關閉選單
  1. Home
  2. NEWS最新消息
顯示分類
2025.07.26
案例與專題/技術指南
對組態管理有具體要求的15個標準、框架和模型
組態管理(Configuration Management, CM)是確保系統、軟體和基礎設施在其生命週期內保持完整性、一致性和可控性的關鍵過程,ISO 27001在2022年版在資訊安全控制措施中,規範的組態管理的要求。組態管理在資訊科技、網路安全、軟體開發和工程領域廣泛應用,不同領域的作業與管理需要,或多或少對組態管理的政策 (policy)、過程 (process)、程序 (procedure)及記錄,有類似卻又存在差異的規範和要求,本文整理出對組態管理有具體要求的15個標準、框架和模型資料,提供參考。


01-ISO/IEC 27001:2022 - 資訊安全管理系統(ISMS)

  1. 組態管理相關性:
  2. 描述:國際標準,用於建立、實施、維護和改進資訊安全管理系統。
  • 要求定義管理系統組態的流程以保護資訊資產(條款8.1:營運規劃與控制)。
  • 強制記錄和控制組態變更,防止未授權修改(附錄A.8.19:組態管理,取代A.12.1.2)。
  • 要求組態基準和變更記錄以進行審計。
  1. 主要要求:
  • 建立系統組態基準。
  • 記錄和控制組態變更。
  • 維護組態狀態記錄和審計追蹤。
  1. 驗證:通過內部審計和認證機構的認證審計進行驗證。
  2. 備註修正:將「附錄A.12.1.2」更新為「附錄A.8.19:組態管理」,這是ISO 27002:2022(作為ISO 27001:2022的控制措施參考)中的控制項編號。


02-NIST SP 800-53 Rev. 5 - 資訊系統與組織的安全與隱私控制

  1. 描述:美國國家標準與技術研究院(NIST)提供的安全與隱私控制框架,廣泛應用於聯邦和私營部門。
  2. 組態管理相關性:
  • CM-1控制:要求正式的組態管理政策和程序。
  • CM-2控制:要求建立和維護組態基準。
  • CM-3控制:要求追蹤、審查和批准組態變更,並保留審計記錄。
  1. 主要要求:
  • 記錄組態管理政策和程序。
  • 組態變更控制流程需有批准機制。
  • 維護組態基準、變更和審計記錄。
  1. 驗證:通過安全評估、持續監控和組態記錄證據進行驗證。


03-ITIL 4 - 資訊科技服務管理

  1. 描述:全球公認的IT服務管理框架,專注於通過管理良好的IT服務提供價值。
  2. 組態管理相關性:
  • 服務組態管理(Service Configuration Management)實務明確定義管理組態項(CI)的流程。
  • 要求維護組態管理系統(CMS)以追蹤CI及其關係。
  • 強調準確的組態記錄以支持服務交付和事件解決。
  1. 主要要求:
  • 定義並記錄CI(硬體、軟體、文件等)。
  • 維護包含組態記錄的CMS。
  • 將變更控制流程與組態管理整合。
  1. 驗證:通過服務管理審計和CMS準確性檢查進行驗證。
  2. 備註修正:「服務資產與組態管理(SACM)」是ITIL v3的概念,在ITIL 4中已演進為獨立的「服務組態管理(Service Configuration Management)」實踐。


04-CMMI V2.0 - 能力成熟度模型整合

  1. 描述:用於組織改進開發、維護和運營流程的框架。
  2. 組態管理相關性:
  • 組態管理過程領域(PAs)要求通過組態識別、控制、狀態記錄和審計來維護工作產品的完整性。在CMMI V2.0中,組態管理能力被整合到特定實踐中,不再是單獨的過程領域,但其核心要求不變。
  • 要求記錄組態管理程序和組態基準與變更記錄。
  1. 主要要求:
  • 建立產品和服務的組態基準。
  • 實施具有可追溯性的變更控制流程。
  • 維護組態狀態記錄並進行審計。
  1. 驗證:通過評估(例如SCAMPI)驗證組態管理流程的實施和記錄。
  2. 備註修正:在CMMI V2.0中,原先CMMI V1.3的過程領域概念有所調整,組態管理能力被整合到多個實踐中,但其核心功能要求仍強烈存在。


05-IEEE 828-2012 - 系統與軟體工程組態管理標準

  1. 描述:IEEE標準,為系統和軟體工程提供全面的組態管理框架。
  2. 組態管理相關性:
  • 定義組態識別、控制、狀態記錄和審計的組態管理流程。
  • 要求管理組態項及其文件的詳細程序。
  • 強制記錄以確保可追溯性和驗證。
  1. 主要要求:
  • 識別和記錄組態項(CI)。
  • 建立組態控制委員會(CCB)以批准變更。
  • 維護組態變更和審計結果的記錄。
  1. 驗證:通過功能和物理組態審計及文件審查進行驗證。


06-ISO/IEC 20000-1:2018 - 資訊科技服務管理

  1. 描述:國際標準,專注於提供高品質的IT服務管理。
  2. 組態管理相關性:
  • 要求組態管理流程以管理服務資產和組態項(條款8.2.6:組態管理)。
  • 強制在組態管理資料庫(CMDB)中維護準確的組態記錄。
  • 將組態管理與變更管理整合以確保服務可靠性。
  1. 主要要求:
  • 記錄和管理組態項的生命週期。
  • 維護包含組態記錄和關係的CMDB。
  • 通過定期審計驗證組態。
  1. 驗證:通過認證審計和CMDB準確性檢查進行驗證。


07-CIS Controls V8 - 關鍵安全控制

  1. 描述:由網路安全中心(CIS)開發的優先級網路安全最佳實踐。
  2. 組態管理相關性:
  • 控制1:企業資產清單與控制(取代V7.1的控制2),要求維護所有硬體和軟體資產的清單。
  • 控制5:安全組態(取代V7.1的控制11),要求硬體和軟體的安全組態基準。
  • 要求記錄組態和變更。
  1. 主要要求:
  • 建立和維護安全組態基準。
  • 記錄和追蹤組態變更。
  • 通過定期審查和審計驗證組態。
  1. 驗證:通過安全評估和組態審查進行驗證。
  2. 備註修正:CIS Controls V8中的控制編號有所調整,原先的控制2和11已演變為控制1和控制5。


08-COBIT 2019 - 資訊與相關技術控制目標

  1. 描述:IT治理與管理框架,專注於將IT與業務目標對齊。
  2. 組態管理相關性:APO10(管理組態):更直接地定義了管理組態資訊的過程,取代了COBIT 5中的DSS05.05部分功能。
  • 強調變更控制和組態記錄。
  • 要求記錄以支持審計和合規。
  1. 主要要求:
  • 維護IT資產的組態儲存庫。
  • 將變更管理流程與組態管理整合。
  • 記錄組態狀態和變更。
  1. 驗證:通過治理審計和組態管理審查進行驗證。
  2. 備註修正:COBIT 2019中,流程名稱和編號有新的命名規則,組態管理更直接地體現在「管理組態(APO10)」中。


09-EIA-649-B - 國家組態管理共識標準

  1. 描述:美國組態管理標準,廣泛應用於工程和國防領域。
  2. 組態管理相關性:
  • 定義五個核心組態管理功能:識別、控制、狀態記錄、驗證和審計。
  • 要求正式的組態管理程序和記錄。
  • 強調組態變更的可追溯性和審計能力。
  1. 主要要求:
  • 建立組態識別和控制流程。
  • 維護組態狀態記錄。
  • 進行組態審計以驗證合規性。
  1. 驗證:通過組態審計和文件審查進行驗證。


10-PCI DSS V4.0 - 支付卡產業資料安全標準

  1. 描述:處理支付卡資料的組織的安全標準。
  2. 組態管理相關性:
  • 要求2:要求保護持卡人資料的系統安全組態。
  • 要求6:要求維護安全系統和應用,包括組態管理。
  • 要求記錄組態和變更控制流程。
  1. 主要要求:
  • 維護安全組態標準(例如禁用不必要服務)。
  • 記錄和追蹤組態變更。
  • 定期進行組態審查和審計。
  1. 驗證:通過年度評估和季度漏洞掃描進行驗證。


11-ISO 10007:2017 - 品質管理 - 組態管理指南

  1. 描述:國際標準,提供組態管理的品質管理指南。
  2. 組態管理相關性:
  • 提供組態管理的結構化方法,包括識別、控制、狀態記錄和審計。
  • 要求記錄組態項的變更和狀態。
  1. 主要要求:
  • 定義組態管理計劃。
  • 記錄組態變更和審計結果。
  • 確保組態項的可追溯性。
  1. 驗證:通過品質管理審計和記錄審查進行驗證。


12-MIL-STD-3046 - 美國國防部組態管理標準

  1. 描述:美國國防部用於軍事項目的組態管理標準。
  2. 組態管理相關性:
  • 要求全面的組態管理流程,包括識別、控制、狀態記錄和審計。
  • 強制記錄組態基準和變更。
  1. 主要要求:
  • 建立組態基準和控制程序。
  • 維護組態狀態記錄。
  • 進行功能和物理組態審計。
  1. 驗證:通過軍事審計和組態記錄檢查進行驗證。


13-TOGAF 9.2 - 企業架構框架

  1. 描述:開放群組架構框架,用於企業架構設計和管理。
  2. 組態管理相關性:
  • 要求在企業架構中實施組態管理以支持IT資產管理。
  • 強調記錄和控制架構組態。
  1. 主要要求:
  • 定義和記錄架構組態項。
  • 實施變更控制流程。
  • 維護組態記錄以支持架構治理。
  1. 驗證:通過架構治理審查和組態記錄驗證。


14-SAE AS9100D - 航空航太品質管理系統

  1. 描述:航空航太產業的品質管理標準,基於ISO 9001。
  2. 組態管理相關性:
  • 要求組態管理以確保產品符合要求(條款8.1.3:營運規劃與控制)。
  • 強制記錄組態基準和變更。
  1. 主要要求:
  • 建立產品組態基準。
  • 實施變更控制流程。
  • 維護組態記錄和審計結果。
  1. 驗證:通過品質審計和組態記錄檢查進行驗證。


15-FedRAMP - 聯邦風險與授權管理計劃

  1. 描述:美國聯邦政府用於雲服務安全的標準化框架。
  2. 組態管理相關性:
  • 要求雲服務提供者實施組態管理以確保安全(基於NIST SP 800-53的CM控制)。
  • 強制記錄組態基準和變更。
  1. 主要要求:
  • 建立和維護安全組態基準。
  • 記錄和追蹤組態變更。
  • 進行組態審計以確保合規。
  1. 驗證:通過第三方評估和持續監控進行驗證。


總結

  1. 標準和框架共同特性:這些標準和框架共同強調:
  • 定義流程:需要正式的組態管理政策、程序和工作流程,涵蓋組態識別、控制(包括變更控制)、狀態記錄和審計。
  • 記錄要求:必須維護準確的組態基準、詳細的變更記錄、發布歷史和審計追蹤,以確保可追溯性、責任性和合規性。
  • 驗證方法:透過定期審計、評估、審查和組態基準符合性檢查來驗證組態管理的實施和其合規性。
  • 記錄重點:詳細記錄組態、變更和批准過程以確保可追溯性和責任性,這對於資安事件調查、恢復和合規性審計至關重要。
  1. 備註:
  • 行業適用性:ISO/IEC 27001、NIST SP 800-53和CIS Controls廣泛應用於網路安全;ITIL和ISO/IEC 20000專注於IT服務管理;CMMI和IEEE 828適用於軟體和系統工程;EIA-649和MIL-STD-3046用於國防和工程;PCI DSS適用於支付卡安全;FedRAMP專注於雲服務。
  • 驗證方法:大多數標準要求通過審計、組態審查和記錄證據驗證合規性。
  • 客製化:組織可根據需求客製化這些框架,但必須遵守其核心的流程和記錄要求。
提醒事項:組態管理的範疇廣泛,相關規範文件與時俱進,本文是根據台灣應用軟件在不同領域的組態管理經驗,應用多個不同AI工具彙總整理後分享,其目的是提供有需要的讀者找尋細部資料的方向。報告內容不提供嚴謹資料正確性和完整性的整理結果,個別標準、模型與框架可能存在內容、時間、版本、對應條文的正確性和完整性的限制,讀者應自行獲取有關標準、模型與框架原文,確保獲取正確和完整的組態管理資訊。讀者有需要更進一步的服務,可以聯繫台灣應用軟件公司。