[Day23]ISO 27001 附录 A.11 实体及环境安全

这个章节的重点在於资讯管理系统的实体环境的保护。

不是这种保护 XD
不过，比较常跟受稽方讨论到乖乖到底能不能放机房？
其实乖乖不要破掉养老鼠咬电线或网路线就好 XD

A.11 实体及环境安全

A.11.1 保全区域

目标：防止组织资讯及资讯处理设施遭未经授权之实体存取、损害及干扰。

A.11.1.1 实体安全周界

应定义及使用安全周界，以保护收容敏感或重要资讯及资讯处理设施之区域。

• 有没有实际的实体安全周界，如机房、仓库是不是开放式，大家都能进出？
  曾经有遇过塑胶拉门，但後来加了实体锁来限制进出范围 (OK)

A.11.1.2 实体进入控制措施

保全区域应藉由适切之进入控制措施加以保护，以确保仅允许经授权人员进出。

• 实体区域的管理方式，如：刷卡门禁、指静脉、人脸辨识、实体锁等等，哪怕你在机房里面设柜台，只要能控管门禁都可以。

A.11.1.3 保全之办公室、房间及设施

应设计办公室、房间及设施之实体安全并施行之。

• 机房的环境控管，是否有相应的保护机制，如：CCTV

A.11.1.4 防范外部及环境威胁

应设计并施行实体保护，以防范天然灾害、恶意攻击或事故。

• 天然灾害：防台机制(侦水)、水灾、火灾、消防。

A.11.1.5 於保全区域内工作

应设计并施行於保全区域内工作之程序。

• 在保全区域内工作，要遵循的事，如：IDC 机房控管、禁用携带装置、手机禁止拍照、不可饮食……

A.11.1.6 交付及装卸区

对诸如交付及装卸区及其他未经授权人员可进入作业场所之进出点，应加以控制；若可能，应与资讯处理设施隔离，以避免未经授权之存取。

• 针对未经授权人员或是委外供应商进入实体安全周界的控管方式？
• 进一步确认委外的存取交付区，或是有设备的装卸区。

A.11.2 设备

目标：防止资产之遗失、损害、遭窃或破解，并防止组织运作中断。

A.11.2.1 设备安置及保护

应安置并保护设备，以降低来自环境之威胁及危害造成的风险，以及未经授权存取之机会。

• 设备要能放好且给予保护，如：机柜、环控、上锁

A.11.2.2 支援之公用服务事业

应保护设备免於电源失效，及因其他支援之公用服务事业失效，所导致之中断。

• UPS、发电机、甚至市电力双回路
  这个会跟备援机制去一起验证，如果验证范围有包含 A.17.2 多重备援：RTO、RPO 是否有满足在时间内。
  

A.11.2.3 布缆安全

应保护传送资料或支援资讯服务之电源及电信布缆，以防范窃听、干扰或损害。

• 以设备经验来看，如果你的线路是蜘蛛网，如果跳线太夸张，那八成如果有紧急情况，可能会难以处理。
  我有被机柜的线绊倒过 Q Q

A.11.2.4 设备维护

应正确维护设备，以确保其持续之可用性及完整性。

• 抽验设备维护记录，如机房巡检 或是 委外厂商的历程记录。
  首抽核心设备，再来常常被抽验的是 UPS 的维护记录。

A.11.2.5 资产之携出

未经事前授权，不得将设备、资讯或软件带出场域外。

• 资产携出管理之方式为何？
• 这里要思考一下携出的风险，如果将资产带离场域，会不会有机敏资讯外泄或是遗失之可能？
  在机房通常会有自己的 Terminal Server 或 Console 笔电来管理控制机房中的电脑及服务器，
  通常存取权限会全开，试想一下被携出的风险？

A.11.2.6 场所外设备及资产之安全

安全应适用於场域外资产，并将於组织场所外工作之不同风险纳入考量。

• 场外设备，一般企业不一定有，如果有放在场外，例如：放在客户家的设备、放在公共区域的设备，要有安全的管理方式

A.11.2.7 设备汰除或再使用之保全

含有储存媒体之所有设备组件，於汰除或再使用前应加以查证，以确保任何敏感性资料及有版权之软件已被移除或安全地覆写。

• 设备汰除或再使用要考量到其内的敏感资讯处理
  最常见就是离职时，抽验移交的设备有没有相关的版权问题 或是 相关机敏是否有格式化处理。

A.11.2.8 无人看管之使用者设备

使用者应确保无人看管之设备具适切保护。

• 无人看管设备、会议室电脑、下班後的个人电脑，保护的机制，如：下班後公司门会上锁

A.11.2.9 桌面净空及萤幕净空政策

对纸本及可移除式储存媒体应采用桌面净空政策，且对资讯处理设施应采用萤幕净空政策。

• 纸本机敏资讯随意置放、USB 上锁或加密、萤幕机柜密码小纸条记得都要避免

在菜稽的时期曾经因为远端稽核时想请受稽方让我确认是否机柜上是否有小纸条，
然後真的很巧有看到 P@ssw0rd 的设定 …
受稽方说这是厂商的预设密码，现在已经改罗，然後也有验证了。
不过後续有被前辈提醒说：「不能以预设立场去稽核。」
因为预设立场会让 【受稽方有不舒服的感受】：「你是不是在怀疑我？」
所以，在远端稽核的时候可能还是要注意一下 【不要预设立场】 这件事情。

参考文献

国家标准(CNS)网路服务系统：https://www.cnsonline.com.tw/

恐怖游戏推荐：

小镇惊魂 2 (DreadOut 2)

封印被打破，巨蛇布洛龙苏醒了。
见证琳达的旅程，寻找答案、救赎和接受她在阻止人类最大威胁方面所扮演的角色。 深入了解 DreadOut 领域中的第三人称恐怖冒险。 再次从恐惧中幸存下来。

https://store.steampowered.com/app/945710/DreadOut_2/

玩法很像日系的零系列，场景做超大！超有趣！
可以蒐集成就跟到处拍照 XDDDD