在ISO 27001: 2022 標準本文中主要的改變,就是加入了一個全新的條款「6.3 變更之規劃」,要求「當組織決定需要對資訊安全管理系統變更時,應以規劃之方式執行變更」。在舊版標準中,提到跟變更有關的要求,應該就是「A.12.1.2 變更管理」的控制措施了,這個控制措施基本上算是住海邊的,要求「應控制對影響資訊安全之組織、營運過程、資訊處理設施及系統的變更」。所以大到不管是組織的策略方向和營運過程的改變可能影響到資安,小至資訊系統和防火牆的設定異動調整,都需要備妥正式的管理責任及程序,以確保所有變更之控制皆符合要求,並留下適當的記錄。
不過在新版的標準中,跟組織ISMS有關的變更要求,已經把它歸屬在「6.3 變更之規劃」中了,至於舊版原本的「A.12.1.2 變更管理」控制措施,條款編號已經調整為「8.32 變更管理」,並且也將控制措施的要求,調整為「資訊處理設施及資訊系統之變更,應遵循變更管理程序」,所以總算從原本住海邊管很大的控制措施,改變成為只針對資訊處理設施和資訊系統的變更管理要求了。
實務分享
至於在什麼樣的情況下,需要依照「6.3 變更之規劃」的要求來實施呢?以下舉一個例子來說明。
舉例: 當組織決定採用由外部提供的雲端服務時 (像是決定不自建維運機房了,改為採用三大公有雲的IaaS服務),就需要考量ISMS體系面 (本文4-10) 的管理要求,以有計畫的方式做出ISMS的對應調整,並留下適當的記錄,包括:
- 鑑別與雲端服務有關的內外部議題和關注方的期望與要求 (4.1, 4.2)。
- 資安政策中是否包括針對雲端安全的要求事項,以及持續改善的承諾 (5.2)。
- 針對使用的雲端服務進行風險評鑑和風險處理 (6.1, 8.2, 8.3),選擇適當的控制措施 (A.5.23)。
- 考量針對雲端服務制訂相關的資訊安全目標,並且定期進行監督與量測 (6.2, 9.1)。
- 實施和雲端服務有關的專業與認知教育訓練 (7.2, 7.3)。
- 確保使用雲端服務的過程實施適切的控制,例如: 供應商管理 (8.1)。
- 針對使用的雲端服務進行內部稽核 (9.2),管理審查時進行與雲端服務相關的反饋與改善 (9.3, 10)
查核重點
最後,組織在進行自我查核和檢視相關稽核證據時,可考量以下事項:
- 詢問組織如何決定需要變更資訊安全管理系統 (ISMS),所採取的規劃方式是什麼?
- 詢問如何針對ISMS管理體系 (本文4-10) 做出因應的調整?
- 針對所做出的ISMS管理體系之調整,檢視對應的客觀證據有哪些?