國際標準組織ISO就在今年2022年10月26日公告最新版ISO/IEC27001:2022,距前一次ISO/IEC 27001改版已相隔9年(前一版為ISO/IEC 27001:2013)。
在ISO/IEC 27001已施行多年,為目前國際上最廣泛採用之資訊安全管理制度標準規範,我國從的金管會金融資安行動方案,要求各金融業遵循資安規範;2017年資通安全管理法公告施行,要求A、B級公務/非公務機關要通過ISO/IEC 27001驗證作業;以及因應這幾年駭客攻擊手法的改變,上市櫃公司不斷發生資安事件,金管會於2021年開始規範上市櫃公司,在「公開發行公司年報應行記載事項準則」,要求公司年報揭露資通安全管理作為與資安事件因應,以及環境、社會及治理(ESG)方面的行動。
由此可知資安即國安的重要性,從初期的金融業、政府機關,到所有的上市櫃公司,產業資安已經發展成為公司營運所必備的,相關的法規精神都是從ISO/IEC 27001概念延伸,因此ISO/IEC 27001的轉版對各產業勢必有相當多的衝擊及影響。
保華資安股份有限公司總經理游峯鵬表示,ISO/IEC 27001管理制度已經普遍多年,資安事件仍層出不窮,我們都知道資安沒有100%,但企業導入ISO27001的施行範圍與落實度不足,確實是一個很關鍵的問題,過往企業大都僅以資訊單位為導入與驗證範圍,應重新審視將業務與使用單位也納入施行範圍。在落實度方面,舊版著重在管理面居多,技術面控制措施則由企業自行制定內部資安政策與規範,較沒有一致性的標準強制性要求,新版針對當前網路攻擊手法與型態,新增了11項控制措施進行補強,讓企業更容易依照新版標準強化自身在技術面資安控管,例如資料外洩防護、網站過濾與監視異常活動等,以避免標準流於形式。
駭客手法一直在轉變,破口只要存在就可能被入侵感染,駭客甚至會拉長潛伏期,讓感染範圍更大,要求更多贖金,例如近期的駭客入侵巴基斯坦國家電力監管局(NERPA)網站、藍新金流遭DDoS攻擊、智利政府機關遭綁架勒索軟體攻擊等。建議企業可從導入落實ISO27001資安管理度開始建立資安第一道防線,提升客戶對企業的信任度。
ISO/IEC 27001:2022改版重點彙整及保華資安小叮嚀
- 標準名稱從ISO/IEC 27001:2013之Information technology - Security techniques - Information security management systems - Requirements調整為Information security, cybersecurity and privacy protection - Information security management systems – Requirements,除原先既有的資訊安全要求外,在2022版更強調了網路安全及隱私保護。
- ISO/IEC 27001:2013 附錄A原先的144個控制措施也大洗盤,新版改為4大控制主題(組織、人員、實體、技術控制)、93項控制措施,其中新增11個控制措施、更新58個控制措施,並整併24個控制措施。
- 另外新版也新增了屬性標籤(#Attributes),每一個控制措施皆會對應到5種不同的屬性值:#1 控制類別Control Types、#2資安特性Information Security Properties、#3 網路安全概念Cybersecurity Concepts、#4執行能力Operation Capabilities、#5 安全領域Security Domains。
- 新增11項控制措施,主要是為了應對當前網路攻擊手法與型態。確保各企業能防範及強化自身資安控管。
- 5.7 威脅情資Threat Intelligence
- 5.23 雲服務的資訊安全Information Security For use of Cloud Services
- 5.30 資通訊技術營運持續整備ICT Readiness For Business Continuity
- 7.4 實體安全監控Physical Security Monitoring
- 8.9 組態管理Configuration Management
- 8.10 資訊刪除Information Deletion
- 8.11 資料遮罩Date Masking
- 8.12 資料外洩防護Date Leakage Prevention
- 8.16 監視活動Monitoring Activities
- 8.22 網站過濾Web Filtering
- 8.22 安全程式碼撰寫Secure Coding
從本次轉版新增項目,ISO/IEC 27001從原先著重在管理面居多,新版重心移至技術面,如安全程式碼撰寫、組態設定等,雖然轉版有3年緩衝期,但建議企業可提早佈局準備,強化技術類型的控制措施。唯有資安走在前,駭客才不會找上門。
本文為投稿文章,不代表社方立場。