ISO 27001:2022
A.8.9 組態管理 :應建立、書面記錄、實作、監控並審查硬體、軟體、服務及網路之組態(包括安全組態)。
ISO27002:2022
A.8.9 組態管理
硬體、軟體、服務(如雲服務)和網路配置應符合標準安全管理實踐。
應定義硬體、軟體、服務和網路安全配置的標準範本:
a)使用公開可用的指南,例如來自供應商和獨立安全組織的預定義範本;
b)考慮所需的保護水準,以確定足夠的安全水準;
c)支持組織的安全資訊安全策略、主題特定策略,標準和其他安全要求;
d)考慮安全配置在組織環境中的可行性和適用性。
當需要解決新的威脅或漏洞時,或當引入新的軟體或硬體版本時,應定期審查和更新範本。
角色、職責和程序應到位,以確保對所有變更進行滿意的控制。
在為硬體、軟體和服務的安全配置建立標準範本時,應考慮以下因素:
a)最小化具有特權或管理員級存取權限的身份的數量;
b)禁用不必要、未使用或不安全的身份;
c)禁用或限制不必要的功能和服務;
d)限制存取功能強大的實用程序和主機參數設置;
e)同步時鐘;
f)安裝後立即更改供應商默認身份驗證資訊,如默認密碼,並查看其他重要的默認安全相關參數;
g)調用超時設施,所述超時設施在預定的不活動時段之後自動註銷計算設備;
h)驗證是否滿足許可要求(見5.32)。
應記錄已建立的配置,並保存所有配置更改的日誌。 這些記錄應安全保存。 這可以通過各種管道實現,例如配置資料庫或配置範本。
配置變更應遵循變更管理流程(見8.32)。
管理配置的每個支持檔案(如有)應包含:
a)每項資產的所有者或連絡人,並確保其保持最新;
b)負責配置管理的人員;
c)配置的准予和實施日期;
d)審查配置的日期或頻率;
e)其他相關配置及其關係。
組織應定義並實施流程和工具,以在新安裝的系統以及運行系統的生命週期內實施定義的安全配置。
應使用一套全面的系統管理工具(如維護工具、遠距支持、企業管理工具和備份軟體)對配置進行監控,並定期進行審查,以驗證配置設定、評估密碼強度和評估執行的活動。 可以將實際配置與定義的目標範本進行比較。 應通過自動執行定義的目標配置,或通過手動分析偏差,然後採取糾正措施,解決任何偏差。