ISO/IEC 27001 : 2022 附录 A 8.16 监测活动
ISO 27001:2022 附录 A 8.16 的目的是什么?
网络监控对于任何成功的 IT 支持和信息安全运营都至关重要。
组织需要实施端到端的信息安全和事件解决策略,通过促进主动监控方法,在事件发生之前预防事件并协调反应性工作,从而满足每一个要求。
谁拥有附录 A 8.16 的所有权?
附录A中的控制8.16涉及使用系统管理员访问执行的ICT操作,并受网络管理和维护保护。
因此,IT 主管或组织中的同等人员应负责 ISO 27001 附录 A 控制 8.16。
ISO 27001:2022 附录 A 8.16 合规指南
一般来说,监控应根据监管要求和现行法律进行,并根据公司的保留政策保留任何记录。
在向所有相关人员报告疑似事件的同时,应实施以下程序(见附录A控制5.25):
审计。
安全和风险评估。
漏洞扫描。
监测。
组织的监控计划应包括以下要素:
进出应用程序的流量,包括入站和出站。
对业务运营至关重要的平台,包括(但不限于):
系统。
服务器。
网络硬件。
监控系统本身。
配置文件
来自安全设备和软件平台的事件日志。
代码检查以确保任何可执行程序都是授权的和无脾气的。
使用计算、存储和网络资源。
行为分析指南
为了识别网络中的异常行为,组织应深入了解常规用户活动和网络行为,包括:
进程和应用程序突然关闭或终止。
源自或源自有问题的 IP 地址或外部域的网络流量。
业界熟知的入侵方法(例如DDoS攻击)。
恶意系统行为(例如键盘记录)。
网络瓶颈或高延迟或 ping。
未经授权或解释访问或扫描数据、域和应用程序。
任何访问业务关键型 ICT 资源(例如域控制器、DNS 服务器、文件服务器和 Web 门户)的尝试。
为了建立一个令人满意的基线,组织应该在正常工作时间内监控其网络的使用情况和访问时间。
关于监视工具的指南
组织应通过采用针对其日常处理的网络类型和流量量身定制的专用监控工具来优化其监控工作。
监视工具应能够执行以下功能:
处理大量监视数据的能力。
对可疑数据、使用模式和用户行为以及一次性活动做出反应。
监控风险级别的任何变化,并相应地修改监控活动。
通过主动警报实时通知组织异常活动,并将误报数量降至最低(见附录 A 控制 5.26)。
依靠应用程序的冗余来保持持续的监视操作,以保持足够的监视级别。
安全监控指南
监控安全性应通过以下方式进行优化:
使用专用的威胁情报系统(见附录 A 控制 5.7)和入侵检测系统。
机器学习平台的使用。
IP 管理平台和邮件安全软件支持白名单、黑名单、黑名单和白名单。
将日志记录和监视活动集成到单个端到端流程中。
致力于检测和预防众所周知的入侵方法和恶意活动,例如使用僵尸网络或拒绝服务攻击。
