實驗 10：CNS17799/17800國家標準之條文解析

Plan Do Check Ack 實驗 10：CNS17799/17800 國家標準之條文解析 前言 資訊時代的發達，讓許多重要的文件皆以檔案的形式存於儲存媒體中，但卻也曾加機密外洩的可能性。因此，對企業而言做好資訊安全是十分重要的。 資訊安全管理(ISMS)的精神PDCA 法則： Plan (計畫) 建立能控制風險並加強組織安全的政策、目標、控制措施及作業流程 Do (執行) 針對計畫所列項目確實執行 Check (檢查) 簡視執行結果是否與計畫相符 Act (行動) 檢查如發現不適用或不符合項目須執行矯正行動 在教材的部份我們有說明資安政策的制定、資產的定義及風險評估，本實驗我們將針對經濟部發佈的CNS 17800資安法規的管理要項進行介紹。 Plan Do Check Ack

實驗 10：CNS17799/17800 國家標準之條文解析 CNS17799/17800條文解析 十大管理要項 九、營運持續運作管理 一、安全政策 二、安全組織 三、資產分類與控制 四、人員安全 五、實體與環境安全 六、通訊與作業管理 八、系統開發及維護 七、存取控制 九、營運持續運作管理 十、符合性 CNS17799/17800參考網頁：(經濟部標準檢驗局) http://www.bsmi.gov.tw/page/pagetype8.jsp?page=886&groupid=5

實驗 10：CNS17799/17800 國家標準之條文解析 CNS17799/17800條文解析 A.3 安全政策 A.4 安全組織 控制目標：提供管理階層對資訊安全的指示與支持 A3.1.1資訊安全政策文件政策文件應由管理階層核准，並以適當方式向所有員工公布與宣導。 A3.1.2審查與評估政策應定時以及有重大改變時審查，以確保合乎時宜。 A.4 安全組織 A.5.1 資產可歸責性 控制目標：為維護組織資產適切的保護。 A.5.1.1資產清冊應製作所有與每一資訊系統相關重要資產之清冊並維護。 A.5.2 資訊分類 控制目標：確保資訊資產獲得適當之保護層級。 A.5.2.1分類指引資訊分類與相關保護控制措施應考量企業分享或限制資訊之需求，以及與該需求有關之業務衝擊。 A.5.2.2資訊標示與處理應制訂一套與組織採用之分類方式相符之資訊標示與處理流程。

實驗 10：CNS17799/17800 國家標準之條文解析 CNS17799/17800條文解析 A.6 人員安全 控制目標：降低人為錯誤、竊盜、詐欺、或誤用設施之風險 A.6.1.1將安全列入工作職掌中組織資訊安全政策中規定之安全角色與職務應於工作職掌中適當地予以文件化。 A.6.1.2人員篩選及政策正職員工在申請工作時即應進行背景檢查。 A.6.1.3保密協議員工應簽署保密合約，作為聘僱首要條件與限制之一部分。 A.6.1.4聘用條件與限制聘僱條件與限制應說明員工對資訊安全之責任。 A.6.2 使用者訓練 控制目標：確保使用者了解資訊安全的威脅與問題，且有能力在日常工作中支持組織安全政策。 A.6.2.1資訊安全教育與訓練組織內所有員工及相關第三方之使用者皆應接受適當訓練以及有關組織政策及程序之例行修訂。 A.6.3 安全及失效事件的反應處理 控制目標：將安全及失效事件所造成的損害降至最低，並監督這類事故並從中學習。 A.6.3.1通報安全事件安全事件應循適當管理途徑儘快通報。 A.6.3.2通報安全弱點應要求資訊服務之使用者在注意到系統或服務有任何明顯或可疑安全弱點或威脅時逕行通報。 A.6.3.3通報軟體失效應建立軟體失效通報程序。 A.6.3.4從事件中學習建立機制，以便量化且監控事件與失效的類型、數量與成本。 A.6.3.5懲罰處理違反組織資訊安全政策與程序之員工，應以正式懲罰處理。

實驗 10：CNS17799/17800 國家標準之條文解析 CNS17799/17800條文解析 A.7 實體與環境安全 控制目標：避免營運場所及資訊遭未經授權存取、損害與干擾。 A.7.1.1實體安全邊界組織應採用安全邊界以保護存放資訊處理設施之區域。 A.7.1.2實體進入控制措施安全區域應有適當進入控制措施，確保只有授權人員方可進出。 A.7.1.3辦公處所及設施之保護應設立保全區域，以提供特殊安全需求，保護辦公室、房間及設施。 A.7.1.4在保全區域內工作在保全區域內工作時應採取額外控制措施及指引，以強化該保全區域之安全性。 A.7.1.5隔離的收發與裝卸區裝卸區應予管制，若可能，應與資訊處理設施隔離，避免遭未授權進入。 A.7.2 設備安全 控制目標：避免資產遺失、毀壞或受損，並避免營運活動中斷。 A.7.2.1設備安置及保護設備應被安置或保護以降低來自環境之威脅及災害，以及未授權存取之機會。 A.7.2.2電源供應應保護設備不受電力故障及其他電力異常影響。 A.7.2.3纜線的安全傳送資料或支援資訊服務之電源與通訊纜線應予保護，以防止竊聽或破壞。 A.7.2.4設備維護設備應正確維護，使其持續可用與完整。 A.7.2.5場外設備之安全組織場所外設備應使用安全流程及控制措施，以保護其安全。 A.7.2.6設備之安全報廢或再使用設備在報廢或再使用前應將資訊清除。 A.7.3 一般控制措施 控制目標：避免資訊及資訊處理設施受危害或遭竊。 A.7.3.1桌面淨空與螢幕淨空政策組織應有一桌面及螢幕淨空政策，以降低資訊未授權存取、遺失及毀損之風險。 A.7.3.2財產攜出組織之設備、資訊或軟體未經授權禁止移動。

實驗 10：CNS17799/17800 國家標準之條文解析 CNS17799/17800條文解析 A.8 通訊與作業管理 控制目標：確保正確與安全地操作資訊處理設施。 A.8.1.1書面的作業程序安全政策所規定之作業程序應製作文件記錄並維護。 A.8.1.2操作變更之管制資訊處理設施與系統之變更應予管制。 A.8.1.3事件管理程序應建立事件管理責任與程序以確保回應安全事件時迅速、有效、有條理。並收集事件相關數據資料例如稽核軌跡與檔案(logs)。 A.8.1.4職責區隔職務與責任範圍應予區分，以降低資訊或服務遭未授權修改或誤用之機會。 A.8.1.5分隔開發與作業設施開發與測試用設施應與作業設施分開。軟體從開發狀態轉移至作業狀態之規則應加以界定並文件化。 A.8.1.6外部設施的管理使用外部設施管理服務前，應鑑別風險並制訂適當控制措施，並與承包商協議後併入合約。 A.8.2 系統規劃與驗收 控制目標：降低系統失效的風險。 A.8.2.1容量規劃應監控系統容量需求，並預估未來需求，以確保有充分處理能量與儲存空間。 A.8.2.2系統驗收應建立新資訊系統、系統升級與新版本之驗收標準，且驗收前應有適當之測試。 A.8.3 惡意軟體的防範 控制目標：保護軟體及資訊完整性免於受惡意軟體損害。 A.8.3.1對抗惡意軟體的控制措施應實施防備惡意軟體之偵測及預防控制措施與適當之使用者認知程序。

實驗 10：CNS17799/17800 國家標準之條文解析 CNS17799/17800條文解析 A.8.4 日常事務管理 控制目標：維護資訊處理與通訊服務之完整性及可用性。 A.8.4.1資料備份重要營運資訊及軟體應定期備份。 A.8.4.2操作員日誌操作人員應維持其活動日誌。操作員日誌應予接受定期及獨立之檢查。 A.8.4.3錯誤事件登錄錯誤應予通報，且採取矯正措施。 A.8.5 網路管理 控制目標：確保網路內資訊之安全，並保護支持之基礎建設。 A.8.5.1網路控制措施應實施一套控制措施，達成並維護網路安全。 A.8.6 儲存媒體的處理與安全 控制目標：避免資產毀損及企業活動中斷。 A.8.6.1可攜式電腦儲存媒體之管理可攜式電腦儲存媒體（如磁帶、磁碟、卡帶與印出之報表等）之管理方式應有控制措施。 A.8.6.2儲存媒體之報廢儲存媒體不再使用時應以保護與安全方式報廢。 A.8.6.3資訊處理程序應建立資訊之處理及儲存程序，以防止資訊被未授權揭露或誤用。 A.8.6.4系統文件之安全系統文件應受保護，避免未授權之存取。

實驗 10：CNS17799/17800 國家標準之條文解析 CNS17799/17800條文解析 A.8.7 資訊及軟體交換 控制目標：避免組織間交換資料時遭遺失，竄改、或誤用。 A.8.7.1資訊與軟體交換協議組織間交換資訊與軟體之行為（無論是電子或是實體交換）應有協議規範，某些協議則應制訂正式合約。 A.8.7.2儲存媒體運送過程之安全運送之儲存媒體應予保護，防止未授權遭存取、誤用或毀損。 A.8.7.3電子商務安全應防止電子商務遭詐欺行為、合約爭議及資訊遭揭漏或竄改等情事。 A.8.7.4電子郵件安全應制定電子郵件使用政策，且執行控制措施以降低電子郵件產生之安全風險。 A.8.7.5電子化辦公系統之安全應擬定並實施政策及指引，以管制與電子辦公系統有關之企業與安全風險。 A.8.7.6公共系統資訊對外開放前應有正式授權程序，且該資訊之完整性應予保護，以避免未授權之竄改。 A.8.7.7其他資訊交換形式以語音、傳真及視訊通訊設施交換資訊時應有保護流程與控制措施。

實驗 10：CNS17799/17800 國家標準之條文解析 CNS17799/17800條文解析 A.9 存取控制 控制目標：管制資訊之存取行為。 A.9.1.1存取控制政策存取控制之企業要求應予鑑定及文件化，存取行為應僅限於存取控制政策內規定之範圍。 A.9.2 使用者存取管理 控制目標：確保資訊系統之存取權限適切地授權、配置及維持。 A.9.2.1使用者註冊核准存取多人使用資訊系統及服務時，應制定正式使用者註冊及註銷流程。 A.9.2.2特權管理特許權限之分配與使用應受限制與控管。 A.9.2.3使用者通行碼管理通行碼之分配應以正式管理程序控管。 A.9.2.4使用者存取權限審查管理階層應定期執行正式程序審查使用者存取權限。 A.9.3 使用者責任 控制目標：避免未獲授權之使用者存取。 A.9.3.1通行碼之使用選擇及使用通行碼時，應要求使用者遵守良好安全方式。 A.9.3.2無人看管之資訊設備應要求使用者確保無人看管之資訊設備有適當保護措施。

實驗 10：CNS17799/17800 國家標準之條文解析 CNS17799/17800條文解析 A.9.4 網路存取控制措施 控制目標：保護網路服務。 A.9.4.1使用網路服務的政策使用者只能直接存取被明確准許使用之服務。 A.9.4.2強制存取路徑從使用者終端機至電腦服務之存取路徑應予控管。 A.9.4.3外部連線之使用者身份鑑別遠端使用者之存取應有身份鑑別。 A.9.4.4結點鑑別連線至遠端電腦系統應有鑑別作業。 A.9.4.5遠端診斷埠保護診斷埠之存取行為需嚴密控管。 A.9.4.6網路區隔網路應有控制措施，將資訊服務、使用者及資訊系統群組區隔。 A.9.4.7網路連線控管使用者連線能力應僅限於共享網路，以符合存取控管政策。 A.9.4.8網路路由控管共享網路應有路由控制措施，以確保電腦連線與資訊流不至破壞企業應用系統之存取控管政策。 A.9.4.9網路服務之安全組織對使用之所有網路服務其安全特性應提供一份清楚說明。 A.9.5 作業系統存取控制措施 控制目標：防止未經授權的電腦存取。 A.9.5.1自動終端機識別功能應考慮自動終端機識別功能，以鑑別連線至指定地點及可攜式設備。 A.9.5.2終端機登錄流程存取資訊服務應使用安全登錄程序。 A.9.5.3使用者識別與身份鑑別所有使用者應有專屬識別符碼（使用者識別序號），以便追蹤責任歸屬。應選擇一適切的身分鑑別技術已證實使用者宣稱之身分。 A.9.5.4通行碼管理系統通行碼管理系統應提供有效、互動功能，以確保通行碼品質。 A.9.5.5系統公用程式之使用系統公用程式之使用應予限制並嚴密控管。 A.9.5.6保護使用者的反脅迫警報器可能遭脅迫之使用者，應提供反脅迫警報器。 A.9.5.7終端機自動關機時間終端機若置於危險場所或所登入之系統風險極高，則閒置時應於一定時間後自動關機，避免遭未經授權存取。 A.9.5.8連線時間的限制高風險之應用系統，應設定連線時間限制，以提供多一層安全。

實驗 10：CNS17799/17800 國家標準之條文解析 CNS17799/17800條文解析 A.9.6 應用系統之存取控制 控制目標：防止資訊系統中之資訊遭未經授權存取。 A.9.6.1資訊存取限制根據存取控制政策應限制對資訊及應用系統功能之存取。 A.9.6.2敏感性系統的隔離敏感系統應有專屬（隔離）電腦作業環境。 A.9.7 監控系統之存取與使用 控制目標：偵測未經授權的活動。 A.9.7.1事件記錄應製作記錄異常事件及其他安全相關事件之稽核日誌記錄，並保留至規定期間，以便有助於存取控制之監及未來之調查。 A.9.7.2監控系統之使用應建立監控資訊處理設施之使用程序，且應定期審查監視活動的結果。 A.9.7.3時鐘同步電腦系統時鐘應予同步，以使紀錄正確。 A.9.8 行動式電腦作業（mobile computing）與遠距工作（teleworking） 控制目標：確保使用行動式電腦作業與遠距工作設施時之資訊安全。 A.9.8.1行動式電腦作業應制訂正式政策及適當控制措施，以預防行動式電腦設施，尤其在無保護之環境下運作之風險。 A.9.8.2遠距工作應發展各項政策、流程及標準，以授權及管制遠距工作活動。

實驗 10：CNS17799/17800 國家標準之條文解析 CNS17799/17800條文解析 A.10 系統開發及維護 控制目標：確保資訊系統已建置安全機制。 A.10.1.1安全要求分析及規格為新系統或現有系統提升之營運要求中，應詳述各項控制措施之要求。 A.10.2 應用系統之安全 控制目標：預防應用系統中之使用者資料遺失、遭修改或誤用。 A.10.2.1輸入資料之確認輸入應用系統之資料應予確認，以確保其正確且適當。 A.10.2.2內部處理之控制系統內應有確認檢查機制，以偵知所處理資料之塗改。 A.10.2.3訊息鑑別對於有保護訊息內容完整性之安全要求的應用程式，應採用訊息鑑別機制。 A.10.2.4輸出資料之確認應用系統資料輸出應經確對，以確保所儲存資訊之處理程序正確且合乎實際情況。 A.10.3 密碼控制措施 控制目標：保護資訊之機密性、鑑別性及完整性。 A.10.3.1使用密碼控制措施之政策應發展使用密碼控制措施以保護資訊之政策。 A.10.3.2加密應使用加密以保護敏感或重要資訊之機密性。 A.10.3.3數位簽章應採用數位簽章以保護電子資訊之鑑別性與完整性。 A.10.3.4不可否認服務應使用不可否認服務，以解決某事件或行為是否發生之爭議。 A.10.3.5金鑰管理以一套公認之標準、流程及方法為基礎之（金鑰管理系統），應加使用以支援密碼技術之運作。

實驗 10：CNS17799/17800 國家標準之條文解析 CNS17799/17800條文解析 A.10.4 系統檔案之安全 控制目標：確保資訊技術專案及支援活動以安全方式執行。 A.10.4.1作業系統軟體之控制對作業系統上軟體的實施應備有各程序以管制之。 A.10.4.2系統測試資料之保護測試資料應予保護及控制。 A.10.4.3原始程式庫之存取控制原始程式庫的存取應維持嚴謹的控制措施。 A.10.5 開發及支援作業的安全 控制目標：維護應用系統軟體及資訊之安全性。 A.10.5.1變更管制程序應採取正式變更管制程序以嚴格控制變更作業之實施。 A.10.5.2作業系統變更的技術審查應用系統若有變更，應審核與測試。 A.10.5.3套裝軟體變更之限制應阻止修改套裝軟體，有必要的修改應嚴格管制。 A.10.5.4隱密通道及特洛依木馬程式軟體之採購、使用及修改應予管制及檢查，以防止可能之隱密通道及特洛依木馬程式。 A.10.5.5軟體開發委外應採取控制措施以保護軟體開發委外工作的安全。

實驗 10：CNS17799/17800 國家標準之條文解析 CNS17799/17800條文解析 A.11 營運持續管理 控制目標：防治營運活動的中斷，保護重要營運過程不受重大故障或災害的影響。 A.11.1.1營運持續管理過程全組織持續營運措施之制訂與維護作業，應有管理之過程。 A.11.1.2營運持續及衝擊分析為整體的達成營運應根據適當風險評鑑制訂持續，一份策略計畫。 A.11.1.3持續計畫之撰寫及實施應擬訂計畫以在重要企業過程中斷或失效時，維護或即時恢復企業營運。 A.11.1.4營運持續規劃框架應維持單一營運持續計畫之框架，以確保所有計畫皆一致，並鑑別測試及維護之優先順序。 A.11.1.5營運持續計畫之測試、維護及重新評鑑營運持續計畫應定時測試，並藉定期審查加以維護，以確保維持最新且有效。

實驗 10：CNS17799/17800 國家標準之條文解析 CNS17799/17800條文解析 A.12符合性 控制目標：避免違反所有刑、民法、行政命令、管理規定或合約義務及所有安全要求。 A.12.1.1適用法令之鑑別清楚鑑別所有與資訊系統有關之法規、管理規定及合約要求，並予文件化。 A.12.1.2智慧財產權應實施適當流程，以確保遵守（有關智慧財產權）資料之使用及專利軟體產品使用之法律限制。 A.12.1.3組織記錄之保護組織重要記錄應予保護，以防止遺失、毀損及偽造。 A.12.1.4個人資訊的資料保護及隱私應根據相關法令採取控制措施保護個人資訊。 A.12.1.5預防資訊處理設施遭誤用資訊處理設施之使用需經管理階層授權，且應採取控制措施防止該設施之不當使用。 A.12.1.6密碼控制措施之規定應有控制措施以確保符合國家協議、法律規範，或以其他工具管制密碼控制措施之存取或使用。 A.12.1.7蒐證若個人或組織行為牽涉法律，不論民法或刑法，則提出之證據應符合相關法律規定之證據規則，或該案審理法庭之規定。此應包含符合任何公告的標準或生產規範可採納的證據。 A.12.2 安全政策及技術符合性之審查 控制目標：確保系統遵守組織安全政策與標準。 A.12.2.1安全政策之符合性管理者應確保其責任範圍內所有安全流程執行方式皆正確，且組織內所有區域皆應定期審查，以確保遵守安全政策及標準。 A.12.2.2技術符合性的檢查應定期檢查資訊系統是否符合安全實施標準。 A.12.3 系統稽核的考量 控制目標：使系統稽核過程得到最大成效，並將稽核過程產生或受到之干擾降到最低。 A.12.3.1系統稽核控制措施作業系統之稽核應謹慎規劃且一致，以降低企業過程中斷之風險。 A.12.3.2系統稽核工具之保護系統稽核工具之存取應加保護，以防止任何可能之誤用或破解。