針對軟硬體服務登入的密碼長度、密碼複雜度、強制密碼變更週期,以及在網路管理上使用2層或3層的AES加密方式、關閉非必要的服務埠、啟用MAC位置過濾、啟用黑名單管控並設定log紀錄這些要求,在舊版ISO27001:2013中散見於A.9、A.12、A.13等章節當中。
未來在新版的ISO27001:2022的A.8.9組態管理 (Configuration management)將針對前述所謂軟硬體、服務、網路等安全配置與設定,做一次性的要求。
首先會需要組織由外部參考公開的操作指引,比如行政院國家資通安全會報技術服務中心定期更新的組態基準(GCB),或是在承接微軟、Meta等跨國企業時被要求的安全基準Security Baseline,從內部的資訊安全政策、設備的可用性及適用性,通盤考量建置一套樣板。
再者透過自動化、人工定期抽查等方式監控當前組態是否符合樣板,並予以妥善管理;這當中,最重要的概念在於變更管理,所有的軟硬體、網路、服務的變更,都必須考量到原先所設置的組態基準是否適用,乃至於是否影響到其他設備與服務的組態也需一併考量進來。