2021年1月25日 星期一

Coursera - IBM - Cybersecurity Compliance Framework & System Administration 觀後摘要(一)

Week 1  - Compliance Frameworks and Industry Standards


Welcome to Compliance Frameworks and Industry Standards

Compliance and Regulation for Cybersecurity

  • Security(安全性)
    安全性旨在保護系統與環境不受竊盜、損毀、破壞與錯誤使用。常見的控制方法有物理控制、技術控制與操作控制…等,如伺服器的硬體安全、系統日誌、檔案加密機制及員工教育訓練…等。

  • Privacy(隱私性)
    隱私性著重在資料如何使用。像是資料的使用權限、如何儲存、轉讓與用於追蹤人事物…等。

  • Compliance(合規性)
    合規性的重點在於測試安全措施是否到位。內容也會涵蓋一些非安全性方面的內容,例如供應商協議與組織控制…等。

    • Foundational Compliance
      通用,但不具有法律強制力的約束;如SOC, ISO…等。

    • Industry Conpliance
      限定於某領域、或是處理特定資料時須要遵循的規範,通常為法律要求;如HIPPA, PCI DSS…等。

    • 典型取得認證的流程:
      1. 確定認證適用範圍→評估是否準備就緒
      2. 衡量差異性→改善缺失或重新定義適用範圍以合乎規定
      3. 請外部人員進行稽核與測試
      4. 定期重新認證

  • GDPR
    General Data Protection Regulation,是在歐盟法律中對所有歐盟個人關於資料保護和隱私的規範。

    • 資料處理者的義務
      • Rights of EU Data Subjects
        資料主體擁有資料的取用權,也有資料的拒絕被使用權。此外也能夠質疑資料的正確性,並作出合理的處置。

      • Security of Personal Data
        個人資料應受到合理的安全保護措施之保障,以防止丟失或未經授權的訪問,破壞,使用,修改或披露資料等風險。

      • Consent
        個人資料的收集應存在適當的限制,進而以合法且公平的方式取得,並且透過適當的方法知會資料來源或者主體,再進一步取得同意。

      • Accountability of Compliance
        資料處理者帶有責任,且須遵循規範。

  • ISO27001
    ISO/IEC 27001 是資訊安全管理的國際標準。此標準一開始是由國際標準化組織(ISO)及國際電工委員會(IEC)在2005年聯合發布,在2013與2017年時更新過版本。其中列出有關資訊安全管理系統(information security management system、ISMS)架構、實施、維護以及持續改善上的要求,目的是幫助組織可以使其保管的資訊資產更加安全。組織若要符合此標準的要求,在成功完成一次內部審計後,可申請由合格的認證單位進行認證。


System and Organization Control Report (SOC) Overview

SOC Report為美國會計師協會(AICPA)所訂定之報告形式,包含SOC 1、SOC 2與SOC 3三種不同目的與型式之報告。
  • SOC 1主要針對提供財務相關資訊系統服務之供應商,其基礎為SSAE16。

  • SOC 2、SOC3則偏向資訊系統確認性服務的意見報告,例如針對第三方服務供應商資訊安全控制情況提出評估意見,兩者的評估準則皆以AICPA/CICA所發布的Trust Services Principles and Criteria報告為主,主要控制領域為資訊安全安控標準(Security),並有四項附加標準,分別為:可用性(Availability)、保密性(Confidentiality)、完整性(Processing Integrity)、隱私原則(Privacy)。

  • SOC 3為 SOC 2 Type 2的簡化版,適用於想要保證安全控制項設計、執行與運作無誤但不需要完整 SOC 2 報告的組織或使用者。

  • 又依據查核期間的不同,SOC 評估報告可再區分Type 1與Type 2二種形式,差別在於Type 1報告的查核期間為某一時間點,通常適用於新上線之流程或系統;Type2的查核期間則為6個月以上,適用於以運行一段時間的流程或系統。


Industry Standards

  • PCI DSS
    支付卡行業 (PCI) 資料安全標準 (DSS) 是一個全球資訊安全性標準,旨在透過管制信用卡資料來防止詐欺行為。任何規模的組織在接受來自五大信用卡品牌 (Visa、MasterCard、American Express、Discover 及 Japan Credit Bureau (JCB)) 的付款卡時,都必須遵循 PCI DSS 標準。 任何儲存、處理或傳輸付款和持卡人資料的組織皆需符合下表中12項PCI DSS 規範。


  • HIPPA
    健康保險可移植性和責任法案(HIPAA) 是美國的一項醫療法律,為使用,披露和保護個人可識別健康信息建立了要求。 它適用於有權訪問患者受保護的健康信息(PHI)的承保實體、醫生、醫院,健康保險公司,以及處理PHI的業務夥伴(例如雲服務和IT提供商)。

    • 隨著《經濟和臨床健康衛生信息技術法案》(HITECH)的頒布,HIPAA的範圍得以擴大。HIPAA-HITECH Act 規則包括:

      • HIPAA Privacy Rule:
        側重於個人控制其個人信息使用的權利,並涵蓋了PHI的機密性,限制了其使用和披露。
      • HIPAA Security Rule:

        該規則為防止電子PHI 遭受未經授權的訪問,使用和披露,對其管理、技術和物理保障設置了標準。


  • 各標準的著重點


Critical Security Controls


標籤:

沒有留言:

張貼留言

訂閱: 張貼留言 (Atom)