承接美國聯邦政府標案的企業,或下游承包商,都可能被要求要通過NIST SP 800-171 R2 這套資安標準,這是一套由隸屬美國商務部的美國國家標準暨技術研究院(NIST)所制定的資安標準,有存取控制、意識和培訓、稽核與問責等14個領域,分為基本要求/衍生性要求2大類,共110個要求。
自2023年1月1日起,本公司將正式引進NIST SP 800-171稽核服務,建議客戶在ISO27001的基礎上選用本項服務,我們會以增加稽核人天數安排,提供完整的稽核報告、圖像化資料,讓客戶被上游、美國政府機關要求時,直接拿出資料回應。
以下摘整NIST SP 800-171 R2的基本要求,先堵為快:
一、存取控制Access Control
將系統訪問權限,限制在授權用戶、代表授權用戶的服務、進程和設備(包括其他系統)。
二、意識和培訓Awareness and Training
1、確保組織系統的經理、系統管理員、用戶了解與其活動相關的安全風險以及與這些系統安全相關的適用政策、標準和程序;
2、確保人員經過培訓,能夠履行分配給他們的與資訊安全相關的職責和責任。
三、稽核與問責Audit and Accountability
在必要的範圍內創建和保留系統稽核日誌和記錄,以便能夠監控、分析、調查和報告非法或未經授權的系統活動確保單個系統用戶的行為可以被個別追溯。
四、配置管理Configuration Management
1、在整個系統開發生命週期中,建立和維護組織系統(包括硬件、軟體、韌體和文件)的基線配置和清單;
2、為組織系統中使用的資訊技術產品建立和實施安全配置設置。
五、身分識別和鑑別Identification and Authentication
1、識別系統用戶、代表用戶的進程和設備;
2、將其作為允許訪問組織系統的先決條件。
六、資安事件應變Incident response
1、為組織系統建立運營事件處理能力,包括準備、檢測、分析、遏制、恢復和用戶響應活動;
2、跟踪、記錄事件並將其報告給組織內部和外部的指定官員和/或有關當局。
七、維護Maintenance
1、對組織系統進行維護;
2、提供對用於進行系統維護的工具、技術、機制和人員的控制。
八、媒體保護Media Protection
1、保護(即物理控制和安全存儲)包含機敏資料的系統介質,包括紙本和電子;
2、在處理或釋放以供重複使用之前,對包含機敏資料CUI的系統介質進行抹除或銷毀。
九、人員安全Personnel Security
1、在個人授權訪問包含機敏資料CUI的組織系統之前,對其進行背景調查、篩選;
2、確保包含機敏資料CUI的系統在終止和轉移等人事行動期間和之後受到保護。
十、實體保護Physical Protection
1、將對組織系統、設備和相應操作環境的實體訪問限制為經授權之個人;
2、保護和監控組織系統的實體設施和支持基礎設施。
十一、風險評估Risk Assessment
定期評估組織運營(包括使命、職能、形象或聲譽)、組織資產和個人的風險,這些風險是由組織系統的運營和機敏資料CUI的相關處理、存儲或傳輸引起的。
十二、安全評估Security Assessment
定期評估、持續監控組織系統中的安全控制,以確定這些控制在其應用中是否有效。
十三、系統和通訊保護System and Communications Protection
1、在組織系統的外部邊界和關鍵內部邊界監視、控制和保護通訊(即組織系統傳輸或接收的資訊)
2、採用架構設計、軟體開發技術和系統工程原則,以促進組織系統內的有效資訊安全。
十四、系統和資訊完整性System and Information Integrity
1、及時發現、報告和糾正系統缺陷;在組織系統內的指定位置防範惡意程式碼;
2、監控系統安全警報和建議並採取響應措施。
未來,貴客戶只需要在本公司官網的驗證報價電子表單,勾選NIST 800-171要求,我們就會在服務內容中規畫相關報價;若對NIST 800-171稽核驗證有個別需求,也歡迎另外來信詢問。
Commenti