ISO27001

資訊系統廠商如何符合ISO27001資安相關要求

鄧志鴻 Alvis Deng 2022/09/12 15:42:52
704

 

資訊系統廠商如何符合ISO27001資安相關要求

近年來, 台灣企業和政府對ISO 27001的導入有增無減, 隨著資安的要求日趨嚴格, 公部門對專案或產品導入執行的要求也更為明確, 除了專案執行作為廠商(利害關係人) 要求應遵守案主本身資訊安全管理系統(Information Security Management System, 簡稱 ISMS)ISO 27001:2013 規範之外, 同時也要求系統或其應用之產品也必須符合規範. 常見的相關要求整理如下

 

1.     執行專案必須遵守案主本身資訊安全管理系統ISMS ISO 27001:2013 規範

2.     系統或其應用之產品也必須符合案主規範控制要求

3.     投標廠商須通過 ISO 27001:2013 或較新版本認證,並提供相關證明

4.     團隊成員應具備至少 1 張行政院公告之「資通安全專業證照清單」內資安證照 (#1) : 擁有ISO/IEC 27001:2013 Information Security Management System(ISMS) Auditor/ Lead Auditor 證照可符合要求.

 

進一歩做為系統開發委外廠商常見的專案執行及系統開發的資安要求有哪些呢? 以下整理常見項目及其源由供作參考

 

1.   資訊系統獲取, 開發及維護

編號

評核項目

控制項目參考

1

專案經理是否依規定辦理專案起始會議,並確認專案所需資源?

A.14.2.7 委外開發 - 組織應監督委外系統開發的活動

2

專案經理是否定期監督專案執行狀況並留存紀錄?

A.14.2.7 委外開發 - 組織應監督委外系統開發的活動

3

系統委外開發期間,針對需求範疇、開發時程、開發品質、交付內容進行監督與控管,是否定期召開會議,以確保委外開發作業順利完成,並達成SLA 規範?

A.14.2.7 委外開發 - 組織應監督委外系統開發的活動

4

所簽訂之契約,是否有明定下列事項:
(1)
系統功能需求與規格(包含安全需求)
(2)
驗收標準。
(3)
委外開發軟體之交付完成時間。
(4)
相關系統文件之產生。
(5)
智慧財產權之歸屬。
(6)
相關保密契約與處罰條款。
(7)
系統建置完成後,系統維護的責任與方式。

A.14.1.1 資訊安全要求分析與規格

5

系統開發、測試及上線時,是否符合資訊安全管理規範?

A.14.1.1 資訊安全要求分析與規格

6

服務合約中,是否包含安全控制,服務內容與服務水準,並依合約導入、執行與維護?

A.14.1.1 資訊安全要求分析與規格

7

現行專案管理過程中,是否考量資訊安全面的要求並於專案執行過程中確認?

A.14.2.1 安全開發政策

8

專案異動時,專案經理是否依現有規定由權責主管核准後始得同意?

A.14.2.2 系統變更控制程序

9

是否禁止將新增程式IP 及特殊帳號密碼寫入程式碼中?

A.14.2.5 安全系統工程原則

10

是否在系統開發過程中執行安全功能的測試? (: code review、原碼檢測、弱點掃描等)

A.14.2.8 系統安全測試

11

為避免軟體中暗藏隱蔽通道或後門程式,應注意下列事項:
1.
若有購買程式之方式。
2.
是否使用具合法版權之軟體。
3.
軟體安裝後,對原始碼的存取和修改應有妥善的控制。

A.14.2.4 套裝軟體變更的限制

12

是否建立新資訊系統、升級及新版本的驗收程序,包含驗收標準及應有之測試,並且在驗收前對系統進行適當的測試?

A.14.2.9 系統驗收與測試

13

是否對軟體開發進行監督與監視?

A.14.2.7 委外開發

14

非必要應避免修改套裝軟體,如有修改之必要應考量下列控制項目:
1.
與原廠或供應商討論修改的可行性,並不可破壞原有的安全控制強度。
2.
與原廠或供應商確認修改後的軟體維護責任歸屬及後續軟體更新的可行性。
3.
應提供還原及版本控管機制。

A.14.2.2 系統變更控制程序
A.14.2.4
套裝軟體變更的限制

15

發佈行動應用程式前,應確認程式碼或程序庫符合安全要求:
(1)
通過內容安全或驗證程序,如:程式原始碼檢測或掃描,確認未含惡意程式碼。
(2)
程式碼未含有機密性資料。
(3)
行動應用程式宜完整定義特殊符號篩選機制

A.14.2.8 系統安全測試

16

測試資料是否加以保護及控制?

A.14.3.1 測試資料的保護

17

測試資料應儘可能以擬真的方式產生,除平行測試及經權責主管核准之個案外,不得使用真實資料作為測試之用,特別是個人資料檔案;使用個人資料檔案進行測試時,應進行識別化管控。

A.14.3.1 測試資料的保護

18

專案檔案如涉及敏感性資料者,是否確保安全之方式進行存放並限制取用?

A.14.3.1 測試資料的保護

 

 

 

2.   供應商管理及資訊安全系統控制評估

編號

評核項目

控制項目參考

1

駐點人員是否參與基本規定時數之資訊安全教育訓練?

A.7.2.2 資訊安全認知, 教育及訓練

2

委外廠商交付敏感性或機密性電子檔案時,是否以受保護方式(如zip rar 並加上密碼)進行?

A.15.1.3 資訊與通訊技術供應鏈 - 資訊安全風險的要求

3

委外廠商是否皆有簽訂保密協定?

A.15.1.1 供應商關係的資訊安全政策

4

所簽訂之契約,是否有明定下列事項:
(1)
系統功能需求與規格(包含安全需求)
(2)
驗收標準。
(3)
委外開發軟體之交付完成時間。
(4)
相關系統文件之產生。
(5)
智慧財產權之歸屬。
(6)
相關保密契約與處罰條款。
(7)
系統建置完成後,系統維護的責任與方式。

A.15.2.1 供應商服務的監控與審查

5

所簽訂之契約,是否有明定下列事項:
(1)
系統功能需求與規格(包含安全需求)
(2)
驗收標準。
(3)
委外開發軟體之交付完成時間。
(4)
相關系統文件之產生。
(5)
智慧財產權之歸屬。
(6)
相關保密契約與處罰條款。
(7)
系統建置完成後,系統維護的責任與方式。

A.18.1.1 識別適用之法規與合約要求
A.18.1.2
智慧財產權

6

是否在系統開發過程中執行安全功能的測試? (: code review、原碼檢測、弱點掃描等)

A.12.2.1 對抗惡意程式的控制技措施

7

為避免軟體中暗藏隱蔽通道或後門程式,應注意下列事項:
1.
若有購買程式之方式。
2.
是否使用具合法版權之軟體。
3.
軟體安裝後,對原始碼的存取和修改應有妥善的控制。

A.18.1.1 識別適用之法規與合約要求
A.18.1.2
智慧財產權

8

服務合約中,是否包含安全控制,服務內容與服務水準,並依合約導入、執行與維護?

A.15.2.1 供應商服務的監控與審查

9

服務合約中,是否包含安全控制,服務內容與服務水準,並依合約導入、執行與維護?

A.18.1.1 識別適用之法規與合約要求

10

資訊業務委外期間,檢視是否定期對所提供之服務、報告及記錄等進行監控與審查,並定期進行稽核?

A.15.2.1 供應商服務的監控與審查

11

若有服務內容變更之情形,是否執行合約變更程序或其他補償方式?

A.15.2.2 供應商服務變更的管理

12

系統運行及儲存容量要求是否加以監督,而且作出對於未來容量需求的推測,以確保擁有合適的運算處理能力及儲存空間?

A.12.1.3 容量管理 - 資源規劃與效能

13

若委外廠商有配發可攜式電腦儲存媒體(如磁帶、磁碟、卡帶與印出之報表等),是否已完成申請?

A.8.3.1 可攜式媒體的管理

14

是否建立並落實正式之資訊交換政策、程序及控制以保護透過各式通訊設施交換之資訊?

A.13.2.1 資訊傳輸政策與程序

15

與第三方交換資訊與軟體之行為(無論是電子或是實體交換)是否有協議規範,並應制訂正式合約?

A.13.2.2 資訊傳輸的協議

16

運送之儲存媒體是否予以保護,以防止運送過程,遭受未經授權存取、誤用?

A.13.2.3 電子傳訊 - 資訊保護

17

是否建立監控資訊處理設施之使用程序,且定期審查監視活動的結果?

A.17.1.3 驗證, 審查及評估資訊安全持續

18

資安系統失效是否予以記錄、分析並適當處置?

A. 16 資訊安全事故管理

19

是否有正式的使用者註冊及註銷的程序,以作為對所有的多人使用資訊系統及服務進行存取授權之用?

A.9.2.1 使用者註冊與註銷

20

對於特殊權利的分配及使用,是否加以限制及控制?

A.9.2.3 特權的管理

21

對於密碼的管理,是否透過正式的管理過程加以控制?

A.10.1.1 使用密碼控制措施的政策

22

對於配給委外廠商的存取權限,是否完成申請且透過定期實行正式的程序加以審查?

A.9.2.5 使用者存取權限的審查

23

是否要求使用者在選擇及使用密碼時,遵循良好的安全慣例?

A.9.3.1 機密鑑別資訊的使用

24

機密性系統是否有專屬(隔離)的運作環境?

A.11.1.1 實體安全邊界

25

是否有正式政策並且採用適當的控制方法,以防止使用可移動式電腦設備進行工作時所造成的風險?

A.6.2.1 行動設備的政策

26

檢視應用系統輸出的資料驗證控制,以確保對被儲存資料的處理是正確且適當的?

A.10.1使用密碼控制技施的政策

27

對高敏感性的資料在傳輸或儲存中是否使用加密技術?

A.10.1使用密碼控制技施的政策

28

營運系統上之軟體安裝執行是否予以管制?

A.12.1.2 變更管理

29

作業系統改變後,是否對應用軟體的技術性進行審查及測試?

A.12.6.1 技術脆弱性的管理

30

是否及時取得目前使用資訊系統之技術性弱點:若評估組織暴露在此弱點中,是否採取適當之風險控制措施?

A.12.6.1 技術脆弱性的管理

31

是否循適切的管道,儘速通報資訊安全事件?

A.16.1.2 通報資訊安全事件

32

發現資訊安全事件,內部人員通報對象、通報窗口、通報層級為何?

A.6.1.1 資訊安全的角色與責任

33

是否建立管理責任與程序, 以確保對資訊安全事故做迅速、有效及依序的回應?

A.16.1.1 責任與程序

34

是否有各項適當的機制, 對資訊安全事故的型式、數量及成本能加以量化與監視?

若是對供應商來講, 若有取得ISO27001 即有執行該項要求

35

針對異常行為之監控規則包含哪些?是否有針對大量資料異常存取行為之分析?

A.12.2.1 對抗惡意程式的控制技措施

36

開發、測試及營運環境之存取權限應考量區隔劃分,並應分別設予程式開發人員、測試人員及使用者,以避免因不當或未經授權之程式修改,影響開發或使用之效率。

A.12.1.4 開發, 測試及作業環境的分隔

37

1.為降低技術弱點帶來的風險,作業系統(OS)及應用系統(AP)的技術弱點應加以控管。
2.
為確保技術弱點控管之有效性與全面性,應掌握軟體使用狀況並定期更新,因此所使用的軟體應確實列入資訊資產清單,且應包含相關資訊,如廠商、版本、使用者…等。

A.12.6.1 技術脆弱性的管理

38

發佈行動應用程式前,應確認程式碼或程序庫符合安全要求:
(1)
通過內容安全或驗證程序,如:程式原始碼檢測或掃描,確認未含惡意程式碼。
(2)
程式碼未含有機密性資料。
(3)
行動應用程式宜完整定義特殊符號篩選機制

A.6.2.1 行動設備的政策

 

總結

    雖然政府機關被要求的資通安全責任等級有所不同( 分為ABCDE五級), 但依循的資安要求皆來自於ISO 之規範和控制項的適用建議規劃而來, 做為提供產品及服務的廠商來說, 提早做好準備, 隨時確保能在資安評估項目合規, 是確保營運的掌握度重要項目.

 

 

參考資料

1.     資通安全專業證照清單已公布於國家資通安全會報網站資安管理法專區中( https://nicst.ey.gov.tw/Page/EB237763A1535D65 )根據111-03-15 “111年修正資通安全專業證照認可審查作業流程及更新資通安全專業證照清單”(資料來源:資通安全處)

 

2.    資通安全管理法 https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030297

 

3.    ISO 27001:2013 標準版要求 資訊安全管理系統 Information Security Management Systems Requirements

 

4.    資通安全責任等級分級辦法https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030304

 

 

 

 

鄧志鴻 Alvis Deng