【華宇新訊】ISO/IEC 27001 最新標準問世,組織的因應之道(上)

本文將針對 ISO/IEC 27001 : 2022 新版條文進行剖析,除針對主條文進行差異分析,更聚焦控制措施的差異分析 ,這也是此次改版中改變最多的部分。藉由條文解析幫助企業在導入新版標準的道路上,引出一條相對清晰的路。

強化國際適用性,新版標準順勢而生

為了因應不斷更新迭代的資安威脅與資訊架構,SC 27工作小組於 2022 年推出新版 ISO 27001 標準。ISO 27001 國際標準是由 ISO 技術委員會底下分組委員會中的第五個工作小組 ISO/IEC JTC 1/SC 27 所訂定,其秘書處設於德國標準協會(DIN, Deutsches Institut für Normung),SC 27 工作小組主責資訊安全、網路安全和隱私保護三大範疇,不僅制定出目前國際間最廣泛使用的資訊安全管理系統,更是眾多標準化發展的創新與開拓者。

源於歐洲的 ISO 27001 推行之初在歐洲及亞洲大為盛行。然而,推行過程中發現美洲的使用率並不高,僅是為了獲得國際承認使用。因此,在修訂 ISO 27001、ISO 27002 的過程中,大量引入美國國家標準暨技術研究院 NIST(National Institute of Standards and Technology 之簡稱)的標準與精神,使得標準更加國際化。

標題名稱改變,讓資安焦點重回「資訊本身」

此次新版在主條文的部份共有 12 項差異。首先,最大的差異是版本名稱的改變,2022 年版本全名為「ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection – Information security management systems – Requirements」相較於 2013 年版本強調資訊技術(Information technology)與安全技術(Security techniques),在新版中將網路安全(cybersecurity)與隱私保護(privacy protection)納入其中。從名稱上的變化可以清楚看見個資保護已經成為標準的一環。名稱的改變也體現在新版附錄 A 的控制措施,新版控制措施著重資料面的控制,讓資訊安全回歸到資訊本身的保護。

▲ 新版條文 12 項差異,立基於高階管理架構

第二項改變是頁數的改變,從 23 頁縮減至 19 頁。頁數的減少源於整個系統架構的改變,系統經過整合後更為精簡,並不代表組織需要遵循的事項會有所減少。接著在術語與定義中,新版新增了兩項參考連結,主要強調管理系統的重要精神,譬如:P-D-C-A 高階管理架構、品質管理七大原則等等。

舊版條文 4.2 新增要求中,除需確認利害關係者,也必須瞭解利害關係者的需求。新版條文新增要求除了依循舊版外,額外新增一項要求 「4.2 C)如何經由資訊安全管理系統滿足前述相關要求」,要求組織在執行資訊安全要求的過程中,必須要分析資訊安全管理系統要做哪些事情才能滿足利害關係者相關的要求。例如:組織為滿足「資通安全責任等級分級辦法」之「附表十資通系統防護基準」規定,可能建立 SSDLC(Secure Software Development Life Cycle 之簡稱,安全系統發展生命週期)機制,即是由此 4.2 C)條文引導出之因應對策。

滿足高階架構是基礎,更強調過程與互動

接著目光焦點來到條文 4.4「資訊安全管理系統」,除了要建立、實施、維護和持續改善外,在新的標準中還必須要包括過程與互動,亦即強調七大原則中的過程導向。組織的管理系統必須要強化組織建立、維護、實施標準時,該如何去達成目標與要求,以及這些目標要求之間的關係。

條文 6.2「資訊安全目標及其達成之規劃」新增兩項要求,第一項是要求組織的資安目標應該要受到監控, 這項要求在第九章-監控量測的部分也有著墨。第二項是要求組織在執行目標的過程中必須要做紀錄,作為文件化資訊的提供。在過去實作的經驗中,這項要求大多出現在政策面,也就是政策要求組織提供目標或目標框架。對許多已導入舊版的組織而言,新版條文 6.2 的新增要求,並不會產生太大的影響,因為大部分的 ISMS 組織皆已進行監控及文件化紀錄。

條文 6.3「變更規劃」為新版標準中的新增條文,描述「組織需要對資訊安全管理系統進行變更的時候,我要以預先規劃的方式進行變更。」也就是說,在變更資訊安全管理系統時,事前需預先進行相關的準備措施。以組織機房搬遷為例,組織需要制定轉換計畫,不能任意搬遷。進到條文 7.4「溝通」的部分,舊版「誰應溝通」、「應實現哪種溝通過程」在新版合併為「如何溝通」。整併的目的可以解讀為讓組織在此項運作上能更加彈性及完整。

▲ 新版條文同樣採用「PDCA」循環模式,強調過程與互動

相較於第 6 章規劃,條文 8.1「運作之規劃及管控」是針對實作進行規範。組織必須要按照第 6 章的規劃進行實作。組織需要依據條文 6 所決定的行動訂定準則, 並按照準則實施過程控制。以控制病毒威脅為例,組織安裝防毒軟體作為病毒防範的控制措施,因此組織訂出一個目標-所有電腦都要裝設防毒軟體;目標訂定後,接下來就是要逐一安裝、進行管控並定期更新病毒碼。組織必須要為這些過程建立準則,其中包括該如何更新病毒碼、該如何確認防毒軟體已安裝完畢等等作為。

除了針對實作進行規範,條文 8.1 也針對委外擴充其範圍,要求組織應確保與關於資訊安全管理系統由外部提供的過程、產品或服務受到控制。這項條文已經成為趨勢,因為 2012 年開始已逐漸導入高階管理架構,回歸高階管理架構之中。

新版條文兩大概念:強化 KPI、重視系統的變動性

條文 9.1「 績效評估-監督、量測、分析和評估」調整了「組織應該要評估資訊安全的績效跟資訊安全管理系統的有效性」這個要求的文件位置,此項要求調整的目的是為了明確讓組織能夠訂出相對的關鍵績效指標(Key Performance Indicator, KPI)。延伸先前提及控制病毒威脅的案例,組織決定所有電腦皆要安裝防毒軟體 ,接下來就需要制定出 KPI 檢核目標:第一季電腦防毒軟體安裝率需達到 95 % ,第二季達到 98 %,第三季達到 99 % 等等。除此之外,還可能會有另一項 KPI-已安裝過防毒軟體的電腦是否有定時更新;組織可藉由這些 KPI 去確認、評估是否有達成目標,這在 2013 年版的條文中並沒有被特別強調。過去僅在 ISO 27004 中提供許多範例,引導組織如何進行監控量測這些安全措施。新版條文強化了「有效性」,強調組織應該要評估自身的資訊安全管理系統的有效性。

新版條文將原先第九章的內部稽核與管理階層審查進行細部分類,將條文 9.2「內部稽核」細分為條文 9.2.1 一般要求、條文 9.2.2 內部稽核方案;將條文 9.3 管理階層審查改為「管理審查」,同時細分為條文 9.3.1 一般要求、條文 9.3.2 管理審查輸入事項、條文 9.3.3 管理審查結果。另外,在條文 9.3 新增輸入事項「與資訊安全管理系統有關的利害關係方的需求和期望的變化」,新增輸入事項的目的可以回溯到第 4 章組織必須要了解利害關係者的需求與期望,延伸到第九章時,組織需要審查、檢討利害關係者需求的是否變動。這項新增輸入事項放入組織管制項目,對應新版條文相當重要的概念:變更管理,利害關係者需求與期望是整體 ISMS 的指標,當明確列入管理審查,以掌握其變化,並符合其要求。

進入第 10 章「改善」,新版僅將條文 10.1 不符合事項與矯正措施與 10.2 持續改善,對調成 10.1 持續改善、10.2 不符合項目與矯正措施。從中可以看出為了讓組織達到持續改善,組織需要思考如何完成不符合項目與矯正措施。這個章節條文內容並沒有太多的變化,僅針對結構性進行部分修正。

資料來源:貝爾驗證

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *