[解析] ISO 27001:2022 新版標準之改變與實務分享 (一)

受到國際公認的新版ISO 27001:2022資訊安全管理系統 (ISMS) 國際標準，從2022年10月底正式公告發行之後，至今也已經屆滿一週年了，依據ISO組織的要求，所有取得舊版證書的組織，都必須要在三年的轉換期內 (2025年10月底前) 完成轉版稽核，以便持續維持證書的有效性，接下來跟大家分享新版和舊版中，主要條款內容的差異，希望能夠協助大家順利的完成轉版的工作。

在ISO 27001: 2022 標準本文中主要的改變，就是加入了一個全新的條款「6.3 變更之規劃」，要求「當組織決定需要對資訊安全管理系統變更時，應以規劃之方式執行變更」。在舊版標準中，提到跟變更有關的要求，應該就是「A.12.1.2 變更管理」的控制措施了，這個控制措施基本上算是住海邊的，要求「應控制對影響資訊安全之組織、營運過程、資訊處理設施及系統的變更」。所以大到不管是組織的策略方向和營運過程的改變可能影響到資安，小至資訊系統和防火牆的設定異動調整，都需要備妥正式的管理責任及程序，以確保所有變更之控制皆符合要求，並留下適當的記錄。

不過在新版的標準中，跟組織ISMS有關的變更要求，已經把它歸屬在「6.3 變更之規劃」中了，至於舊版原本的「A.12.1.2 變更管理」控制措施，條款編號已經調整為「8.32 變更管理」，並且也將控制措施的要求，調整為「資訊處理設施及資訊系統之變更，應遵循變更管理程序」，所以總算從原本住海邊管很大的控制措施，改變成為只針對資訊處理設施和資訊系統的變更管理要求了。

實務分享

至於在什麼樣的情況下，需要依照「6.3 變更之規劃」的要求來實施呢？以下舉一個例子來說明。

舉例: 當組織決定採用由外部提供的雲端服務時 (像是決定不自建維運機房了，改為採用三大公有雲的IaaS服務)，就需要考量ISMS體系面 (本文4-10) 的管理要求，以有計畫的方式做出ISMS的對應調整，並留下適當的記錄，包括: 

• 鑑別與雲端服務有關的內外部議題和關注方的期望與要求 (4.1, 4.2)。
• 資安政策中是否包括針對雲端安全的要求事項，以及持續改善的承諾 (5.2)。
• 針對使用的雲端服務進行風險評鑑和風險處理 (6.1, 8.2, 8.3)，選擇適當的控制措施 (A.5.23)。
• 考量針對雲端服務制訂相關的資訊安全目標，並且定期進行監督與量測 (6.2, 9.1)。
• 實施和雲端服務有關的專業與認知教育訓練 (7.2, 7.3)。
• 確保使用雲端服務的過程實施適切的控制，例如: 供應商管理 (8.1)。
• 針對使用的雲端服務進行內部稽核 (9.2)，管理審查時進行與雲端服務相關的反饋與改善 (9.3, 10)
  
  

查核重點

最後，組織在進行自我查核和檢視相關稽核證據時，可考量以下事項: 

1. 詢問組織如何決定需要變更資訊安全管理系統 (ISMS)，所採取的規劃方式是什麼？
   
   
2. 詢問如何針對ISMS管理體系 (本文4-10) 做出因應的調整？
   
   
3. 針對所做出的ISMS管理體系之調整，檢視對應的客觀證據有哪些？
   

[新知] ISO 42001 - 人工智能管理系統 (AIMS) 的國際標準即將誕生

隨著AI (人工智能) 技術的快速發展，對於許多業者基於AI所提供的產品或服務，許多人也擔心新科技的應用可能會對人類的生活產生負面的影響，因此，如何讓AI科技的發展能夠趨於正途，成為了一個值得關注的議題。

目前人工智能管理系統 Artificial intelligence Management system (AIMS) 的國際標準「ISO 42001」，已經進入到最後草稿版本的審查階段，預計將在2023年12月正式公布。

# 更新: ISO 42001標準已於2023-12-18正式發布了~~

ISO 42001的AIMS和ISO 27001的ISMS一樣，同樣要求組織從「風險」的角度，評估提供AI的產品或服務，可能面臨的品質、安全、隱私、公平性、可靠性和透明度等議題所帶來的風險，進而實施對應的管控措施。

ISO 42001標準的內容，主要分為兩個部份，第一部份是本文第4章至第10章的內容，和ISO 27001資訊安全管理系統 (ISMS)一樣，遵循了ISO組織所定義的高階結構 (Annex SL)，主要是說明如何建立、實施、維持與持續改善組織的人工智能管理系統 (AIMS)，它能夠幫助組織以負責任的態度去開發或使用AI，並且達成法規的要求，同時也可滿足社會與眾多關注方的期望。

4 組織全景

   4.1 了解組織及其全景

   4.2 了解關注方的需要與期望

   4.3  決定AI管理系統的範圍

   4.4  AI管理系統

5 領導作為

    5.1 領導與承諾

    5.2 AI政策

    5.3 角色、責任與權限

6  規劃

    6.1 因應風險與機會之行動

           6.1.1 一般要求

           6.1.2 AI風險評鑑

           6.1.3 AI風險處理

           6.1.4 AI系統衝擊分析

     6.2 AI目標與達成之規劃

     6.3 變更之規劃

7 支援

    7.1 資源

    7.2 能力

    7.3 認知

    7.4 溝通

    7.5 文件化資訊

8 運作

    8.1 運作規劃與控制

    8.2 AI風險評鑑

    8.3 AI風險處理

    8.4 AI系統衝擊分析

9 績效評估

   9.1 監督、量測、分析及評估

   9.2 內部稽核

   9.3 管理審查

10 改善

    10.1 持續改善

    10.2 不符合事項與矯正措施

至於ISO 42001標準的第二部份，則包括了以下四個附錄的內容：

附錄A是參考之控制目標與控制措施，以表格說明了附錄B.2至B.10的控制措施要求。

附錄B是AI控制措施的實施指引 (內容有點像是ISO 27002，它是控制措施的參考書)

B.1 一般說明

B.2 AI相關之政策

B.3 內部組織

B.4 AI系統之資源

B.5 AI系統之衝擊分析

B.6 AI系統生命週期

B.7 AI系統之資料

B.8 關注方之資訊

B.9 AI系統之使用

B.10 第三方與顧客關係

附錄C是可能的AI相關組織目標與風險來源

C.1 一般說明

C.2 目標

C.3 風險來源

附錄D是使用AI管理系統涉及的領域或行業

D.1 一般說明

D.2 AI管理系統與其他管理系統標準之整合

[新知] ISO 27001:2022 新版資安管理系統 (ISMS) 國際標準正式發行

眾所矚目的ISO 27001:2022新版資安管理系統 (ISMS) 國際標準，終於在今日正式公布發行了，以下簡要地說明新版標準與舊版之間主要的差異:

1.  ISO 27001:2022新版國際標準從原本的「資訊技術－安全技術－資訊安全管理系統－要求事項 (Information technology - Security techniques — Information security management systems — Requirements)，更名為「資訊安全、網路安全和隱私保護－資訊安全管理系統－要求事項 (Information security, cybersecurity and privacy protection — Information security management systems — Requirements)。

2.  ISO 27001:2022新版國際標準的附錄A，採用了今年二月中已更新發行的ISO 27002:2022的四個控制領域 (組織、人員、實體、技術) 與93個控制措施。在舊版標準中所使用的控制目標 (Objective) 被移除了，改為以目的 (Purpose) 來取代，至於新增加的5個控制屬性 (five attribute)，則可由組織自行選用，並非強制要求。

3.  ISO 27001:2022新版國際標準的內容文字，以文件 (document) 取代原先使用的國際標準 (International Standard)。

4.  ISO 27001:2022新版國際標準在本文「4.4資訊安全管理系統」，要求定義建 立、實作、維持及持續改善資訊安全管理系統所需的流程 (process)。

5.  ISO 27001:2022新版國際標準更明確要求在組織內和資安有關的溝通角色。

6.  ISO 27001:2022新版國際標準，微調了部份條款內容和編號，例如: 原先的「9.2 內部稽核」內容增加了「9.2.1 General 一般要求」和「9.2.2 Internal audit programme 內稽計畫」；「9.3管理審查」內容則增加了「9.3.1 General 一般要求」、「9.3.2 Management review inputs 管理審查輸入」及「9.3.3 Management review results 管理審查結果」。另外，原先舊版標準的「10 改善」，則是調整順序為「10.1 Continual improvement 持續改善」和「10.2 Nonconformity and corrective action 不符合項目及矯正措施」，僅將原先的編號對調但內容要求不變。

轉版時程與規劃安排

依據所得知的消息，自2022年11月1日起將會有3年的新舊版證書轉換期，所有的2013年舊版標準證書，預計將在2025年11月1日起失效。

目前已取得2013年舊版證書的組織，可以選擇在既定的後續審查 (CAV) 或三年重審 (RA) 時，同時進行轉版稽核，但要注意的是從2024年5月1日起，想要申請 ISO 27001 首次驗證 (IA) 或進行三年重審的組織，就不能選擇再採用2013年舊版標準來進行稽核了。

至於轉版的規劃，以下步驟可作為參考：

1.  取得新版的ISO 27001:2022國際標準，若有需要也可取得ISO 27002:2022國際標準，以便了解新版控制措施的實施指引。

2.  針對新版國際標準的要求，進行差異分析 (包括本文和附錄A) 和風險評鑑。

3.  針對ISMS管理體系和現有的控制措施，實施必要的改變和調整，並保留實施的文件化證據 (在轉版驗證時提供給稽核員看)。

4.  請務必更新適用性聲明書 (SOA) 以反映所實施新版國際標準的控制措施，並且說明適用和不適用的理由。

5.  主動與組織的驗證單位連繫，提早確認預計要進行轉版稽核的時間。

 

[新知] ISO/IEC 27701:2019 - 第一個隱私保護和個資管理的ISO標準誕生

有鑑於國際上愈來愈多對於隱私保護和法令法規的要求，以及幾乎所有的組織都會有處理個人資料 (PII) 的情況，保護個人資訊和隱私已然成為民眾普遍的期望。

目前，ISO/IEC 27001已是國際上公認為資訊安全管理系統的首要標準，不過，在隱私保護方面除了所需的資安控制措施之外，如何因應法令法規對於個資和隱私保護的要求，以及從PII的控制者和PII的處理者的不同角度來實現和滿足，這也讓ISO組織開始著手編寫ISO/IEC 27552 (ISO/IEC 27701的前身) 標準，希望在既有的資訊安全管理系統 (ISMS)上，也能延伸補充個資管理系統 (PIMS) 的要求和實施指引。

如今，「ISO/IEC 27701:2019 Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines」已在2019年8月正式發布，成為全球第一個隱私保護和個資管理的ISO標準。

ISO/IEC 27701的內容分為8個章節如下：

1. Scope
2. Normative references
3. Terms, definitions and abbreviations
4. General
5. PIMS-specific requirements related to ISO/IEC 27001
6. PIMS-specific guidance related to ISO/IEC 27002
7. Additional ISO/IEC 27002 guidance for PII controllers
8. Additional ISO/IEC 27002 guidance for PII processors

第一到第三章，主要是適用範圍、參考標準和名詞定義的說明，ISO/IEC 27701適用於任何類型的組織，包括公務機關、民營企業及非營利組織。

第四章則是整體性的說明，包括PIMS的要求如何對應到ISO/IEC 27001的4~10章管理體系，以及PIMS增項的指引如何對應到ISO/IEC 27002的5~18章的控制措施。

第五章和第六章的內容，則是進一步敘述在第四章提到的PIMS對應ISO/IEC 27001管理體系要求和ISO/IEC 27002控制措施實施指引。

至於第七章和第八章，則分別從PII控制者和PII處理者的角度，說明包括蒐集和處理個資的情況和條件、應遵循的個資保護原則、設計和預設的隱私考量，以及個資的分享、傳輸和揭露的增項要求。

最後，在標準的附錄A~F中還補充了PII控制者和PII處理者可參考的控制目標和控制措施，以及對應到 ISO/IEC 29100、GDPR、ISO/IEC 27018、ISO/IEC 29151 的條款編號，並且加上如何應用此標準的說明，對於想要整合多項標準和遵循GDPR的組織而言是很清楚的參考資訊。

[專欄] 定期執行資安合規檢視 有效管控資訊系統風險

隨著惡意的攻擊手法愈來愈多樣化，對於防禦的一方而言，需要持續關注的議題也愈來愈多，在日常維運方面，無論是參考國際標準的要求，或是依據產業的規範或最佳實務，定期的實施自我資安檢查，將是確保組織維持強健體質的良方。 

從去年犯罪集團針對包括台灣、泰國、日本等各國的ATM系統進行入侵和盜領案件，到2017年年初對於證券業者發動的分散式阻斷服務(DDoS)攻擊勒索事件，各式各樣的資安攻擊仍然層出不窮。依據英國標準協會(BSI)和營運持續協會(BCI)所共同發表的2017 Horizon Scan Report指出，2017年排名前三大的威脅仍然是「網路攻擊」、「資料外洩」和「無預警的資通訊中斷」，這些威脅將直接關係到組織本身的資訊系統，以及保護、管理與存取資訊的能力。換句話說，組織是否有能力定期檢視資訊系統，分析評估可能存在的威脅與弱點，並且盡快進行處理，就是維持資訊系統持續運作的重要關鍵。