.png)
去(2022)年10月25日ISO國際標準組織已正式發佈新版ISO 27001:2022,並公告既有版本ISO 27001:2013證書將於3年後失效,即2025年10月25日。失效日距今仍有2年多,似乎還可以好整以暇慢慢準備?錯,新版為因應近年攻擊威脅驟增、企業高度數位化發展及雲端服務採用比例增加,新增11項控制措施。且風險考量不再以系統來評估或以資訊/資安部門為主,而是擴大從端點及使用者出發,新版本的要求對使用者及資訊部門來說都是不小的衝擊。
>>讓專業資安顧問為企業制定完善規劃<<
ISO 27001:2022改版三大重點「取得證書通過還是會被駭客入侵!」、「取得證書有用嗎?」過去總是會聽見企業對ISO 27001管理制度的質疑。這次新改版的ISO 27001特別參酌現今企業面臨的資安挑戰與現況,新增的控制措施與要求明顯拉抬企業的資安防護水準,過去取得證書頂多算是達到資安及格標準60分,新版可說是更強調落實程度及技術上的搭配整合之水準一口氣提升到80分的水準。變動幅度不可說不大,三大改版重點整理如下:
在新版中將原先附錄A.5~A.18等14個領域調整為4領域,分別是組織、人員、實體、技術。同時不再像過去是不同領域詳列各自的要求條文,而是引入「屬性」的觀念,強調跨領域之間的關聯與整合。舉例來說,新系統開發的過程需要經過需求評估,開發設計過程納入安全考量,並且權責分割經由不同單位負責開發、上版、測試,這就是橫跨組織、人員與技術領域要求的「安全系統開發屬性」。除了安全系統開發之外,還可以增加「委外開發或委外管理」、「NIST網路安全框架」等屬性。屬性並非強制要求,而是企業可依產業別或所屬環境自由選擇或請顧問協助研擬,以強化企業在網路安全上的實作符合ISO規範。細節可參考ISO 27002:2022實作指引。
此外,此次轉版控制措施由114項經過整併與新增後為93項,不僅舊條文進行修正與整合,也新增11項新控制措施,包括威脅情資、雲端服務安全、端點活動監控、防範資料外洩、上網安全防護、程式開發安全等。這些項目多數市面上都已有成熟的解決方案,對已經部署的企業來說可以好整以待,但是對過去沒有任何管制的企業,就得提前評估規劃,尤其部分控制措施需要在用戶電腦安裝代理程式以搜集資訊,或是管制USB隨身碟的使用等,將對使用者造成一定影響。
不僅影響使用者,對資訊部門與軟體開發團隊來說也是如此。過去安全程式碼的概念是在舊版A.14控制項目中曾提及,而新版則是8.28有明確要求,開發團隊在使用第三方API或函式庫前都需要進行風險評估。
新版中評估風險的角度也與過去有所不同,過去以系統角度來評估風險,關注資訊/資安部門環境與行為,而新版考量企業現今均高度數位化、雲端化,及近年威脅事件的趨勢等,需以端點及使用者角度來評估風險。此次控制措施新增項目即大幅增加對端點的管控。
企業除了ISO 27001資安管理制度之外,可能也已導入其他標準,如ISO 9000、ISO 20000、ISO 22301等。新版ISO 27001:2022的轉版可以與其他標準整合,將重複性條文整合成一份,導入不需從頭來過。即使管理制度是由不同權責單位負責,整合後也容易落實PDCA持續改善的精神。
顧問輔導與技術解決方案一條龍整合服務
數聯資安本身的SOC資安監控中心通過ISO 27001、ISO 20000、ISO 22301驗證,目前管理制度已完成整合,計劃明年完成ISO 27001:2022轉版與驗證。顧問建議今年是企業轉版的準備期,先熟悉新版條文與新舊版本差異,可透過顧問輔導或參加主導稽核員課程了解內容。2024年則是執行期,2025年則可順利轉版與驗證。
在管理制度轉版準備的過程中,針對新控制措施如威脅情資、雲端安全等項目,過去尚未導入的企業也需安排評估與規劃。若是明年能順利爭取到預算者,數聯的顧問輔導團隊與解決方案團隊可以提供一條龍整合規劃服務,讓企業不需成立不同專案多頭導入,節省溝通與行政作業時間。若是預算編列來不及導入者,顧問也能建議先透過其他管理方式來控管,留待下年度繼續稽核追蹤。數聯顧問團隊有多產業別的實際輔導經驗,客戶橫跨製造業、公務機關、醫療、金融資通訊等,能協助企業量身打造符合所需的資安制度,或是出具網路安全稽核報告為企業強化供應鏈安全。
>>完整資安治理計劃諮詢<<
>>資安顧問服務<<
