Day15_附录A.控制项(A.12运作安全)

跳着写呀XD"~

简单来说，就是维运罗(个人理解啦，也可能想错了)。
▉A.12.1 运作程序及责任
A.12.1.1 文件化运作程序
就是SOP化的文件，让人员可以有范本可以依循操作。
A.12.1.2 变更管理
资讯"系统"变更时(事前、事中、事後)，都应留下记录(类似资安事故管理的观念)。
A.12.1.3 容量管理
监视，预估，接近警示时的作法。举个例子，就是，公司在运作的客户资料，留存在NAS的话。
观察每一季的容量增加量，并且预估NAS的使用量接近90%的时候，需要换更大容量的硬碟。
A.12.1.4 开发、测试及运作环境之分隔
UAT环境跟Product环境是拆开的啦XD"
不过我也真的遇过，开发&测试环境没有拆开，导致很多问题的。

▉A.12.2 防范恶意软件
A.12.2.1 防范恶意软件之控制措施
比如Mail的扫毒，PC的防毒。

▉A.12.3 备份
A.12.3.1 资讯备份
举例：每周完整备份、每日差异备份。

▉A.12.4 存录及监视
A.12.4.1事件存录(资通安全法，六个月)
可参考：资通安全管理法及子法汇编_1100914_.pdf
https://nicst.ey.gov.tw/Page/D94EC6EDE9B10E15/1bc22e09-5d67-4a84-a339-d8e677db375d
记录事件>一、订定日志之记录 时间周期及留存 政策，并保留日 志至少六个月。
A.12.4.2日志资讯之保护
防范存放日志的设施及日志资讯遭窜改及未经授权存取。
A.12.4.3管理者及操作者日志
应存录系统管理者及操作者之活动，且应保护及定期审查该日志。
A.12.4.4钟讯同步
组织或安全领域内所有相关资讯处理系统之钟讯， 应与单一参考时间源同步。

▉A.12.5运作中软件之控制
A.12.5.1运作中系统之软件安装
应实作各项程序，以控制对运作中系统之软件安装。

▉A.12.6技术脆弱性管理
A.12.6.1技术脆弱性管理
应及时取得关於使用中之资讯系统的技术脆弱性资讯、并应评估组织对此等脆弱性之暴露， 且应采取适当措施以因应相关风险。
A.12.6.2对软件安装之限制(建议)
应建立并实作使用者安装软件之管控规则。比如开源软件、免费软件可否安装使用。

▉A.12.7资讯系统稽核考量
A.12.7.1资讯系统稽核控制措施
应仔细规划并议定，涉及运作中系统之稽核要求事项及活动，以使营运过程中断降至最低。