8Technological controls 技术控制ISO/IEC 27001: 2022 附录A)
8.14Redundancy of information processing facilities
信息处理设施的冗余
Control 控制
Information processing facilities shall be implemented with redundancy sufficient to meet availability requirements.
信息处理设施应被实施,并有足够的冗余,以满足可用性要求。
8.15Logging
日志
Control 控制
Logs that record activities, exceptions, faults and other relevant events shall be produced, stored, protected and analysed.
记录活动、异常、故障和其他相关事件的日志应产生、存储、保护和分析。
8.16Monitoring activities
监视活动
Control 控制
Networks, systems and applications shall be monitored for anomalous behaviour and appropriate actions taken to evaluate potential information security incidents.
应监控网络、系统和应用程序的异常行为,并采取适当行动评估潜在的信息安全事件。
8.17Clock synchronization
时钟同步
Control 控制
The clocks of information processing systems used by the organization shall be synchronized to approved time sources.
本机构所使用之资讯处理系统之时钟应与经批准的时间源同步。
8.18Use of privileged utility programs
特权实用程序的使用
Control 控制
The use of utility programs that can be capable of overriding system and application controls shall be restricted and tightly controlled.
对于可能超越系统和应用控制的实用程序的使用应予以限制并严格控制。
8.19Installation of software on operational systems
运行系统的软件安装
Control 控制
Procedures and measures shall be implemented to securely manage software installation on operational systems.
应实施规程和措施,以安全地管理运行系统上的软件安装。
A.9 访问控制(ISO/IEC 27001: 2013 附录A)
A.9.4 系统和应用访问控制
目标:防止对系统和应用的未授权访问。
A.9.4.4特权实用程序的使用控制
对于可能超越系统和应用控制的实用程序的使用应予以限制并严格控制。
A.12 运行安全(ISO/IEC 27001: 2013 附录A)
A.12.4 日志和监视
目标:记录事态并生成证据。
A.12.4.1事态日志控制
应产生、保持并定期评审记录用户活动、异常、错误和信息安全事态的事态日志。
A.12.4.2日志信息的保护控制
记录日志的设施和日志信息应加以保护,以防止篡 改 和 未 授 权 的访问。
A.12.4.3管理员和操作员日志控制
系统管理员和系统操作员活动应记入日志,并对日志进行保护和定期评审。
A.12.4.4时钟同步控制
一个组织或安全域内的所有相关信息处理设施的时钟,应与单一一个基准的时间源同步。
A.12.5 运行软件控制
目标:确保运行系统的完整性。
A.12.5.1运行系统的软件安装控制
应实现运行系统软件安装控制规程。
A.12.6 技术方面的脆弱性管理
目标:防止对技术脆弱性的利用。
A.12.6.2软件安装限制控制
应建立并实现控制用户安装软件的规则。
A.17 业务连续性管理的信息安全方面(ISO/IEC 27001: 2013 附录A)
A.17.2 冗余
目标:确保信息处理设施的可用性。
A.17.2.1信息处理设施的可用性控制
信息处理设施应当实现冗余,以满足可用性要求。

控制解析:

  1. 新版的A.8.16是新增加的控制项,新版的A.8.14是ISO/IEC 27001: 2013的A.17.2.1,新版的A.8.15是由ISO/IEC 27001: 2013的A.12.4.1、A.12.4.2和A.12.4.3合并而成的,新版的A.8.17是ISO/IEC 27001: 2013的A.12.4.4,新版的A.8.18是ISO/IEC 27001: 2013的A.9.4.4,新版的A.8.19是由ISO/IEC 27001: 2013的A.12.5.1和A.12.6.2合并而成的。
  2. 组织应根据《信息资产管理程序》(A.5),输出《信息处理设施安全管理规范》,该规范应涵盖A.8.14 & A.8.15 & A.8.16 & A.8.17 & A.8.18 & A.8.19要求。
  3. 关键信息处理设施(如组织核心交换机、内外边界防火墙等)应做到冗余设计(如双机热备)(A.8.14)。
  4. 需要对信息处理设施(如网络设备、操作系统、安全设备、应用系统等)的日志进行收集,并定期进行评审。收集的日志应按照数据级别进行管理,以防止未授权的访问、篡改和丢失等。系统管理员和系统操作员的操作应有日志,并定期对系统管理员和系统操作员的操作日志进行评审(A.8.15)。
  5. 组织应根据业务需要和自身能力,对重要的网络、系统和应用程序的异常行为进行监控,如:(1)出站和入站网络、系统和应用程序流量;(2)系统、服务器、网络设备、监控系统、关键应用程序等其他设施的访问;(3)关键或管理级别的系统和网络配置文件;(4)来自安全工具的日志(例如,防病毒软件,入侵检测系统IDS,入侵防御系统IPS, web过滤器,防火墙,数据泄漏防护软件);(5)与系统和网络活动有关的事件日志;(6)检查正在执行的程式码是否已获授权在系统内运行,并没有被窜改(例如,重新编译以添加额外的不需要的程式码);(7)资源(例如,CPU、硬盘、内存、带宽)的使用及其性能(A.8.16)。
  6. 信息处理设施(如服务器)的时钟应同步(A.8.17)。
  7. 特权实用程序(如Linux系统的root权限,Set-Uid特权程序)需要严格控制(有必要时,临时授权,使用完立即取消)(A.8.18)。
  8. 新版的A.8.19是由ISO/IEC 27001: 2013的A.12.5.1和A.12.6.2合并而成的,所以也包含了两方面的要求:一是用户安装软件需要有相关限制的要求,应明确哪些类型软件(如现有软件的升级和安全补丁)用户可以安装,哪些软件(微信、qq等)是禁止安装的,或需要授权通过IT人员安装;二是服务器操作系统和应用系统的补丁更新、版本升级等需要进行控制,并有相应的文件规范(《信息处理设施安全管理规范》和《信息安全变更管理程序》),这些操作也属于变更,所以需要按照变更管理规范操作,要有变更策划、变更评审和授权,还需要回退方案,和进行变更前的测试(A.8.19)。

实施本控制应输出的文档:

  1. 《信息处理设施安全管理规范》。
  2. 日志保存和日志评审记录。
  3. 特权实用程序清单和使用授权记录。
  4. 用户软件可用/禁用清单等。
  5. 重要应用系统、操作系统等补丁、版本升级记录(如授权、评审、测试等相关变更记录)。
  6. 网络、系统和应用程序的异常行为记录。

本控制审核要点:

  1. 审核《信息处理设施安全管理规范》是否涵盖相应的控制项内容。
  2. 通过网络拓补图等方式验证关键信息处理设施(如组织核心交换机、内外边界防火墙等)应做到冗余设计(如双机热备)。
  3. 了解组织网络设备、操作系统、安全设备、应用系统等日志管理方式,审核日志保存和评审记录。
  4. 组织是否网络、系统和应用程序的异常行为进行监控,通过何种方式进行监控的,是否能提供相关监控到异常记录,相关异常是否有做跟进处理。
  5. 抽查服务器等设施的时钟是否同步。
  6. 审核特权实用程序清单和使用授权记录。
  7. 审核用户软件可用/禁用清单等,抽查员工办公电脑是否能自由安装软件。
  8. 审核重要应用系统、操作系统等补丁、版本升级记录(如授权、评审、测试等相关变更记录)。