[研究]系統 Windows Update 和 Windows Reboot,需要公告嗎?根據 ISO 27001 或 ISO 27002 哪一條?
2024-07-16
系統 Windows Update 後 Windows Reboot,需要公告嗎?根據 ISO 27001 或 ISO 27002 哪一條?
ChatGPT
根據 ISO 27001 和 ISO 27002 的要求,Windows Update 導致的 Windows Reboot 通知屬於資訊安全管理的一部分。特別是,這些標準強調應確保資訊系統的可用性和減少服務中斷的影響。
ISO 27001
ISO 27001 是一個資訊安全管理系統 (ISMS) 的標準,涵蓋了風險管理和資訊安全控制的要求。雖然標準本身並沒有具體指出每一種情況的具體操作,但以下條款是相關的:
- A.12.1.1(作業程序文件化): 組織應建立和維護與資訊處理設施和系統相關的作業程序,包括系統更新和重新啟動的程序。(不是這樣,正確見下方英文原文)
- A.12.4.1(事件報告): 應建立和維護資訊安全事件報告程序,包括系統重啟可能影響服務可用性時的通知程序。(不是這樣,正確見下方英文原文)
ISO 27002
ISO 27002 是 ISO 27001 的實踐指南,提供了具體的控制措施和實施指導:
- 12.1.1(運營程序文檔): 強調了運營程序應該被文件化和傳達,包括系統更新和重新啟動的操作。
- 12.4.2(事件通報): 應該有機制通知受影響的相關方,這包括在系統更新或重新啟動前通知用戶以避免服務中斷。
因此,根據 ISO 27001 和 ISO 27002 的最佳實踐,當 Windows Update 需要系統重新啟動時,應該通知所有相關用戶。這樣可以確保透明度並減少潛在的服務中斷對業務運行的影響。
********************************************************************************
ISO/IEC 27001:2013(E)
A.12.1.1 Documented operating procedures
Control
Operating procedures shall be documented and made available to all users who need them.
A.12.4.1 Event logging
Control
Event logs recording user activities, exceptions, faults and infor mation security events shall be produced, kept and regularly reviewed.
********************************************************************************
ISO/IEC 27002:2013(E)
2.1.1 Documented operating procedures
Control
Operating procedures should be documented and made available to all users who need them.
Implementation guidance
Documented procedures should be prepared for operational activities associated with information processing and communication facilities, such as computer start-up and close-down procedures, backup, equipment maintenance, media handling, computer room and mail handling management and safety.
The operating procedures should specify the operational instructions, including:
a) the installation and configuration of systems;
b) processing and handling of information both automated and manual;
c) backup (see 12.3);
d) scheduling requirements, including interdependencies with other systems, earliest job start and latest job completion times;
e) instructions for handling errors or other exceptional conditions, which might arise during job execution, including restrictions on the use of system utilities (see 9.4.4);
f) support and escalation contacts including external support contacts in the event of unexpected operational or technical difficulties;
g) special output and media handling instructions, such as the use of special stationery or the management of confidential output including procedures for secure disposal of output from failed
jobs (see 8.3 and 11.2.7);
h) system restart and recovery procedures for use in the event of system failure;
i) the management of audit-trail and system log information (see 12.4);
j) monitoring procedures.
Operating procedures and the documented procedures for system activities should be treated as formal documents and changes authorized by management. Where technically feasible, information systems should be managed consistently, using the same procedures, tools and utilities.
********************************************************************************
ISO/IEC 27002:2013(E)
2.1.1 形成文件的操作程序
控制
操作程序應記錄下來並提供給所有需要的使用者。
實施指導
應為與資訊相關的業務活動準備文件化的程序處理和通訊設施,例如電腦啟動和關閉程序、備份、設備維護、媒體處理、電腦室和郵件處理管理和安全。
操作規程應明確操作說明,包括:
a) 系統的安裝與配置;
b) 自動和手動處理和處理資訊;
c) 備份(見12.3);
d) 調度要求,包括與其他系統的相互依賴性、最早的作業開始時間和最晚的作業完成時間;
e) 處理作業執行期間可能出現的錯誤或其他異常情況的說明,包括系統實用程式使用的限制(請參閱 9.4.4);
f) 支援和升級聯繫,包括發生意外操作或技術困難時的外部支援聯繫;
g) 特殊輸出和媒體處理說明,例如特殊文具的使用或機密輸出的管理,包括安全處置失敗輸出的程序工作(見 8.3 和 11.2.7);
h) 系統故障時所使用的系統重新啟動與復原程序;
i) 稽核追蹤與系統日誌資訊的管理(見 12.4);
j) 監控程序。
系統活動的操作程序和文件化程序應被視為管理階層授權的正式文件和變更。在技術上可行的情況下,應使用相同的程序、工具和實用程式對資訊系統進行一致的管理。
********************************************************************************
ISO/IEC 27002:2013(E)
12.4.2 Protection of log information
Control
Logging facilities and log information should be protected against tampering and unauthorized access.
Implementation guidance
Controls should aim to protect against unauthorized changes to log information and operational problems with the logging facility including:
a) alterations to the message types that are recorded;
b) log files being edited or deleted;
c) storage capacity of the log file media being exceeded, resulting in either the failure to record events or over-writing of past recorded events.
Some audit logs may be required to be archived as part of the record retention policy or because of requirements to collect and retain evidence (see 16.1.7).
System logs often contain a large volume of information, much of which is extraneous to information security monitoring. To help identify significant events for information security monitoring purposes, the copying of appropriate message types automatically to a second log, or the use of suitable system utilities or audit tools to perform file interrogation and rationalization should be considered.
System logs need to be protected, because if the data can be modified or data in them deleted, their existence may create a false sense of security. Real-time copying of logs to a system outside the control of a system administrator or operator can be used to safeguard logs.
********************************************************************************
ISO/IEC 27002:2013(E)
12.4.2 日誌資訊保護
控制
應保護日誌記錄設施和日誌資訊免遭篡改和未經授權的存取。
實施指導
控制措施應旨在防止未經授權的日誌資訊變更和日誌記錄設施的操作問題,包括:
a) 更改記錄的訊息類型;
b) 編輯或刪除的日誌檔;
c) 超出日誌檔案媒體的儲存容量,導致無法記錄事件或覆蓋過去記錄的事件。
作為記錄保留政策的一部分或由於收集和保留證據的要求,某些審核日誌可能需要存檔(見 16.1.7)。
系統日誌通常包含大量資訊,其中許多資訊與資訊安全監控無關。為了幫助識別資訊安全監控目的的重要事件,應考慮將適當的訊息類型自動複製到第二個日誌,或使用適當的系統實用程式或審核工具來執行文件詢問和合理化。
系統日誌需要受到保護,因為如果資料可以被修改或其中的資料被刪除,它們的存在可能會產生錯誤的安全感。將日誌即時複製到系統管理員或操作員控制以外的系統可用於保護日誌。
********************************************************************************
(完)
沒有留言:
張貼留言