歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
[專訪] 資訊安全治理(Governance) vs 資訊安全管理(Management): 為什麼需要ISO 27014?
2021 / 01 / 25
編輯部
隨著資料數位化,大數據、AI分析等技術相繼被各企業、政府單位採用,近年來企業內的資安單位,已從支援角色變成重要策略單位,單就國際標準ISO 27001資訊安全管理系統,逐漸無法完整凸顯企業競爭力。2013年發布的ISO 27014:2013資訊安全治理標準,將資訊安全「管理」進階至「治理」層級,將成為5G及雲端時代下重要的稽核標準。
從資安「管理」進階到資安「治理」
國際專業驗證機構,SGS驗證及優化事業群產品經理劉士弘,談到「過去組織通過ISO 27001驗證是魅力品質,但現在看來僅只是基本品質。」多數組織的資訊安全管理的範圍多著重於資訊單位,但若導入「治理(Governance)」的概念,需要考量的範圍與情境會豐富而且實際許多,例如除了一般常見的資訊相關風險外,就組織營運角度,也許更應該將財務、法律責任、客戶、合作夥伴、產品或服務研發、企業聲譽及形象、客戶及伙伴的信任、營收…等與組織營運策略方向直接相關的因素及風險納入考慮。
ISO 27014六大原則、五大流程
當層級提高到資安治理,資訊安全這件事不再只是由單一資訊單位或是少數單位來主導和參與,而是應該因應整個組織的策略、目標、方向與優先順序來與組織內各功能、各部門協同運作,而運作的方向須與組織營運方向一致,呈現的績效也須與組織營運績效連結且相符。
針對如何達成資訊安全治理,ISO 27014提出了「六大原則」以及「五大流程」。
六大原則包含:
建立全組織資訊安全(Establish organisation-wide information security)。
採用基於風險作法(Adopt a risk-based approach)。
設定投資決策方向(Set the direction of investment decisions)。CapEx和營運支出OpEx流程,以確保最佳化資訊安全投資以支援組織目標。
確保內、外部要求一致性(Ensure conformance with internal and external requirements)。
培養安全良好的環境(Foster a security-positive environment)。
審查相關營運成果績效(Review performance in relation to business outcomes)。
欲達成上述六項原則, ISO 27014明定五項流程。
評估(Evaluate)。
指導(Direct)。
監視(Monitor)。
溝通(Communicate)。
保證(Assure)。
劉士弘補充說道「政府2018年頒布的資通安全管理法,處處皆存在資安治理概念,例如:重視高階長官的參與度,要求組織投注一定比例的經費預算與人力配置。該法也將提升組織資安意識納入,強調橫向情資分享、縱向溝通、回報與監督,推行資安治理成熟度的評估等。」
SGS驗證及優化事業群產品經理劉士弘
資安觀念要站到前線
劉士弘說,ISO 27014主要涉及治理層面,管理階層愈高,代表跨產業的可能性愈大,整體來說,這項標準是比較通用的。但一些風險比較高的產業,或許可優先考慮滿足ISO 27014國際標準,包括高科技產業、醫療產業、金融產業、有機密資料的公務機關、關鍵基礎設施…等,劉士弘建議這些產業「要儘快將資安治理思維導入組織,以更宏觀地發現與因應可能的風險。」
席間SGS驗證及企業優化事業群部經理何星翰說,若數位智慧製造廠商參考遵循ISO 27014將資安「管理」拉高至「治理」層級後,許多IoT許多設備與應用可能發生的資安問題將可進行較為合適的處理方案。他說,目前部份廠商將智慧醫療、智慧家電系統賣給醫療院所或家庭後,由資訊單位單獨面對及管理IoT設備安全問題,銷售、設計製造或客服部門並未參與,若仍用傳統家電服務概念進行管理,而不是企業治理以涵蓋整體服務生命週期,恐發生數據外洩,隱私遭侵犯等問題。
SGS驗證及企業優化事業群部經理何星翰
因此,「資安觀念要站到前線」,相關業務與售後服務單位,需提升IoT安全意識,高階管理也要展現重視資安之承諾及決心,跨部門協調及整合,以整體強化資安成熟度。
何星翰說,2021年在資安上確有不少重要議題,如資安法修法,ISO 27001改版,「一旦改版,國內預估有800至900張證書,都需在兩、三年內完成轉版。」此外,金管會發佈金融資安行動方案,保險公司、證券業須導入資安管理系統及營運持續管理系統等,國防產業鏈是否能做到美國國防部要求的乾淨供應鏈網路,與資安相關人才需求及培訓,都是令人關注的資安議題。
ISO27014
ISO27001
資安法修法
SGS
金融資安行動方案
資安驗證
焦點專訪
最新活動
2024.10.03
2024 數位經濟資安趨勢論壇
2024.09.11
【資安活動快訊】9/11(三) 2024 ISFP 談資安國際趨勢到臺灣資安圈內投資與合作講座課程
2024.09.12
ISO 27001認證是什麼?可否自行導入?資安懶人包
2024.09.13
[高雄專場]「神機妙算料事準,洞悉威脅守安全」資安超前部署論壇
2024.09.19
安碁學苑資安職能線上講座:資訊安全工程師
2024.09.24
【2024 叡揚資安趨勢講堂】
2024.09.27
零信任資安強化企業防禦韌性媒合交流會
看更多活動
大家都在看
內部滲透測試在AI時代下對資安防護的重要性
最新Linux 版本Cicada勒索軟體 鎖定 VMware ESXi 伺服器
「佛地魔」惡意程式假冒全球各地稅務機關發動攻擊
TXOne Networks籲半導體業強化資產生命週期防護
駭客招數不斷翻新,「用戶帳號」仍是首要目標
資安人科技網
文章推薦
車載資安的未來:把車輛視為端點加以保護
數發部數產署攜手後量子資安產業聯盟 共同強化產業資安聯防
漢昕科技2024 Solution Day:資安自動化的重要性及其實踐策略