自公佈至今8年之久的資安管理系統ISO 27001:2005標準,日前新版ISO 27001:2013草稿DIS版本已公開大眾閱覽及徵求意見,預估意見彙整與討論後在今年6~7月會公告Final DIS版。目前ISO組織公告正式版本的頒佈時間為2013年10月19日,在新版公告後18個月至兩年內是轉換緩衝期,也就是原已取得證書的企業最慢需在2015年10月19日前轉換到新版標準。
BSI英國標準協會驗證部協理謝君豪表示,此次算是大改版,與舊版相比主要有三大差異:一、管理體系更容易整合;二、融入企業面臨的新挑戰;三、更多指引延伸參考。說明如下:
(1) 易整合:以前各管理系統對管理制度面的要求有不太一致的描述方式,且章節不一。例如管理制度的PDCA、政策與高階支持等管理制度面要求不同。在新版當中採取Annex SL做結構性要求,讓不同管理系統易於接軌、整合(如下圖)。Annex SL的high level structure是ISO組織對未來所有管理制度在制定時的重要依據,目前如ISO 22301(前BS 25999營運持續管理系統)及此次ISO 27001新版都已採此結構進行調整。先前已頒布的標準,如ISO9000/ ISO20000在未來的改版,預料也將以相同的精神進行調整。
圖片來源:BSI提供(2013/01)
(2) 新要求:ISO 27001:2005原有11個領域(domain)、133項控制措施,新版DIS目前調整為14個領域(A.5-A.18)、113個控制措施(未來仍可能有異動)。新增的領域為將原分散在各領域中的部分控制目標提升其位階為新領域,如加密與供應鏈管理因其重要性而被獨立出來成為新領域,或是將原有領域拆開,如將通訊與作業管理分開成兩個獨立的領域,以反映目前資安的發展趨勢。而控制措施減少則是像變更管理在不同的領域當中有重複就予以合併。也有新增的控制項目如對智慧型裝置的管理、強化ICT供應鏈的委外管理、以及系統開發專案管理的資安要求等。
(3) 更多參考:此次ISO也新增許多指引供企業參考,組織可以在不同的面向及風險進行更深度的強化,通過ISO 27001驗證只是基本要求。目前ISO 27000系列指引編號已超過44號 (001-044),例如金融服務、數位鑑識、供應鏈管理(4本)、軟體開發測試等,主管機關可參考這些指引做進階要求。
截至目前,台灣企業組織已經取得461張ISO 27001證書,在個資法的驅動下,也有更多新單位正在準備ISO 27001,謝君豪建議準備中的企業無須等待新版,按照原訂進度先取得27001:2005驗證,在緩衝期結束前轉到新版即可,新版會向下相容接軌。
至於已經取得ISO 20000、ISO 27001或ISO 9000等多張證書的企業,是否要同時參照Annex SL調整畢其功於一役?謝君豪認為目前第4-10條章節雖已統一,但不同管理制度底下的細項控制目標仍有些許不同,不建議一起調整。各管理系統因不同目的而制定,如品質、環境、資訊安全、IT服務、營運持續等,在管理面會有不一樣面向的要求。在ISO組織尚未把所有的標準根據Annex SL的精神/ 架構進行調整前,企業組織要進行整合或調整,需要有一定的額外資源及對各個系統管理面的了解,可行性才會較高。且台灣企業不同管理制度很多是不同部門主導,導入的範圍也都不同,一起調整有其困難度。但若當初不同管理制度導入時就已做好對照與整合,也許比較容易。他強調,整合管理是未來的趨勢,如此才能呈現管理系統的綜效。