ISO/IEC 27001:2022 fundation VI - 附錄 A - 8.技術控制措施

## ISO/IEC 27001:2022 foundation VI - 附錄 A ### Technological controls (34) 技術控制措施 #### 8.1 (A.6.2.1, A.11.2.8) 使用者端點裝置 - 控制措施：應保護儲存於使用者端點裝置、由使用者端點裝置處理或經由使用者端點裝置可存取之資訊。PIMS 延伸要求 - A.6.2.1, 行動裝置政策 - 目的：保護資訊，免受使用者端點裝置之使用導致的風險。 #### 8.2 (A.9.2.3) 特殊存取權限 - 控制措施：應限制並管理特殊存取權限之配置及使用。 - 目的：確保僅對經授權之使用者、軟體組件及服務提供特殊存取權限。 #### 8.3 (A.9.4.1) 資訊存取限制 - 控制措施：應依已建立之關於存取控制的 [ 主題特定政策 ]，限制對資訊及其他相關聯資產之存取。 - 目的：對資訊及其他相關聯資產，確保僅經授權之存取並預防未經授權的存取。 #### 8.4 (A.9.4.2) 安全鑑別 - 控制措施：應適切管理對原始碼、開發工具及軟體函式庫之讀寫存取。 - 目的：預防引進未經授權之功能性、避免非蓄意或惡意的變更，並維持有價值智慧財產之機密性。 #### 8.5 (A.9.4.2) 安全鑑別 - 控制措施：安全鑑別 [ 技術 ] 及 [ 程序 ]應依資訊存取限制及關於存取控制之 [ 主題特定政策 ] 實作。PIMS 延伸要求 - A.9.4.2, 保全登入程序 - 目的：於授予對系統、應用程式及服務之存取權限時，確保對使用者或個體進行安全鑑別。 #### 8.6 (A.12.1.3) 容量管理 - 控制措施：[ 資源之使用 ] 應受監視及調整，以符合目前容量要求及預期容量要求。 - 目的：確保資訊處理設施、人力資源、辦公室及其他設施所要求之容量。 #### 8.7 (A.12.2.1) 防範惡意軟體 - 控制措施：應實作防範惡意軟體之措施，並由適切的使用者認知支援之。 - 目的：確保資訊及其他相關聯資產受保護，免遭惡意軟體之侵害。 #### 8.8 (A.12.6.1, A.18.2.3) 技術脆弱性管理 - 控制措施：應取得關於使用中之資訊系統的 [ 技術脆弱性 ] 資訊，並應評估組織對此等脆弱性之暴露，且應採取適切措施。 - 目的：防範對技術脆弱性之利用。 #### 8.9 (NEW) 組態管理 - 控制措施：應建立、[ 書面記錄 ]、實作、監視並審查硬體、軟體、服務及網路之組態 ( 包括安全組態 )。 - 目的：確保硬體、軟體、服務及網路於所要求安全設定下正常運行，且組態未遭未經授權或不正確變更而更改。 #### 8.10 (NEW) 資訊刪除 - 控制措施：當於資訊系統、裝置或所有其他儲存媒體中之資訊不再屬必要時，應刪除之。 - 目的：防止敏感性資訊之非必要暴露，並遵循資訊刪除的法律、法令、法規及契約要求。 #### 8.11 (NEW) 資料遮蔽 - 控制措施：應使用資料遮蔽，依組織關於存取控制之 [ 主題特定政策 ] 及 [ 其他相關的主題特定政策 ]，以及營運要求事項，並將適用法令納入考量。 - 目的：限制內含 PII 之敏感性資料的暴露，並遵循法律、法令、法規及契約的要求。 #### 8.12 (NEW) 資料洩露預防 - 控制措施：應將資料洩露預防措施，套用至處理、儲存或傳輸敏感性資訊之系統、網路及所有其他裝置。 - 目的：偵測並防止個人或系統未經授權揭露及擷取資訊。 #### 8.13 (A.12.3.1) 資訊備份 - 控制措施：應依議定之關於 [ 備份 ] 的 [ 主題特定政策 ]，維護資訊、軟體及系統之備份複本，並定期測試之。PIMS 延伸要求 - A.12.3.1, 資訊備份 - 目的：能由資料遺失或系統受損中復原。 #### 8.14 (A.17.2.1) 資訊處理設施之多備 - 控制措施：資訊處理設施之實作應具充分多備(redundancy)，以符合可用性之要求事項。 - 目的：確保資訊處理設施之持續運作。 #### 8.15 (A.12.4.1, A.12.4.2, A.12.4.3) 存錄 - 控制措施：記錄活動、異常、錯誤及其他相關事件之日誌，應產生、儲存、保護及分析之。PIMS 延伸要求 - A.12.4.1, 事件存錄 A.12.4.2, 日誌資訊之保護 - 目的：紀錄事件、產生紀錄、確保日誌資料之完整性、防範未經授權的存取、識別可能造成資訊安全事故之資訊安全事件並支援調查。 #### 8.16 (NEW) 監視活動 - 控制措施：應監視 [ 網路 ]、[ 系統 ] 及 [ 應用 ] 之異常行為，並採取適切措施，以 [ 評估潛在資訊安全事故 ]。 - 目的：偵測異常行為及潛在資訊安全事故。 #### 8.17 (A.12.4.4) 鐘訊同步 - 控制措施：組織所使用資訊處理系統之鐘訊，應與經認可的時間源同步。 - 目的：啟用對安全相關事件與其他所記錄資料之關聯及分析，並支援對資訊安全事故之調查。 #### 8.18 (A.9.4.4) 具特殊權限公用程式之使用 - 控制措施：應限制並嚴密控制可能篡越系統及應用程式之控制措施的公用程式之使用。 - 目的：確保公用程式之使用，未損害資訊安全的系統及應用程式之控制措施。 #### 8.19 (A.12.5.1, A.12.6.2) 運作中系統之軟體安裝 - 控制措施：應實作各項 [ 程序 ] 及 [ 措施 ]，以安全管理對運作中系統安裝軟體裝。 - 目的：確保運作中系統的完整性並防止技術脆弱性遭利用。 #### 8.20 (A.13.1.1) 網路安全 - 控制措施：應受保全、管理及控制網路與網路裝置，以保護系統及應用程式中之資訊。 - 目的：保護網路及其支援之資訊處理設施中的資訊，免遭經由網路之危害。 #### 8.21 (A.13.1.2) 網路服務之安全 - 控制措施：應識別、實作及監視網路服務之安全機制、服務等級及服務要求事項。 - 目的：確保使用網路服務時之安全性。 #### 8.22 (A.13.1.3) 網路區隔 - 控制措施：應區隔組織網路中各群組之資訊服務、使用者及資訊系統。 - 目的：於安全界限上分割網路，並依營運需要控制其間之訊務。 #### 8.23 (NEW) 網頁過濾 - 控制措施：應管理對外部網站之存取，以降低暴露於惡意內容。 - 目的：保護系統免受惡意軟體之危害，並防止存取未經授權的網頁資源。 #### 8.24 (A.10.1.1, A.10.1.2) 密碼技術之使用 - 控制措施：應定義並實作有效使用 [ 密碼技術之規則 ] (包括 [ 密碼金鑰管理 ] )。PIMS. 延伸要求 - A.10.1.1, 使用密碼式控制措施之政策 - 目的：依營運及資訊安全要求事項，並考量與密碼技術相關之法律、法令、法規及契約要求事項，確保適當及有效使用密碼技術，以保護資訊之機密性、真確性或完整性。 #### 8.25 (A.14.2.1) 安全開發生命週期 - 控制措施：應建立並施行安全開發軟體及系統之規則。PIMS 延伸要求 - A.14.2.1, 保全開發政策 - 目的：確保於 [ 軟體及系統 ] 之 [ 安全開發生命週期 ] 內，設計並實作資訊安全。 #### 8.26 (A.14.1.2, A.14.1.3) 應用系統安全要求事項 - 控制措施：開發或獲取應用系統時，應識別、規定並核可資訊安全要求事項。PIMS 延伸要求 - A.14.1.2, 保全公共網路之應用服務 - 目的：確保開發或獲取應用程式時，所有資訊安全要求事項皆已識別並處理。 #### 8.27 (A.14.2.5) 安全系統架構及工程原則 - 控制措施：應建立、[ 書面記錄 ] 及維護工程化安全系統之原則，並套用於所有資訊系統開發活動。PIMS 延伸要求 - A.14.2.5, 保全系統工程原則 - 目的：確保資訊系統於 [ 開發生命週期 ] 內係安全的設計、實作及運作。 #### 8.28 (NEW) 安全程式設計 - 控制措施：軟體開發應施行安全程式設計原則。 - 目的：確保軟體係安全的撰寫，從而降低軟體中潛在資訊安全脆弱性之數量。 #### 8.29 (A.14.2.8, A.14.2.9) 開發及驗收中之安全測試 - 控制措施：應於 [ 開發生命週期 ] 中定義並實作安全測試過程。 - 目的：核將應用程式或程式碼部署至生產環境時，資訊安全要求事項是否符合。 #### 8.30 (A.14.2.7) - 控制措施：組織應指引、監視及審查與委外系統開發相關之活動。PIMS 延伸要求 - A.14.2.7, 委外開發 - 目的：確保於委外系統開發中，實作組織所要求之資訊安全措施。 #### 8.31 (A.12.1.4, A.14.2.6) 開發、測試與運作環境之區隔 - 控制措施：應區隔開發環境、測試環境與生產環境，並保全之。 - 目的：保護生產環境及資料，免遭開發活動及測試活動之危害。 #### 8.32 (A.12.1.2, A.14.2.2, A.14.2.3, A.14.2.4) 變更管理 - 控制措施：資訊處理設施及資訊系統之變更，應遵循 [ 變更管理程序 ]。 - 目的：於執行變更時，保護資訊安全。 #### 8.33 (A.14.3.1) 測試資訊 - 控制措施：應適切選擇、保護及管理測試資訊。PIMS 延伸要求 - A.14.3.1, 測試資料之保護 - 目的：確保測試之關聯性並保護用於測試的運作資訊。 #### 8.34 (A.12.7.1) 稽核測試期間資訊系統之保護 - 控制措施：涉及運作中系統之評鑑的稽核測試及其他保證活動，應於測試者與適切管理階層間規劃並議定。 - 目的：極小化稽核及其他保證活動對運作中系統及營運過程之衝擊。