首頁 > 資安知識庫 > 資安管理政策與教育訓練  > ISMS(ISO 27001)與顧問服務

從ISO 27000指引及新版ISO 27001:2013看資安管理未來發展

作者:謝君豪 -2013 / 08 / 14 列印 加入我的最愛 分享 將這篇文章分享到 Plurk 噗浪

近年來全球及台灣發生了多起重大的資安事故,如南韓所遭遇的大規模病毒攻擊 (癱瘓將近3萬2千台電腦)、個資外洩 (Sony PSN, LinkedIn, Dropbox, Evernote等)、關鍵網路機房因電力中斷導致全臺對外網路服務遭受到嚴重影響…等事故,均對企業組織的營運及其客戶或使用者造成了重大的衝擊。這些事故的發生也代表著企業組織不可再忽視資訊安全的重要性,尤其是近年來資訊安全的威脅與過去相比不管在議題的複雜性、管理的難度及範圍的涵蓋面上已經產生了不小的轉變,如: 網路安全 (Cyber security)、智慧型設備 (BYOD),社群媒體 (Social Media)、巨量資料 (Big Data)、雲端 (Cloud)、ICT供應鏈的安全管理等都是不小的挑戰。未來如何有效地展現企業組織在資訊安全面向的有效治理將會扮演著越來越重要的角色。

通過驗證只是開始,參考ISO 27000指引繼續強化ISMS
國際標準組織也為了因應企業組織的需求及面臨的挑戰,陸續在資訊安全的各個面向制定相關的指引提供參考(如圖1)。舉例來說,在ISO/IEC 27000系列中已針對電信業、金融服務、雲端安全、網路安全 (Cyber security)、應用系統安全、事故管理、供應商關係之資訊安全、數位鑑識等面向陸續訂定出相關的指引。這些指引不僅可提供企業組織有效強化既有的資訊安全管理系統,更可協助企業組織藉由這些指引中的要求提升在該面向的成熟度。筆者將針對幾個重要的指引先進行介紹,以協助讀者可以更加瞭解相關的內容並作為持續強化的依據。
圖1 ISO 27000系列指引

* ISO/IEC 27013 –資訊安全及資訊服務管理系統的整合指引
資訊服務的資訊安全管理與服務品質/ 績效管理一直都是密切相關的 (如應用程式有重大漏洞是資安議題,也是服務品質議題),組織可藉由這個指引的要求強化資訊安全控制措施的有效性。企業組織在導入資訊安全的控制措施時常僅會以控制點的角度實施,以容量管理為例,在導入資訊安全時許多資訊部門僅會對系統、資訊基礎設施進行日常的監控及容量調校,但是對於未來容量的預測、分析及規劃機制卻是相對薄弱。所以常導致資訊系統或服務一旦遭遇到未預期的異常流量、或是法規變化而發生服務異常,造成營運面的重大衝擊。但透過與資訊服務管理要求的結合,企業組織可以藉由擬定年度或季度容量計畫,對未來資訊服務可能產生的變化及對容量的衝擊進行分析,再藉由財務管理流程進行預算的有效規劃及編列。其他可以強化的活動舉例如圖2。()
圖2 ISO 27013資安與資訊服務管理整合,強化資安控制措施有效性
......《未完》
如欲閱讀完整內容,請成為《進階會員》

推薦此文章
5
人推薦此新聞
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字

你或許會對這些文章有興趣…