為了因應不斷更新迭代的資安威脅與資訊架構,SC 27工作小組於 2022 年推出新版 ISO 27001 標準。ISO 27001 國際標準是由 ISO 技術委員會底下分組委員會中的第五個工作小組 ISO/IEC JTC 1/SC 27 所訂定,其秘書處設於德國標準協會(DIN, Deutsches Institut für Normung),SC 27 工作小組主責資訊安全、網路安全和隱私保護三大範疇,不僅制定出目前國際間最廣泛使用的資訊安全管理系統,更是眾多標準化發展的創新與開拓者。
源於歐洲的 ISO 27001 推行之初在歐洲及亞洲大為盛行。然而,推行過程中發現美洲的使用率並不高,僅是為了獲得國際承認使用。因此,在修訂 ISO 27001、ISO 27002 的過程中,大量引入美國國家標準暨技術研究院 NIST(National Institute of Standards and Technology 之簡稱)的標準與精神,使得標準更加國際化。
標題名稱改變,讓資安焦點重回「資訊本身」
此次新版在主條文的部份共有 12 項差異。首先,最大的差異是版本名稱的改變,2022 年版本全名為「ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection – Information security management systems – Requirements」相較於 2013 年版本強調資訊技術(Information technology)與安全技術(Security techniques),在新版中將網路安全(cybersecurity)與隱私保護(privacy protection)納入其中。從名稱上的變化可以清楚看見個資保護已經成為標準的一環。名稱的改變也體現在新版附錄 A 的控制措施,新版控制措施著重資料面的控制,讓資訊安全回歸到資訊本身的保護。