【正文】 (外部團(tuán)體 ) (聘雇之前 ) (聘雇期間 ) (聘雇終止或變更 ) (使用者存取管理 ) (遵守法要求 ) 作業(yè)控制之 8系統(tǒng)與資訊的完整性 (1).Windows 2023 Security Target (2).Writing Secure Code (ISBN:0735617228) (3).Active Directory (內(nèi)部組織 ) (防範(fàn)惡意碼與行動(dòng)碼 ) (網(wǎng)路安全管理 ) 附錄 1:資訊安全管理控制框架與 ISO/IEC 27001:2023(E)規(guī)範(fàn)性控制措施的對(duì)照，可符合相對(duì)應(yīng)微軟資訊安全管理之產(chǎn)品與文件資源（續(xù)） 48 對(duì)應(yīng)微軟資訊安全管理 之產(chǎn)品 /文件資源 ISO/IEC 17799:2023(E) 控制措施節(jié)碼 作業(yè)控制之 8系統(tǒng)與資訊的完整性 (4).Microsoft Inter Security and Acceleration Server (5).Microsoft Operations Manager (6).Microsoft System Management Server (7).Security Configuration Wizard. (處理媒體 ) (監(jiān)控 ) (應(yīng)用系統(tǒng)的正確處理 ) (系統(tǒng)檔案的安全 ) (開(kāi)發(fā)及支援作業(yè)的安全 ) (技術(shù)脆弱性管理 ) 意外控制之 1意外規(guī)劃 (1).Inside Windows Server 2023 (ISBN 0735711585). (2).Security Planning Disaster Recovery (007 2224630). (3).Outsourcing Information Security (1580535313) (資訊安全政策 ) (系統(tǒng)規(guī)劃與驗(yàn)收 ) (防範(fàn)惡意碼與行動(dòng)碼 ) (備份 ) (資訊交換 ) (行動(dòng)式電腦作業(yè)與遠(yuǎn)距工作 ) (營(yíng)運(yùn)持續(xù)管理 ) (營(yíng)運(yùn)持續(xù)管理符合性 ) 附錄 1:資訊安全管理控制框架與 ISO/IEC 27001:2023(E)規(guī)範(fàn)性控制措施的對(duì)照，可符合相對(duì)應(yīng)微軟資訊安全管理之產(chǎn)品與文件資源（續(xù)） 49 對(duì)應(yīng)微軟資訊安全管理 之產(chǎn)品 /文件資源 ISO/IEC 17799:2023(E) 控制措施節(jié)碼 意外控制之 2脆弱性管理 (1). MBSA (2). Microsoft Operation Management (3). Microsoft Response Center (4). Security Planning Disaster Recovery (0072224630) (5). Windows Server System Reference Architecture. (資訊安全政策 ) (外部團(tuán)體 ) (防範(fàn)惡意碼與行動(dòng)碼 ) (通報(bào)安全事件與弱點(diǎn) ) (管理安全事故與改善 ) (營(yíng)運(yùn)持續(xù)管理 ) (遵守法規(guī)要求 ) 技術(shù)控制之 1存取控制 (1).AD： Tree； ； (2).IPSEC (3).FireWall (4).ISA (5).Security Policy (6).Event Viewer – Security (7).各 Service log,ex. SQL–error log file, IIS log (8).DNS (外部團(tuán)體 ) (聘雇終止或變更 ) (安全區(qū)域作業(yè)程序與責(zé)任 ) (網(wǎng)路安全管理 ) (監(jiān)控 ) (存取控制的營(yíng)運(yùn)要求 ) (使用者存取管理 ) 附錄 1:資訊安全管理控制框架與 ISO/IEC 27001:2023(E)規(guī)範(fàn)性控制措施的對(duì)照，可符合相對(duì)應(yīng)微軟資訊安全管理之產(chǎn)品與文件資源（續(xù)） 50 對(duì)應(yīng)微軟資訊安全管理 之產(chǎn)品 /文件資源 ISO/IEC 17799:2023(E) 控制措施節(jié)碼 技術(shù)控制之 1存取控制 (9).Kerberos (10).Active Directory (11).Encrypted File System (12).SSL/TLS (13).Smart Card (網(wǎng)路取控制 ) (作業(yè)系統(tǒng)存取控制 ) 技術(shù)控制之 2稽核與可歸責(zé)性 (1).XML (2).SMTP (3).POP3 (4).ED (5).P2P (6).Event viewer – Application,system, Security, DNS. (7).MOM (8).Time Service. (9).Active Directory. (10).Delegated dministration. (11).Auditing Improvement. (資訊交換 ) (電子商務(wù)服務(wù) ) (監(jiān)控 ) (密碼控制措施 ) (管理資訊安全事故與改善 ) (遵守法規(guī)要求 ) (資訊系統(tǒng)稽核的考量 ) 附錄 1:資訊安全管理控制框架與 ISO/IEC 27001:2023(E)規(guī)範(fàn)性控制措施的對(duì)照，可符合相對(duì)應(yīng)微軟資訊安全管理之產(chǎn)品與文件資源（續(xù)） 51 對(duì)應(yīng)微軟資訊安全管理 之產(chǎn)品 /文件資源 ISO/IEC 17799:2023(E) 控制措施節(jié)碼 技術(shù)控制之 3識(shí)別與鑑別 (1).AD (2).Security Policy 設(shè)定 (3).Radius (4).Terminal Service (5).RAS (Remote Access Service) (6).Kerberos (7).NTFS Security (8).Active Directory (9).Smart Cards (10).SSL/TLS (11).Inter Authentication Server (特權(quán)管理 ) (網(wǎng)路存取控制 ) (作業(yè)系統(tǒng)存取控制 ) 技術(shù)控制之 4系統(tǒng)與通訊保護(hù) (1).SMS (2).WUS(Windows Update Service) (3).IPSec. (4).DHCP (5).NTFS security (6).Exchange Server (7).SMTP (8).Communication Service (9).BizTalk Server (10).Small Business Server (12).DNS (13).Radius (14).Firewall (15).Userproperties (16).Local security policy (17).CAPKI (18).Active Directory (19).Encrypted File System (20).Inter Authentication Service (21).IPSec / L2TP / PPTP (22).Kerberos (23).Security Configuration (24).SSL / TLS. (資產(chǎn)分類(lèi) ) (防範(fàn)惡意碼與行動(dòng)碼 ) (網(wǎng)路安全管理 ) (處理媒體 ) (資訊交換 ) (電子商務(wù)服務(wù) ) (網(wǎng)路存取控制 ) (作業(yè)系統(tǒng)存取控制 ) (密碼控制措施 ) (管理資訊安全事故與改善 ) (遵守法規(guī)要求 ) 附錄 1:資訊安全管理控制框架與 ISO/IEC 27001:2023(E)規(guī)範(fàn)性控制措施的對(duì)照，可符合相對(duì)應(yīng)微軟資訊安全管理之產(chǎn)品與文件資源（續(xù)） 52 附錄 2:資訊安全管理系統(tǒng)技術(shù)性控制措施之說(shuō)明 與實(shí)作－以 Microsoft修補(bǔ)程式作業(yè)為例 技術(shù)脆弱性管理 目標(biāo)：降低來(lái)自於利用已公佈的技術(shù)脆弱性導(dǎo)致的風(fēng)險(xiǎn)。 2. 偵測(cè)與回應(yīng)。 ，完成期尚待決定。 架構(gòu)設(shè)計(jì)正當(dāng)化 (ADV_ARC_(EXP).1)。 脆弱性評(píng)鑑：中度抵抗的 ()。 34 中強(qiáng)健級(jí)保護(hù)剖繪 1. 保證組件 (已有 )： EAL4。 33 基礎(chǔ)強(qiáng)健級(jí)保護(hù)剖繪 1. 保證組件： EAL2。 ： 衝擊 威脅成真之後果 、 32 CNS 154083 (ISO/IEC 154083)脆弱性評(píng)鑑類(lèi)別之脆弱性分析 (AVA_VLA)屬別 ：發(fā)展者脆弱性分析 (EAL2與EAL3)。 30 美國(guó) CA過(guò)程計(jì)畫(huà)之安全控制選擇 與實(shí)作的攻擊者資源分類(lèi)示意 低 中 高 攻擊者 個(gè)體戶(hù) 有組織的團(tuán)體 涉及國(guó)家之組織與團(tuán)體 （例：網(wǎng)軍） 預(yù)算 ≦ . $1,000,000 ≦ . $10,000,000 ＞ . $10,000,000 技能 自學(xué) 有計(jì)畫(huà)之訓(xùn)練 有計(jì)畫(huà)與控制之訓(xùn)練 說(shuō)明 :CA : Certification and Accreditation 31 資訊系統(tǒng)安全風(fēng)險(xiǎn)關(guān)連圖示意 攻擊手 使用 工具 / 技術(shù) / 方法 威脅等級(jí) ： 條件 威脅成真之條件 ： 對(duì)策 1 、 。 潛在脆弱性開(kāi)採(cǎi)類(lèi)別 (Attempted Exploitation of Potential Vulnerabilities，簡(jiǎn)稱(chēng) PAV)之 屬別 (Families)與組件 (Components) 25 潛在入侵 (Attack Potential)計(jì)算對(duì)照表 ( * 代表超越高度困難之潛在入侵， **代表幾不存在可開(kāi)採(cǎi)之潛在入侵路徑 ) 因素 範(fàn)圍 鑑別參考值 小於一天 0 小於一週 1 小於一個(gè)月 4 小於三個(gè)月 13 大於三個(gè)月 26 不切實(shí)際 * 門(mén)外漢 0 熟練者 2 專(zhuān)家 5 公開(kāi) 0 內(nèi)部資訊 1 敏感資訊 4 關(guān)鍵資訊 10 不需要 /存取不受限制 0 容易 1 適度 4 困難 12 無(wú) ** 標(biāo)準(zhǔn)的 0 特殊的 3 特製的 7 資料來(lái)源： ISO/IEC JTC 1/SC 27 WG 3 (2023) ISO/IEC WD 18045： 2023(E) 。 2. 專(zhuān)業(yè)技能需求 (Specialist technical expertise required，簡(jiǎn)稱(chēng) PAV_STE)：3組件。 5. 2023年 01月：無(wú)共同準(zhǔn)則 (ISO/IEC 15408:1999(E))之評(píng)估。20231. I S O/ I E C 15408 (C C 2. 3)2. I S O/ I E C 18045 (C E M 2. 3)3. CEM 3. 021 共同準(zhǔn)則 (ISO/IEC 15408:2023(E)?與 ISO/IEC 18045:2023(E)?)預(yù)定時(shí)程 1. 2023年 07月 04日：共同準(zhǔn)則 始。 6. 處理所報(bào)告之安全缺點(diǎn)的程序，應(yīng)提供對(duì)這些安全缺點(diǎn)的任何更正措施不衍生任何新缺點(diǎn)之安全警衛(wèi)。 2. 缺點(diǎn)修補(bǔ)程序應(yīng)需要提供描述每一安全缺點(diǎn)的本質(zhì)和效應(yīng)，以及發(fā)現(xiàn)校正的狀態(tài)到有缺點(diǎn)。 4. 可用性 (Availability)： 已授權(quán)實(shí)體在需要時(shí)可存取與使用之特性。 可歸責(zé)性 (Accountability)： 確保實(shí)體之行為可唯一追溯到該實(shí)體的特性。 參考資料： IRCA/299/05/01 ： 20231209 ，暨作者自行整理。 4. ISO/IEC 27003： 資訊安全管理系統(tǒng)實(shí)作指引 (Information security