科技的進步為社會帶來快速變遷與便利性,同時衍生「資訊安全」這項課題。企業在推動資安防護管理上,普遍採用國際資訊安全管理標準ISO 27001,提供在管理與執行層面上遵循與稽核的方向。現行版本ISO 27001:2013已使用9年,而ISO 27002:2022也已於2月發布新版,官方預計於今年推出最新版,在新版推出前一起來複習ISO 27001認證重點吧!
ISO 27001 資訊安全管理系統(Information Security Management System,ISMS),共包含2套標準:
- ISO 27001:2013:資訊安全管理系統:要求 (Information technology-Security techniques- Information security management systems- Requirements),可供實際驗證。
- ISO 27002:2022:資訊安全管理系統:指南、一般原則 (Information technology-Security techniques — Code of practice for information security controls),完全對應ISO27001:2013的附錄A,包含具體的指引參考,提供實踐最佳方式。
ISO/ IEC 27001系列改版歷程
新版 ISO/ IEC 27002改版重點
從架構來看,新版ISO/IEC 27002 在管控項目數量上減少,新版透過管控類型的聚焦取代堆疊式的規範,進而強化企業在資訊安全管控上的有效性。
一、標題命名更改:
以ISO 27001:2013為例,其採用的名稱為「資訊科技—安全技術—資訊安全管理系統—要求」,將改為「資訊安全、網路安全及隱私保護」,英文全名是「Information Security, Cybersecurity and Privacy protection」。新版標準在涵蓋廣度將增加資訊安全、網路安全與隱私的保護,以更符合現代的資安管理需求。
二、變動與新增控制要求的內容:
新版ISO/IEC 27002 之管控項目從原先的114個控制項降為 93 個控制項,其中包含新增 11 項新控制。將管控項目大幅度的打散重整並新增強化資安管控有效性,再調整不適用當前環境的內容。
新版劃分四大主題闡述管控重點,分別為組織控制(organizational,37控制項)、人員控制(poople,8控制項)、實體控制(physical,14控制項) 、技術控制(technological,34控制項)共 93 個控制項。管控項目集中在組織及技術兩大面向上,而人員及實體主要延續至 2013年版內容之A7人力資源及 A11實體與環境安全。
新版將控制措施有了更好的整併,因此內容更為廣泛與深入,也更符合現在所有企業面臨的風險,用更宏觀的角度來看待這些控制措施的運用。
三、新定義5類屬性,使組織更有效運用控制措施:
控制要求原先主要連結資訊安全三要素:機密性、完整性與可用性(CIA),新定義則是讓每一個控制要求關聯到5個不同定義的屬性值,有助於搜尋與過濾分類。
這5種新出現的控制屬性分別是:
- 控制類型(Control Types):威脅發生前中後保護、偵測與矯正等
- 資安特性(Information Security Properties):機密性、完整性與可用性(CIA)
- 網路安全(Cybersecurity oncepts):識別、保護、偵測、回應與復原(NIST CSF)
- 執行能力(Operational Capabilities):資產管理、人力資源安全、實體安全、系統與網路安全、應用程式安全、威脅與弱點管理、資安事件管理等15項
- 安全領域(Security Domain):治理生態系統、防護、防禦與韌性。這方面對應的是,組織所需要的資安領域、專業能力、服務或產品。
5類屬性標籤提供不同視角,讓組織更有效運用這些控制措施。除了每一項控制措施都會預設5組屬性,亦有自定義的彈性與步驟,組織可依據需求定義自有屬性值,建立更多檢視角度來看控制措施的要求。同時也提供彈性,讓組織可定義自有屬性值。
新版ISO/ IEC 27001動向
ISO/IEC 27002 為ISO/IEC 27001提供更詳細的指引,兩者關係如同課本與參考書,而ISO/IEC 27002:2022修訂也將反映在ISO/IEC 27001的附件A,從ISO 27002的改變來看,可以發現框架部分出現大幅度調整,從原先的14個章節統整為組織、人員、實體與技術之4大面向,而國內政府也提出從策略、管理、技術與認知面向推動資安。以現況來看,可看出資安控制措施的內容朝向更符合全球威脅與資安的現況。
ISO 27001相當重視企業或組織對於資訊是否有完整的風險評估與管理規劃,為了讓資訊安全管理達到最大效益,在所有可能的風險內做好預先的規劃與防範,確保資訊的安全與穩定性,同時減少資安運行過程的疏漏點,讓企業客戶營運不中斷,達到永續經營的目標。
透過 ISO 27001 標準,能協助組織管理與降低資訊上所面臨的各種威脅與風險,是現今國際科技大廠上游供應鏈廠商稽核要點之一。
企業通過 ISO 27001 認證的好處
當企業通過ISO 27001的認證,即表示企業的資訊安全管理已建立一套有效的管理體系作為保障。而ISO 27001 認證的好處有以下四點:
- 提高公司運作的安全:保護公司的商業機密,讓企業能夠安全運作不受干擾。透過資安風險評估導入資訊安全管理系統及 ISO 27002要求建立資訊管理制度。
- 增進公司信譽:當企業對於資訊安全管理的能力提升時,客戶對於企業的信任度就會提升,連帶的也能夠維持公司的信譽。而企業間電子商務往來的信用度也能有所提升,建立起網站和貿易夥伴間的信任,為用戶提供基礎的設備管理。
- 加強企業競爭力:消除客戶不信任感,提升與企業的競爭力。
- 符合國際法律規範:可向政府證明企業對相關法規的符合性,通過認證可確保企業在蒐集、使用、保存資料時,能符合法律的規範,如:個人資料保護法 。若企業有意進軍國際,更有通過ISO27001的必要性。
參考資料:ISO、BSI
相關文章: ISO 27001:2013資訊安全管理系統
ISO 27001資訊安全管理系統輔導與驗證
競爭力企管顧問有限公司
全台免付費專線:0800 800 248
Views: 1436