為了因應ISO 27001在今年即將改版,BSI英國標準協會今天舉辦了ISO 27001國際標準草案版(Draft International Standard, DIS)的說明會,會中說明了幾個改版之後的方向,可做為已經導入或是即將導入ISO 27001的單位做為參考。
標準架構的改變
ISO 27001將採用標準化的ISO Annex SL架構,這個架構已經率先使用在先前已公布的ISO 22301(BCMS)身上,這種作法的好處,在於可解決以往各項標準章節內容不一的問題,未來組織若是需要整合各項管理標準的話,實施起來會更加地容易。
採用Annex SL架構的新版ISO 27001共有10章,同樣維持著PDCA的循環概念如下:
0 Introduction
1 Scope
2 Normative references
3 Terms and definitions
4 Context of the organization (Plan)
5 Leadership (Plan)
6 Planning (Plan)
7 Support (Plan)
8 Operation (Do)
9 Performance evaluation (Check)
10 Improvement (Act)
標準內容的重點
其中第3章的名詞解釋,在新版標準中已不再提供,而是以參照方式直接對應到ISO 27000的內容,由ISO 27000來解說整個ISMS標準家族和名詞定義。其他各章的重點,說明如下:
- 在第4章的組織方面,要求先了解組織的現況和來自於內外部的期許與需求,然後再去決定ISMS實施的範圍,建立起實施ISMS的計畫。
- 在第5章領導統御方面,需要獲得管理階層對於實施ISMS的承諾,確保ISMS與組織整體的管理流程是一致的,並且提供所需要的支持。在制定資訊安全政策時,必須清楚的定義各項目標,採用5W1H、可持續可量測的方式,以符合資訊安全的要求。對於和資訊安全有關的組織,必須定義清楚各項角色的權責,並能明確地指派和溝通。
- 在第6章的計畫方面,組織要依據第4章的組織現況和需求,並參考ISO 31000來進行資訊安全風險的評鑑與處理,建立可達成的資訊安全目標和計畫。
- 在第7章的支援方面,需要決定並提供所需要的資源,建立詳細的訓練計畫,確保內外部的溝通順暢,並且建立保存相關的文件化資訊(舊版的文件與記錄已統稱為文件化資訊)。
- 在第8章的運作方面,需依照所計畫的內容實施控制措施,並且執行資安風險評鑑和風險處理。
- 在第9章的績效評估方面,需要持續地進行量測、監控與分析,定期地實施內部稽核,並且召開管理審查會議。
- 在第10章的改善方面,針對不符合的事項需要實施改善行動,並且確保它不會再重覆發生(舊版中要求的預防措施已被移除了),最後是和所有的管理制度一樣,都要依照PDCA不斷地來持續改進。
控制措施的差異
新舊版在附錄A控制方面的差異在於,控制項目由11項增加為14項,其中有舊版的一項被區分為二,另外也加入了兩個全新的項目。控制措施總數則由133個減少至113個,主要是合併了許多舊有的控制措施,並且加入了如行動裝置政策等多個新的控制措施。
A.5 Security Policies
A.6 Organization of information security
A.7 Human resource security
A.8 Asset management
A.9 Access control
A.10 Cryptography (新增)
A.11 Physical and environmental security
A.12 Operations security (由舊版A.10 獨立出來)
A.13 Communications security (由舊版A.10 分開獨立出來)
A.14 System acquisition, development and maintenance
A.15 Supplier relationships (新增)
A.16 Information security incident management
A.17 Information security aspects of business continuity management
A.18 Compliance
因為附錄A的控制項目與控制措施都已作了修改,所以ISO 27002勢必也會跟著一起改版,目前新版ISO 27001:2013預計將會在10月19日正式公布,且讓我們拭目以待。
[資料來源] BSI國際標準草案說明會 (2013-03-20)
沒有留言:
張貼留言