【華宇新訊】ISO/IEC 27001 最新標準問世,組織的因應之道(下)

新版 ISO 27001 國際標準除了前述主條文的差異外,更值得關注的是附錄 A 的改變。

ISO 27001 的附錄 A 即是從 ISO 27002 延伸出來,在談改變之前首先要釐清的是 ISO 27002 本身並非要求(Requirement),而是指導(Guidance);新舊版之間最大的改變為整體架構的改變。

在 NIST 的分類標準中,控制措施並未如 ISO 27001:2013 附錄 A 般細分到 14 項之多。ISO 27001:2022 為了對應業界標準,從原先的 A5 到 A18 共 14 個控制措施,也就是 14 個領域,簡化合併成 4 大領域 : 組織面、人員面、實體面、技術面(當然這是源自於 ISO 27002:2022 先行改變的結果)。同時,也將條文重新排列。這項改變也減少與 NIST 的網路安全框架、控制措施分類的差異。

▲ 新版控制措施簡化為組織、人員、實體、技術四大面向。

分析應用屬性並新增 11 項控制措施,與當今資安使用環境更相符

ISO 27002 為了提升適用性創造出「屬性」。針對控制措施本身性質進行分類、分析、定位等確認其「屬性」全貌,以 ISO 27001 為主要支持對象並向外開展,推進了控制措施運用的範疇及便利。

2023 年版本中「屬性」區分為五個部分:控制措施種類、資訊安全特性、網路安全概念、運作能力及安全領域。第一個屬性為「控制措施種類」目的是為了讓組織能夠判斷什麼時間點, 該執行什麼的控制措施,其中細分為三個屬性值:預防性、偵測性及矯正性。組織為了保留資訊的特徵,可以利用第二項屬性「資訊安全特性」選擇不同的控制措施進行實作,其中細分為機密性、完整性和可用性。第三項屬性「網路安全概念」,屬性值包括-識別、保護、政策、回應跟復原。因為融合了 NIST 的網路安全框架,適用性更提升,讓組織可以在不同標準間清楚地進行對應。除了從條文面進行分類,在第四項屬性則是從資訊安全能力的實作者觀點進行分類,屬性值包括治理、資產管理、資訊保護、人力資源安全、實體安全、系統與網路安全、應用程式安全、安全組態、身份與存取管理、威脅與弱點管理、持續性、供應商關係的安全、適法與遵循性、資訊安全事件管理和資訊安全保障等。最後一個屬性則是「安全領域」,從四個資安的視角檢視控制措施的屬性,屬性值包括治理與生態系統、保護、防禦以及復原力。

ISO 27002 有大量的案例,組織可針對不同屬性直接進行套用。以公部門為例,各機關大約會在每年 3 月會皆針對資通安全管理法的應辦事項,辦理情況進行提報。若所處機關提出要「訂定資通安全管理政策」,「訂定資通安全管理政策」可被視為控制措施。此項控制措施對應到 ISO 27002 的條文時,可被歸類到條文 5.1 資訊安全政策。所處機關即可每年針對這項政策進行檢討。政策底定後,所處機關會開始進行資訊安全角色分配與指派。「角色執掌與分配」這項控制措施就可以對應到 ISO 27002 的條文 5.2 資訊安全的角色、責任及權限。若組織能將 ISO 27001 控制措施與條文要求和國內資安法規進行對應,同時,參考 ISO 27002 的案例,並依此訂定關鍵績效指標與執行作法,後續在檢討的過程中就會相對簡便。

新版控制措施將 2013 年版的 114 項控制措施,簡化成為 93 項控制措施。在 5.7 到 8.28 間新增了 11 項控制措施,整合合併 24 項。同時,將16 項控制措施更名。另外,也將舊版 ISO 27001 附錄 A 的目標欄位刪除,並將目標架構寫進每項控制措施中,這代表新版賦予每項控制措施一個目的。

▲ 新版 ISO 27001 新增 11 項控制措施,更符合國際趨勢。

掌握威脅情資,雲端服服監控不可少

接下來將逐一說明新增的 11 項控制措施內容。首先,第一項新增控制措施-5.7 威脅情資,即是組織需掌握威脅情資的來源。若收到威脅情資需採取適當的管控。以公部門為例,公部門在威脅情資的掌握上相對容易,因為公部門已有情資系統,會定期將這些資訊分享給利害相關人。因此,若身為承辦人,僅需要在接收到情資後,進行相應的處置即可。對一般民間企業組織而言,該如何進行情資的掌握? 首先,需訂定威脅情資作業處理程序;若組織已有資安事件處理辦法,可整併入其中。接著,需要選擇情資來源,藉此協助相關資安人員識別安全漏洞處理的先後順序,國內具代表性的情資來源為 TWCERT/CC,是我國企業資安事件通報及協處窗口,國外代表性的情資來源為美國國土安全部下屬的網路安全和基礎設施安全局提供資金 MITRE corporation 監管的 CVE(Common Vulnerabilities and Exposures)。識別威脅情資的重大性後,即可開始執行管控。

現今全球許多組織與公務機關皆採行雲端服務,為因應世界潮流,在新版附錄 A 中開展出全新的控制措施-5.23 使用雲端服務之資訊安全,其主要目的是協助組織管控雲端的服務。組織在執行過程中除了遵循 ISO 27001 的規範,也可以參考我國國家資通安全研究院頒布的「政府機關雲端服務應用資安參考指引」,其中涵蓋資安管理規劃、自建雲端服務、IaaS、PaaS、SaaS 等資安控制措施。

組織在執行 5.23 控制措施時,首先要訂定雲端服務作業程序。以我國公部門為例,參考指引中明確規範禁用特定國家廠商之雲端運算提供者,同時也訂有委外服務的相關規範。除此之外,組織必須進行風險分析,才能決定雲端服務。再舉一例,若組織持有我國國民個資,並希望個資能儲存於台灣,則必須要選擇台灣的雲端服務,同時在合約簽訂時,也要確保相關數據不可存取至他國。

接著,是新增控制措施 5.3 為營運持續性做好資通技術(ICT)的準備,新增此項控制措施的目的是為了確保資安中斷時,組織資訊與其他相關資產仍可正常維持運作。組織除需制定 ICT 持續性計畫、設定營運持續編組,還需要執行演練計畫,以確保計畫的可行性。這項控制措施在國內業界執行的成熟度已相當高,因此,預期不會對我國業界產生太大的影響。

明確規範三大系統,實體安全監控不可少

新增控制措施 7.4 實體安全監控,在舊版附錄 A 中的 A11 實體與環境安全中已著墨安全邊界與安全保護的部分。但是並未明確規範保護的目標。在新增條文 7.4中,明確針對門禁、監控、警報三大系統進行規範,目的是為了有效偵測與阻擋未經授權的實體存取。組織在遵循 7.4 控制措施的規範下,需要考慮是否安裝門禁、 監控、警報三大系統,是否執行進出管制、定期查核、告警事件處理,或是定期測試監控安全系統。

為確保組織軟硬體服務及網路在所需的安全設定中能夠正常運作,同時組態不會因為未經授權或不正確的變更而遭到異動,因此在新版標準中新增控制措施 8.9 組態管理。組織執行組態管理首先要在資產盤點時清點組態分類,建立各項組態基準,並依照基準執行,同時也需要確認各項基準現狀。組織可以參考 ISO 20000,其中即有涵蓋資訊系統軟硬體組態的管理實作辦法。

結合資產盤點,組態管理更省力

組織中常見的組態管理問題為防火牆連接埠(port)設置錯誤,若組織需求為開啟 80 port ,但誤開其他 port,將造成防火牆漏洞。這時候該如何進行組態管理呢?若是資源充足的企業,可以導入組態管理系統。在實務經驗中,組織若已導入資產管理系統,亦可以將組態管理納入資產管理系統,作為資產管理的延伸。倘若是人力及資源相對欠缺的的組織,可以從資產盤點開始做起,將系統、軟體、硬體納入資產為首要之務,結合資產盤點表詳加訂定儲存位置、版本等細節,接著才進入執行管制措施的環節。後續再依據組織自身情況決定是否逐漸實施複雜的管控措施,當然進入到這個階段勢必也就需要考慮導入組態管理程式,才能更省力的進行組態管理。

新版標準在資料面進行極大的改變,對資訊類的控制措施新增了諸多要求,像是 8.10 資料刪除、8.11 資料遮蔽。前者,是為了防止敏感資訊洩漏,同時遵守相關的法規規定、監管要求及合約要求。在執行資料刪除時,同樣的可以結合資產盤點,在盤點的過程中訂定資料的保存期限,同時建立各類型的資料刪除方式、週期及記錄格式;最後,執行刪除並將相關紀錄留存。後者同樣是為了要防止敏感資訊洩漏,差別是此項控制措施是針對個人可識別資訊 PII(personally identifiable information 之簡稱),也就是對人員類的資產進行管控。因此,組織在進行資訊資產盤點時,需盡可能的將資訊類資產與人員類的資產分開來。其中,資訊類資產還需細分硬體及軟體類資產。組織依此方式進行盤點,在後續的資料刪除、資料遮蔽等控制措施的執行判斷上會較為容易,才能迅速提供相應的防護措施。

組織常在資料未妥善分類的情形下,耗費龐大的成本執行資料加密作業防止資料外洩。在盤點表中除了資料刪除、資料遮蔽,也可以延伸執行新增控制措施 8.12 預防資料外洩,組織預防資料外洩,組織依據相關法令法規的要求,區分不同資訊需接受保護的等級,對相關資料進行加密儲存與監控資料洩露管道等保護措施,防止個人或系統未經授權揭露或存取敏感資料。

此次 ISO 27001 改版是否會連帶影響到 ISO 27701 的改版?專家認為 ISO 27701 屬於 ISO 27001 的延伸控制措施,因此可能會進行改版,然而近期改版的機率較低;唯需留意目前我國個資法中,關於資料遮蔽、資料刪除等相關規定並沒有明確被訂定。相較我國,歐盟的一般資料保護規則(GDPR,General Data Protection Regulation 之簡稱)明確訂定相關規範。近年我國大法官考量我國公務、學術機關使用隱私個資等情況,與順應國外現行個資相關法規的趨勢,宣布我國健保資料庫使用部分違憲,自 2022 年判決日起三年內相關單位須完成修法,強化去識別化的機制,並加重意圖損害個資者的刑責。由此可預見,在未來幾年內國內個資的引用與保存,將會出現極大的改變。

適度衡量組織需求,讓活動監控更彈性

敏感資料的洩露牽涉到資訊的監控,因此衍伸出新增控制措施 8.16 活動監測,其目的是為了偵測潛在的資安事故與異常行為。業界經常提及的做法是購買系統進行監測,其中包括前面提及的組態管理,但並非適用所有組織,組織需檢討現有的監控工具以決定是否購置相關工具。若僅為了偵測異常行為與監控潛在資安事故,使用任何能達成這項目標的監控方式皆可,並非一定需要購置監控工具。

資料來源:貝爾驗證

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *