觀點

ISO 27001:2013轉版常見3大問題

2014 / 07 / 28
魯君禮
ISO 27001:2013轉版常見3大問題
去年10月ISO組織正式公告資訊安全管理系統新版本ISO27001:2013。於是全台灣超過800個企業或組織都將面臨如何因應的問題。高階主管先問:要多少預算?效益在那裡?IT主管先想:又要多少時間和人力投入?這次要怎麼做才會比較容易過關?IT人員心想:兵來將擋,水來土掩,先看別人怎麼做再說。那麼資安顧問又常被問到那些問題呢?

其實大部分問題包含兩種要素,一是觀念,一是做法。當觀念對了,做法自然會浮現。

新版ISO27001其中一個重大改變是提高對管理階層的要求,在新版ISO27001本文5.1「領導與承諾」章節中,具體說明高階管理階層應該要(shall)做到的事項,包括「確保資訊安全管理系統要求事項整合入組織之日常作業」。也就是說資訊安全不僅是資訊單位的責任,同時應該是組織全員的責任。在實務上,這也是所有資安推動人員遇到的難題,許多主管的觀念仍然以通過驗證,取得證書為專案目標。對於協調組織內各業務單位落實資訊安全相關規範,或是全面建立資訊風險管理共識,總有些不知要做到什麼程度才足夠的疑問。要符合新版ISO27001的觀念,除了參加一年一次的管理審查會議外,高階主管是否適時或定期參加資訊安全管理重要會議,將會是一個展現領導及承諾的重要指標,因為風險及安全議題經常都在發生,以最近而言,幾乎每個月都有資安事件發生,高階主管是否都已經注意到相關事件,並且知道組織的因應對策?

在ISO27001轉版的過程中最常見的問題至少有下列3項:風險評鑑方法是否可以簡化?新版的營運持續計畫涵蓋範圍為何?行動裝置如何控管?其次常見問題則有:系統開發一定要做源碼檢測嗎?一定要有密碼控制措施嗎?A9.3.1的 secret authentication information是什麼?

問題1. 風險評鑑方法是否可以簡化?

對於這些問題首先應該要確認的是,到目前為止,ISO27001對組織的效益是什麼?是負擔還是幫助?從踏入資訊安全這個領域開始,第一句相信的格言是Bruce Schneier所說的”Security is a process, not a product.”,如同風險管理一樣,都是持續不斷的過程。資訊風險只會因為科技進步快速提升而未減少,新版ISO27001要表達的是風險評鑑應該比以前更全面思考,所以本文4.1建議參考ISO31000中5.3的風險管理架構,在進行風險管理時應該要先建立風險全景,辨識組織內外風險相關的事物。但是實際如何執行風險評估的方法在ISO31000並未詳述,還是要以ISO27005的資訊安全風險管理步驟來進行,才能得到可用的風險值。如果覺得原有的風險評鑑方法太過繁複,那麼應該要做的是調整威脅、弱點的適切性,而不是省略盤點資訊資產這項基本作業,太過簡單的風險管理等於沒有風險管理。

問題2. 新版的營運持續計畫涵蓋範圍為何?
在建立風險全景的實作指引已明確說明「營運持續計畫之準備」為其重要目的之一,所以對於新版ISO27001附錄A17.1所稱的「Information security continuity」,常有人問是不是只要做ISMS的營運持續計畫?資訊系統的可用性本來就在資訊安全的C.I.A.原則中,沒有資訊系統營運持續計畫的管理機制,如何能說我已做好資訊安全?在舊版的ISO27001中把IT的營運持續計畫寫得像是全組織的營運持續管理,所以新版ISO27001只是把過去寫太多,無法做到的部份,回歸到資訊系統持續運作的基本原則而已,絕無不建立營運持續計畫的道理。

問題3. 行動裝置如何控管?
行動裝置的使用在短短數年間形成無法阻擋的科技趨勢,雖然明知風險不低,但是IT人員只能在尚未準備好的情況下逐步退守,這個問題在談技術解決方案前,其實應該先思考前文所說「領導與承諾」應該展現的資訊安全觀念。高階主管在要求開放使用行動裝置前,是否已評估過風險?開放使用行動裝置時,是否已提供足夠資源或預算讓IT人員有所準備?開放使用行動裝置後,是否已有如果發生資安事件的應對方法?以目前現有的技術解決方案,行動裝置並不難管理,難管理的是思考模式與習慣。


對於其次常見的幾個問題,要先回歸資訊安全管理的基礎──風險管理,ISO27001會要求「產出適用性聲明」就是讓組織可以選擇風險管理的做法,不論是源碼檢測或是密碼控制,每個組織應考慮現有資源、業務需求、法規要求及風險評估的結果,來決定是否採用成本效益相符的控制措施。至於新版ISO27001用了一個我們不熟悉的名詞「secret authentication information」,是因為我們已經太習慣用ID, Password來做驗證身份的機制,而在不久的未來,驗證身分的方法將會更多樣化,圖形、指紋、虹膜、聲音…都是可能出現在資訊安全管理的驗證機制。

新版ISO27001已經用自己的改變來實踐「持續改善」的信念,已通過ISO27001的企業或組織也應該從「獨善其身」進一步到「推己及人」,從利害相關團體、上下游供應商到委外廠商,從現在彼此網路密切相連的觀點而言,任何一個人的資訊不安全,都有可能造成組織或個人的不安全,從通訊錄好友傳來Line的惡意連結只是風險的開始而已。

所以已經通過ISO27001的企業或組織,不論是覺得有氣無力、因循苟且,或是上有政策、下有對策,不妨將這一次的轉版當成是轉機,趁此機會重新檢視這些年來,有那些文件多年來從來沒有修訂過,有那些管理措施根本是多此一舉,有那些平常視而不見或心知肚明的風險沒有被提出,有那些該被宣導落實的教育訓練沒做。如果能善用組織因為維持證書而投資的時間與金錢,順便強化可以保護自己的資訊安全知識,何樂而不為?對於要考量預算的主管,建議以整體重新檢視並且調整制度的視野來編列預算,完整執行PDCA的時間仍然以8~10個月的時間較為充裕。資訊安全之內無君王之路,唯有不離不棄才是王道。

本文作者為資誠聯合會計師事務所風險及控制服務部協理 ,擅長資訊治理、資訊科技風險管理