從ISO 27000指引及新版ISO 27001:2013看資安管理未來發展

近年來全球及台灣發生了多起重大的資安事故，如南韓所遭遇的大規模病毒攻擊 (癱瘓將近3萬2千台電腦)、個資外洩 (Sony PSN, LinkedIn, Dropbox, Evernote等)、關鍵網路機房因電力中斷導致全臺對外網路服務遭受到嚴重影響…等事故，均對企業組織的營運及其客戶或使用者造成了重大的衝擊。這些事故的發生也代表著企業組織不可再忽視資訊安全的重要性，尤其是近年來資訊安全的威脅與過去相比不管在議題的複雜性、管理的難度及範圍的涵蓋面上已經產生了不小的轉變，如: 網路安全 (Cyber security)、智慧型設備 (BYOD)，社群媒體 (Social Media)、巨量資料 (Big Data)、雲端 (Cloud)、ICT供應鏈的安全管理等都是不小的挑戰。未來如何有效地展現企業組織在資訊安全面向的有效治理將會扮演著越來越重要的角色。

通過驗證只是開始，參考ISO 27000指引繼續強化ISMS
國際標準組織也為了因應企業組織的需求及面臨的挑戰，陸續在資訊安全的各個面向制定相關的指引提供參考(如圖1)。舉例來說，在ISO/IEC 27000系列中已針對電信業、金融服務、雲端安全、網路安全 (Cyber security)、應用系統安全、事故管理、供應商關係之資訊安全、數位鑑識等面向陸續訂定出相關的指引。這些指引不僅可提供企業組織有效強化既有的資訊安全管理系統，更可協助企業組織藉由這些指引中的要求提升在該面向的成熟度。筆者將針對幾個重要的指引先進行介紹，以協助讀者可以更加瞭解相關的內容並作為持續強化的依據。


* ISO/IEC 27013 –資訊安全及資訊服務管理系統的整合指引
資訊服務的資訊安全管理與服務品質/ 績效管理一直都是密切相關的 (如應用程式有重大漏洞是資安議題，也是服務品質議題)，組織可藉由這個指引的要求強化資訊安全控制措施的有效性。企業組織在導入資訊安全的控制措施時常僅會以控制點的角度實施，以容量管理為例，在導入資訊安全時許多資訊部門僅會對系統、資訊基礎設施進行日常的監控及容量調校，但是對於未來容量的預測、分析及規劃機制卻是相對薄弱。所以常導致資訊系統或服務一旦遭遇到未預期的異常流量、或是法規變化而發生服務異常，造成營運面的重大衝擊。但透過與資訊服務管理要求的結合，企業組織可以藉由擬定年度或季度容量計畫，對未來資訊服務可能產生的變化及對容量的衝擊進行分析，再藉由財務管理流程進行預算的有效規劃及編列。其他可以強化的活動舉例如圖2。()


* ISO/IEC 27014 – 資訊安全治理
許多企業組織導入資訊安全管理系統已有多年，但資訊安全總是侷限在資訊部門、資訊安全的績效無法有效地被展現、資訊安全的要求未能融入到日常文化、所需的資源無法有效地被提供等都是常見的問題。ISO/IEC 27014中明確提供了一個框架及6個原則供企業組織遵循及參考，ISO/IEC 27014所提出的六大原則(如圖3)，都是台灣目前很多企業組織在導入資訊安全後常面臨的議題及挑戰，以第一個Principle - Establish organization-wide security舉例來說，社交工程在政府機關已經宣導了多年，所以政府機關內的業務同仁可能並不陌生。但在企業中，由於資訊安全大部分都是侷限在資訊部門，所以業務單位同仁可能非常陌生。如果沒有以整個企業或組織的角度實施或考量資訊安全的管制要求，資訊安全有效性的展現一定會是個重大的挑戰。

* ISO/IEC 27036 –供應商關係之資訊安全 (制定中)
在資訊活動高度分工的今天，如何管理供應商甚至是ICT供應鏈已是一個不可忽視的重要課題。當供應商所提供的服務或活動無法滿足或違反企業組織的要求時，所造成的衝擊及後果是無法被轉移的。越來越多的企業組織發現如果無法建立完善的機制對供應商進行管理，將來發生資訊安全事故時是無法證明有盡良善監督管理之責的 (不論是業務委外或是資訊委外)。ISO/IEC 27036系列指引中(如圖4)提供了不同類型的供應商關係的資訊安全管理指引 (產品/ 服務供應商安全、ICT供應鏈安全、雲端服務供應商安全等)。筆者將於後續針對相關指引撰文介紹。


快速了解新版ISO 27001 三大主要改變
至於ISO/IEC 27000系列中最重要的ISO/IEC 27001驗證標準，ISO組織已經於7月3日發布FDIS版本 (國際標準最終草稿本)。FDIS版本的發布也代表距離新版的正式版本頒布又更近了一步 (依ISO組織的標準制定的流程，FDIS的下一個階段就是正式版本的頒布)。這次的標準改版，不論在管理系統面或是控制措施面的要求，都有著不小的改變。雖然FDIS的內容與正式版本一定會有些差異，但企業組織可以先從FDIS中的要求了解將來可能需要因應的改變及調整之處。
以下概述管理系統面的要求之主要改變 (PDCA的要求部分):

改變1：與其他國際管理系統的整合更加容易
此次管理系統面的要求採用新的架構進行制定(如圖5)，此為依據ISO組織的 Annex SL要求- High level structure。許多企業組織常會基於不同的考量及要求導入一個以上的管理系統，如資訊安全管理系統、資訊服務管理系統、營運持續管理系統、品質管理系統….等，過去常為了如何進行系統間的整合產生困擾。雖然各個國際標準間有諸多要求都是雷同的 (如須訂定高階管理政策、目標、內部稽核、管理審查等)，但由於各個國際標準間在相關要求上並沒有完全一致的陳述或要求，所以常會導致在整合上增加額外的難度。ISO Annex SL是ISO組織為了解決這個議題所訂定，後續ISO所制定出的驗證標準皆會參考Annex SL中的架構要求進行管理系統面的制定，後續應可以降低企業組織整合時因標準本身所造成的議題。


改變2：管理系統面的要求更為明確並更符合實際需求:

• 管理系統面的要求 (PDCA) 的要求更加明確及符合現狀，尤其是規劃階段 (Plan) 的要求有大幅度的增加 (此次的條款由2005年版的條款4-8調整成條款4-10 - 增加了額外的條款要求) ；
• 與其他國際標準，如ISO 31000 風險管理 及 ISO/IEC 27000系列指引的要求進行更密切的結合；
• 在制定ISMS的範圍前，必須先了解企業組織的情況或背景 (如所面臨的內部及外部議題，利害相關者對資訊安全的要求等)。選定資訊安全管理系統的範圍時必須根據上述議題進行評估。過去許多企業組織僅以資訊部門作為導入的範圍，新版要求須以企業組織的整體面向進行考慮 例如在醫療產業、高科技、人力仲介、資訊服務業、政府機關中，最重要的不會單單只有資訊部門的活動而已，很多資安事故可能會與業務單位有關；
• 最高管理階層需透過相關的活動更積極地展現出領導力及承諾 (Leadership)。此次改版要求最高管理階層透過訂定符合企業組織目的的資安政策目標，整合資安要求與組織既有流程，支持其他相關的管理角色，角色、責任和職權的指派及溝通等活動展現支持及承諾；
• 風險評鑑與風險處理的要求參照ISO 31000風險管理要求；
• 強調績效評估 – 包含安全目標的量化，及資訊安全的績效及ISMS的有效性的評估 (考慮5W & 1H，如圖6)；
• 將能力、認知、溝通等活動獨立成不同的條款–強調上述活動的重要性；
• 文件及記錄的要求改成文件化資訊 (Documented information)等。

改變3：安全控制措施要求之主要改變:
在FDIS版中安全控制措施的改變摘要如下：

• 控制措施的數量減少: 由2005年版中的11個控制措施章節，39個控制措施目標，133個控制措施調整成14個控制措施章節，35個控制目標，114個控制措施。
• 調整控制措施章節之編號: 控制措施的章節編號由原來的A.5~A.15 (11個章節)，增加成A.5~A.18 (14個章節)，如圖7。此外，部分控制措施章節的編號也進行重新的調整，如:
  > 人力資源安全 (由原來的A.8調整成A.7)；
  > 資產管理 (由原來的A.7調整成A.8)；
  > 通訊及作業管理 (由原來的A.10調整成兩個獨立章節– A.12 作業管理安全及A.13 通訊管理安全)。
  
• 移除部分既有的控制措施: 刪除部分有重疊要求的控制措施，如: 在管理系統面及控制措施面同時有要求的控制措施，或是將部分控制措施之要求整合至其他的控制措施中，如:
  > 移除A.6 資訊安全的組織章節中；
  * A.6.1.1 管理階層對資訊安全的承諾
  * A.6.1.2 資訊安全的協調工作
  * A.6.1.4 資訊處理設施的授權過程
  > 移除A.10通訊及作業管理章節中；
  * A.10.7.4 系統文件的安全
  * A.10.8.5 營運資訊系統
  * A.10.10.5 失誤存錄
  
• 新增控制措施: FDIS中增加了多個控制措施以反映目前企業組織所面臨的風險，筆者認為這些控制措施的新增除了可以協助企業組織提升資安的有效性之外，也同時驅使企業組織必須重視相關議題，如:
  > 要求企業組織強化在專案管理過程中的資訊安全；
  > 要求企業組織必須要正視智慧型設備的風險及管理；
  > 針對軟體安裝進行必要的管制以避免造成惡意軟體的攻擊或是違反智慧財產權；
  > 系統開發及維護相關的流程強化 (開發及維護的程序，安全的開發環境等) –過去發生的國內外多起資安事故多與資訊系統/ 應用系統的bug有關；
  > 要求針對資訊處理設施的可用性進行強化 (redundancy)。
• 重新群組部分的控制措施 (Regroup) 及修訂既有控制措施的要求 (Refined/ Revised control statement): 此次所有的控制措施不論在相關的要求或是在ISO/IEC 27002的實施指引內容中都做了更完善及更符合實際的要求及建議。

結語
資訊安全已是企業組織日常維運不可忽視的議題，不論是從政府主管機關要求、法令法規、客戶要求或自身要求等面向，未來對資訊安全治理的要求一定會愈趨嚴謹。企業組織也必須正視相關資訊安全威脅趨勢的變化而造成的潛在衝擊及挑戰 (威脅態勢的變遷: 善意的內部人員/ 駭客攻擊/ 針對特定目標的攻擊等)。許多企業組織常在管理面及技術面中間掙扎，不知該先以哪個面向進行強化。依照筆者過去的稽核經驗及國內外資安事故的分析，許多資安事故的發生都與人員落實度不足及便宜行事有關。航空界有個不飛行安全的理論稱為海恩法則: 每個嚴重航空事故的背後，必定有29次輕微事故，300個瀕臨事故徵兆，以及超過1000個潛在問題。資訊安全管理也是雷同的觀念，如果先透過國際標準及相關指引的要求進行制度的訂定及強化，再透過技術面進行強化，一定可以達到相輔相成之效。但最重要的是企業組織所訂定出來的制度或程序規範，一定要”Fit for use”、”Fit for purpose”。
　　
本文作者現任職BSI 英國標準協會驗證部協理及ISO/IEC 27001產品經理/主導稽核員/資深主任講師