因應日益複雜的企業資安環境變化,國際認可論壇(International Accreditation Forum, IAF)已公布ISO/IEC 27001轉版要求文件,這項在國內被各界普遍採用的資安標準,相隔8年之後也將正式啟動改版之路,預計於今年2022年下半年第四季改版完成。
即將完成改版的ISO資安標準
本次改版的重點,備受企業所關注。對企業實務作業影響較大的是與2022年2月發布的ISO/IEC 27002校準,原有114項資安控制要求中,整併24項、新增11項要求,調整後為93項,調整比例接近30%;另既有的14項控制類別亦將大幅整合為:組織、人員、實體環境及技術控制四大面向。
此外,新版標準中所有的資安控制亦將增加其屬性與目的(圖一摘錄部分如下表),協助企業有效連結資安防護的重點特性與目的 (機密性、完整性、可用性) 、資安控制類型 (預防、偵測、矯正) 以及NIST CSF五大面向 (識別、保護、偵測、回應、復原) ,除此之外亦利於企業資安控制的整體設計外,更可協助企業與其他國際通用標準整合,提高整體性的資安防護效益。
新增控制方向: 威脅情資、雲端服務及資料隱私
近年來資安風險持續升溫、國際間對於隱私保護之要求亦日益提高,本次ISO轉版時,標準已更名為「資訊安全、網際安全及隱私保護─資訊安全管理系統─要求」,其範圍除原有的資訊安全外,將擴大至網際安全 (Cybersecurity) 及隱私保護,以符合近年雲端、5G等新興科技迅速發展之國際趨勢。此外,因零時差(Zero-Day)攻擊數量大幅攀升、漏洞修補問題日趨嚴峻,企業必須藉由迅速有效之外部情資來輔助企業維持適當之安全防護狀態,因此企業審視內部現有之管控機制是能否有效管控風險也是重點項目。
改版新增控制項目主要集中於威脅情資、雲端服務與資料隱私,也納入管控規範,共新增11項控制要求,以資安事件發生時間軸並整合NIST CSF五大面向歸類如下表(圖二),我們可以明顯發現新增的控制項目多數集中在事先的預防與提前偵測,例如:
- 威脅情資管理:
透過自行收集或採購方式,來強化外部資安威脅情資蒐集,並以積極的手段主動處理,在實際風險發生前就完成處理或備妥因應方案。 - 雲端服務管理:
事先建立雲端服務選商標準、取消或轉移雲端服務時的處理流程等。都是企業需要積極面對處理的實際問題。 - 隱私法遵因應:
隱私洩漏議題常導致企業重大財務損失與聲譽影響,必須考量企業註冊、用戶、雲端服務供應商及實際資料存放之國家與區域之法令要求。
轉版在即,企業掌握兩大重點
依據目前ISO資安標準改版進度,新版標準預期在2022年第4季正式公布,並提供企業36個月的標準改版緩衝期。企業若可掌握本次改版中「因應技術發展」與「早期預防因應」的兩大重點,相信對於企業未來的營運與資安防護工作上達到「做得越早」、「防的更好」、「出的事少」及「損失最小」四大目標!
本文共同作者目前任職於KPMG數位科技安全(Cybersecurity)服務部
執行副總經理兼亞太區政府領域資安主持人 / 邱述琛
經理 / 廖彥鈞
研究員 / 陳品臻
聯絡洽詢窗口: dhsiu@kpmg.com.tw
