隨著時間的改變,資訊安全的問題也變得更加地多樣化,舉例來說,在五年以前,行動化裝置和雲端服務的安全可能都不會是大家注目的焦點,但時至今日,這些資安風險已成為企業組織不得不去面對的重要課題。
在資訊安全的領域,除了駭客攻防的技術之外,資安管理機制也是必要的措施,而國際標準ISO 27001一向是公認最佳的資安實務參考,隨著不同資安風險的出現,國際標準內容的更新有其必要性,同時也可以讓組織能夠持續地因應新的資安問題,以便採取適當的安全控制措施。
了解新舊版本的主要差異
新版ISO 27001標準的內容有著很大的轉變,在架構方面,它採用了管理系統標準可以通用的Annex SL格式,能夠讓導入許多標準(如ISO 9001、ISO 14000、ISO 22301等)的組織在需要整合時,變得更加地容易進行。另外,在所使用的專業術語上,也做了許多的重新定義與安排,讓組織能夠更清楚標準提到的重點與要求。
在內容方面,新版標準的本文內容從舊版的8個章節擴展成為10個章節,在附錄A的控制措施方面,也從11個增加到14個控制領域,但是控制措施經過重新的編排與合併之後,反而從133個減為114個控制措施,對組織來說,新版也可以選用附錄A以外的其他資安控制做法。
至於在實施範圍方面,舊版主要考慮的是業務性質、組織大小、所在位置與資產技術,新版則是從內外部議題和利害關係人的需求與期望出發,在了解組織的背景與運作型態之後,再由管理層來決定其適用的範圍,同時也更加強調應為資訊安全設定明確的目標,並且實施監控和採取適合的量測指標,以確保安全控制的有效性。
新版標準條文的重點提醒
第0~3章 簡介、範圍、引用標準及用語釋義
新版標準在這部份,大幅刪減了舊版所提及的內容,並且捨去了過去所強調的PDCA模式,但這並非是認為PDCA已經不重要,而是將重點放在持續改進的要求,若是為了達成此一目標,PDCA仍然是可以運用的方法,但並非是唯一的做法,組織可以依需求自行來選擇。在範圍方面,新版強調第4章到第10章的任何要求都是不能被排除的,否則就無法宣稱已經符合了ISO 27001標準的要求。至於引用標準及用語定義的解釋方面,新版ISO 27001就不再贅述了,而是請讀者參考ISO 27000的標準內容,對於新版增加的專業用語,它也都有詳細的解說。
第4章 組織背景
在第4章的組織背景方面,「4.1 了解組織和其背景」的條款中要求,應先了解組織的現況和來自於內外部的期望與需求,然後再去決定ISMS實施的範圍,再建立起實施ISMS的計畫。在這一章節中,新版特別增加了「4.2 了解利害關係人的需求與期望」,所謂的利害關係人包括了內部要求、外部合作夥伴、客戶的期望及法令法規的要求等。
在「4.3 決定ISMS的範圍」中,新版要求必須識別組織內相關的活動,還有委任給第三方來執行的活動,針對所有可能影響達成ISMS預期結果的內外部議題,還可以再參考ISO 31000有關組織內外部的各項活動指引,來決定組織對於資訊安全的要求與適用範圍。
至於ISMS的導入方面,新版「4.4 資訊安全管理系統」將整個管理循環的過程,從建立、實施、運作、監控、審查、維持及改進,改變成為建立、實施、維持和持續改進ISMS,更為簡要符合標準的要求。
第5章 領導力
對組織管理階層而言,在新版「5.1 領導力與承諾」條款中,要求必須要有效地展現其領導力和承諾,並且提供ISMS所需要的資源。在「5.2 政策」中則要求應建立符合組織策略發展方向的資訊安全政策,同時也要負責溝通管理ISMS的重要性,確認相關的控制實施皆符合了ISMS的要求,以達成組織預期的結果,最後並可督促組織持續地改進。
在「5.3 組織的角色、責任和授權」方面,管理層需要明確地指派和資訊安全有關的人員角色、執掌與責任,確認相關的工作符合標準的要求,並且回報ISMS的實施績效給更高的管理階層。
第6章 計畫
在「6.1 因應風險與機會的行動」方面,需要參考4.1和4.2的結果,思考對於組織可能存在的風險和機會,以便制定出適合組織的風險因應做法。在新版的風險評鑑中,已不再要求必須要先識別出資產及其具有的弱點與威脅,才能找出所面臨的風險,換句話說,組織可以自己選擇風險評鑑的方式,並且參考ISO 31000的風險管理原則與指南,定義出風險擁有者可接受的風險準則。
「6.2 資訊安全目標與計畫」提到,ISMS的目標應與組織的策略發展方向相結合,要求必須在組織相關的功能和層級中建立資訊安全的目標。在這裡的功能,指的是組織內部的運作功能,層級則是指管理的層級,應具體地說明由何人負責、需要哪些資源、在預計的哪個時間達成了什麼工作,最後再針對成果來進行評估。
第7章 支援
在支援方面,組織需要決定並提供ISMS所需要的資源(7.1),以便建立、實施、維持和持續改進資訊安全管理。針對與ISMS有關的人員,需要決定其應具備的能力(7.2),建立詳細的訓練計畫,讓所有人員都可獲得所需的專業知識。針對一般的人員,則必須讓其具有足夠的認知(7.3),包括了解組織的資訊安全政策、明白其貢獻對於組織所帶來的好處,以及不遵守資訊安全要求可能造成的後果。
至於在溝通(7.4)方面,組織應確保內外部的溝通順暢,定義何人、何時、何地,所進行溝通的流程與內容。在「7.5 文件化資訊」的要求方面,這是新版增加的一個新用詞,主要是用來取代舊版中所提到的「文件」與「記錄」。在標準條款中若提及了文件化資訊,就表示相關的運作都應建立、保存及更新所需的文件與記錄。
第8章 運作
「8.1 運作計畫與控制」,主要是強調組織應針對「6.1 因應風險與機會的行動」的結果,採取必要的行動並且保留文件化資訊,以確保運作已獲得有效的控制。新版在這裡特別強調,組織應確保外包的流程與作業,都已獲得有效的決定與控管。
「8.2 資安風險評鑑」,要求組織應依照所設定的期間和方法來實施,尤其是當組織有重大的改變時,資安風險評鑑也要重新執行,以確保相關的風險被識別並獲得控制。「8.3 資安風險處理」是要求組織必須落實風險處理計劃,並且保留相關實施之後的文件化資訊,記錄風險處理後的結果。
第9章 績效評估
在「9.1 監控、量測、分析和評估」的條款中,新版標準要求應評估資訊安全的績效和ISMS的有效性,評估的方式包括了決定哪些流程和事項需要被監控與量測、採取什麼分析與評估的方法、在什麼時間由誰來進行,以及最後的結果分析等。對組織來說,建議可採取循序漸進的方式來進行,著重在與資訊安全目標有關的事項,而不是要求一次到位的全面監控,要注意的是過程中仍要保留相關的文件化資訊。
「9.2 內部稽核」與「9.3 管理審查」與舊版的要求大致是相同的,組織應建立稽核計畫,並且依照計畫的內容與期間來實施。在管理審查方面,新版不再強調特定的審查輸入與輸出事項,而是關注在內外部的期許與要求是否能被實現、重視資安績效的回饋,以及持續改進的機會。
第10章 改善
在新版標準中,已不再如舊版強調應採取預防措施,而是將之溶入在了解組織背景和風險管理的過程中。在「10.1 不符合事項與矯正行動」方面,新版要求需要針對不符合事項採取適當的矯正行動,並且處理其產生的結果。同時也要消除不符合事項的原因,以及判斷是否還有類似的不符合事項存在。至於「10.2 持續改進」,則簡單明瞭地要求組織應持續改進ISMS的適用性、正確性及有效性。
因應新版標準必須做出的改變
根據經濟部標準檢驗局的標準轉換說明提到,從2014年10月1日起,驗證機構就不能再核發ISO 27001的2005年版證書,而所有已取得舊版證書的組織,也必須在2015年9月30日前完成轉版,也就是說只剩下不到一年的時間來完成更新並轉換為新的標準。
對尚未導入ISO 27001的組織而言,直接採用新的標準內容,並且依照其要求來實施是最好的方式。但對於需要轉換新版的組織來說,則需要先進行新舊版的差異評估,才能找出需要修改的內容與方向。基本上,有關ISMS政策、風險評鑑與風險處理、適用性聲明書、內外部的溝通、新版增加的控制措施等,這些都是需要一一檢視的重點,建議應及早著手準備,以便讓組織的資訊安全管理更加完備。(本文刊載於2014年6月號網管人雜誌)
沒有留言:
張貼留言