ISO 27001:2022改版重點
以ISO 27002新版草案的內容而言,有何不同變化?從目前的改版進度來看,可彙整成下列4大焦點。首先,單就標題命名的方式上,就有很明顯的變動。以ISO 27001:2013為例,其採用的名稱為「資訊科技—安全技術—資訊安全管理系統—要求」,原本最前面是「資訊科技(Information Technology)」,未來將改為「資訊安全、網路安全及隱私保護」,英文全稱是「Information Security,Cybersecurity and Privacy protection」。
隨著名稱的適度調整,我們可以預期,新版標準在涵蓋廣度將有所增加,畢竟,資訊安全、網路安全與隱私的保護,在適用範疇上仍存在些許差異。
第二,控制要求的內容,將有大幅變動與新增。
依照目前ISO 27002新版草案的內容來看,對比現行版本,也就是對應原本的Annex A.5~A.18,新版草案對於控制要求與措施,將有大幅度的打散重整,並有多項新增。
具體而言,在控制類型上,新版草案畫分為4大控制類,暫時共有93項控制措施。這4大主題分別為:組織控制、人員控制、實體控制與技術控制。
特別的是,控制措施雖然看似比之前的108項要少,但劉士弘強調,相關的要求其實並未降低,原因在於,新版將控制措施有了更好的整併,因此,內容將是更為廣泛與深入。
根據SGS的觀察,新版控制措施將原有的56項,綜合整理為24項,另有58項無變動,特別的是還新增加了11項,僅刪除1項。
關於控制措施合併的方式,以新版合併的「變更管理」為例,劉士弘表示,以往企業處理這方面議題時,有點棘手,因為不管是組織自己導入或是顧問協助,關於變更管理的概念,其實分布在多個條文,例如:12.1.2「變更管理」、14.2.2「系統變更控制程序」、14.2.3「運作平臺變更後應用系統技術審查」,與14.2.4「軟體套件變更之限制」。新版草案則將原有的4項相關要求,綜合整理為1項,也就是8.23「變更管理」,直接包含了流程、人員、系統、平臺與軟體套件的變更。他認為,這樣的作法,將讓整個條文完整度與一致性更高,不像現行版本如此分散。
至於唯一將刪除的控制措施,只有現行版本提到的11.2.5「財產之攜出」,不過,劉士弘指出,要做的事情其實仍然存在,因為在新版的兩項控制措施中,就有場域外的資產保護與資訊刪除
新增11項控制要求,自動化工具執行成關鍵
新版草案的第三個焦點在於,除了控制措施的大幅整併,新增的項目更令企業在意。
關於上述ISO 27002新版草案新增的11項控制要求,分別是:威脅情資、雲端服務資安、資通訊技術營運持續整被、實體安全監視、組態管理、資訊刪除、資料遮罩、資料外洩防護、檢視活動、網站過濾與安全程式碼撰寫。
具體而言,在新版草案增加的控制要求有哪些重點?
例如,威脅情資將納入控制要求,劉士弘指出,在實作指引中,說明了有效威脅情資的4大特性,包括需與組織保護有關,讓組織可以對威脅有準確與詳細的了解,也要為情資添加情境,並且可以有效採取行動。
而隨著雲服務的應用越來越普遍,這些雲端服務的管理與使用,也納入管控規範,算是補強各界期待已久的缺口。在涵蓋面向中,包含雲服務風險識別與管理、使用政策、供應商協議,以及退出、變更與轉移的策略。
在實體安全監視方面,過去雖有相關規範,但具體要監控到什麼程度,並不明確,新版草案則有清楚的說明,將提升實體安全概念的強度提升。在實作指引中有3大重點,包括實體場域要有持續的監控,像是警衛、入侵警報與CCTV監控系統等,以及實體安全監控範圍是要涵蓋關鍵系統的建築物,還有監控強度要足夠,包括能追溯查看、入侵偵測與警報、防竄改與個資隱私合規。
關於組態管理方面,這是過去大家都很困擾的議題,因為涵蓋面向大,而新版草案增加這項控制要求的目的,是要協助做到符合組織安全政策要求,而管控重點是確保不被未經授權或錯誤變更。在其納管範圍,將包含軟體、硬體、服務、網路與安全的組態,同時也涵蓋組態模板、組態套用、變更管理,以及監視與審查等面向。
還有像是活動的控制要求,當中涵蓋了網路、系統和應用程式的異常行為監控,以及所需採取的行動,其實,此項新的控制要求隱含了資訊安全監控中心(SOC)的影子,這意味著,要有基礎的SOC機制在組織內運作。
至於安全程式碼撰寫方面,過去其實已有系統購置、開發及維護的控制要求,但唯獨少了軟體開發安全程式碼的層面,新版草案終於有所補強,將系統開發與資訊系統生命週期說明更清楚,要將安全程式碼撰寫原則定義出來。
值得注意的是,劉士弘認為,這次新版草案中所新增的許多控制措施,依據實作指引提供的方向來看,若企業無更多資源或是自動化工具,在執行上會相當辛苦。為何會如此?他認為,以往的控制措施,可採用技術或管理等手段來因應,對於預算或資源不足的組織而言,尚且可以透過管理方式達到管控。
ISO/IEC 27000:2018《Information technology — Security techniques — Information security management systems — Overview and vocabulary》
http://www.pinzhi.org/forum.php?mod=viewthread&tid=82359
ISO/IEC 27001:2022 《Information security, cybersecurity and privacy protection — Information security management systems — Requirements》
http://www.pinzhi.org/forum.php?mod=viewthread&tid=82246
ISO/IEC 27002:2022 《Information security, cybersecurity and privacy protection — Information security controls》
http://www.pinzhi.org/forum.php?mod=viewthread&tid=78481
ISO 27002:2022信息技术-安全技术-信息安全控制实用规則(en) 下载
http://www.pinzhi.org/forum.php?mod=viewthread&tid=78481
ISO/IEC 27002-2022 《信息技术 网络安全与隐私保护 信息安全控制》-中文版
http://www.pinzhi.org/forum.php?mod=viewthread&tid=81178 {:1_180:} {:1_180:}{:1_180:}{:1_180:}{:1_180:}{:1_180:} {:1_180:} 感谢楼主分享 :){:1_180:}
页:
[1]