每逢資安事件爆發,許多機構往往第一時間強調「本公司已通過 ISO 27001 驗證」,彷彿一張證書即可為資安防禦背書。然而,大同大學資訊工程學系教授、台灣數位鑑識發展協會(ACFD)創會理事長、全球網際空間管理暨產業發展協會(AGCMID)理事長 林宜隆直言:這正是台灣企業最普遍、也最危險的資安迷思。
林宜隆強調,「驗證只是起點,真正的資安治理需要的是 ISO 27k 系列標準的完整循環,而非單一證書。」
合規與安全之間的落差
ISO/IEC 27000 系列標準(簡稱 ISO 27k)是由國際標準化組織(ISO)與國際電工委員會(IEC)共同制定的資訊安全管理系統(Information Security Management System,ISMS)國際標準族。這套架構涵蓋從控制措施實作到管理體系建立,再到導入指引與技術評鑑的完整層次,並非單一標準所能涵蓋。
林宜隆指出,許多企業在導入過程中倒果為因,將取得 ISO 27001 驗證(Certification)視為終點,卻忽略了整個循環中最關鍵的前置與後置步驟。對於金融機構而言,這個認知落差的代價尤為沉重。金融業不僅是駭客攻擊的首要目標,更肩負維護金融體系穩定與特許執照經營權的法律責任。
第一層:ISO 27002 是地基,不是選配
林宜隆強調的第一個核心觀念是:組織必須先以 ISO 27002 落實具體的資安控制措施(Information Security Controls,ISCs),才具備通過 ISO 27001 驗證的實質條件。
ISO 27001 定義的是「要求什麼(What)」,ISO 27002 解答的則是「怎麼做(How)」。以金融業的實務場景為例,當銀行需要保護行動銀行應用程式的後台資料庫時,ISO 27002 的「存取控制」與「密碼學控制」條款會具體指引如何實施靜態資料加密(Encryption at Rest)、建立金鑰管理程序,以及確保特權帳號在通過多因素驗並留下不可竄改的存取紀錄後,方可進行資料調閱。
林宜隆說,「沒有 ISO 27002 的引導,組織在面對 ISO 27001 的抽象要求時會無所適從。」這個階段的目標,是確保技術防禦與管理流程具備真實的深度,而非為應付稽核所生產的形式文件。
第二層:ISO 27001 驗證是治理宣示,對象是主管機關與市場
當資安控制措施到位後,ISO 27001 的價值才得以充分發揮。林宜隆強調,金融業通過 ISO 27001 驗證的意義,遠超過 IT 部門的技術成就。它是向金融監督管理委員會、股東與客戶發出的治理宣示。
在實務操作上,金融機構需成立由副總經理層級擔任資安長(CISO)的資訊安全委員會,定期召開管理審查會議,並針對「SWIFT 跨境匯款系統遭駭客入侵」或「ATM 系統大規模中斷」等情境定義極低的風險容忍度。同時須編寫適用性聲明書(Statement of Applicability,SoA),明確說明 ISO 27001 附錄 A 中哪些控制項被採用或排除,並制定嚴謹的災難復原計畫,確保核心帳務系統在遭遇攻擊後能在約定的復原時間目標內於異地切換上線。
林宜隆提醒,此處有一個常被混淆的術語:企業取得的是「驗證(Certification)」,而非「認證(Accreditation)」,後者專指稽核驗證機構本身獲得授權的過程。
第三層:ISO 27003 是被忽視的「施工手冊」
林宜隆特別點出一個令他憂心的現象:國內資安輔導業者普遍未使用 ISO 27003,甚至對其內容並不熟悉。「這是導入失敗率居高不下的重要原因之一。」
ISO 27003 專門提供 ISMS 的導入指引,解決的是「如何在複雜組織中推動資安專案」的實務難題。對於部門林立的金融機構而言,這份標準的價值在於提供結構化的專案管理框架:如何獲取高層承諾、如何處理業務單位與資安部門之間的利益衝突,以及如何在不影響現有金融交易服務的前提下,分階段將資安政策嵌入業務流程。
以雙因素驗證的導入為例,ISO 27003 的利害關係人溝通指引能協助專案經理(Project Manager,PM)預先識別業務單位對客戶體驗下降的疑慮,設計合理的推廣策略,而非以強制手段引發內部抗拒。
第四層:ISO 27008 讓資安投資真正有效
林宜隆所描述的完整循環,最終落在 ISO 27008 的有效性評鑑(Assessment)。這個階段的核心問題只有一個:控制措施「有做」,但「有效」嗎?
ISO 27008 從稽核員與評估者的視角出發,針對 ISO 27002 已實施的控制項進行技術性深鑽。以金融業的跨行轉帳系統為例,即便技術規範要求實施交易加密,評鑑人員仍會進一步測試:加密演算法是否存在弱點(如仍使用舊版安全通訊協定)?針對漏洞管理措施,伺服器是否真正在漏洞通報後的規定時限內完成修補,還是僅有紀錄而無實效?
透過滲透測試與紅隊藍隊演練,金融機構的 CISO 得以向董事會提供量化的防禦韌性數據,並針對最脆弱的節點,如第三方支付介面,進行精準的資源強化。「這是最高階的階段,」林宜隆說,「將資安從『有做就好』提升到『做得有效』。」
給董事會的一份路線圖
林宜隆的四層論述,本質上是為金融業高階主管提供了一份資安治理的決策框架:ISO 27002 是技術地基,ISO 27001 是治理宣示,ISO 27003 是執行路徑,ISO 27008 是效果驗證。四個標準缺一不可,且有明確的邏輯遞進順序。
對於正面臨監理壓力升溫、威脅環境日趨複雜的台灣金融業而言,林宜隆的提醒具有直接的現實意義:一張 ISO 27001 證書,從來不是資安治理的終點,而是剛剛站上了起跑線。
▲本文為投稿文章,不代表社方立場。原稿作者:大同大學資訊工程學系教授、台灣數位鑑識發展協會(ACFD)創會理事長、全球網際空間管理暨產業發展協會(AGCMID)理事長 林宜隆。