[Day21]ISO 27001 附录 A.9 存取控制

这个章节的重点就是权限。
最小权限原则，全部关掉只开放给有特殊身份的授权人员。
所以稽核的重点就在於该开的要开，该关的要关。

其实这里也对应到 CISSP 的 IAAA 噢！
识别(Identification)、验证(Authentication)、授权(Authorization)、问责(Accountability)
如果想要更详尽可以参考 CISSP 进阶参考线上课程：https://thorteaches.com/cissp-iaaa/

A.9 存取控制

A.9.1 存取控制之营运要求事项

目标：限制对资讯及资讯处理设施之存取。

A.9.1.1 存取控制政策

存取控制政策应依据营运及资讯安全要求事项，建立、文件化及审查之。

• 存取控制政策或作业规范

A.9.1.2 对网路及网路服务之存取

应仅提供予使用者存取其已被特定授权使用之网路及网路服务

• 网路服务存取管理之方式，有提供服务网路服务，如何控管？
  在疫情期间，有相关居家办公的政策，如果有提供 VPN 的服务，那是不是有相关的管理方式？
  如：网段区隔、权限切分、服务的申请表单(新增/停用)

A.9.2 使用者存取管理

确保经授权使用者对系统及服务之存取，并防止未经授权之存取，如：最小权限原则。

A.9.2.1 使用者注册及注销

应实作正式之使用者注册及注销过程，俾能指派存取权限。

• 组织要有对使用者注册及注销之程序，如：到职、离职、职务异动。

A.9.2.2 使用者存取权限之配置

应实作正式之使用者存取权限配置程序，以对所有型式之使用者对所有系统及服务，指派或撤销存取权限。

• 针对一般使用的的权限管理方式，最常见的作法是抽验新进人员及离职人员有没有停用或移除权限。

A.9.2.3 具特殊存取权限之管理

应限制及控制具特殊存取权限之配置及使用。

• 针对特权使用者的权限管理方式，抽验管理者的权限及异动记录。

A.9.2.4 使用者之秘密监别资讯的管理

应以正式之管理过程控制秘密监别资讯的配置。

• 秘密监别资讯: 通行码、Token、生物办识，任何属於秘密监别资讯的管理。

A.9.2.5 使用者存取权限之审查

资产拥有者应定期审查使用者之存取权限。

• 定期审查的纪录
  这个常常会收到受稽方的反弹，使用者那麽多，是要怎麽逐一审查呢？
  标准作法：看政策是否有相应的规定，大部份的受稽方会完整盘点权限。
  或是盘点核心权限、异动人员盘点、抽验部门盘点 等作法。

A.9.2.6 存取权限之移除或调整

所有员工及外部使用者对资讯及资讯处理设施之存取权限，一旦其聘用、契约或协议终止时，均应予以移除；或於其聘用、契约或协议变更时均须调整之。

• 申请异动或审查之後的权限异动调整，如抽验职务异动、离职人员之权限。

A.9.3 使用者责任

目标：令使用者对保全其监别资讯负责。

A.9.3.1 秘密监别资讯之使用

於使用秘密监别资讯时，应要求使用者遵循组织之实务规定。

• 使用者对其秘密监别资讯的使用原则，如：机敏资讯的纸本不能拿来垫便当订饮料。

A.9.4 系统及应用存取控制

目标：防止系统及应用遭未经授权之存取。

A.9.4.1 资讯存取限制

应依存取控制政策，限制对资讯及应用系统功能之存取。

• 核对权限细部的存取限制，最小权限原则，如：可读、可写、可不可以执行或是可不可以看到。

A.9.4.2 保全登入程序

当存取控制政策要求时，应以保全登入程序，控制对系统及应用之存取。

• 登入系统的流程应该会有保全的方式，例如：帐号密码、双因素、跳板机的控管方式为何？

A.9.4.3 通行码管理系统

通行码管理系统应为互动式，并应确保严谨通行码。

这里的通行码指的就是密码(Password)

• 通行码的管理应采取互动式的机制，如到期时会主动提醒要更换、要符合复杂性，几代不可重覆，输入不符合时会主动提醒。

其实之前稽核学校的时候，提到说台湾学术网路各级与学校资通安全，密码长度为 6 码，但资通安全规定是 8 码，这里有问过前辈，可以提口头改善建议吗？
前辈提到以主管机关的要求为主，稽核不同的组织要以不同组织的政策为主。

A.9.4.4 具特殊权限公用程序之使用

应限制及严密控制可能篡越系统及应用控制措施之公用程序的使用。

• 可以影响到系统的特殊公用程序的使用要管理，可能包含但不限於你写到的，一些受稽方提供的特殊系统管理工具也可以涵盖，最常见的就是系统管理工具的权限、Terminal 的权限。

A.9.4.5 对程序源码之存取控制

应限制对程序源码之存取。

• 对程序原始码要进行存取控制，重点在利用版控软件的角色存取控制。

参考文献

国家标准(CNS)网路服务系统：https://www.cnsonline.com.tw/

恐怖游戏推荐：

严惩(Infliction)

Infliction 是一场互动式的噩梦，在一个看上去很正常的郊区住宅中，对潜伏其中的黑暗进行一次可怕的探索。徘徊游荡在一个曾经幸福美满的家庭的废墟里，通过阅读信件和日记、听取语音邮件和拼凑线索，来了解这些引导你来到这里的可怕事件。

Steam：https://store.steampowered.com/app/692100/Infliction/