ISO 27001:2022改版重點

ericwater093049

以ISO 27002新版草案的內容而言，有何不同變化？從目前的改版進度來看，可彙整成下列4大焦點。

首先，單就標題命名的方式上，就有很明顯的變動。以ISO 27001:2013為例，其採用的名稱為「資訊科技—安全技術—資訊安全管理系統—要求」，原本最前面是「資訊科技（Information Technology）」，未來將改為「資訊安全、網路安全及隱私保護」，英文全稱是「Information Security,Cybersecurity and Privacy protection」。

隨著名稱的適度調整，我們可以預期，新版標準在涵蓋廣度將有所增加，畢竟，資訊安全、網路安全與隱私的保護，在適用範疇上仍存在些許差異。

第二，控制要求的內容，將有大幅變動與新增。

依照目前ISO 27002新版草案的內容來看，對比現行版本，也就是對應原本的Annex A.5~A.18，新版草案對於控制要求與措施，將有大幅度的打散重整，並有多項新增。

具體而言，在控制類型上，新版草案畫分為4大控制類，暫時共有93項控制措施。這4大主題分別為：組織控制、人員控制、實體控制與技術控制。

特別的是，控制措施雖然看似比之前的108項要少，但劉士弘強調，相關的要求其實並未降低，原因在於，新版將控制措施有了更好的整併，因此，內容將是更為廣泛與深入。

根據SGS的觀察，新版控制措施將原有的56項，綜合整理為24項，另有58項無變動，特別的是還新增加了11項，僅刪除1項。
關於控制措施合併的方式，以新版合併的「變更管理」為例，劉士弘表示，以往企業處理這方面議題時，有點棘手，因為不管是組織自己導入或是顧問協助，關於變更管理的概念，其實分布在多個條文，例如：12.1.2「變更管理」、14.2.2「系統變更控制程序」、14.2.3「運作平臺變更後應用系統技術審查」，與14.2.4「軟體套件變更之限制」。新版草案則將原有的4項相關要求，綜合整理為1項，也就是8.23「變更管理」，直接包含了流程、人員、系統、平臺與軟體套件的變更。他認為，這樣的作法，將讓整個條文完整度與一致性更高，不像現行版本如此分散。

至於唯一將刪除的控制措施，只有現行版本提到的11.2.5「財產之攜出」，不過，劉士弘指出，要做的事情其實仍然存在，因為在新版的兩項控制措施中，就有場域外的資產保護與資訊刪除

新增11項控制要求，自動化工具執行成關鍵

新版草案的第三個焦點在於，除了控制措施的大幅整併，新增的項目更令企業在意。

關於上述ISO 27002新版草案新增的11項控制要求，分別是：威脅情資、雲端服務資安、資通訊技術營運持續整被、實體安全監視、組態管理、資訊刪除、資料遮罩、資料外洩防護、檢視活動、網站過濾與安全程式碼撰寫。

具體而言，在新版草案增加的控制要求有哪些重點？

例如，威脅情資將納入控制要求，劉士弘指出，在實作指引中，說明了有效威脅情資的4大特性，包括需與組織保護有關，讓組織可以對威脅有準確與詳細的了解，也要為情資添加情境，並且可以有效採取行動。

而隨著雲服務的應用越來越普遍，這些雲端服務的管理與使用，也納入管控規範，算是補強各界期待已久的缺口。在涵蓋面向中，包含雲服務風險識別與管理、使用政策、供應商協議，以及退出、變更與轉移的策略。

在實體安全監視方面，過去雖有相關規範，但具體要監控到什麼程度，並不明確，新版草案則有清楚的說明，將提升實體安全概念的強度提升。在實作指引中有3大重點，包括實體場域要有持續的監控，像是警衛、入侵警報與CCTV監控系統等，以及實體安全監控範圍是要涵蓋關鍵系統的建築物，還有監控強度要足夠，包括能追溯查看、入侵偵測與警報、防竄改與個資隱私合規。

關於組態管理方面，這是過去大家都很困擾的議題，因為涵蓋面向大，而新版草案增加這項控制要求的目的，是要協助做到符合組織安全政策要求，而管控重點是確保不被未經授權或錯誤變更。在其納管範圍，將包含軟體、硬體、服務、網路與安全的組態，同時也涵蓋組態模板、組態套用、變更管理，以及監視與審查等面向。

還有像是活動的控制要求，當中涵蓋了網路、系統和應用程式的異常行為監控，以及所需採取的行動，其實，此項新的控制要求隱含了資訊安全監控中心（SOC）的影子，這意味著，要有基礎的SOC機制在組織內運作。

至於安全程式碼撰寫方面，過去其實已有系統購置、開發及維護的控制要求，但唯獨少了軟體開發安全程式碼的層面，新版草案終於有所補強，將系統開發與資訊系統生命週期說明更清楚，要將安全程式碼撰寫原則定義出來。

值得注意的是，劉士弘認為，這次新版草案中所新增的許多控制措施，依據實作指引提供的方向來看，若企業無更多資源或是自動化工具，在執行上會相當辛苦。為何會如此？他認為，以往的控制措施，可採用技術或管理等手段來因應，對於預算或資源不足的組織而言，尚且可以透過管理方式達到管控。

ISO/IEC 27000:2018《Information technology — Security techniques — Information security management systems — Overview and vocabulary》
http://www.pinzhi.org/forum.php?mod=viewthread&tid=82359

ISO/IEC 27001:2022 《Information security, cybersecurity and privacy protection — Information security management systems — Requirements》
http://www.pinzhi.org/forum.php?mod=viewthread&tid=82246

ISO/IEC 27002:2022 《Information security, cybersecurity and privacy protection — Information security controls》
http://www.pinzhi.org/forum.php?mod=viewthread&tid=78481

ISO 27002:2022信息技术-安全技术-信息安全控制实用规則(en) 下载
http://www.pinzhi.org/forum.php?mod=viewthread&tid=78481

ISO/IEC 27002-2022 《信息技术 网络安全与隐私保护 信息安全控制》-中文版
http://www.pinzhi.org/forum.php?mod=viewthread&tid=81178

guisheng1985

weifeng_123

hawking070310

Lenovo917

感谢楼主分享

Spring89