國際標準組織(ISO)今年10月25日公告第三版ISO/IEC 27001:2022國際資安管理制度,距上次改版(2013年)時隔九年。新的版本呼應今年2月15日ISO 27002改版,從資訊安全(Information Security)面向延伸至網宇安全(Cybersecurity)及隱私保護(Privacy protection),並從原本14個控制領域,改為以四大控制主題(組織、人員、實體與技術)闡述管控重點,涵蓋93項控制措施。
SGS台灣檢驗科技股份有限公司ISO 27001產品經理陳子欽表示,本次新版ISO 27001最大的改變是將原本的35個控制目標,共114項控制措施濃縮、匯集成82項,再因應當前技術演變,額外增加11項,一共整合成93項控制措施,再依照其屬性,將這93項控制措施區分至上述四大控制主題中。值得關注的是,新增11項控制措施中,共有7項是屬於技術控制面。
(首圖圖說: SGS台灣檢驗科技股份有限公司ISO27001產品經理 陳子欽 (左) 及 資深產品經理 劉士弘 (右)。)
新版ISO 27001新增重要控制措施
陳子欽闡述新增的控制措施中較為重要的部分。首先是「組織控制主題」中新增的「威脅情資」,即企業、組織需收集、分析與資訊安全威脅相關的資訊後產出威脅情資,以便組織後續採取適當的因應作為。
第二是相同控制主題的「使用雲服務之資訊安全」,當前許多企業的服務與資料都上雲端,對於使用雲服務時應釐清與管理雲服務之資訊安全部分,ISO 27001新版亦增加相關控制措施。
另外,協助組織管理運營持續運作等資通訊科技(ICT)工具相關規範,例如常見的Teams、Webex與Zoom等視訊會議工具,也增添於新版規範的「組織控制主題」中。
而在新版ISO 27001的「實體控制主題」中,除了過往舊版對於實體進入控制措施有所要求外,新版還進一步要求應進行「持續的實體環境監控」,以偵測與嚇阻未經授權的實體存取。
其他舊版ISO 27001較無提及的部分是「技術控制主題」中的組態管理。陳子欽指出,這部分是要求企業組織從幾個面向決定其組態是否正確,如硬體、軟體、服務與網路之相關組態,彼此間運作必須正確,才能確保資訊與服務正常穩定的運作。
另一項新的控制措施,就是「技術控制主題」中是針對敏感資料的資料遮罩要求。他說,企業組織之端點可能是造成資料外洩的其中一種管道,如何在端點即做好防護,也是新版規範重點之一。另外,也為了避免此種敏感性資料之暴露,同時遵循相關法令、法規之要求,新版亦對資訊刪除相關控制措施有所規範。
其他如「監視活動」也納入新版控制措施,單位組織需進行監視,確認內部應用與系統是否有發生異常活動、網站是否需進行過濾、撰寫的程式原始碼是否安全等,以避免潛在風險。
新版因應近期資安狀況
陳子欽指出,從新增的11項控制措施,可看出國際標準組織因應近期發生的資安問題,希冀企業組織在面對不斷演化的資安威脅時,應從更多面相來強化組織的資安管控。
例如,依據行政院2022年6月提出的「110年國家資通安全情勢報告」內容,進階持續性滲透攻擊(Advanced Persistent Threat,APT)是近期常見的網路攻擊型態,當爆發出來時,往往已在組織內蟄伏幾個月,甚至幾年。他說,光用現行的偵測機制或一些矯正作法,已不足以應付。
此外,透過社交工程或釣魚信件所造成之隱私資料外洩,更是近年來常見的滲透攻擊手法,也是組織單位實際會面臨的情況。
對於上述情況,陳子欽說明,舊版ISO 27001並未對此詳加規範,直至本次新版修訂才更臻完整,企業組織或需先行了解這些控制措施之目標與具體要求,才有辦法了解如何滿足新版規範。
企業如何因應ISO 27001新版規範進行導入或轉版
陳子欽指出,對於尚未導入任何ISO相關規範,但可能因來自客戶的合約要求,或者是即將成為主管機關之列管對象,而開始思考需要建置資訊安全管理系統並通過新版ISO 27001驗證之企業組織,此時是一個整備資源、調整體質、形塑資安文化的極佳時間點。
而對原本就已具備2013年版ISO 27001資安管理制度的企業組織來說,首先要釐清新、舊版間到底有多大差異,如:資料防護要做到什麼程度?監視活動的範圍要多廣?接著便是了解組織本身核心資訊的重要程度與價值,並重新盤點組織現有資源,企業組織方能決定如何調整既有控制要求、文件架構等實作項目,以確保符合新版要求。
他說,ISO 27001新版發佈後,本次首當其衝者乃是受法規要求的機關構,例如適用資安法之公務機關及特定非公務機關;再者,對於擁有極高商業核心價值與營業秘密之企業組織,或者是具有較強勢要求之供應鏈上下游體系,如我國半導體產業之護國群山與其供應鏈,可能也會面臨改版所帶來的影響,並因此需投注相關資源,以符合新版規範。除上述產業與機關構,加入隱私保護概念之新版,也可預期將對與生活、醫療院所、電商等擁有大量隱私資料相關的企業組織帶來衝擊。
最後陳子欽也建議,企業組織此時應先著眼在現有的資訊安全架構上,根據新版要求諮詢專業顧問團隊、重新盤點資源、規劃人員培訓、調整文件架構等作為來打好新版的底子,並於所規劃之期間進行完整的風險評鑑、內部稽核與管理審查,枕戈待旦準備進行新版驗證,若企業能愈快通過第三方驗證,即能愈快證明企業對資訊安全之硬實力。
SGS 管理學院