[解析] ISO 27001:2022 新版標準之改變與實務分享 (一)

受到國際公認的新版ISO 27001:2022資訊安全管理系統 (ISMS) 國際標準，從2022年10月底正式公告發行之後，至今也已經屆滿一週年了，依據ISO組織的要求，所有取得舊版證書的組織，都必須要在三年的轉換期內 (2025年10月底前) 完成轉版稽核，以便持續維持證書的有效性，接下來跟大家分享新版和舊版中，主要條款內容的差異，希望能夠協助大家順利的完成轉版的工作。

在ISO 27001: 2022 標準本文中主要的改變，就是加入了一個全新的條款「6.3 變更之規劃」，要求「當組織決定需要對資訊安全管理系統變更時，應以規劃之方式執行變更」。在舊版標準中，提到跟變更有關的要求，應該就是「A.12.1.2 變更管理」的控制措施了，這個控制措施基本上算是住海邊的，要求「應控制對影響資訊安全之組織、營運過程、資訊處理設施及系統的變更」。所以大到不管是組織的策略方向和營運過程的改變可能影響到資安，小至資訊系統和防火牆的設定異動調整，都需要備妥正式的管理責任及程序，以確保所有變更之控制皆符合要求，並留下適當的記錄。

不過在新版的標準中，跟組織ISMS有關的變更要求，已經把它歸屬在「6.3 變更之規劃」中了，至於舊版原本的「A.12.1.2 變更管理」控制措施，條款編號已經調整為「8.32 變更管理」，並且也將控制措施的要求，調整為「資訊處理設施及資訊系統之變更，應遵循變更管理程序」，所以總算從原本住海邊管很大的控制措施，改變成為只針對資訊處理設施和資訊系統的變更管理要求了。

實務分享

至於在什麼樣的情況下，需要依照「6.3 變更之規劃」的要求來實施呢？以下舉一個例子來說明。

舉例: 當組織決定採用由外部提供的雲端服務時 (像是決定不自建維運機房了，改為採用三大公有雲的IaaS服務)，就需要考量ISMS體系面 (本文4-10) 的管理要求，以有計畫的方式做出ISMS的對應調整，並留下適當的記錄，包括: 

• 鑑別與雲端服務有關的內外部議題和關注方的期望與要求 (4.1, 4.2)。
• 資安政策中是否包括針對雲端安全的要求事項，以及持續改善的承諾 (5.2)。
• 針對使用的雲端服務進行風險評鑑和風險處理 (6.1, 8.2, 8.3)，選擇適當的控制措施 (A.5.23)。
• 考量針對雲端服務制訂相關的資訊安全目標，並且定期進行監督與量測 (6.2, 9.1)。
• 實施和雲端服務有關的專業與認知教育訓練 (7.2, 7.3)。
• 確保使用雲端服務的過程實施適切的控制，例如: 供應商管理 (8.1)。
• 針對使用的雲端服務進行內部稽核 (9.2)，管理審查時進行與雲端服務相關的反饋與改善 (9.3, 10)
  
  

查核重點

最後，組織在進行自我查核和檢視相關稽核證據時，可考量以下事項: 

1. 詢問組織如何決定需要變更資訊安全管理系統 (ISMS)，所採取的規劃方式是什麼？
   
   
2. 詢問如何針對ISMS管理體系 (本文4-10) 做出因應的調整？
   
   
3. 針對所做出的ISMS管理體系之調整，檢視對應的客觀證據有哪些？
   

[新知] ISO 42001 - 人工智能管理系統 (AIMS) 的國際標準即將誕生

隨著AI (人工智能) 技術的快速發展，對於許多業者基於AI所提供的產品或服務，許多人也擔心新科技的應用可能會對人類的生活產生負面的影響，因此，如何讓AI科技的發展能夠趨於正途，成為了一個值得關注的議題。

目前人工智能管理系統 Artificial intelligence Management system (AIMS) 的國際標準「ISO 42001」，已經進入到最後草稿版本的審查階段，預計將在2023年12月正式公布。

# 更新: ISO 42001標準已於2023-12-18正式發布了~~

ISO 42001的AIMS和ISO 27001的ISMS一樣，同樣要求組織從「風險」的角度，評估提供AI的產品或服務，可能面臨的品質、安全、隱私、公平性、可靠性和透明度等議題所帶來的風險，進而實施對應的管控措施。

ISO 42001標準的內容，主要分為兩個部份，第一部份是本文第4章至第10章的內容，和ISO 27001資訊安全管理系統 (ISMS)一樣，遵循了ISO組織所定義的高階結構 (Annex SL)，主要是說明如何建立、實施、維持與持續改善組織的人工智能管理系統 (AIMS)，它能夠幫助組織以負責任的態度去開發或使用AI，並且達成法規的要求，同時也可滿足社會與眾多關注方的期望。

4 組織全景

   4.1 了解組織及其全景

   4.2 了解關注方的需要與期望

   4.3  決定AI管理系統的範圍

   4.4  AI管理系統

5 領導作為

    5.1 領導與承諾

    5.2 AI政策

    5.3 角色、責任與權限

6  規劃

    6.1 因應風險與機會之行動

           6.1.1 一般要求

           6.1.2 AI風險評鑑

           6.1.3 AI風險處理

           6.1.4 AI系統衝擊分析

     6.2 AI目標與達成之規劃

     6.3 變更之規劃

7 支援

    7.1 資源

    7.2 能力

    7.3 認知

    7.4 溝通

    7.5 文件化資訊

8 運作

    8.1 運作規劃與控制

    8.2 AI風險評鑑

    8.3 AI風險處理

    8.4 AI系統衝擊分析

9 績效評估

   9.1 監督、量測、分析及評估

   9.2 內部稽核

   9.3 管理審查

10 改善

    10.1 持續改善

    10.2 不符合事項與矯正措施

至於ISO 42001標準的第二部份，則包括了以下四個附錄的內容：

附錄A是參考之控制目標與控制措施，以表格說明了附錄B.2至B.10的控制措施要求。

附錄B是AI控制措施的實施指引 (內容有點像是ISO 27002，它是控制措施的參考書)

B.1 一般說明

B.2 AI相關之政策

B.3 內部組織

B.4 AI系統之資源

B.5 AI系統之衝擊分析

B.6 AI系統生命週期

B.7 AI系統之資料

B.8 關注方之資訊

B.9 AI系統之使用

B.10 第三方與顧客關係

附錄C是可能的AI相關組織目標與風險來源

C.1 一般說明

C.2 目標

C.3 風險來源

附錄D是使用AI管理系統涉及的領域或行業

D.1 一般說明

D.2 AI管理系統與其他管理系統標準之整合