ISO 27001:2013轉版常見3大問題

去年10月ISO組織正式公告資訊安全管理系統新版本ISO27001：2013。於是全台灣超過800個企業或組織都將面臨如何因應的問題。高階主管先問：要多少預算？效益在那裡？IT主管先想：又要多少時間和人力投入？這次要怎麼做才會比較容易過關？IT人員心想：兵來將擋，水來土掩，先看別人怎麼做再說。那麼資安顧問又常被問到那些問題呢？

其實大部分問題包含兩種要素，一是觀念，一是做法。當觀念對了，做法自然會浮現。

新版ISO27001其中一個重大改變是提高對管理階層的要求，在新版ISO27001本文5.1「領導與承諾」章節中，具體說明高階管理階層應該要(shall)做到的事項，包括「確保資訊安全管理系統要求事項整合入組織之日常作業」。也就是說資訊安全不僅是資訊單位的責任，同時應該是組織全員的責任。在實務上，這也是所有資安推動人員遇到的難題，許多主管的觀念仍然以通過驗證，取得證書為專案目標。對於協調組織內各業務單位落實資訊安全相關規範，或是全面建立資訊風險管理共識，總有些不知要做到什麼程度才足夠的疑問。要符合新版ISO27001的觀念，除了參加一年一次的管理審查會議外，高階主管是否適時或定期參加資訊安全管理重要會議，將會是一個展現領導及承諾的重要指標，因為風險及安全議題經常都在發生，以最近而言，幾乎每個月都有資安事件發生，高階主管是否都已經注意到相關事件，並且知道組織的因應對策？

在ISO27001轉版的過程中最常見的問題至少有下列3項：風險評鑑方法是否可以簡化？新版的營運持續計畫涵蓋範圍為何？行動裝置如何控管？其次常見問題則有：系統開發一定要做源碼檢測嗎？一定要有密碼控制措施嗎？A9.3.1的 secret authentication information是什麼？

問題1. 風險評鑑方法是否可以簡化？

對於這些問題首先應該要確認的是，到目前為止，ISO27001對組織的效益是什麼？是負擔還是幫助？從踏入資訊安全這個領域開始，第一句相信的格言是Bruce Schneier所說的”Security is a process, not a product.”，如同風險管理一樣，都是持續不斷的過程。資訊風險只會因為科技進步快速提升而未減少，新版ISO27001要表達的是風險評鑑應該比以前更全面思考，所以本文4.1建議參考ISO31000中5.3的風險管理架構，在進行風險管理時應該要先建立風險全景，辨識組織內外風險相關的事物。但是實際如何執行風險評估的方法在ISO31000並未詳述，還是要以ISO27005的資訊安全風險管理步驟來進行，才能得到可用的風險值。如果覺得原有的風險評鑑方法太過繁複，那麼應該要做的是調整威脅、弱點的適切性，而不是省略盤點資訊資產這項基本作業，太過簡單的風險管理等於沒有風險管理。

問題2. 新版的營運持續計畫涵蓋範圍為何？
在建立風險全景的實作指引已明確說明「營運持續計畫之準備」為其重要目的之一，所以對於新版ISO27001附錄A17.1所稱的「Information security continuity」，常有人問是不是只要做ISMS的營運持續計畫？資訊系統的可用性本來就在資訊安全的C.I.A.原則中，沒有資訊系統營運持續計畫的管理機制，如何能說我已做好資訊安全？在舊版的ISO27001中把IT的營運持續計畫寫得像是全組織的營運持續管理，所以新版ISO27001只是把過去寫太多，無法做到的部份，回歸到資訊系統持續運作的基本原則而已，絕無不建立營運持續計畫的道理。

問題3. 行動裝置如何控管？
行動裝置的使用在短短數年間形成無法阻擋的科技趨勢，雖然明知風險不低，但是IT人員只能在尚未準備好的情況下逐步退守，這個問題在談技術解決方案前，其實應該先思考前文所說「領導與承諾」應該展現的資訊安全觀念。高階主管在要求開放使用行動裝置前，是否已評估過風險？開放使用行動裝置時，是否已提供足夠資源或預算讓IT人員有所準備？開放使用行動裝置後，是否已有如果發生資安事件的應對方法？以目前現有的技術解決方案，行動裝置並不難管理，難管理的是思考模式與習慣。


對於其次常見的幾個問題，要先回歸資訊安全管理的基礎──風險管理，ISO27001會要求「產出適用性聲明」就是讓組織可以選擇風險管理的做法，不論是源碼檢測或是密碼控制，每個組織應考慮現有資源、業務需求、法規要求及風險評估的結果，來決定是否採用成本效益相符的控制措施。至於新版ISO27001用了一個我們不熟悉的名詞「secret authentication information」，是因為我們已經太習慣用ID, Password來做驗證身份的機制，而在不久的未來，驗證身分的方法將會更多樣化，圖形、指紋、虹膜、聲音…都是可能出現在資訊安全管理的驗證機制。

新版ISO27001已經用自己的改變來實踐「持續改善」的信念，已通過ISO27001的企業或組織也應該從「獨善其身」進一步到「推己及人」，從利害相關團體、上下游供應商到委外廠商，從現在彼此網路密切相連的觀點而言，任何一個人的資訊不安全，都有可能造成組織或個人的不安全，從通訊錄好友傳來Line的惡意連結只是風險的開始而已。

所以已經通過ISO27001的企業或組織，不論是覺得有氣無力、因循苟且，或是上有政策、下有對策，不妨將這一次的轉版當成是轉機，趁此機會重新檢視這些年來，有那些文件多年來從來沒有修訂過，有那些管理措施根本是多此一舉，有那些平常視而不見或心知肚明的風險沒有被提出，有那些該被宣導落實的教育訓練沒做。如果能善用組織因為維持證書而投資的時間與金錢，順便強化可以保護自己的資訊安全知識，何樂而不為？對於要考量預算的主管，建議以整體重新檢視並且調整制度的視野來編列預算，完整執行PDCA的時間仍然以8~10個月的時間較為充裕。資訊安全之內無君王之路，唯有不離不棄才是王道。

本文作者為資誠聯合會計師事務所風險及控制服務部協理 ，擅長資訊治理、資訊科技風險管理