觀點

新版ISO 27002新增供應關係管理與網路應用服務章節

2012 / 07 / 23
張維君
新版ISO 27002新增供應關係管理與網路應用服務章節

隨著雲端運算應用的普及,由其是各種公有雲,雲端服務的使用者與供應商之間需要一種共通的語言,做為彼此對於安全標準要求與被要求的溝通基準。在ISO 27002:2011-12-19當中,新增了供應商關係管理(10)與網際網路應用服務管理(12)兩大章節。中華民國資訊安全學會樊國楨表示,在今年第四季即將公布的新版ISO 27001當中,預料將內含27002條文,也就是原ISO 27001證書必須轉換到此新版本中。

 

其實供應關係管理的內容並非完全新增,而是將原本6.2外部方與10.2第三方服務交付管理合併修訂而來,主要包括針對供應關係進行風險評鑑進而定義控制要求,並將這些制定在政策當中。接著將政策納入供應者協議中,並檢查協議是否落實與遵守。而網際網路應用服務管理則是合併原第6章客戶交易安全、第10章的電子商務服務、線上交易、公開可用的資訊等章節內容。

 

ISO 27002為基礎,ISO 27017雲端運算安全標準,目前是指引而非驗證規範,這些指引詳細涵蓋了88項使用者應遵循的項目、17項供應商的項目、73項使用者對供應商的要求以及26項雲端鏈的要求項目。SGS產品經理何星翰指出,新版CSA雲端安全聯盟的指引也將配合ISO 27017做大幅修訂。

 

SGS產品經理何星翰進一步指出,由於現在企業常跨國採用各種雲端運算服務,如某拍賣網站客戶、管理者都在台灣,而平台來自韓國,機房是用美國AmazonEC2,但最後資料儲存在日本的服務商。面對這樣複雜的雲端鏈,企業必須一層層向上包涵,做到適法性檢查。未來可預期這樣的供應關係將越來越普遍,建立國際共同參考指引有其必要性。