ISO 27000系列相關內涵

標準名稱 相關內涵
ISO 27001 ISMS資安管理系統認證標準
ISO 27002 ISMS作業規範,原名ISO 17799
ISO 27003 ISMS導入指南(未定)
ISO 27004 資安管理評測標準(未定)
ISO 27005 偏重風險管理(未定)
ISO 27006 國際認可組織對驗證機關的規範
ISO 27007 針對ISMS稽核的參考指南(未定)
ISO 27799 針對醫療行業資安認證導入指南
資料來源:臺灣BSI,iThome整理,2007年11月

資訊安全管理認證,到底是ISO 27001、BS 7799還是ISO 17799?許多人可能都會有這個疑問。

其實BS 7799是英國的資安管理標準,變成國際化的資安管理標準就成了ISO 27001。之所以會有這樣的混亂,主要原因在於ISO組織在2000年,先把BS 7799的作業規範變成國際標準ISO 17799;而BS 7799資安管理標準到了2005年,才變成國際標準ISO 27001。因為變成國際標準的時間有先後差異,也導致規範資安管理標準ISO 27001,與作業規範ISO 17799看起來是風馬牛不相及的兩回事。

這個稍為混亂的局面迄今已經有了改善,國際標準組織已經決定把資訊安全管理標準統整為ISO 27000系列,並在2007年7月,從善如流地將ISO 27001作業規範ISO 17799,正式更名為ISO 27002。讓資安管理認證的ISO 27001,以及其作業準則的ISO 17799,能共同使用ISO 27000同一系列的編號。

整個ISO 27000系列還有很大的發展空間。臺灣BSI訓練部協理蒲樹盛表示,ISO 27003、27004、27005和27007則已經先訂好編號和相關的內容,等到內容發展完成就會是一個國際標準的推出。至於ISO 27006這個標準主要是針對驗證機關的稽核與發證的要求標準。蒲樹盛表示,這主要是將原本對認證機構的稽核發證標準ISO 17021,重新歸納到新的資安管理認證ISO 27000系列。

整個ISO 27000系列中,也會針對資安管理適用的行業別做規範,例如ISO 27799就是針對醫療行業的資安認證導入做一套規範指南。蒲樹盛說,目前預計相關行業資安導入參考指南的國際標準編號,甚至已經規範到ISO 27058。文⊙黃彥棻


認識ISO 27001主導稽核員

不論公司規模大小,只要預計要導入ISMS或者是要取得ISO 27001資安認證,通常都會派員上課並取得ISO 27001主導稽核員(Lead Auditor,簡稱LA)的認證。這些主導稽核員主要任務,仍以協助公司或組織建置資安制度為主。

臺灣BSI訓練部協理蒲樹盛表示,臺灣沒有一個機構可以統計全臺灣取得主導稽核員證照的人數,但若以BSI的開班數、企業和學校的包班數量,以及其他臺灣開辦LA訓練課程的開班數量和上課人數,取得主導稽核員證照的人數估計不超過2,500人。

主導稽核員多數是因應公司導入ISMS需求,前來了解是否可以導入或打退堂鼓之用。蒲樹盛指出,這些主導稽核員雖然證照掛著稽核的名稱,但絕大多數回公司後,都是協助企業或組織進行ISMS制度的建置和導入。至於後續每年定期內稽,「企業或組織通常由公司內原本的稽核人員執行,避免球員兼裁判之嫌。」蒲樹盛說。

這些主導稽核員除了協助企業建置ISMS制度外,蒲樹盛表示,也因為具有稽核的專業知識,有一些LA開始代表企業或組織稽核其供應商相關的資安制度或規範。文⊙黃彥棻



熱門新聞

Advertisement