ISO 27001 資訊安全管理系統 資訊安全 雲端安全 雲端控制 法規遵循 災難復原 資安

因應ISO 27001新版上路 為標準升級做好準備

2014-06-12
國際知名的資訊安全管理標準ISO 27001,已經在去年年底正式更新了內容版本,如果你所屬的企業過去已經導入了2005年的標準,時至今日也應該要為符合最新的標準要求而做好準備,以確保資安管理制度能夠持續有效地運作實施。
隨著時間的改變,資訊安全的問題也變得更加地多樣化,舉例來說,在五年以前,行動化裝置和雲端服務的安全可能都不會是大家注目的焦點,但時至今日,這些資安風險已成為企業組織不得不去面對的重要課題。

在資訊安全的領域,除了駭客攻防的技術之外,資安管理機制也是必要的措施,而國際標準ISO 27001一向是公認最佳的資安實務參考。隨著不同資安風險的出現,國際標準內容的更新有其必要性,同時也可讓企業能持續地因應層出不窮的資安問題,藉此來採取必要的安全控制措施。

了解新舊版本的主要差異

新版ISO 27001標準的內容有著很大的轉變,在架構方面它採用了所有管理系統標準通用的Annex SL格式,可以讓導入許多標準(如ISO 9001、ISO 14000、ISO 22301等)的企業在需要整合時,變得更加地容易進行。另外,在所使用的專業術語上,也做了許多的重新定義與安排,讓企業能夠更清楚標準提到的重點與要求。

在內容方面,新版標準的本文內容從舊版的8個章節擴展成為10個章節,在附錄A的控制措施方面,也從11個增加到14個控制領域,但是控制措施經過重新的編排與合併之後,反而從133個減為114個控制措施,對企業來說,新版也可以選用附錄A以外的其他資安控制做法。

至於在實施範圍方面,舊版主要考慮的是業務性質、組織大小、所在位置與資產技術,新版則是從內部及外部利害關係人的需求與期望出發,在了解企業的背景與組織運作型態之後,再由管理層來決定其適用的範圍,同時也更加強調應為資訊安全設定明確的目標,並且實施監控和採取適合的量測指標,以確保安全控制的有效性。

新版標準條文的重點提醒

以下依照條文章節的順序,簡單說明一些轉變及差異之處,並提醒主要的重點所在。

第0~3章 簡介、範圍、引用標準及用語釋義

新版標準在這部份大幅刪減了舊版所提及的內容,並且捨去了過去所強調的PDCA模式,但這並非是認為PDCA已經不重要,而是將重點放在持續改進的要求,若是為了達成此一目標,PDCA仍然是可以運用的方法,但並非是唯一的做法,企業可以依需求自行來選擇。在範圍方面,新版強調第4章到第10章的任何要求都是不能被排除的,否則就無法宣稱已經符合了ISO 27001標準的要求。至於引用標準及用語定義的解釋方面,新版ISO 27001就不再贅述了,而是請讀者參考ISO 27000的標準內容,對於新版增加的專業用語,它也都有詳細的解說。

第4章 組織背景

在第4章的組織背景方面,「4.1 了解組織和其背景」的條款中要求,企業應先了解組織的現況和來自於內外部的期望與需求,然後再去決定ISMS實施的範圍,再建立起實施ISMS的計畫。在這一章節中,新版特別增加了「4.2 了解利害關係人的需求與期望」,所謂的利害關係人包括了內部要求、外部合作夥伴、客戶的期望及法令法規的要求等。

在「4.3 決定ISMS的範圍」中,新版要求必須識別組織內相關的活動,還有委任給第三方來執行的活動,針對所有可能影響達成ISMS預期結果的內外部議題,企業還可以再參考ISO 31000有關組織內外部的各項活動指引,來決定企業對於資訊安全的要求與適用範圍。

至於ISMS的導入方面,新版「4.4 資訊安全管理系統」將整個管理循環的過程,從建立、實施、運作、監控、審查、維持及改進,改變成為建立、實施、維持和持續改進ISMS,更為簡要符合標準的要求。

第5章 領導力

對企業管理層而言,在新版「5.1 領導力與承諾」條款中,要求必須要有效地展現其領導力和承諾,並且提供ISMS所需要的資源。在「5.2 政策」中則要求應建立符合組織策略發展方向的資訊安全政策,同時也要負責溝通管理ISMS的重要性,確認相關的控制實施皆符合了ISMS的要求,並且達成企業預期的結果,最後並督促企業能夠持續地改進。

在「5.3 組織的角色、責任和授權」方面,管理層需要明確地指派和資訊安全有關的人員角色、執掌與責任,確認相關的工作符合標準的要求,並且回報ISMS的實施績效給更高的管理階層。

第6章 計畫

在「6.1 因應風險與機會的行動」方面,需要參考4.1和4.2的結果,思考對於企業可能存在的風險和機會,以便制定出適合企業的風險因應做法。在新版的風險評鑑中,已不再要求企業必須要識別出資產的弱點與威脅,才能找出所面臨的風險,換句話說,企業可以自己選擇風險評鑑的方式,並且參考ISO 31000的風險管理原則與指南,定義出風險擁有者可接受的風險準則。

「6.2 資訊安全目標與計畫」提到,ISMS的目標應與組織的策略發展方向相結合,要求必須在企業相關的功能和層級中建立資訊安全的目標。在這裡的功能,指的是組織內部的運作功能,層級則是指管理的層級,應具體地說明由何人負責、需要哪些資源、在預計的哪個時間達成了什麼工作,最後再針對成果來進行評估。

第7章 支援

在支援方面,企業需要決定並提供ISMS所需要的資源(7.1),以便建立、實施、維持和持續改進資訊安全管理。針對與ISMS有關的人員,需要決定其應具備的能力(7.2),建立詳細的訓練計畫,讓所有人員都可獲得所需的專業知識。針對一般的人員,則必須讓其具有足夠的認知(7.3),包括了解企業的資訊安全政策、明白其貢獻對於企業所帶來的好處,以及不遵守資訊安全要求可能造成的後果。至於在溝通(7.4)方面,企業應確保內外部的溝通順暢,定義何人、何時、何地,所進行溝通的流程與內容。在「7.5 文件化資訊」的要求方面,這是新版增加的一個新用詞,主要是用來取代舊版中所提到的「文件」與「記錄」。在標準條款中若提及了文件化資訊,就表示相關的運作都應建立、保存及更新所需的文件與記錄。

第8章 運作

「8.1 運作計畫與控制」,主要是強調企業應針對「6.1 因應風險與機會的行動」的結果,採取必要的行動並且保留文件化資訊,以確保運作已獲得有效的控制。新版在這裡特別強調,企業應確保外包的流程與作業,都已獲得有效的決定與控管。

「8.2 資安風險評鑑」,要求企業應依照所設定的期間和方法來實施,尤其是企業組織有重大的改變時,資安風險評鑑也要重新執行,以確保相關的風險被識別並獲得控制。「8.3 資安風險處理」是要求企業必須落實風險處理計畫,並且保留相關實施之後的文件化資訊,記錄風險處理後的結果。

第9章 績效評估

在「9.1 監控、量測、分析和評估」的條款中,新版標準要求應評估資訊安全的績效和ISMS的有效性,評估的方式包括了決定哪些流程和事項需要被監控與量測、採取什麼分析與評估的方法、在什麼時間由誰來進行,以及最後的結果分析等。對企業來說,建議可採取循序漸進的方式來進行,著重在與資訊安全目標有關的事項,而不是要求一次到位的全面監控,要注意的是過程中仍要保留相關的文件化資訊。

「9.2 內部稽核」與「9.3 管理審查」與舊版的要求大致是相同的,企業應建立稽核計畫,並且依照計畫的內容與期間來實施。在管理審查方面,新版不再強調特定的審查輸入與輸出事項,而是關注在內外部的期許與要求是否能被實現、重視資安績效的回饋,以及持續改進的機會。

第10章 改善

在新版標準中,已不再如舊版強調應採取預防措施,而是將之溶入在了解組織背景和風險管理的過程中。在「10.1 不符合事項與矯正行動」方面,新版要求需要針對不符合事項採取適當的矯正行動,並且處理其產生的結果。同時也要消除不符合事項的原因,以及判斷是否還有類似的不符合事項存在。至於「10.2 持續改進」,則簡單明瞭地要求企業應持續改進ISMS的適用性、正確性及有效性。

因應新版標準必須做出的改變

根據經濟部標準檢驗局的標準轉換說明提到,從2014年10月1日起,驗證機構就不能再核發ISO 27001的2005年版證書,而所有已取得舊版證書的企業,也必須在2015年9月30日前完成轉版,也就是說企業只剩下約一年半的時間來完成更新並轉換為新的標準。

對尚未導入ISO 27001的企業而言,直接採用新的標準內容,並且依照其要求來實施是最好的方式。但對於需要轉換新版的企業而言,則需要先進行新舊版的差異評估,才能找出需要修改的內容與方向。基本上,有關ISMS政策、風險評鑑與風險處理、適用性聲明書、內外部的溝通、新版增加的控制措施等,這些都是需要一一檢視的重點,建議應及早著手準備,以便讓企業的資訊安全更加完備。

<本文作者:花俊傑曾任IT雜誌主編、資安顧問,擁有CISSP、CISA、CISM、CEH、CCSK、CIPP/IT、CIPM等國際認證,自詡為資安傳教士,樂於分享資安心得,讀者可透過jackforsec@gmail.com與之聯繫。>


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!