用卡資料保護的責任。

    例如,這些資料保護的責任是共同承擔還是歸屬於公司或是雲端服務端。

    如果雲端服務提供者包還處理信用卡交易,那麼雲端服務提供者就必須要定義資訊流、信用卡處理的交易與儲存的方式,比較將該信用卡交易的內容與其他系統隔離。

    除此之外,也要用加密的方式保護敏感性資料。

    PCI 最終目標是要保護信用卡的隱私資料,避免資料、交易資訊外洩。

     

    HIPAA

    這個的目的主要保護個人健康隱私資料 protected health information (PHI)

    因此,這類有關的廠商例如:醫院、療養院、醫療系統開發廠商、保險業等

    HIPAA對於個人健康隱私資料的資訊安全,摘要如下:

    • Administrative safeguards
    • Assigned security responsibility
    • Physical safeguards
    • Technical safeguards

    針對資訊系統來說,所需要的資訊安全需求有

    • Unique user identification
    • Emergency access procedure
    • Automatic logoff
    • Encryption and decryption
    • Audit controls, integrity
    • Mechanism to authenticate electronic PHI
    • Person or entity authentication, transmission security
    • Integrity controls
    • Encryption

     

    COBIT

    (Control Objectives for Information and Related Technology)

    這個可以說是 ISO 27001 的前身,

    COBIT 主要將控制、技術、風險結合:

    • control requirements
    • technical issues
    • business risks

     

    cobit

     

    稽核

    到底有做沒做,有沒有按照一定的程序執行呢?  這就是稽核的方法

    稽核的程序,大制有下列幾類:

    • SAS 70
    • SysTrust
    • WebTrust
    • ISO 27001

    台灣比較常見的都是 ISO 27001的稽核程序與認證,這幾種稽核的方式有什麼不同呢?

    參考下表(AICPA, Building Trust and Reliability—SAS 70, SysTrust, and WebTrust.)

    audit1 audit2

     

     

    總結

    這篇文章主要探討一些常見的資訊安全規範業界標準

    從 ISO 270001為基礎,去延伸

    例如:醫療業會被額外要求 HIPPA

    例如:公司治理的部分會被要求 SOX

    例如:信用卡資料處理會被要求 PCI

    並且列出這些不同規範之間的關係,最後舉出幾個稽核的程序與比較。

     

     

    Posted by Tony @ 9:43 pm

    Tags: ,

  • Leave a Reply

    Your email address will not be published.