ISO27001是資訊安全管理系統國際標準,也是企業推動資訊安全管理的基礎,臺灣也對應國際標準發佈了CNS 27001國家標準。
ISO27001上一個版本是在2013年發佈,一直到2022年再次更新,以反映科技和資訊安全領域不斷變化的格局,並確保組織能夠保護其資料、資訊資產和隱私資訊免於受到網路的威脅。
因此,本文針對ISO27001:2022的關鍵改變進行說明,一方面幫助對資安有興趣的人快速掌握管理觀念的改變方向,另外一方面提供企業及早規劃新版標準導入策略與進行後續驗證作業。
改變1:標準名稱更改
從CNS27001國家標準的中文名稱來看,前一版標準名稱為「資訊技術-安全技術-資訊安全管理系統-要求事項」,新的版本名稱為「資訊安全、網宇安全及隱私保護-資訊安全管理系統-要求事項」,明顯看出資安管理系統從原本的資訊安全,強調了網路的安全,並增加隱私保護。
改變2:管理系統主文調整
在主文條文編號和內容的調整上,一部分是為了符合一致性方法論框架(Annex SL)所做的調整,另一部分管理系統框架仍依循PDCA的管理方法,2022年版主文新增的要求如下:
1.背景和範圍
明文要求組織在建立資訊安全要求的過程中,必須考量「相關」利害關係人,並滿足利害關係者相關的要求(條文4.3 c),而這些利害關係人所關注要求與期望的變更,必須於管理審查會議中說明(條文9.3.2)。
另外,資訊安全管理系統必須包含滿足「所需的流程和其互動」(條文4.4),也就是該如何去達成目標與要求,以及這些目標要求之間的關係。
2.規劃
有關資訊安全目標,新版要求目標必須要監控而且必須明確的文件化且可以使用(條文6.2),而資訊安全管理系統如果需要變更,則必須依事先規劃好變更方式執行(條文6.3)。
3.支援
執行資訊安全管理系統中,有關定義溝通人員以及進行溝通流程的要求進行整併為「溝通或傳達方式」(條文7.4),強調「如何溝通」可以讓組織在此溝通上能更加彈性及完整運作。
4.運作
關於如何規劃實現資訊安全目標的要求,改成當組織實作條文6的行動方案時,組織需要訂定流程的準則,並按照準則實作流程中的控制措施(條文8.1),另外,也要求組織除了資訊安全管理系統本身之外,對其相關外部所提供之流程、產品與服務都要受到控制(條文8.1)。
改變3:控制措施調整
2013年版的附錄A控制措施改變很大,但並不是指控制措施實際內容的改變,而是組織控制組織與呈現方式的調整。總結而言,2013年版附錄A包含了14個領域共114個控制措施,新版將原14個控制領域,改為組織、人員、實體與技術等4大控制主題,並因應資訊技術的進步與新的資安威脅,縮減32項控制措施後再新增11項,因此新版的控制措施共有93項。下表針對新增11項控制措施進行說明,以了解面對資訊科技的演進,資訊安全新增的應對要求。
表1 新版11項控制措施
資料來源:Advisera、本文作者整理
從新增的控制措施來看,納入了雲端服務、安全的程式開發等新議題,也納入個人資料保護相關的新控制措施,並強化實體環境與網路活動監控的管控要求,這些都可以看到面對資通訊技術演進,新版的標準也與時俱進的納入新的資訊安全管控想法。
總結
根據國際認證論壇(International Accreditation Forum)發布的「ISO/IEC 27001:2022 過渡要求」文件,對於已經通過 ISO/IEC 27001:2013 認證的公司,必須在 2025 年 10 月 31 日之前完成過渡到 ISO/IEC 27001:2022,但因為認證作業需要一定的時間,加上企業本身制度還需要一定時間調整管理系統,所以建議企業必須及早洽詢各認證單位確認,避免證書失效。
註:
資訊安全(information security)和網宇安全(cybersecurity)主要的差異在保護重點的不同: