資訊安全已成為現代企業營運架構中不可或缺的基礎建設元素。隨著數位轉型浪潮的持續推進,企業所面臨的資安威脅型態日趨複雜多變,從傳統的電腦病毒攻擊逐漸演進到進階持續性威脅、勒索軟體攻擊、供應鏈滲透攻擊等新型態的威脅樣貌。在這樣的威脅環境下,單純仰賴技術工具已經無法提供完整的防護能力,企業必須建立系統化的管理機制來全面掌控資訊安全風險。資訊安全管理系統正是回應這項需求的解決方案,它提供一個結構化的管理框架,協助組織有系統地識別、評估與處理資訊安全風險,並透過持續改善的循環機制確保防護能力能夠與時俱進、因應環境變化。
國際標準化組織所制定的 ISO 27001 標準,是目前全球最廣泛採用的資訊安全管理系統認證標準。取得 ISO 27001 認證不僅代表組織的資訊安全管理能力獲得國際權威機構的認可,更是許多商業合作關係與政府採購標案的基本門檻要求。然而,建置資訊安全管理系統並順利取得認證是一項複雜的系統工程,涉及組織治理架構、風險管理程序、技術控制措施、人員意識訓練等多個面向的整合與協調。本文將從基礎概念出發,深入探討資訊安全管理系統的建置方法論、ISO 27000 系列標準的應用實務、認證流程的操作細節,以及零信任架構與雲端安全等進階議題,為企業資訊安全治理提供完整的實務參考指引。
資訊安全管理系統是一套涵蓋政策制度、作業程序、組織架構與技術措施的整合性管理機制,其根本目的在於保護組織的資訊資產免受各種威脅的侵害與損失。資訊安全管理系統的核心價值在於將資訊安全從單純的技術問題層次提升為組織治理的策略議題,使資訊安全成為企業整體策略規劃的一環,而非僅僅是資訊技術部門的專屬責任。透過系統化的管理方法,組織能夠更有效地配置有限的安全資源、依據風險優先順序降低威脅衝擊,並向利害關係人展現組織對資訊安全的責任承諾與實際作為。
資訊安全的目標通常以機密性、完整性與可用性這三大核心特性來描述,這三者構成了資訊安全領域的基本支柱,也是評估資訊安全狀態的主要面向。機密性確保資訊只被經過授權的人員所存取,防止未經授權的資訊揭露導致機敏資料外洩。完整性確保資訊在儲存與傳輸過程中維持正確與完整的狀態,防止未經授權的修改或竄改破壞資料的可信度。可用性確保經過授權的使用者能夠在需要時順利存取資訊與相關系統服務,防止服務中斷影響業務運作的連續性。這三項安全特性相互關聯且彼此影響,組織必須在三者之間取得適當的平衡,過度強調其中任何一項特性都可能犧牲其他特性的表現,因此需要根據業務需求與風險承受度進行權衡取捨。
資訊安全管理系統的運作遵循計畫、執行、檢查、行動的管理循環模式,這個循環也稱為戴明循環或 PDCA 循環,是持續改善管理系統的核心方法論。在計畫階段,組織需要建立資訊安全政策、定義管理系統的適用範圍、執行風險評估程序並根據評估結果選擇適當的控制措施。在執行階段,組織需要實際落實所選定的控制措施、建立必要的作業程序文件並對相關人員進行教育訓練。在檢查階段,組織需要監控與審查資訊安全管理系統的運作成效,包括執行內部稽核、召開管理階層審查會議與進行績效量測分析。在行動階段,組織需要根據檢查階段發現的問題採取矯正與預防措施,持續改善資訊安全管理系統的運作效能。這個循環週而復始不斷運轉,推動組織的資訊安全能力持續提升精進。
建置資訊安全管理系統能夠為組織帶來多方面的具體效益。從風險管理的角度來看,系統化的風險評估與處理機制能夠協助組織精準識別並優先處理最關鍵的風險項目,避免有限的安全資源錯置於低風險領域而忽略真正需要關注的高風險區塊。從法規遵循的角度來看,資訊安全管理系統所提供的文件化管理機制能夠協助組織展現對各項法規要求的符合性證據,包括個人資料保護法、金融監理規範、醫療資訊管理規範等各行業的法規要求。從商業發展的角度來看,取得國際認證能夠提升客戶與合作夥伴對組織的信任程度,創造差異化的競爭優勢並開拓需要資安認證門檻的商業機會。從營運韌性的角度來看,完善的資訊安全管理機制能夠降低資安事件發生的機率與影響程度,確保業務持續運作不受重大資安事故的衝擊中斷。
國際標準化組織與國際電工委員會共同制定的 ISO 27000 系列標準,構成了資訊安全管理領域最完整的國際標準體系架構。這個系列涵蓋數十項相關標準,從基礎定義與術語、管理系統要求規範、控制措施實施指引到特定領域的應用規範,提供組織規劃與實施資訊安全管理系統所需的完整參考依據。深入理解這個標準體系的架構與各標準之間的關係,對於組織成功建置與維護資訊安全管理系統至關重要。
ISO 27000 標準提供資訊安全管理系統的概述說明與專業詞彙定義,是整個標準系列的基礎入門文件。這份標準詳細定義了資訊安全管理領域使用的各項關鍵術語,確保不同組織在討論資訊安全議題時能夠建立共同的語言基礎,避免因為術語理解差異而產生溝通上的誤解。正確理解這些術語的精確定義,對於準確解讀其他標準文件的要求內容具有關鍵的重要性。
ISO 27001 標準是整個系列的核心文件,明確規定了建立、實施、維護與持續改善資訊安全管理系統的各項要求條款。這份標準採用高層結構框架進行編排,使其能夠與其他採用相同結構的管理系統標準進行有效整合,例如品質管理系統 ISO 9001 或環境管理系統 ISO 14001 等標準。ISO 27001 標準的內容分為兩個主要部分,第一部分規定管理系統的各項要求條款,包括組織情境分析、領導統御與承諾、規劃與風險處理、支援資源與能力、運作實施、績效評估與持續改善等章節。第二部分則是附錄 A,完整列出組織可以選擇實施的安全控制措施參考清單。組織必須完全符合第一部分的所有強制性要求才能順利取得認證,而附錄 A 的控制措施則依據風險評估結果進行選擇性的實施,並非全部都是強制要求。
ISO 27002 標準提供安全控制措施的詳細實施指引,針對 ISO 27001 附錄 A 所列的各項控制措施說明具體的實施方式與業界最佳實務做法。2022 年發布的最新版本將控制措施重新組織為四大類別,分別是組織性控制措施、人員相關控制措施、實體環境控制措施與技術性控制措施,合計共有 93 項控制措施。每項控制措施的說明都包含控制目標描述、控制說明內容、實施指引建議與其他補充資訊等部分,為組織提供具體可行的實施參考依據。值得特別注意的是,ISO 27002 本身並非可供認證的標準文件,它的角色定位是 ISO 27001 的補充性實施指引。
@startuml
!define PLANTUML_FORMAT svg
!theme _none_
skinparam dpi auto
skinparam shadowing false
skinparam linetype ortho
skinparam roundcorner 5
skinparam defaultFontName "Microsoft JhengHei UI"
skinparam defaultFontSize 14
skinparam minClassWidth 100
title ISO 27001 認證稽核完整流程
|組織準備階段|
start
:建立資訊安全管理系統;
note right
定義範圍與政策
建立組織架構
end note
:執行風險評估;
note right
識別資產與威脅
評估風險等級
end note
:選擇安全控制措施;
note right
根據風險評估結果
參考 ISO 27002 指引
end note
:編製適用性聲明;
note right
說明選擇或排除
各項控制的理由
end note
:實施控制措施;
note right
建立程序文件
執行技術部署
end note
:進行內部稽核;
note right
檢視符合性
識別改善機會
end note
:執行管理階層審查;
note right
高階主管參與
決策資源配置
end note
|第一階段稽核|
:文件審查;
note right
驗證關鍵文件
完整性與適切性
end note
:檢視範圍定義;
note right
確認適用性聲明
與風險處理計畫
end note
:評估組織準備度;
note right
判斷是否具備
進入第二階段條件
end note
if (第一階段通過?) then (通過)
|第二階段稽核|
:現場稽核;
note right
驗證控制措施
實際運作情況
end note
:訪談相關人員;
note right
確認人員認知
與程序執行
end note
:檢視稽核證據;
note right
記錄與系統設定
實際操作展示
end note
:彙整稽核發現;
note right
不符合事項
觀察事項
end note
if (存在重大不符合?) then (是)
:提出矯正計畫;
:執行矯正措施;
:驗證矯正成效;
else (否)
:發出認證證書;
note right
證書有效期三年
需定期監督稽核
end note
endif
|持續維護階段|
:年度監督稽核;
note right
每年至少一次
抽樣驗證符合性
end note
:持續改善運作;
note right
處理不符合事項
回應變更需求
end note
:三年重新認證;
note right
完整稽核循環
換發新證書
end note
else (未通過)
:改善缺失項目;
:重新申請稽核;
endif
stop
@endumlISO 27000 系列還包含許多針對特定領域應用需求的專門標準。ISO 27017 標準專門針對雲端服務環境提供資訊安全控制措施的實施指引,在 ISO 27002 既有控制措施的基礎上補充雲端運算特殊需求的額外指引。這份標準的核心價值在於明確界定雲端服務提供者與客戶之間的安全責任分工,包括虛擬化環境的隔離要求、雲端環境的管理操作程序、客戶資料的移除程序與資料返還機制等雲端特有的安全議題。ISO 27018 標準則專門聚焦於公有雲環境中個人識別資訊的保護議題,為雲端服務提供者建立處理個人資料的規範準則,涵蓋資料處理透明度揭露、資料可攜性權利、資料保留期限與刪除程序等隱私保護要求。
ISO 27005 標準提供資訊安全風險管理的詳細指引文件,完整說明風險評估程序與風險處理決策的方法論架構。這份標準與 ISO 31000 風險管理通用標準保持一致的架構設計,但針對資訊安全領域的特殊需求提供更具體的實施指引內容。ISO 27004 標準則提供資訊安全績效量測的方法指引,協助組織建立有效的監控、量測、分析與評估機制,以客觀了解資訊安全管理系統的實際運作成效。
風險評估是資訊安全管理系統運作的核心程序,它為組織的安全決策提供客觀的依據基礎,決定應該投入多少資源在哪些安全領域才能達到最佳的防護效益。一個完善的風險評估方法論應該能夠系統性地識別組織所面臨的各種資訊安全風險、客觀評估這些風險的嚴重程度,並為後續的風險處理決策提供優先順序的排定依據。ISO 27001 標準要求組織必須建立並維護資訊安全風險評估程序,但並未強制指定必須採用特定的方法論工具,組織可以根據自身的規模、產業特性與成熟度選擇適合的評估方法。
風險評估程序通常從資訊資產的識別與分類開始進行。資訊資產的範圍涵蓋各種形式的資訊本身、處理資訊的系統與設備、支援系統運作的基礎設施,以及具備關鍵知識與專業技能的人員。組織需要建立完整的資產清冊,詳細記錄每項資產的擁有者、重要性等級、存放位置、相依關係等屬性資訊。資產重要性的評估通常需要考量該資產對業務運作的實際影響程度,分析若該資產的機密性、完整性或可用性受到損害,將對組織造成多大的財務損失、營運中斷、聲譽損害或法規處罰。
威脅識別是風險評估程序的第二個重要步驟。威脅是指可能對資訊資產造成傷害的潛在原因或事件,涵蓋範圍包括自然災害如地震、洪水、火災等天然災變,人為意外如操作錯誤、設備故障、程式缺陷等非蓄意事件,以及惡意攻擊如駭客入侵、惡意程式感染、內部員工竊取等蓄意攻擊行為。組織需要審慎考量其所處的地理環境與產業特性,全面識別可能面臨的各種威脅類型。威脅情資的蒐集與分析對於識別新興威脅尤其重要,組織應該持續關注產業資安情報分享、政府機關公告、學術研究報告、資安廠商發布等各種情報來源。
脆弱性評估則是檢視資訊資產可能被威脅利用的各種弱點。脆弱性可能存在於技術層面,例如軟體程式的安全漏洞、不安全的系統組態設定、缺乏資料加密機制、過時未更新的系統版本等技術缺陷。脆弱性也可能存在於管理層面,例如作業程序不完善、人員訓練不足、缺乏存取控制機制、監控機制不健全等管理疏漏。脆弱性評估的具體方法包括技術性的弱點掃描測試、滲透測試演練、系統組態檢視、程式碼安全審查,以及管理性的程序文件審查、人員訪談調查、文件記錄檢視等多種評估手法。
風險等級的評估需要綜合考量威脅發生的可能性與一旦發生將造成的影響程度這兩個面向。可能性的評估需要考量威脅來源的能力強度與攻擊動機、現有控制措施的有效程度、過去類似事件的發生頻率等各項因素。影響程度的評估則需要考量可能造成的財務損失金額、營運中斷時間長度、聲譽損害程度、法規處罰輕重等各種可能的後果影響。許多組織採用風險矩陣的視覺化工具來呈現風險評估的結果,將可能性與影響程度分別定義為數個等級層次,兩者的交叉組合決定風險的整體等級分類。
# =============================================================================
# risk_assessment.py - 資訊安全風險評估模組
# =============================================================================
# 此模組實作資訊安全風險評估的核心邏輯功能,涵蓋資產管理、威脅識別、
# 脆弱性評估與風險等級計算等完整的風險評估流程
# =============================================================================
# -----------------------------------------------------------------------------
# 匯入必要的 Python 標準函式庫
# -----------------------------------------------------------------------------
# dataclass 裝飾器用於簡化資料容器類別的定義,自動產生 __init__ 等方法
from dataclasses import dataclass, field
# Enum 列舉型別用於定義具有固定選項值的常數集合
from enum import Enum, auto
# typing 模組提供型別提示功能,提升程式碼的可讀性與維護性
from typing import List, Dict, Optional, Tuple
# datetime 模組用於記錄風險評估執行的時間戳記
from datetime import datetime
# json 模組用於支援風險評估結果的序列化儲存與交換
import json
# -----------------------------------------------------------------------------
# 列舉型別定義區塊
# 定義風險評估過程中使用的各種分類選項
# -----------------------------------------------------------------------------
class Likelihood(Enum):
"""
威脅發生可能性等級列舉
定義五個可能性等級,從極低到極高,用於評估特定威脅
在特定時間範圍內實際發生的機率高低
"""
VERY_LOW = 1 # 極低:事件發生機率極小,幾乎不可能發生
LOW = 2 # 低:事件發生機率較低,不太可能發生
MEDIUM = 3 # 中:事件有一定機率發生,需要關注
HIGH = 4 # 高:事件發生機率較高,很可能會發生
VERY_HIGH = 5 # 極高:事件幾乎確定會發生,需立即處理
class Impact(Enum):
"""
資安事件影響程度等級列舉
定義五個影響程度等級,從可忽略到災難性,用於評估
資安事件一旦發生對組織造成的損害嚴重程度
"""
NEGLIGIBLE = 1 # 可忽略:對組織營運幾乎沒有影響
MINOR = 2 # 輕微:造成輕微不便,可快速恢復
MODERATE = 3 # 中度:需要投入額外資源處理,有明顯影響
SIGNIFICANT = 4 # 重大:嚴重影響業務營運,需大量資源復原
CATASTROPHIC = 5 # 災難性:威脅組織存續,可能造成永久損害
class RiskLevel(Enum):
"""
風險等級列舉
根據可能性與影響程度的組合計算得出的整體風險等級,
用於決定風險處理的優先順序與處理策略
"""
LOW = auto() # 低風險:可接受的風險,定期監控即可
MEDIUM = auto() # 中風險:需要處理的風險,應排入處理時程
HIGH = auto() # 高風險:應優先處理的風險,需儘速採取行動
CRITICAL = auto() # 極高風險:必須立即處理的風險,不可延遲
class AssetCategory(Enum):
"""
資訊資產類別列舉
定義組織可能擁有的各種資訊資產類型,用於資產清冊
的分類管理與統計分析
"""
INFORMATION = auto() # 資訊資產:文件檔案、資料庫、智慧財產
SOFTWARE = auto() # 軟體資產:應用程式、作業系統、開發工具
HARDWARE = auto() # 硬體資產:伺服器、網路設備、終端設備
PERSONNEL = auto() # 人員資產:具有關鍵技能或知識的人員
FACILITY = auto() # 設施資產:機房、辦公室、資料中心
SERVICE = auto() # 服務資產:雲端服務、外包服務、網路服務
class TreatmentOption(Enum):
"""
風險處理選項列舉
定義組織面對已識別風險時可以選擇的處理策略,
每種策略有其適用情境與考量因素
"""
MITIGATE = auto() # 降低風險:實施控制措施以降低風險的可能性或影響
TRANSFER = auto() # 轉移風險:透過保險或委外將風險轉移給第三方
AVOID = auto() # 迴避風險:停止或改變導致風險的業務活動
ACCEPT = auto() # 接受風險:在充分評估後決定接受風險,不採取行動
# -----------------------------------------------------------------------------
# 資料類別定義區塊
# 使用 dataclass 裝飾器定義風險評估過程中使用的資料結構
# -----------------------------------------------------------------------------
@dataclass
class Asset:
"""
資訊資產資料類別
封裝組織資訊資產的各項屬性資訊,包括基本識別資訊、
分類歸屬、擁有者責任歸屬,以及機密性、完整性、可用性
三個安全面向的價值評估分數
屬性說明:
asset_id: 資產唯一識別碼,用於系統內部識別
name: 資產名稱,人類可讀的識別名稱
category: 資產類別,使用 AssetCategory 列舉值
owner: 資產擁有者,負責資產安全的責任人
description: 資產描述,說明資產的用途與內容
confidentiality_value: 機密性價值評分(1-5)
integrity_value: 完整性價值評分(1-5)
availability_value: 可用性價值評分(1-5)
location: 資產存放位置
"""
asset_id: str # 資產唯一識別碼
name: str # 資產名稱
category: AssetCategory # 資產類別
owner: str # 資產擁有者
description: str # 資產描述
confidentiality_value: int # 機密性價值(1-5)
integrity_value: int # 完整性價值(1-5)
availability_value: int # 可用性價值(1-5)
location: str = "" # 資產位置(選填)
def calculate_asset_value(self) -> int:
"""
計算資產整體價值分數
採用取最大值的方式計算資產整體價值,這種方法確保
在任何一個安全面向具有高價值的資產都能獲得適當的
保護優先順序
回傳:
int: 資產價值分數,範圍 1-5
"""
# 資產整體價值取機密性、完整性、可用性三者的最大值
# 這確保高價值資產在任一面向都能獲得適當的保護
return max(
self.confidentiality_value,
self.integrity_value,
self.availability_value
)
@dataclass
class Threat:
"""
威脅資料類別
封裝可能對資訊資產造成傷害的威脅相關資訊,包括
威脅的識別資訊、描述說明、來源類型與基礎發生可能性
屬性說明:
threat_id: 威脅唯一識別碼
name: 威脅名稱
description: 威脅詳細描述
source: 威脅來源類型(自然災害、人為意外、惡意攻擊)
base_likelihood: 威脅的基礎發生可能性
affected_properties: 威脅影響的安全屬性清單(C/I/A)
"""
threat_id: str # 威脅唯一識別碼
name: str # 威脅名稱
description: str # 威脅描述
source: str # 威脅來源
base_likelihood: Likelihood # 基礎發生可能性
affected_properties: List[str] = field(default_factory=list) # 影響的安全屬性
@dataclass
class Vulnerability:
"""
脆弱性資料類別
封裝可能被威脅利用的弱點相關資訊,包括脆弱性的
識別資訊、描述說明、嚴重程度評分,以及受影響的
資產清單與現有的控制措施
屬性說明:
vulnerability_id: 脆弱性唯一識別碼
name: 脆弱性名稱
description: 脆弱性詳細描述
severity: 嚴重程度評分(1-5)
affected_assets: 受此脆弱性影響的資產識別碼清單
existing_controls: 已實施的控制措施清單
"""
vulnerability_id: str # 脆弱性唯一識別碼
name: str # 脆弱性名稱
description: str # 脆弱性描述
severity: int # 嚴重程度(1-5)
affected_assets: List[str] = field(default_factory=list) # 受影響資產
existing_controls: List[str] = field(default_factory=list) # 現有控制措施
@dataclass
class RiskScenario:
"""
風險情境資料類別
封裝特定風險情境的完整評估資訊,結合資產、威脅與
脆弱性形成完整的風險描述,包含風險評估結果與處理決策
屬性說明:
scenario_id: 風險情境唯一識別碼
asset: 相關的資產物件
threat: 相關的威脅物件
vulnerability: 相關的脆弱性物件
likelihood: 評估後的發生可能性
impact: 評估後的影響程度
risk_level: 計算得出的風險等級
treatment: 選擇的風險處理選項
treatment_plan: 風險處理計畫說明
residual_risk_level: 處理後的殘餘風險等級
"""
scenario_id: str # 情境唯一識別碼
asset: Asset # 相關資產
threat: Threat # 相關威脅
vulnerability: Vulnerability # 相關脆弱性
likelihood: Likelihood = Likelihood.MEDIUM # 發生可能性
impact: Impact = Impact.MODERATE # 影響程度
risk_level: RiskLevel = RiskLevel.MEDIUM # 風險等級
treatment: TreatmentOption = TreatmentOption.MITIGATE # 處理選項
treatment_plan: str = "" # 處理計畫
residual_risk_level: Optional[RiskLevel] = None # 殘餘風險等級
# -----------------------------------------------------------------------------
# 風險評估引擎類別
# 提供風險評估的核心運算與管理功能
# -----------------------------------------------------------------------------
class RiskAssessmentEngine:
"""
風險評估引擎類別
提供資訊安全風險評估的完整核心功能,實作風險評估
的完整流程,包括資產管理、威脅識別、脆弱性評估、
風險計算、處理建議與報告產生等功能
"""
def __init__(self, organization_name: str):
"""
初始化風險評估引擎實例
參數:
organization_name: 執行風險評估的組織名稱
"""
# 儲存組織基本資訊
self.organization_name = organization_name
# 初始化資產、威脅、脆弱性與風險情境的儲存容器
# 使用字典結構便於透過識別碼快速存取
self.assets: Dict[str, Asset] = {}
self.threats: Dict[str, Threat] = {}
self.vulnerabilities: Dict[str, Vulnerability] = {}
self.risk_scenarios: Dict[str, RiskScenario] = {}
# 初始化風險矩陣,定義可能性與影響程度組合對應的風險等級
self.risk_matrix = self._initialize_risk_matrix()
# 記錄評估執行的時間戳記
self.assessment_date = datetime.now()
def _initialize_risk_matrix(self) -> Dict[Tuple[int, int], RiskLevel]:
"""
初始化風險評估矩陣
建立 5x5 的風險矩陣,定義可能性與影響程度各種組合
所對應的風險等級,風險分數計算採用可能性乘以影響程度
的簡單乘法模型
回傳:
Dict: 風險矩陣字典,鍵為(可能性值, 影響程度值)元組
"""
matrix = {}
# 建立 5x5 風險矩陣
# 可能性與影響程度均為 1-5 的整數值
for likelihood in range(1, 6):
for impact in range(1, 6):
# 風險分數 = 可能性 x 影響程度
score = likelihood * impact
# 根據風險分數決定風險等級分類
if score <= 4:
# 低風險區間:分數 1-4
level = RiskLevel.LOW
elif score <= 9:
# 中風險區間:分數 5-9
level = RiskLevel.MEDIUM
elif score <= 16:
# 高風險區間:分數 10-16
level = RiskLevel.HIGH
else:
# 極高風險區間:分數 17-25
level = RiskLevel.CRITICAL
matrix[(likelihood, impact)] = level
return matrix
def add_asset(self, asset: Asset) -> None:
"""
新增資訊資產至評估範圍
將資產物件加入資產清冊,在加入前會驗證資產價值
評分是否在有效範圍內
參數:
asset: 要新增的 Asset 資產物件
例外:
ValueError: 當資產價值評分超出 1-5 範圍時拋出
"""
# 驗證資產三項安全屬性的價值評分都在有效範圍內
for value in [asset.confidentiality_value,
asset.integrity_value,
asset.availability_value]:
if not 1 <= value <= 5:
raise ValueError(f"資產價值評分必須在 1-5 之間,收到無效值: {value}")
# 將資產加入清冊,使用資產識別碼作為索引鍵
self.assets[asset.asset_id] = asset
def add_threat(self, threat: Threat) -> None:
"""
新增威脅至威脅清單
參數:
threat: 要新增的 Threat 威脅物件
"""
self.threats[threat.threat_id] = threat
def add_vulnerability(self, vulnerability: Vulnerability) -> None:
"""
新增脆弱性至脆弱性清單
在加入前會驗證脆弱性嚴重程度評分是否在有效範圍內
參數:
vulnerability: 要新增的 Vulnerability 脆弱性物件
例外:
ValueError: 當嚴重程度評分超出 1-5 範圍時拋出
"""
# 驗證嚴重程度評分在有效範圍內
if not 1 <= vulnerability.severity <= 5:
raise ValueError(
f"脆弱性嚴重程度必須在 1-5 之間,收到無效值: {vulnerability.severity}"
)
self.vulnerabilities[vulnerability.vulnerability_id] = vulnerability
def calculate_risk_level(
self,
likelihood: Likelihood,
impact: Impact
) -> RiskLevel:
"""
計算風險等級
根據可能性與影響程度從風險矩陣查詢對應的風險等級
參數:
likelihood: 發生可能性列舉值
impact: 影響程度列舉值
回傳:
RiskLevel: 對應的風險等級列舉值
"""
return self.risk_matrix[(likelihood.value, impact.value)]
def assess_risk_scenario(
self,
asset_id: str,
threat_id: str,
vulnerability_id: str,
adjusted_likelihood: Optional[Likelihood] = None,
adjusted_impact: Optional[Impact] = None
) -> RiskScenario:
"""
評估特定風險情境
結合資產、威脅與脆弱性建立風險情境,並計算風險等級。
可選擇性地提供調整後的可能性與影響程度,若未提供
則根據威脅基礎可能性與資產價值自動計算
參數:
asset_id: 資產識別碼
threat_id: 威脅識別碼
vulnerability_id: 脆弱性識別碼
adjusted_likelihood: 調整後的可能性(選填)
adjusted_impact: 調整後的影響程度(選填)
回傳:
RiskScenario: 評估完成的風險情境物件
例外:
ValueError: 當識別碼無效找不到對應物件時拋出
"""
# 根據識別碼取得對應的物件
asset = self.assets.get(asset_id)
threat = self.threats.get(threat_id)
vulnerability = self.vulnerabilities.get(vulnerability_id)
# 驗證所有必要物件都存在
if not all([asset, threat, vulnerability]):
raise ValueError("資產、威脅或脆弱性識別碼無效,找不到對應物件")
# 決定發生可能性
if adjusted_likelihood:
# 使用提供的調整值
likelihood = adjusted_likelihood
else:
# 自動計算:基礎可能性加上脆弱性嚴重程度的調整
base_value = threat.base_likelihood.value
# 脆弱性嚴重程度中間值為 3,高於 3 增加可能性,低於 3 降低可能性
adjustment = (vulnerability.severity - 3) * 0.5
adjusted_value = max(1, min(5, int(base_value + adjustment)))
likelihood = Likelihood(adjusted_value)
# 決定影響程度
if adjusted_impact:
# 使用提供的調整值
impact = adjusted_impact
else:
# 自動計算:根據資產整體價值決定影響程度
asset_value = asset.calculate_asset_value()
impact = Impact(asset_value)
# 計算風險等級
risk_level = self.calculate_risk_level(likelihood, impact)
# 產生風險情境識別碼
scenario_id = f"RS-{asset_id}-{threat_id}-{vulnerability_id}"
# 建立並儲存風險情境物件
scenario = RiskScenario(
scenario_id=scenario_id,
asset=asset,
threat=threat,
vulnerability=vulnerability,
likelihood=likelihood,
impact=impact,
risk_level=risk_level
)
self.risk_scenarios[scenario_id] = scenario
return scenario
def recommend_treatment(self, scenario: RiskScenario) -> str:
"""
根據風險情境產生處理建議
分析風險情境的特性,產生適當的風險處理建議說明,
包括處理優先順序建議與具體的控制措施方向
參數:
scenario: 要產生處理建議的風險情境物件
回傳:
str: 風險處理建議說明文字
"""
recommendations = []
# 根據風險等級提供對應層級的處理建議
if scenario.risk_level == RiskLevel.CRITICAL:
recommendations.append(
"極高風險等級:建議立即採取行動降低風險。"
"應考慮暫停相關業務活動直到風險獲得有效控制。"
)
scenario.treatment = TreatmentOption.MITIGATE
elif scenario.risk_level == RiskLevel.HIGH:
recommendations.append(
"高風險等級:建議列為優先處理項目,在短期內實施控制措施。"
"應評估是否需要投入額外資源以加速處理。"
)
scenario.treatment = TreatmentOption.MITIGATE
elif scenario.risk_level == RiskLevel.MEDIUM:
recommendations.append(
"中風險等級:建議排入風險處理計畫,依優先順序安排處理時程。"
"可進行成本效益分析後決定最適當的處理方式。"
)
scenario.treatment = TreatmentOption.MITIGATE
else:
recommendations.append(
"低風險等級:風險在可接受範圍內。"
"建議維持定期監控,確保風險持續維持在可接受水準。"
)
scenario.treatment = TreatmentOption.ACCEPT
# 根據威脅類型提供更具體的控制措施建議
if "惡意" in scenario.threat.source or "攻擊" in scenario.threat.name:
recommendations.append(
"針對惡意攻擊類型威脅,建議加強存取控制機制、"
"部署入侵偵測系統並強化人員資安意識訓練。"
)
if "人為" in scenario.threat.source and "意外" in scenario.threat.source:
recommendations.append(
"針對人為意外類型威脅,建議強化標準作業程序、"
"實施適當的職責分離機制並加強人員操作訓練。"
)
# 組合所有建議為完整的處理計畫說明
scenario.treatment_plan = "\n".join(recommendations)
return scenario.treatment_plan
def generate_risk_register(self) -> List[Dict]:
"""
產生風險登錄表
將所有已評估的風險情境彙整為風險登錄表格式,
按風險等級由高到低排序,便於管理階層審查與追蹤
回傳:
List[Dict]: 風險登錄資料的字典清單
"""
register = []
# 按風險等級降序排序,高風險優先顯示
sorted_scenarios = sorted(
self.risk_scenarios.values(),
key=lambda s: s.risk_level.value,
reverse=True
)
for scenario in sorted_scenarios:
# 建立風險登錄項目
entry = {
"情境識別碼": scenario.scenario_id,
"資產名稱": scenario.asset.name,
"資產類別": scenario.asset.category.name,
"威脅名稱": scenario.threat.name,
"脆弱性名稱": scenario.vulnerability.name,
"發生可能性": scenario.likelihood.name,
"影響程度": scenario.impact.name,
"風險等級": scenario.risk_level.name,
"處理選項": scenario.treatment.name,
"處理計畫": scenario.treatment_plan,
"殘餘風險": (
scenario.residual_risk_level.name
if scenario.residual_risk_level else "待評估"
)
}
register.append(entry)
return register
def calculate_risk_statistics(self) -> Dict:
"""
計算風險統計資料
統計分析所有已評估風險情境的分布情況,產生摘要
統計資料供管理報告使用
回傳:
Dict: 包含各項統計數據的字典
"""
# 統計各風險等級的數量
level_counts = {level: 0 for level in RiskLevel}
for scenario in self.risk_scenarios.values():
level_counts[scenario.risk_level] += 1
# 計算風險分布百分比
total = len(self.risk_scenarios)
level_percentages = {
level.name: (count / total * 100) if total > 0 else 0
for level, count in level_counts.items()
}
# 統計各資產類別的風險數量
asset_category_risks = {}
for scenario in self.risk_scenarios.values():
category = scenario.asset.category.name
if category not in asset_category_risks:
asset_category_risks[category] = 0
asset_category_risks[category] += 1
return {
"評估日期": self.assessment_date.isoformat(),
"組織名稱": self.organization_name,
"資產總數": len(self.assets),
"威脅總數": len(self.threats),
"脆弱性總數": len(self.vulnerabilities),
"風險情境總數": total,
"風險等級分布": {
level.name: count for level, count in level_counts.items()
},
"風險等級百分比": level_percentages,
"資產類別風險分布": asset_category_risks
}
# -----------------------------------------------------------------------------
# 使用範例函式
# 展示風險評估模組的實際使用方式
# -----------------------------------------------------------------------------
def demonstrate_risk_assessment():
"""
展示風險評估模組的使用方式
建立範例資產、威脅與脆弱性,執行風險評估並輸出結果,
作為使用此模組的參考範例
"""
# 建立風險評估引擎實例,指定組織名稱
engine = RiskAssessmentEngine("範例科技股份有限公司")
# 建立範例資產:客戶資料庫
customer_db = Asset(
asset_id="A001",
name="客戶資料庫",
category=AssetCategory.INFORMATION,
owner="資訊部經理",
description="儲存所有客戶個人資料與歷史交易紀錄",
confidentiality_value=5, # 高機密性需求:包含個人敏感資料
integrity_value=4, # 高完整性需求:交易紀錄需正確
availability_value=4, # 高可用性需求:業務營運依賴
location="主機房 Rack-A03"
)
engine.add_asset(customer_db)
# 建立範例威脅:SQL 注入攻擊
sql_injection = Threat(
threat_id="T001",
name="SQL 注入攻擊",
description="攻擊者透過惡意建構的 SQL 語句存取或竄改資料庫內容",
source="惡意攻擊",
base_likelihood=Likelihood.HIGH,
affected_properties=["機密性", "完整性"]
)
engine.add_threat(sql_injection)
# 建立範例脆弱性:輸入驗證不足
input_validation = Vulnerability(
vulnerability_id="V001",
name="使用者輸入驗證不足",
description="應用程式未充分驗證與過濾使用者輸入資料",
severity=4,
affected_assets=["A001"],
existing_controls=["Web 應用程式防火牆"]
)
engine.add_vulnerability(input_validation)
# 執行風險評估
scenario = engine.assess_risk_scenario(
asset_id="A001",
threat_id="T001",
vulnerability_id="V001"
)
# 產生處理建議
recommendation = engine.recommend_treatment(scenario)
# 計算統計資料
statistics = engine.calculate_risk_statistics()
# 輸出評估結果
print(f"風險情境識別碼:{scenario.scenario_id}")
print(f"風險等級:{scenario.risk_level.name}")
print(f"處理建議:\n{recommendation}")
print(f"\n風險統計資料:")
print(json.dumps(statistics, ensure_ascii=False, indent=2))
# 程式進入點
if __name__ == "__main__":
demonstrate_risk_assessment()
風險處理是根據風險評估結果採取適當行動的決策與執行過程。組織面對已識別的風險項目通常有四種基本的處理選項可供選擇。風險降低是最常見的處理選項,透過實施適當的控制措施來降低風險發生的可能性或減輕事件發生後的影響程度,這是大多數中高風險項目的主要處理方式。風險轉移是將風險的財務後果轉移給第三方承擔,常見的做法包括購買資訊安全保險、將高風險的業務活動委託給專業服務提供者等。風險迴避是完全停止或根本性改變導致風險的業務活動,這在風險程度過高且無法透過其他方式有效降低時可能是唯一可行的選項。風險接受是在充分評估風險性質與影響後,有意識地決定不採取任何處理行動,這通常適用於低風險情境或處理成本過高的情況,但接受決策必須經過適當層級的管理者核准。
取得 ISO 27001 認證是許多組織建置資訊安全管理系統的重要目標里程碑。認證流程涉及獨立的第三方驗證機構對組織的資訊安全管理系統進行專業評估,驗證其是否符合 ISO 27001 標準規定的各項要求。完整理解認證流程的各個階段與要求,有助於組織做好充分的準備工作並順利通過認證。
認證稽核通常分為兩個主要的實施階段。第一階段稽核著重於管理系統文件的審查評估,稽核人員會仔細檢視組織的資訊安全政策文件、風險評估紀錄、適用性聲明、風險處理計畫等關鍵性文件,評估組織是否已建立符合標準要求的管理系統框架結構。這個階段也會確認資訊安全管理系統的範圍定義是否適當合理,以及評估組織是否具備進入第二階段現場稽核的準備程度。第一階段稽核結束後,驗證機構會提供初步的發現報告,指出在進入第二階段前需要改善或補強的事項。
第二階段稽核是主要的符合性驗證評估階段,稽核人員會實際進入組織現場進行稽核作業,驗證資訊安全管理系統在實際運作中的符合情況。這個階段的稽核範圍涵蓋所有適用的 ISO 27001 條款要求,以及組織在適用性聲明中宣告適用的控制措施。稽核方法包括管理系統文件與記錄的檢視、資訊系統與安全設定的檢查、相關人員的訪談詢問與實際作業過程的觀察等多種手法。稽核人員會蒐集客觀的稽核證據來判斷組織是否符合標準的各項要求。第二階段稽核結束後,稽核團隊會召開總結會議,向組織報告稽核發現事項,包括符合事項、不符合事項與觀察事項等類別。
不符合事項依據嚴重程度分為主要不符合與次要不符合兩個等級。主要不符合是指嚴重偏離標準要求或系統性的管理失效,可能危及資訊安全管理系統整體有效性的重大缺失。次要不符合是指個別的偏離事項或作業疏失,尚不至於影響管理系統整體有效性的輕微缺失。若稽核發現存在主要不符合事項,組織必須在驗證機構規定的期限內完成矯正措施並通過後續的矯正驗證後,驗證機構才會正式發出認證證書。
認證證書的有效期通常為三年。在這三年的有效期間內,驗證機構會定期進行監督稽核,通常每年進行一次,以確認組織持續維護資訊安全管理系統的運作並維持對標準要求的符合性。監督稽核的範圍通常是抽樣性質的查核,不會像初次認證稽核那樣涵蓋所有的條款要求與控制措施。三年有效期屆滿前,組織需要申請進行重新認證稽核,若順利通過則可換發新的認證證書繼續維持認證資格。
@startuml
!define PLANTUML_FORMAT svg
!theme _none_
skinparam dpi auto
skinparam shadowing false
skinparam linetype ortho
skinparam roundcorner 5
skinparam defaultFontName "Microsoft JhengHei UI"
skinparam defaultFontSize 14
skinparam minClassWidth 100
title 零信任架構存取決策流程
|使用者與裝置|
start
:發起資源存取請求;
note right
使用者嘗試存取
企業內部資源
end note
:提交身分認證資訊;
note right
帳號密碼或憑證
生物特徵等
end note
|策略執行點|
:攔截存取請求;
note right
零信任閘道器
攔截所有流量
end note
:蒐集情境資訊;
note right
裝置狀態與位置
時間與網路環境
end note
|身分驗證服務|
:執行多因素驗證;
note right
驗證使用者
宣稱的身分
end note
if (身分驗證通過?) then (通過)
|裝置信任評估|
:檢查裝置合規性;
note right
作業系統更新
防毒軟體狀態
磁碟加密狀態
end note
:評估裝置風險分數;
note right
根據裝置屬性
計算信任分數
end note
if (裝置信任度足夠?) then (足夠)
|策略決策引擎|
:查詢存取政策;
note right
檢視使用者角色
資源敏感等級
end note
:評估情境風險;
note right
異常行為偵測
地理位置分析
end note
:計算動態信任分數;
note right
綜合所有因素
決定信任等級
end note
if (符合存取政策?) then (符合)
|資源存取|
:授予限定存取權限;
note right
最小權限原則
時間限制存取
end note
:建立加密連線;
note right
端對端加密
保護傳輸資料
end note
:持續監控會話;
note right
異常行為偵測
即時風險評估
end note
if (偵測到異常?) then (是)
:降低信任等級;
:要求重新驗證;
:記錄安全事件;
else (否)
:允許持續存取;
:記錄存取日誌;
endif
else (不符合)
:拒絕存取請求;
:記錄拒絕事件;
:通知安全團隊;
endif
else (不足)
:要求裝置合規矯正;
:提供自助修復指引;
endif
else (失敗)
:拒絕存取;
:記錄失敗嘗試;
:觸發帳號保護機制;
endif
stop
@enduml零信任是一種新世代的資訊安全架構模型,其核心理念主張不應預設信任任何使用者、裝置或網路連線,無論其位於企業網路內部或外部環境都必須經過驗證。傳統的資訊安全架構通常以網路邊界作為防護基礎,假設位於內部網路的使用者與系統是可以信任的,只需在網路邊界部署防火牆等防護措施即可確保安全。然而,這種基於邊界的安全假設在現代的運算環境中已經不再適用。遠距工作模式的普及、雲端服務的廣泛採用、行動裝置的大量使用等趨勢打破了傳統的網路邊界概念,內部威脅與橫向移動攻擊的風險也凸顯了邊界防護模式的根本局限性。
美國國家標準與技術研究所發布的 NIST SP 800-207 標準文件,為零信任架構提供了完整的定義說明與實施指引。根據這份標準的定義,零信任架構將防護重點從網路區段層級轉移到個別資源層級,每一次的資源存取請求都必須經過嚴格的驗證與授權程序,即使存取請求來自內部網路的使用者也不能例外。零信任架構強調動態的、基於情境脈絡的存取決策機制,綜合考量使用者身分、裝置安全狀態、存取行為模式、資源敏感程度等多重因素進行即時的存取授權判斷。
零信任架構的核心設計原則涵蓋多個重要面向。第一項原則是所有資料來源與運算服務都應該被視為受保護的資源,無論其實際位於企業自有的內部網路或託管在外部的雲端環境。第二項原則是所有網路通訊都必須使用加密機制保護,無論通訊發生在什麼網路位置,即使是內部網路區段之間的通訊也應該全程加密。第三項原則是對資源的存取權限應該按照個別會話進行授予,而不是採用長期有效的靜態授權,每次存取都需要重新進行評估與授權決定。第四項原則是存取決策應該是動態的即時決策,根據多重因素綜合判斷,包括使用者身分認證結果、裝置健康安全狀態、行為模式分析、存取時間地點等情境資訊。第五項原則是企業應該持續監控所有資訊資產的安全態勢,即時偵測異常狀況並做出適當的回應處置。第六項原則是所有的身分驗證與存取授權都必須嚴格動態執行,在允許存取之前必須完成完整的驗證程序。第七項原則是企業應該盡可能廣泛蒐集關於資產狀態、網路狀態與通訊狀態的各種資訊,持續分析以改善整體安全態勢。
零信任架構的實際實施需要多項技術元件的協同整合運作。身分與存取管理系統負責管理使用者身分生命週期、執行多因素身分驗證、管理存取權限配置與會話管理等功能。裝置健康安全評估機制負責持續檢查終端裝置的安全狀態,包括作業系統更新程度、防毒軟體狀態、磁碟加密啟用情況、安全組態設定等項目。策略決策引擎負責根據組織定義的存取政策規則與即時蒐集的情境資訊,做出動態的存取授權決策。策略執行點負責攔截所有的資源存取請求,並根據策略決策引擎的決定執行允許或拒絕的動作。持續監控與分析系統負責蒐集各種安全日誌與事件資料、偵測異常行為模式並觸發適當的回應動作。
#!/bin/bash
# =============================================================================
# isms_compliance_check.sh - 資訊安全管理系統技術控制符合性檢查腳本
# =============================================================================
# 此腳本執行基礎的技術安全控制檢查,協助組織驗證 ISO 27001 附錄 A
# 相關技術控制措施的實施狀態,產生符合性檢查報告供稽核參考使用
# =============================================================================
# -----------------------------------------------------------------------------
# 腳本嚴格模式設定
# 啟用嚴格模式可以及早發現腳本執行過程中的錯誤
# -----------------------------------------------------------------------------
# -e: 當任何命令執行失敗時立即終止腳本執行
# -u: 當使用未定義的變數時視為錯誤並終止執行
# -o pipefail: 管線命令中任何一個命令失敗時回傳失敗狀態
set -euo pipefail
# -----------------------------------------------------------------------------
# 輸出顏色代碼定義
# 使用顏色代碼提升報告輸出的視覺可讀性
# -----------------------------------------------------------------------------
readonly RED='\033[0;31m' # 紅色:用於標示失敗或高風險項目
readonly GREEN='\033[0;32m' # 綠色:用於標示通過或正常項目
readonly YELLOW='\033[0;33m' # 黃色:用於標示警告項目
readonly BLUE='\033[0;34m' # 藍色:用於標示一般資訊訊息
readonly NC='\033[0m' # 無顏色:重設顏色設定
# -----------------------------------------------------------------------------
# 檢查結果計數器
# 追蹤各類檢查結果的數量以便產生統計摘要
# -----------------------------------------------------------------------------
PASS_COUNT=0 # 通過項目數量
FAIL_COUNT=0 # 失敗項目數量
WARN_COUNT=0 # 警告項目數量
# -----------------------------------------------------------------------------
# 報告輸出檔案
# 以時間戳記命名確保每次執行產生獨立的報告檔案
# -----------------------------------------------------------------------------
REPORT_FILE="isms_compliance_report_$(date +%Y%m%d_%H%M%S).txt"
# -----------------------------------------------------------------------------
# 輔助函式定義區塊
# 提供日誌記錄與報告輸出的共用功能
# -----------------------------------------------------------------------------
log_message() {
# 輸出帶有時間戳記的格式化訊息
# 參數:
# $1: 訊息等級(INFO, WARN, ERROR, PASS, FAIL)
# $2: 訊息內容
local level="$1"
local message="$2"
local timestamp
timestamp=$(date '+%Y-%m-%d %H:%M:%S')
# 根據訊息等級設定對應的顏色
local color
case "$level" in
INFO) color="$BLUE" ;;
WARN) color="$YELLOW" ;;
ERROR) color="$RED" ;;
PASS) color="$GREEN" ;;
FAIL) color="$RED" ;;
*) color="$NC" ;;
esac
# 輸出到螢幕(含顏色)
echo -e "${color}[$timestamp] [$level] $message${NC}"
# 同時寫入報告檔案(不含顏色代碼)
echo "[$timestamp] [$level] $message" >> "$REPORT_FILE"
}
print_section() {
# 輸出檢查項目的章節標題
# 參數:
# $1: 章節標題文字
local title="$1"
local separator="========================================"
# 輸出到螢幕
echo ""
echo -e "${BLUE}$separator${NC}"
echo -e "${BLUE}$title${NC}"
echo -e "${BLUE}$separator${NC}"
echo ""
# 寫入報告檔案
{
echo ""
echo "$separator"
echo "$title"
echo "$separator"
echo ""
} >> "$REPORT_FILE"
}
record_pass() {
# 記錄檢查通過項目
# 參數:
# $1: 檢查項目描述
log_message "PASS" "$1"
((PASS_COUNT++))
}
record_fail() {
# 記錄檢查失敗項目
# 參數:
# $1: 檢查項目描述
log_message "FAIL" "$1"
((FAIL_COUNT++))
}
record_warn() {
# 記錄檢查警告項目
# 參數:
# $1: 檢查項目描述
log_message "WARN" "$1"
((WARN_COUNT++))
}
# -----------------------------------------------------------------------------
# 安全控制檢查函式
# 實作各項 ISO 27001 附錄 A 技術控制措施的檢查邏輯
# -----------------------------------------------------------------------------
check_firewall_status() {
# A.8.1 使用者端點裝置 - 檢查防火牆狀態
# 驗證系統防火牆是否已正確啟用並設定
print_section "A.8.1 使用者端點裝置 - 防火牆狀態檢查"
# 根據作業系統類型執行對應的檢查
if [[ "$OSTYPE" == "darwin"* ]]; then
# macOS 系統:檢查應用程式防火牆狀態
local fw_status
fw_status=$(/usr/libexec/ApplicationFirewall/socketfilterfw --getglobalstate 2>/dev/null || echo "unknown")
if echo "$fw_status" | grep -q "enabled"; then
record_pass "macOS 應用程式防火牆已啟用"
else
record_fail "macOS 應用程式防火牆未啟用,建議執行:sudo /usr/libexec/ApplicationFirewall/socketfilterfw --setglobalstate on"
fi
# 檢查防火牆隱身模式設定
local stealth_mode
stealth_mode=$(/usr/libexec/ApplicationFirewall/socketfilterfw --getstealthmode 2>/dev/null || echo "unknown")
if echo "$stealth_mode" | grep -q "enabled"; then
record_pass "防火牆隱身模式已啟用"
else
record_warn "防火牆隱身模式未啟用,建議啟用以提升安全性"
fi
elif [[ "$OSTYPE" == "linux"* ]]; then
# Linux 系統:檢查 iptables 或 firewalld 狀態
if command -v firewall-cmd &> /dev/null; then
# 使用 firewalld 的 Linux 發行版
if systemctl is-active --quiet firewalld; then
record_pass "firewalld 防火牆服務正在運行"
# 檢查預設防火牆區域設定
local default_zone
default_zone=$(firewall-cmd --get-default-zone 2>/dev/null || echo "unknown")
log_message "INFO" "預設防火牆區域:$default_zone"
else
record_fail "firewalld 防火牆服務未運行"
fi
elif command -v ufw &> /dev/null; then
# 使用 ufw 的 Linux 發行版(如 Ubuntu)
local ufw_status
ufw_status=$(ufw status 2>/dev/null | head -1 || echo "unknown")
if echo "$ufw_status" | grep -q "active"; then
record_pass "ufw 防火牆已啟用"
else
record_fail "ufw 防火牆未啟用"
fi
elif command -v iptables &> /dev/null; then
# 直接使用 iptables 的 Linux 系統
local rules_count
rules_count=$(iptables -L -n 2>/dev/null | wc -l || echo "0")
if [[ "$rules_count" -gt 8 ]]; then
record_pass "iptables 已設定防火牆規則"
else
record_warn "iptables 規則數量較少,建議檢視防火牆設定"
fi
else
record_fail "未偵測到已安裝的防火牆軟體"
fi
fi
}
check_password_policy() {
# A.8.5 安全認證 - 檢查密碼政策設定
# 驗證系統密碼政策是否符合安全要求
print_section "A.8.5 安全認證 - 密碼政策檢查"
if [[ "$OSTYPE" == "darwin"* ]]; then
# macOS:檢查密碼政策設定
log_message "INFO" "檢查 macOS 密碼政策設定..."
local policy_info
policy_info=$(pwpolicy -getglobalpolicy 2>/dev/null || echo "無法取得政策")
if [[ "$policy_info" != "無法取得政策" ]]; then
log_message "INFO" "密碼政策已設定"
# 解析最小長度要求
if echo "$policy_info" | grep -q "minChars"; then
record_pass "已設定密碼最小長度要求"
else
record_warn "建議設定密碼最小長度要求"
fi
else
record_warn "無法取得系統密碼政策,可能需要管理員權限"
fi
elif [[ "$OSTYPE" == "linux"* ]]; then
# Linux:檢查 PAM 密碼品質設定
local pam_file="/etc/security/pwquality.conf"
if [[ -f "$pam_file" ]]; then
log_message "INFO" "檢查 $pam_file 設定..."
# 檢查密碼最小長度設定
if grep -q "^minlen" "$pam_file" 2>/dev/null; then
local min_len
min_len=$(grep "^minlen" "$pam_file" | cut -d= -f2 | tr -d ' ')
if [[ "$min_len" -ge 12 ]]; then
record_pass "密碼最小長度設定為 $min_len(符合建議值 12 以上)"
else
record_warn "密碼最小長度為 $min_len,建議設定為 12 以上"
fi
else
record_fail "未設定密碼最小長度"
fi
# 檢查密碼複雜度要求
if grep -q "^dcredit\|^ucredit\|^lcredit\|^ocredit" "$pam_file" 2>/dev/null; then
record_pass "已設定密碼複雜度要求"
else
record_warn "建議設定密碼複雜度要求(包含大小寫字母、數字、特殊字元)"
fi
else
record_warn "找不到 pwquality.conf 設定檔,可能使用其他密碼政策機制"
fi
# 檢查密碼過期設定
local login_defs="/etc/login.defs"
if [[ -f "$login_defs" ]]; then
local pass_max_days
pass_max_days=$(grep "^PASS_MAX_DAYS" "$login_defs" 2>/dev/null | awk '{print $2}' || echo "未設定")
if [[ "$pass_max_days" != "未設定" ]] && [[ "$pass_max_days" -le 90 ]]; then
record_pass "密碼最長有效期設定為 $pass_max_days 天"
else
record_warn "密碼最長有效期為 $pass_max_days 天,建議設定為 90 天以內"
fi
fi
fi
}
check_system_updates() {
# A.8.9 組態管理 - 檢查系統更新狀態
# 驗證作業系統與軟體套件是否維持最新狀態
print_section "A.8.9 組態管理 - 系統更新狀態檢查"
if [[ "$OSTYPE" == "darwin"* ]]; then
# macOS:檢查軟體更新狀態
log_message "INFO" "檢查 macOS 軟體更新狀態..."
local updates
updates=$(softwareupdate -l 2>&1)
if echo "$updates" | grep -q "No new software available"; then
record_pass "系統已是最新版本,無待安裝的更新"
else
local update_count
update_count=$(echo "$updates" | grep -c "^\*" 2>/dev/null || echo "0")
if [[ "$update_count" -gt 0 ]]; then
record_fail "發現 $update_count 個待安裝的更新,建議盡快更新"
log_message "INFO" "可用更新清單:"
echo "$updates" | grep "^\*" || true
else
record_pass "未發現重大待安裝更新"
fi
fi
# 檢查自動更新設定
local auto_update
auto_update=$(defaults read /Library/Preferences/com.apple.SoftwareUpdate AutomaticCheckEnabled 2>/dev/null || echo "0")
if [[ "$auto_update" == "1" ]]; then
record_pass "自動檢查更新功能已啟用"
else
record_warn "自動檢查更新功能未啟用,建議啟用"
fi
elif [[ "$OSTYPE" == "linux"* ]]; then
# Linux:根據發行版檢查套件更新
if command -v apt &> /dev/null; then
# Debian/Ubuntu 系列發行版
log_message "INFO" "檢查 APT 套件更新..."
# 更新套件清單
apt update -qq 2>/dev/null || true
# 計算可更新套件數量
local upgradable
upgradable=$(apt list --upgradable 2>/dev/null | grep -c "upgradable" || echo "0")
if [[ "$upgradable" -eq 0 ]]; then
record_pass "所有套件已是最新版本"
else
record_warn "發現 $upgradable 個可更新的套件"
fi
# 特別檢查安全性更新
local security_updates
security_updates=$(apt list --upgradable 2>/dev/null | grep -i "security" | wc -l || echo "0")
if [[ "$security_updates" -gt 0 ]]; then
record_fail "發現 $security_updates 個安全性更新待安裝,建議立即更新"
fi
elif command -v yum &> /dev/null; then
# RHEL/CentOS 系列發行版
log_message "INFO" "檢查 YUM 套件更新..."
local updates_count
updates_count=$(yum check-update 2>/dev/null | grep -c "^[a-zA-Z]" || echo "0")
if [[ "$updates_count" -eq 0 ]]; then
record_pass "所有套件已是最新版本"
else
record_warn "發現 $updates_count 個可更新的套件"
fi
fi
fi
}
check_audit_logging() {
# A.8.15 日誌記錄 - 檢查稽核日誌設定
# 驗證系統稽核日誌機制是否正確設定並運作
print_section "A.8.15 日誌記錄 - 稽核日誌設定檢查"
if [[ "$OSTYPE" == "darwin"* ]]; then
# macOS:檢查稽核設定
log_message "INFO" "檢查 macOS 稽核設定..."
# 檢查 auditd 服務是否運行
if launchctl list | grep -q "com.apple.auditd"; then
record_pass "auditd 稽核服務正在運行"
else
record_warn "auditd 稽核服務可能未運行"
fi
# 檢查稽核控制檔案
local audit_control="/etc/security/audit_control"
if [[ -f "$audit_control" ]]; then
record_pass "稽核控制檔案存在:$audit_control"
# 檢查日誌保留設定
if grep -q "^expire-after" "$audit_control" 2>/dev/null; then
local expire_setting
expire_setting=$(grep "^expire-after" "$audit_control" | cut -d: -f2)
log_message "INFO" "日誌過期設定:$expire_setting"
fi
else
record_fail "找不到稽核控制檔案"
fi
elif [[ "$OSTYPE" == "linux"* ]]; then
# Linux:檢查 auditd 設定
log_message "INFO" "檢查 Linux auditd 設定..."
# 檢查 auditd 服務狀態
if systemctl is-active --quiet auditd 2>/dev/null; then
record_pass "auditd 稽核服務正在運行"
elif service auditd status &>/dev/null; then
record_pass "auditd 稽核服務正在運行"
else
record_fail "auditd 稽核服務未運行,建議啟用稽核日誌"
fi
# 檢查稽核規則數量
if command -v auditctl &> /dev/null; then
local rules_count
rules_count=$(auditctl -l 2>/dev/null | wc -l || echo "0")
if [[ "$rules_count" -gt 5 ]]; then
record_pass "已設定 $rules_count 條稽核規則"
else
record_warn "稽核規則數量較少($rules_count),建議增加關鍵事件的稽核規則"
fi
fi
# 檢查 rsyslog 服務狀態
if systemctl is-active --quiet rsyslog 2>/dev/null; then
record_pass "rsyslog 系統日誌服務正在運行"
else
record_warn "rsyslog 服務未運行"
fi
fi
}
check_network_security() {
# A.8.20 網路安全 - 檢查網路安全設定
# 驗證系統網路安全相關設定是否符合安全要求
print_section "A.8.20 網路安全 - 網路設定檢查"
if [[ "$OSTYPE" == "linux"* ]]; then
log_message "INFO" "檢查 Linux 網路安全設定..."
# 檢查 IPv4 封包轉發是否停用
local ip_forward
ip_forward=$(cat /proc/sys/net/ipv4/ip_forward 2>/dev/null || echo "unknown")
if [[ "$ip_forward" == "0" ]]; then
record_pass "IPv4 封包轉發已停用"
else
record_warn "IPv4 封包轉發已啟用,除非作為路由器使用,否則建議停用"
fi
# 檢查 ICMP 重導向設定
local icmp_redirect
icmp_redirect=$(cat /proc/sys/net/ipv4/conf/all/accept_redirects 2>/dev/null || echo "unknown")
if [[ "$icmp_redirect" == "0" ]]; then
record_pass "ICMP 重導向已停用"
else
record_warn "ICMP 重導向已啟用,建議停用以防止中間人攻擊"
fi
# 檢查 SYN Cookie 保護設定
local syn_cookies
syn_cookies=$(cat /proc/sys/net/ipv4/tcp_syncookies 2>/dev/null || echo "unknown")
if [[ "$syn_cookies" == "1" ]]; then
record_pass "SYN Cookie 保護已啟用"
else
record_warn "SYN Cookie 保護未啟用,建議啟用以防止 SYN Flood 攻擊"
fi
elif [[ "$OSTYPE" == "darwin"* ]]; then
log_message "INFO" "檢查 macOS 網路安全設定..."
# 檢查 IPv4 封包轉發設定
local ip_forward
ip_forward=$(sysctl -n net.inet.ip.forwarding 2>/dev/null || echo "unknown")
if [[ "$ip_forward" == "0" ]]; then
record_pass "IPv4 封包轉發已停用"
else
record_warn "IPv4 封包轉發已啟用"
fi
fi
# 檢查網路監聽服務
log_message "INFO" "檢查網路監聽服務..."
if command -v netstat &> /dev/null; then
local listening_count
listening_count=$(netstat -an 2>/dev/null | grep -c "LISTEN" || echo "0")
log_message "INFO" "目前有 $listening_count 個服務正在監聽網路連線"
elif command -v ss &> /dev/null; then
local listening_count
listening_count=$(ss -ln 2>/dev/null | grep -c "LISTEN" || echo "0")
log_message "INFO" "目前有 $listening_count 個服務正在監聽網路連線"
fi
}
check_encryption_settings() {
# A.8.24 密碼學的使用 - 檢查加密設定
# 驗證系統加密機制是否正確設定
print_section "A.8.24 密碼學的使用 - 加密設定檢查"
# 檢查磁碟加密狀態
log_message "INFO" "檢查磁碟加密狀態..."
if [[ "$OSTYPE" == "darwin"* ]]; then
# macOS:檢查 FileVault 磁碟加密
local fv_status
fv_status=$(fdesetup status 2>/dev/null || echo "unknown")
if echo "$fv_status" | grep -q "FileVault is On"; then
record_pass "FileVault 磁碟加密已啟用"
else
record_fail "FileVault 磁碟加密未啟用,建議啟用以保護靜態資料"
fi
elif [[ "$OSTYPE" == "linux"* ]]; then
# Linux:檢查 LUKS 磁碟加密
if command -v lsblk &> /dev/null; then
local encrypted_volumes
encrypted_volumes=$(lsblk -o NAME,TYPE 2>/dev/null | grep -c "crypt" || echo "0")
if [[ "$encrypted_volumes" -gt 0 ]]; then
record_pass "偵測到 $encrypted_volumes 個加密磁碟區"
else
record_warn "未偵測到加密磁碟區,建議對敏感資料使用 LUKS 加密"
fi
fi
fi
# 檢查 SSH 加密設定
log_message "INFO" "檢查 SSH 加密設定..."
local ssh_config="/etc/ssh/sshd_config"
if [[ -f "$ssh_config" ]]; then
# 檢查加密演算法設定
if grep -q "^Ciphers" "$ssh_config" 2>/dev/null; then
local ciphers
ciphers=$(grep "^Ciphers" "$ssh_config" | head -1)
log_message "INFO" "SSH 加密演算法設定:$ciphers"
# 檢查是否包含已知的弱加密演算法
if echo "$ciphers" | grep -qi "arcfour\|3des\|blowfish"; then
record_warn "SSH 設定包含弱加密演算法,建議移除"
else
record_pass "SSH 未使用已知的弱加密演算法"
fi
else
record_warn "SSH 未明確指定加密演算法,建議設定強加密演算法清單"
fi
# 檢查 SSH 協定版本設定
if grep -q "^Protocol 2" "$ssh_config" 2>/dev/null || ! grep -q "^Protocol" "$ssh_config" 2>/dev/null; then
record_pass "SSH 使用安全的協定版本 2"
else
record_fail "SSH 可能允許使用舊版不安全協定,建議只允許 Protocol 2"
fi
else
log_message "INFO" "找不到 SSH 伺服器設定檔,可能未安裝 SSH 伺服器服務"
fi
}
# -----------------------------------------------------------------------------
# 報告產生函式
# 彙整所有檢查結果並產生摘要報告
# -----------------------------------------------------------------------------
generate_summary_report() {
# 產生檢查結果摘要報告
print_section "檢查結果摘要"
local total=$((PASS_COUNT + FAIL_COUNT + WARN_COUNT))
echo ""
echo "=========================================="
echo " ISMS 技術控制符合性檢查報告 "
echo "=========================================="
echo ""
echo "檢查時間:$(date '+%Y-%m-%d %H:%M:%S')"
echo "主機名稱:$(hostname)"
echo "作業系統:$OSTYPE"
echo ""
echo "------------------------------------------"
echo "檢查項目統計"
echo "------------------------------------------"
echo -e "通過項目:${GREEN}$PASS_COUNT${NC}"
echo -e "失敗項目:${RED}$FAIL_COUNT${NC}"
echo -e "警告項目:${YELLOW}$WARN_COUNT${NC}"
echo "檢查總數:$total"
echo ""
# 計算符合率
if [[ "$total" -gt 0 ]]; then
local compliance_rate
compliance_rate=$(echo "scale=1; $PASS_COUNT * 100 / $total" | bc)
echo "符合率:$compliance_rate%"
fi
echo ""
echo "詳細報告已儲存至:$REPORT_FILE"
echo "=========================================="
# 寫入報告檔案
{
echo ""
echo "=========================================="
echo " 檢查結果摘要 "
echo "=========================================="
echo "通過項目:$PASS_COUNT"
echo "失敗項目:$FAIL_COUNT"
echo "警告項目:$WARN_COUNT"
echo "檢查總數:$total"
echo "=========================================="
} >> "$REPORT_FILE"
}
# -----------------------------------------------------------------------------
# 主程式進入點
# 依序執行各項檢查並產生報告
# -----------------------------------------------------------------------------
main() {
# 初始化報告檔案,寫入標頭資訊
{
echo "=========================================="
echo "ISMS 技術控制符合性檢查報告"
echo "=========================================="
echo "產生時間:$(date '+%Y-%m-%d %H:%M:%S')"
echo "主機名稱:$(hostname)"
echo "作業系統:$OSTYPE"
echo ""
} > "$REPORT_FILE"
log_message "INFO" "開始執行 ISMS 技術控制符合性檢查..."
# 依序執行各項安全控制檢查
check_firewall_status
check_password_policy
check_system_updates
check_audit_logging
check_network_security
check_encryption_settings
# 產生檢查結果摘要報告
generate_summary_report
}
# 執行主程式
main "$@"
雲端運算技術的廣泛普及為資訊安全管理帶來全新的挑戰與機會。雲端環境特有的責任分擔運作模式、多租戶共享架構、資料跨境傳輸議題等特性,都需要特別的安全考量與對應的控制措施。ISO 27017 與 ISO 27018 標準以及美國聯邦風險與授權管理計畫 FedRAMP,為雲端服務的安全管理提供了重要的參考框架與實施指引。
ISO 27017 標準專門針對雲端服務環境提供資訊安全控制措施的實施指引,在 ISO 27002 既有控制措施的基礎上補充雲端運算特殊需求的額外指引內容。這份標準的核心價值在於明確界定雲端服務提供者與使用客戶之間的安全責任分工界線。在雲端環境中,部分安全責任由服務提供者承擔,部分則由客戶自行負責,責任的具體劃分取決於所採用的雲端服務模式。在基礎設施即服務模式下,客戶需要負責較大範圍的安全責任。在平台即服務模式下,責任開始向提供者方向傾斜。在軟體即服務模式下,提供者需要承擔大部分的安全責任。ISO 27017 協助雙方清楚理解各自應該承擔的責任範圍,避免在責任模糊地帶產生安全死角。
ISO 27018 標準則專門聚焦於公有雲環境中個人識別資訊的保護議題。這份標準建立在 ISO 27002 既有控制措施的基礎上,針對扮演個人資料處理者角色的雲端服務提供者,制定額外的控制目標與實施指引。標準的重點涵蓋資料處理的透明度揭露要求、客戶對其資料的控制權保障、資料可攜性權利的支援、資料保留期限與刪除程序規範,以及對政府機關資料存取要求的處理程序等重要議題。對於需要將個人資料儲存在雲端環境的組織而言,選擇符合 ISO 27018 標準的雲端服務提供者可以有效降低個人資料保護的合規風險。
@startuml
!define PLANTUML_FORMAT svg
!theme _none_
skinparam dpi auto
skinparam shadowing false
skinparam linetype ortho
skinparam roundcorner 5
skinparam defaultFontName "Microsoft JhengHei UI"
skinparam defaultFontSize 14
skinparam minClassWidth 100
title FedRAMP 雲端服務授權完整流程
|準備階段|
start
:雲端服務提供者評估準備度;
note right
自我評估是否具備
申請授權的條件
end note
:選擇授權途徑;
note right
機構途徑或
聯合授權委員會途徑
end note
if (選擇哪種途徑?) then (機構途徑)
|機構途徑流程|
:尋找發起機構;
note right
聯邦機構同意
作為授權發起者
end note
:建立夥伴關係;
note right
簽訂合作協議
明確責任分工
end note
else (JAB 途徑)
|JAB 途徑流程|
:提交 FedRAMP Connect 申請;
note right
向計畫管理辦公室
提交申請資料
end note
:等待優先順序排定;
note right
根據需求與準備度
決定處理順序
end note
endif
|準備就緒評估|
:聘請第三方評估組織;
note right
必須是 FedRAMP
認可的 3PAO
end note
:執行準備就緒評估;
note right
初步評估系統
安全控制實施狀態
end note
:編製準備就緒評估報告;
note right
記錄評估發現
與改善建議
end note
if (準備就緒評估通過?) then (通過)
|完整安全評估|
:實施所有必要控制措施;
note right
根據影響等級基準
實施安全控制
end note
:編製系統安全計畫;
note right
詳細記錄系統
與安全措施
end note
:執行完整安全評估;
note right
3PAO 驗證所有
控制措施有效性
end note
:編製安全評估報告;
note right
記錄測試結果
與發現事項
end note
:編製行動計畫與里程碑;
note right
針對未完全符合項目
說明矯正計畫
end note
|授權決定|
if (機構途徑?) then (是)
:發起機構審查套件;
:發起機構授予 ATO;
note right
營運授權
Authorization to Operate
end note
else (JAB 途徑)
:JAB 審查套件;
:JAB 授予 P-ATO;
note right
臨時營運授權
Provisional ATO
end note
endif
:提交至 FedRAMP 市場;
note right
列入授權服務清單
供其他機構採用
end note
|持續監控|
:建立持續監控程序;
note right
漏洞掃描與變更管理
事件回應
end note
:每月提交監控報告;
note right
向授權機構報告
安全狀態
end note
:年度安全評估;
note right
重新驗證
控制措施有效性
end note
if (維持符合性?) then (是)
:持續營運授權;
else (否)
:啟動矯正程序;
:可能撤銷授權;
endif
else (未通過)
:改善缺失事項;
:重新申請評估;
endif
stop
@enduml美國聯邦風險與授權管理計畫 FedRAMP 是美國聯邦政府建立的雲端服務安全評估與授權機制。這個計畫的設立目的是提供標準化的方法來評估雲端服務的安全性,讓聯邦政府各機關能夠更有效率地採用經過安全驗證的雲端服務。FedRAMP 的安全控制要求以 NIST SP 800-53 標準為基礎,並根據系統處理資料的敏感程度與影響等級,分為低度、中度與高度三個安全控制基準線,每個基準線包含不同數量與嚴格程度的安全控制要求。
FedRAMP 授權流程提供兩種不同的申請途徑供雲端服務提供者選擇。機構途徑是由特定的聯邦機構發起授權程序,該機構作為授權發起者與雲端服務提供者密切合作完成安全評估程序,評估通過後由該機構授予營運授權。聯合授權委員會途徑則由國防部、國土安全部與總務管理局三個機構組成的聯合委員會進行評估與授權,這種途徑取得的授權具有更廣泛的認可度,其他聯邦機構可以更容易地直接採用已獲得聯合授權的雲端服務。
NIST SP 800-53 是 FedRAMP 安全控制要求的基礎參考文件,這份標準提供聯邦資訊系統的安全與隱私控制措施完整目錄。最新的第五版將控制措施組織為二十個控制家族,涵蓋存取控制、稽核與歸責、組態管理、識別與鑑別、事件回應、系統與通訊保護等各個安全領域。每項控制措施都包含控制說明、補充指引內容、控制增強項目等詳細資訊,組織可以根據系統的安全分類等級選擇適當的控制基準線進行實施。
NIST SP 800-61 標準文件提供電腦安全事件處理的詳細指引,定義事件處理生命週期的四個主要階段。準備階段的工作包括建立事件處理能力、制定事件處理政策與程序、組建專業的事件回應團隊、準備必要的處理工具與資源設備。偵測與分析階段的工作包括持續監控安全事件、分析可疑的異常活動、判斷事件的性質類型與嚴重程度分級。遏制、根除與復原階段的工作包括控制事件的擴散範圍、消除威脅的根本原因、恢復受影響的系統與資料服務。事後活動階段的工作包括進行事件的檢討分析、記錄學習到的經驗教訓、實施改善預防措施以避免類似事件再次發生。
NIST SP 800-207 標準文件定義零信任架構的完整概念與實施方法指引,這份標準為組織從傳統邊界防護架構轉型到零信任架構提供清晰的規劃指引。標準詳細描述了零信任架構的核心技術元件,包括策略引擎、策略管理員、策略執行點等關鍵元件,並說明不同的部署模式選項與實施過程中的各項考量因素。這份標準對於正在規劃現代化資訊安全架構的組織具有重要的參考價值。
總結而言,資訊安全管理系統的規劃建置與 ISO 27001 認證取得,是企業強化資訊安全治理能力的重要里程碑成就。成功的關鍵因素在於高階管理層對資訊安全的持續支持與實際參與、系統化的風險管理方法論應用、適當控制措施的審慎選擇與確實實施,以及持續改善文化的建立與維護。隨著威脅環境的持續演變與新興技術的快速發展,組織需要持續關注零信任架構、雲端安全、隱私保護等新興重要議題,確保資訊安全管理系統能夠與時俱進,有效因應各種內外部的安全挑戰與威脅。透過本文介紹的國際標準框架與實務操作方法,企業可以建立堅實穩固的資訊安全管理基礎,妥善保護關鍵的資訊資產,並在日益複雜的數位營運環境中維持競爭優勢與永續發展。
