觀點

[專訪] 資訊安全治理(Governance) vs 資訊安全管理(Management): 為什麼需要ISO 27014?

2021 / 01 / 25
編輯部
[專訪] 資訊安全治理(Governance) vs 資訊安全管理(Management): 為什麼需要ISO 27014?
隨著資料數位化,大數據、AI分析等技術相繼被各企業、政府單位採用,近年來企業內的資安單位,已從支援角色變成重要策略單位,單就國際標準ISO 27001資訊安全管理系統,逐漸無法完整凸顯企業競爭力。2013年發布的ISO 27014:2013資訊安全治理標準,將資訊安全「管理」進階至「治理」層級,將成為5G及雲端時代下重要的稽核標準。

從資安「管理」進階到資安「治理」

國際專業驗證機構,SGS驗證及優化事業群產品經理劉士弘,談到「過去組織通過ISO 27001驗證是魅力品質,但現在看來僅只是基本品質。」多數組織的資訊安全管理的範圍多著重於資訊單位,但若導入「治理(Governance)」的概念,需要考量的範圍與情境會豐富而且實際許多,例如除了一般常見的資訊相關風險外,就組織營運角度,也許更應該將財務、法律責任、客戶、合作夥伴、產品或服務研發、企業聲譽及形象、客戶及伙伴的信任、營收…等與組織營運策略方向直接相關的因素及風險納入考慮。

ISO 27014六大原則、五大流程

當層級提高到資安治理,資訊安全這件事不再只是由單一資訊單位或是少數單位來主導和參與,而是應該因應整個組織的策略、目標、方向與優先順序來與組織內各功能、各部門協同運作,而運作的方向須與組織營運方向一致,呈現的績效也須與組織營運績效連結且相符。

針對如何達成資訊安全治理,ISO 27014提出了「六大原則」以及「五大流程」。
 

六大原則包含:
  1. 建立全組織資訊安全(Establish organisation-wide information security)。
  2. 採用基於風險作法(Adopt a risk-based approach)。
  3. 設定投資決策方向(Set the direction of investment decisions)。CapEx和營運支出OpEx流程,以確保最佳化資訊安全投資以支援組織目標。
  4. 確保內、外部要求一致性(Ensure conformance with internal and external requirements)。
  5. 培養安全良好的環境(Foster a security-positive environment)。
  6. 審查相關營運成果績效(Review performance in relation to business outcomes)。 
欲達成上述六項原則, ISO 27014明定五項流程。
  1. 評估(Evaluate)。
  2. 指導(Direct)。
  3. 監視(Monitor)。
  4. 溝通(Communicate)。
  5. 保證(Assure)。 
劉士弘補充說道「政府2018年頒布的資通安全管理法,處處皆存在資安治理概念,例如:重視高階長官的參與度,要求組織投注一定比例的經費預算與人力配置。該法也將提升組織資安意識納入,強調橫向情資分享、縱向溝通、回報與監督,推行資安治理成熟度的評估等。」
SGS驗證及優化事業群產品經理劉士弘

資安觀念要站到前線

劉士弘說,ISO 27014主要涉及治理層面,管理階層愈高,代表跨產業的可能性愈大,整體來說,這項標準是比較通用的。但一些風險比較高的產業,或許可優先考慮滿足ISO 27014國際標準,包括高科技產業、醫療產業、金融產業、有機密資料的公務機關、關鍵基礎設施…等,劉士弘建議這些產業「要儘快將資安治理思維導入組織,以更宏觀地發現與因應可能的風險。」
 
席間SGS驗證及企業優化事業群部經理何星翰說,若數位智慧製造廠商參考遵循ISO 27014將資安「管理」拉高至「治理」層級後,許多IoT許多設備與應用可能發生的資安問題將可進行較為合適的處理方案。他說,目前部份廠商將智慧醫療、智慧家電系統賣給醫療院所或家庭後,由資訊單位單獨面對及管理IoT設備安全問題,銷售、設計製造或客服部門並未參與,若仍用傳統家電服務概念進行管理,而不是企業治理以涵蓋整體服務生命週期,恐發生數據外洩,隱私遭侵犯等問題。
SGS驗證及企業優化事業群部經理何星翰
因此,「資安觀念要站到前線」,相關業務與售後服務單位,需提升IoT安全意識,高階管理也要展現重視資安之承諾及決心,跨部門協調及整合,以整體強化資安成熟度。
 
何星翰說,2021年在資安上確有不少重要議題,如資安法修法,ISO 27001改版,「一旦改版,國內預估有800至900張證書,都需在兩、三年內完成轉版。」此外,金管會發佈金融資安行動方案,保險公司、證券業須導入資安管理系統及營運持續管理系統等,國防產業鏈是否能做到美國國防部要求的乾淨供應鏈網路,與資安相關人才需求及培訓,都是令人關注的資安議題。