https://www.informationsecurity.com.tw/seminar/2024_Finance/
https://www.informationsecurity.com.tw/seminar/2024_Finance/

觀點

ISO 27001:2013轉版實務注意事項

2014 / 05 / 12
馬立強
ISO 27001:2013轉版實務注意事項

ISO27001標準在2005年公佈以來,歷經8年終於在2013下半年正式公佈,此一新的標準與ISO27001:2005相比內容更易於閱讀,並且整份標準解決目前各項管理標準章節內容不一的問題,有利於組織整合各項管理標準,另外在參考文件說明上,縮小與其他國際標準在參照與校準的差距。例如移除第三章用語釋義,直接參照ISO/IEC 27000,以及在標準中風險評鑑與處理流程應更貼近ISO 31000所提供之原則與一般性指引一致,也因為如此,對於風險評估與風險處理程序在規劃及執行階段皆有要求,此外更重視組織資訊安全管理目標的設定,以及對執行成效及指標的監控。
管理系統新要求
而在管理系統要求中,由原本的4-8章節,調整為4-10章節,並在內容上增加PDCA (規劃-執行-檢查-行動)循環中規劃部份之重視度,以及管理階層、支援或資源的要求,另外在附錄標準要求,在ISO27001:2005版本中,由原本的11個領域、39個管理目標、133項控制措施,調整為18個領域、35個管理目標、114項控制措施。
針對領域之新增、拆分與合併項目:
1. 加密與供應商管理,因其重要性而獨立為新領域
2. 通訊與作業管理分開成兩個獨立領域
3. 變更管理則是在不同的領域中有重複予以合併
而控制措施之新增及整併的項目:
1. 新增行動設備裝置的管理
2. 強化供應商的委外管理
3. 系統開發專案管理等資安要求,用以融入組織面臨的新挑戰

文件化要求與修訂重點
在原有管理系統運行,除了有眾多繁雜的流程及表單,還有累積相當多的記錄,所以在進行文件轉換過程,必須要詳加注意哪些控制項已被刪除、修改與合併的情況,在顧問公司輔導過程結束後,通常我們手上都會有一份資通安全手冊(或稱資訊安全管理系統文件操作手冊),裡面詳載有關四階文件之說明、相關領域對應之程序及表單相關文件,雖然整個領域變多,但其實也有不少項目被刪除,就本文來看,我們必須要注意以下文件與程序,是否有進行異動及修訂,包括了:
1. ISMS政策與範圍(4.3;5.2)
2. 風險評鑑與處理流程(6.1.2;6.1.3)
3. 適用性聲明書(6.1.3)


4. 資產清冊(A.8.1.1)
5. 資訊標示(A.8.2.2)
6. 資產處置(A.8.2.3)
7. 可移除式媒體管理(A.8.3.1)
8. 媒體的汰除(A.8.3.2)
9. 存取控制政策(A.9.1.1)
10. 特殊存取權限管理(A.9.2.3)
11. 安全區域內工作(A.11.1.5)
12. 文件化作業程序(A.12.1.1)
13. 作業系統上的軟體安裝(A.12.5.1)
14. 資訊轉移(A.13.2.1)
15. 機密性與保密協議(A.13.2.4)
16. 系統變更控制(A.14.2.2)
17. 安全系統設計原則(A.14.2.5)
18. 供應商關係的資訊安全政策(A.15.1.1)
19. 因應資訊安全事故(A.16)
20. 資訊安全持續性(A.17.1.2)
21. 識別適用之法條與契約要求(A.18.1.1)
22. 智慧財產權(A.18.1.2)

以上只是把大部份新版異動的文件提出來給各位參考,因應各種組織的規模大小,可文件化的相關程序或表單可能會有更詳細之列舉,需要多加注意。所以在未來文件修訂可考量以下幾個重點,包括了:
1. 資訊安全政策與組織

A. 檢討轉版後的資訊安全目標是否適宜
B. 應確認新版系統運行後,未來組織的任何專案,是否有將資訊安全議題納入相關文件中

2. 行動設備管理程序

A. 應將舊版A.11.7.1之相關安全程序書部份獨立並依組織業務特性強化裝置的註冊與管理程序
B. 遠距工作應可考量存取控制之相關程序,以避免允許使用行動裝置,導致組織的安全風險

3. 資訊資產暨風險管理計畫

A. 風險處理計畫應增加執行有效性確認方式
B. 調整有效性量測項目及量測方式用以確認結果是有效性
C. 資訊資產除一般分類外(例如:資訊類、軟體類、硬體類、服務類、人員類)要增加識別服務風險擁有者。

何謂風險擁有者?
在舊版的資產清冊中,只有針對各項資產進行識別擁有者,所以在進行風險評鑑與處理時,可能會有盲點,舉例來說,Email主機的威脅可能來自系統弱點,雖然已經進行修補動作,但有可能設備有其他作業系統上的弱點(非Email程式),導致駭客由Internet穿透防火牆進行入侵攻擊,然而防火牆的資產擁有者並未有本身弱點,卻因為Email主機上的作業系統層有弱點,而防火牆未進行通訊埠之關閉造成攻擊事件,在新版中加入了風險擁有者的識別,所以從上述的例子來看,應由Email服務來進行風險評鑑,Email服務包括相關的資訊設備(軟體、硬體、服務)及資產擁有者,所以當Email服務有弱點而供應商還未有更新時,風險管理者應召集Email服務相關的資產擁有者,除了密切注意更新套件的時間外,也要馬上準備測試環境,而在更新前的空窗期,透過防火牆資產擁有者,進行政策防護(例如關閉Email對外部非必要之服務埠),甚至IPS資產擁有者要注意是否近期針對Email服務的入侵事件,直到弱點補強之後,再將此一風險降低。

4. 密碼控制措施

A. 新版已將此一控制措施獨立為單一領域,應確認密碼控制措施的有效性
B. 大部份組織可能在SOA排除金鑰管理控制項,應確認所有設施皆無使用加密金鑰(例如:網站服務Https)

5. 作業與通訊安全程序

A. 新版已經將作業安全及通訊安全切割獨立成二個領域,應把原有舊版之相關程序獨立
B. 應確認變更管理程序是否包含設備、軟體或程序的變更,並且都需要有正式的管理責任和流程,並保存相關紀錄

6. 弱點管理措施

A. 新舊版相差無異,但還是必須要確認組織是否有針對技術弱點管理建立相關的角色和責任規定
B. 對於技術弱點的修補,是否有規劃時程、識別相關風險、測試及評估的程序文件
C. 新版增列一項為使用者軟體安裝的要求,應確認管理程序及實作機制

7. 委外管理程序

A. 原舊版人力資源安全管理程序相關文件應把委外管理部份獨立
B. 增列與供應商相關之程序與相關做法

8. 營運持續管理計畫

A. 除現有營運持續相關機制外,應增加資訊設施容錯機制及相關流程
B. 需加強營運持續管理流程與計劃有關資訊安全之相關說明

9. 個人識別資訊相關控制措施

A. 應確認本項控制措施與個資法要求相連結
B. 應訂定隱私和個人資料保護的政策與專責人員負責個人資料保護相關事項
C. 針對個人資料的蒐集、處理、利用及國際傳輸,是否有採取適當的管理措施

資產盤點新增服務流程的風險擁有者
如果各位在原有BS7799的時代已經歷過ISO27001:2005的轉版活動,相信在新版本轉換不是太大的問題,如前所述,其實大部份的程序書都是可以延用的,除了一些分拆或減化流程可考量是否繼續使用,此外對於新增項目或強化的控制項,就必須花更多心思來評估相關流程在組織內部適用的情況。
 
筆者每次在協助企業導入流程當中,花最多心力的就是在資產盤點的流程中,雖然新版一樣有著資產清冊,但更重要的是加入了風險擁有者這個項目,必須更確實思考組織內部所有服務流程的風險因子,跨部門溝通將是一大挑戰。

而在近幾年的行動式裝置,也必須多方考量,如果組織的業務活動都是使用行動裝置,除了考慮相關安全措施外,行動資料備份的議題也必須考慮。最後因台灣個資法的施行,將使個人資料隱私的保護控制項更加深力道,最好能連結個資法相關要求及作法。

在2014年的第一季已有部份組織開始進行轉版作業,例如:公部門及銀行業,相信最大的一波熱潮應是在2014下半年會開始浮現,各位讀者的組織內部如果近期要召開管理審查會議,就把這個重要的議題排入討論吧,也期望能爭取到相關資源快點著手進行。