去(2022)年10月25日ISO國際標準組織已正式發佈新版ISO 27001:2022,並公告既有版本ISO 27001:2013證書將於3年後失效,即2025年10月25日。失效日距今仍有2年多,似乎還可以好整以暇慢慢準備?錯,新版為因應近年攻擊威脅驟增、企業高度數位化發展及雲端服務採用比例增加,新增11項控制措施。且風險考量不再以系統來評估或以資訊/資安部門為主,而是擴大從端點及使用者出發,新版本的要求對使用者及資訊部門來說都是不小的衝擊。
ISO 27001:2022改版三大重點
重點1.附錄控制措施的調整與新增
在新版中將原先附錄A.5~A.18等14個領域調整為4領域,分別是組織、人員、實體、技術。同時不再像過去是不同領域詳列各自的要求條文,而是引入「屬性」的觀念,強調跨領域之間的關聯與整合。舉例來說,新系統開發的過程需要經過需求評估,開發設計過程納入安全考量,並且權責分割經由不同單位負責開發、上版、測試,這就是橫跨組織、人員與技術領域要求的「安全系統開發屬性」。除了安全系統開發之外,還可以增加「委外開發或委外管理」、「NIST網路安全框架」等屬性。屬性並非強制要求,而是企業可依產業別或所屬環境自由選擇或請顧問協助研擬,以強化企業在網路安全上的實作符合ISO規範。細節可參考ISO 27002:2022實作指引。
此外,此次轉版控制措施由114項經過整併與新增後為93項,不僅舊條文進行修正與整合,也新增11項新控制措施,包括威脅情資、雲端服務安全、端點活動監控、防範資料外洩、上網安全防護、程式開發安全等。這些項目多數市面上都已有成熟的解決方案,對已經部署的企業來說可以好整以待,但是對過去沒有任何管制的企業,就得提前評估規劃,尤其部分控制措施需要在用戶電腦安裝代理程式以搜集資訊,或是管制USB隨身碟的使用等,將對使用者造成一定影響。
不僅影響使用者,對資訊部門與軟體開發團隊來說也是如此。過去安全程式碼的概念是在舊版A.14控制項目中曾提及,而新版則是8.28有明確要求,開發團隊在使用第三方API或函式庫前都需要進行風險評估。
重點2.因應高度數位發展,使用者角度評估風險
新版中評估風險的角度也與過去有所不同,過去以系統角度來評估風險,關注資訊/資安部門環境與行為,而新版考量企業現今均高度數位化、雲端化,及近年威脅事件的趨勢等,需以端點及使用者角度來評估風險。此次控制措施新增項目即大幅增加對端點的管控。
重點3.以公司治理為出發,整合不同管理制度
企業除了ISO 27001資安管理制度之外,可能也已導入其他標準,如ISO 9000、ISO 20000、ISO 22301等。新版ISO 27001:2022的轉版可以與其他標準整合,將重複性條文整合成一份,導入不需從頭來過。即使管理制度是由不同權責單位負責,整合後也容易落實PDCA持續改善的精神。
顧問輔導與技術解決方案一條龍整合服務
數聯資安本身的SOC資安監控中心通過ISO 27001、ISO 20000、ISO 22301驗證,目前管理制度已完成整合,計劃明年完成ISO 27001:2022轉版與驗證。顧問建議今年是企業轉版的準備期,先熟悉新版條文與新舊版本差異,可透過顧問輔導或參加主導稽核員課程了解內容。2024年則是執行期,2025年則可順利轉版與驗證。
在管理制度轉版準備的過程中,針對新控制措施如威脅情資、雲端安全等項目,過去尚未導入的企業也需安排評估與規劃。若是明年能順利爭取到預算者,數聯的顧問輔導團隊與解決方案團隊可以提供一條龍整合規劃服務,讓企業不需成立不同專案多頭導入,節省溝通與行政作業時間。若是預算編列來不及導入者,顧問也能建議先透過其他管理方式來控管,留待下年度繼續稽核追蹤。數聯顧問團隊有多產業別的實際輔導經驗,客戶橫跨製造業、公務機關、醫療、金融資通訊等,能協助企業量身打造符合所需的資安制度,或是出具網路安全稽核報告為企業強化供應鏈安全。