本週在成功大學擔任 ISO 27001 Lead Auditor 主導稽核員的課程講師,有學員詢問 ISO 27001:2022 的標準,最晚在什麼時候一定要完成轉版稽核?以及新版增加的11項控制措施,實施方面的重點和要求是什麼?我想透過以下一系列的文章來和大家分享。
ISO 27001:2022 的轉版要求
ISO 27001:2022 標準正式發布於2022年10月,ISO組織給予持有舊版證書的組織有三年的轉換期,也就是說,所有ISO 27001:2013的證書必須要在2025年10月31日之前完成轉版稽核,否則舊版的證書就會到期或撤銷,因此,還沒有完成轉換的組織目前已剩下不到3個月的時間了,請務必要在截止期限完成才行。
ISO 27001:2022 新增的控制措施
對於想要轉換到新版證書的組織而言,最想了解的就是新版和舊版的主要改變是什麼?基本上,新版標準在管理制度方面的要求,除了新增加一個全新的條款「6.3 變更之規劃」之外 (可參考這篇文章),最大的改變就是控制措施從原本14個控制領域調整為4個 (組織、人員、實體、技術),控制措施的數量也整併減少為93個,但是其中卻增加了11個新的控制措施,所以接下來的文章,就逐一來說明這11個控制措施的實施重點和要求。
A.5.7 威脅情資 (Threat intelligence)
針對這個控制措施,首先我們需要先定義什麼叫做「情資」?透過以下 CREST - What is Cyber Threat Intelligence and how is it used? 這份指南所提出的,它會經過「蒐集、處理、分析」三個階段。
Source: CREST
以產生網路威脅情資為例,一開始需要蒐集的是原始資料 (Data),可能的來源像是網路設備或防火牆所記錄的IP位址或日誌,再將這些資料導入日誌平台或透過工具進行處理,就能得到一些可疑的活動資訊 (Information)。最後,再經由適當的關聯分析和歸納,匯聚成為管理階層可以判斷做出進一步行動的決策依據,這就是所謂的情資 (Intelligence)。
如果參考ISO 27002控制措施的實務指引,它還提到了威脅情資可以分為三個層面,提供和分享給管理階層來進行評估,分述如下:
- 策略面 (Strategic):分析威脅屬於哪一種攻擊類型?組織可依據自己的現況來建立類型 (例如主機、網路、實體、人員類),或是參考SANS定義的三種情資類型 (內部、外部、社群或特定產業)。
- 營運面 (Operational):分析威脅的攻擊目標主要針對哪些資訊系統?或是可能影響到內部什麼樣的資訊 (例如研發資料、客戶資料、交易資料)?
- 戰術面 (Tactical):分析威脅所涉及攻擊者的方法,包括其採用的工具、技術、社交工程手法等。
在了解以上的情資定義和分層評估以做出決策行動之後,我們回頭來看看標準中針對這個控制措施的要求 -「應蒐集並分析與資訊安全威脅相關之資訊,以產生威脅情資。」
所以在實施方面,依據這項要求,組織必須建立威脅情資蒐集的來源,以及處理和分析的過程,並且可透過分層的方式,讓管理階層能易於掌握和理解情資的重要性,以做出決策和採取適當的行動,這樣才能讓組織真正具備預防、偵測及回應威脅的能力。
沒有留言:
張貼留言