國際標準組織於今年10月1日ISO年會中,正式推出新改版的資安認證標準ISO 27001:2013,這也是ISO 27001自從2005年正式成為國際標準之後的首次改版。

ISO 27001雖然是一張資安認證,但對於某些產業的營運發展而言,其實具有正面效益,例如,臺灣有許多金融業想要成立海外分行時,若銀行已經先取得一張ISO 27001的資安認證,相對容易取得當地國政府的信任,更容易核可成立當地分行。永豐銀行法令遵循處副總經理簡榮宗表示,臺灣有許多金控銀行都已經取得ISO 27001:2005的資安認證,對其他金融業者而言,ISO 27001:2005甚至是一個同業資安水準的參考指標。

但根據ISO國際組織截至2012年的統計資料,臺灣目前取得ISO 27001:2005的企業和組織數量高達855個,名列全球第6名。從這樣的數據也證明,ISO 27001一旦轉版,將影響臺灣許多已經取得ISO 27001的企業與政府部門。

臺灣BSI驗證部協理謝君豪表示,此次推出的新版ISO 27001:2013,除了在技術規範上跟上現在的IT技術潮流外,例如智慧型手機的控管外,也提供一個更高的標準架構,供企業重新界定新版標準和其他類似標準的整合。他說,預計企業最遲將在2015年全數適用ISO 27001:2013的新版標準。

因應未來標準管理制度趨於一致性的趨勢,國際組織也推出很多跨標準的共通參考的驗證準則,謝君豪指出,企業風險可以參考ISO 31000,ICT的營運持續可參考ISO 27031,資訊治理參考ISO 38500外,因應個資法的數位鑑識可以參考ISO 27037,軟體測試則可以參考ISO 29114等國際標準。

控制領域和控制措施條文減少,但內容更深
每當一個新版標準推出後,謝君豪表示,國際認可機構會依據新版標準與舊版內容差異的多寡,給予企業18~24個月的緩衝期,讓企業有時間從舊版轉換到新版。

他說,雖然目前認可機構尚未寫出轉版聲明,一般而言,新版標準推出半年後,企業可以評估是否要以轉版方式,擴大企業原有的認證範圍,進而取得新版的ISO 27001:2013認證。但是,企業如果在2年內沒有透過轉版取得ISO 27001:2013的認證,之後企業要重新取得認證時,就得全數適用新版ISO 27001:2013規範。


臺灣BSI驗證部協理謝君豪表示,希望透過重新評估資安認證範圍,可以做到「局部驗證、全面導入」,提升資安認證的成效。

謝君豪指出,在舊版ISO 27001:2005有許多的內容規範重複性較高,等到2013新版推出時,已納入2005年版本的使用者意見,並考慮過去8年科技環境的改變而有所調整。

像是,整個控制措施從133個減少為113個,重新改寫控制措施的聲明並整併重複的條文,但是,控制措施的領域卻從原本11個增加為14個。首先,新增的是許多加密與安全基礎的「密碼學」(Cryptography),再者,隨著企業委外與合作關係的密切,「供應商關係管理」(Supplier Relationships)也成為企業資安重要的環節,在新版中,密碼學和供應商管理則成為單獨的領域。

其他新增的部份則是,舊版中的「溝通與執行」(Communications & Operations)領域,因應新科技的發展,拆成「操作安全」(Operations security)和「通訊安全」(Communications security),並正式納入行動裝置的控管。現在則將軟體開發和維護獨立出來,成為操作安全的一部分。未來所有國際標準將具有一致性的架構

謝君豪指出,此次新版ISO 27001:2013推出時,國際標準組織也意識到,許多標準之間雖然有一些精神雷同、作法類似,卻因為分屬於不同的條文章節,常常讓企業對於一些類似精神條文在整併及適用上,有無所適從的感受。

最明顯的例子就是,ISO 27001:2005中有一項「政策要求」,但同時要求企業制定「資安政策」和「ISMS政策」,彼此之間既相似卻又重複性高,導致企業在政策制定時,對於是否該當成同樣精神的條文制定並遵守感到困擾。

另外,有不少企業在取得ISO 27001:2005後,也會另外取得ISO 20000以提升整體IT服務品質,但ISO 20000的「資訊服務管理政策」與ISO 27001:2005中的政策要求差異點在哪裡,很多公司搞不清楚。此外從BS 25999成為正式國際標準的ISO 22301,也要求要有「BCMS政策」,但企業持續營運管理和ISO 27001中的「資安政策」之間的差異點多大,都有進一步探究的空間。謝君豪坦言,不同標準之間類似的政策內容雖然有其相似之處,但因為分屬不同標準,很難完全整合;假若認證的組織範圍又不一致,整合難度更高。

為了解決不同國際標準之間所面臨到的整合困境,國際標準組織在此次推出新版 ISO 27001:2013時,採用了一個可以清楚定義架構面、管理制度面、章節面、細部章節等面向的標準化附件架構──ISO Annex SL,簡化了與其他管理系統之間的整合。

謝君豪認為,先把架構定義出來後,才能盡量做到所有管理系統作法趨於一致,也降低組織標準整合的難度以達到整合的綜效。例如,未來所有國際標準的第4章節,就是要規範「組織的背景」,第5章節便載明「領導力」,第6章節則是與標準相關的「規畫」內容。

從企業風險角度重新評估資安驗證範圍
謝君豪表示,資訊科技發展持續進步,企業所處的資安環境卻是更複雜,因此,ISO 27001:2013推出之際,國際標準組織也期待企業重新檢視企業所面臨的風險,甚至可以引用ISO 31000的企業風險標準,作為企業重新檢視企業資安風險的標準。

企業在面對新版標準,必須重新定義資安認證範圍,就必須重新考量組織所面臨的風險、法規和客戶等要求。他說,舊版標準要求企業參照標準附錄的作法即可,但新版內容則建議,企業直接援引ISO 31000企業風險標準來評估企業的風險。

企業若依照ISO 31000精神,必須先鑑別出企業違反資安管理政策所面臨的風險,例如違反智慧財產權、違反同業競爭、研發資料外洩、專業人員流失及駭客入侵等;也必須鑑別利害關係人,像是研發部門的利害關係人就包括:客戶、供應商、內部員工及股東等。

在確認這些利害關係人對企業的資安要求後,才能決定認證範圍是否仍維持只有資訊部門進行認證,還是要將認證範圍擴大到業務單位。謝君豪認為,即便企業無法擴大認證範圍,也希望企業透過重新定義認證範圍後,做到「局部驗證、全面導入」,真正提升資安認證的成效。

許多導入ISO 27001:2005標準的企業或組織,大部分都是以資訊部門作為資安驗證的範圍,很少納入業務單位。但是,在新版標準中,國際組織在第4章節規範「組織的背景」,新版在制度面明確要求,不論企業是否要擴大認證範圍,面對新版標準時,要或不要都必須解釋清楚,像是界定第4章節「組織的背景」時,企業就得要做到:可以鑑別組織所面臨的內外部議題和挑戰,也得界定出誰是利害關係人及利益團體等。文⊙黃彥棻


全球前十大取得ISO 27001國家與數量

名次 國家名稱 證照數量
1 日本 7,199
2 英國 1,701
3 印度 1,600
4 中國 1,490
5 羅馬尼亞 866
6 臺灣 855
7 西班牙 805
8 義大利 495
9 德國 488
10 美國 415


備註:統計數字只到2012年底,全球總共有19,577個企業或組織取得ISO 27001:2005資安認證,光在2012年發出的證書就高達2,222張,比2011年成長13%。
資料來源:ISO國際標準組織,2013年11月

熱門新聞

Advertisement