因應未來國際標準管理系統一致性的趨勢,ISO 27001:2013推出一套新的標準化附件架構——ISO Annex SL,清楚定義架構,盡量做到所有管理系統作法趨於一致,降低組織標準整合的難度
國際標準組織於今年10月1日ISO年會中,正式推出新改版的資安認證標準ISO 27001:2013,這也是ISO 27001自從2005年正式成為國際標準之後的首次改版。
ISO 27001雖然是一張資安認證,但對於某些產業的營運發展而言,其實具有正面效益,例如,臺灣有許多金融業想要成立海外分行時,若銀行已經先取得一張ISO 27001的資安認證,相對容易取得當地國政府的信任,更容易核可成立當地分行。永豐銀行法令遵循處副總經理簡榮宗表示,臺灣有許多金控銀行都已經取得ISO 27001:2005的資安認證,對其他金融業者而言,ISO 27001:2005甚至是一個同業資安水準的參考指標。
但根據ISO國際組織截至2012年的統計資料,臺灣目前取得ISO 27001:2005的企業和組織數量高達855個,名列全球第6名。從這樣的數據也證明,ISO 27001一旦轉版,將影響臺灣許多已經取得ISO 27001的企業與政府部門。
臺灣BSI驗證部協理謝君豪表示,此次推出的新版ISO 27001:2013,除了在技術規範上跟上現在的IT技術潮流外,例如智慧型手機的控管外,也提供一個更高的標準架構,供企業重新界定新版標準和其他類似標準的整合。他說,預計企業最遲將在2015年全數適用ISO 27001:2013的新版標準。
因應未來標準管理制度趨於一致性的趨勢,國際組織也推出很多跨標準的共通參考的驗證準則,謝君豪指出,企業風險可以參考ISO 31000,ICT的營運持續可參考ISO 27031,資訊治理參考ISO 38500外,因應個資法的數位鑑識可以參考ISO 27037,軟體測試則可以參考ISO 29114等國際標準。
控制領域和控制措施條文減少,但內容更深
每當一個新版標準推出後,謝君豪表示,國際認可機構會依據新版標準與舊版內容差異的多寡,給予企業18~24個月的緩衝期,讓企業有時間從舊版轉換到新版。
他說,雖然目前認可機構尚未寫出轉版聲明,一般而言,新版標準推出半年後,企業可以評估是否要以轉版方式,擴大企業原有的認證範圍,進而取得新版的ISO 27001:2013認證。但是,企業如果在2年內沒有透過轉版取得ISO 27001:2013的認證,之後企業要重新取得認證時,就得全數適用新版ISO 27001:2013規範。
謝君豪指出,在舊版ISO 27001:2005有許多的內容規範重複性較高,等到2013新版推出時,已納入2005年版本的使用者意見,並考慮過去8年科技環境的改變而有所調整。
像是,整個控制措施從133個減少為113個,重新改寫控制措施的聲明並整併重複的條文,但是,控制措施的領域卻從原本11個增加為14個。首先,新增的是許多加密與安全基礎的「密碼學」(Cryptography),再者,隨著企業委外與合作關係的密切,「供應商關係管理」(Supplier Relationships)也成為企業資安重要的環節,在新版中,密碼學和供應商管理則成為單獨的領域。
其他新增的部份則是,舊版中的「溝通與執行」(Communications & Operations)領域,因應新科技的發展,拆成「操作安全」(Operations security)和「通訊安全」(Communications security),並正式納入行動裝置的控管。現在則將軟體開發和維護獨立出來,成為操作安全的一部分。未來所有國際標準將具有一致性的架構
謝君豪指出,此次新版ISO 27001:2013推出時,國際標準組織也意識到,許多標準之間雖然有一些精神雷同、作法類似,卻因為分屬於不同的條文章節,常常讓企業對於一些類似精神條文在整併及適用上,有無所適從的感受。
最明顯的例子就是,ISO 27001:2005中有一項「政策要求」,但同時要求企業制定「資安政策」和「ISMS政策」,彼此之間既相似卻又重複性高,導致企業在政策制定時,對於是否該當成同樣精神的條文制定並遵守感到困擾。
另外,有不少企業在取得ISO 27001:2005後,也會另外取得ISO 20000以提升整體IT服務品質,但ISO 20000的「資訊服務管理政策」與ISO 27001:2005中的政策要求差異點在哪裡,很多公司搞不清楚。此外從BS 25999成為正式國際標準的ISO 22301,也要求要有「BCMS政策」,但企業持續營運管理和ISO 27001中的「資安政策」之間的差異點多大,都有進一步探究的空間。謝君豪坦言,不同標準之間類似的政策內容雖然有其相似之處,但因為分屬不同標準,很難完全整合;假若認證的組織範圍又不一致,整合難度更高。
為了解決不同國際標準之間所面臨到的整合困境,國際標準組織在此次推出新版 ISO 27001:2013時,採用了一個可以清楚定義架構面、管理制度面、章節面、細部章節等面向的標準化附件架構──ISO Annex SL,簡化了與其他管理系統之間的整合。
謝君豪認為,先把架構定義出來後,才能盡量做到所有管理系統作法趨於一致,也降低組織標準整合的難度以達到整合的綜效。例如,未來所有國際標準的第4章節,就是要規範「組織的背景」,第5章節便載明「領導力」,第6章節則是與標準相關的「規畫」內容。
從企業風險角度重新評估資安驗證範圍
謝君豪表示,資訊科技發展持續進步,企業所處的資安環境卻是更複雜,因此,ISO 27001:2013推出之際,國際標準組織也期待企業重新檢視企業所面臨的風險,甚至可以引用ISO 31000的企業風險標準,作為企業重新檢視企業資安風險的標準。
企業在面對新版標準,必須重新定義資安認證範圍,就必須重新考量組織所面臨的風險、法規和客戶等要求。他說,舊版標準要求企業參照標準附錄的作法即可,但新版內容則建議,企業直接援引ISO 31000企業風險標準來評估企業的風險。
企業若依照ISO 31000精神,必須先鑑別出企業違反資安管理政策所面臨的風險,例如違反智慧財產權、違反同業競爭、研發資料外洩、專業人員流失及駭客入侵等;也必須鑑別利害關係人,像是研發部門的利害關係人就包括:客戶、供應商、內部員工及股東等。
在確認這些利害關係人對企業的資安要求後,才能決定認證範圍是否仍維持只有資訊部門進行認證,還是要將認證範圍擴大到業務單位。謝君豪認為,即便企業無法擴大認證範圍,也希望企業透過重新定義認證範圍後,做到「局部驗證、全面導入」,真正提升資安認證的成效。
許多導入ISO 27001:2005標準的企業或組織,大部分都是以資訊部門作為資安驗證的範圍,很少納入業務單位。但是,在新版標準中,國際組織在第4章節規範「組織的背景」,新版在制度面明確要求,不論企業是否要擴大認證範圍,面對新版標準時,要或不要都必須解釋清楚,像是界定第4章節「組織的背景」時,企業就得要做到:可以鑑別組織所面臨的內外部議題和挑戰,也得界定出誰是利害關係人及利益團體等。
Source:
https://www.ithome.com.tw/node/83807
訂閱:
張貼留言 (Atom)
《BEC 詐騙 》一封信丟了工作,還被雇主索賠 400 多萬台幣
2019 年 03 月 13 日 Trend Labs 趨勢科技全球技術支援與研發中心 企業資安 , 變臉詐騙/執行長 CEO詐騙/BEC- Business Email Compromise企業郵件受駭詐騙 根據 BBC 報導,一家蘇格蘭的媒體公司...
-
相信大家一定注意到了,各種媒體上經常按塔式、機架式和刀片式這三種結構來劃分服務器,服務器的外形為什麼會有這樣的劃分呢?主要原因就是具體的應用環境不同,塔式服務器長得跟我們平時用的台式機一樣,佔用空間比較大,一般是一些小型企業自己使用自己維護 而機架式服務器長得就像臥著的台...
-
一、機密性(Confidentiality):合法取閱資訊。 二、完整性(Integrity):資訊或系統維持正確與完整。 三、可用性(Availability):資訊或系統需要時即可取用。 》分別列述於后: 一、 機密性(Confidentiality) 任何資訊儲存...
-
Spiceworks Desktop是一套知名的免費網管軟體,只需在一臺Windows電腦上安裝,就可以監控網域內所有網路裝置,提供網頁介面的聯絡窗口,供使用者線上報修 免費的網管軟體中,Spiceworks Desktop相當知名,只需在一臺Windows電腦上安裝,就可以...
沒有留言:
張貼留言