PROFILE / 系統簡介

目前ISO/IEC 27001:2005已改版為2013年版,而的主要改變是採用ISO/IEC 指引第一部附錄SL所要求之高階架構,這是未來所有ISO國際標準統一的相容架構。

ISO/IEC 27001:2005條文章節為18個章,經ISO/IEC 27001:2013改版後調整為110章,而條文架構的重要變更項目如下:

l   資訊安全風險管理流程可參照ISO 31000:2009 風險管理標準進行,依組織全景、內外部利害相關者關注議題、資訊安全策略及目標等需求進行風險評估。不再強調以資訊資產來進行風險評估。

l   使用「文件化資訊」的用語,不再強調一階至四階文件化程序的要求。 

而控制領域的數量增加了,從原本11個控制領域 (A.5A.15)變成14個控制領域(A.5 A.18),主要是新增了「密碼」與「供應商關係」及原本「通訊與作業管理」控制領域另外展開成「作業安全」與「通訊安全」,但控制目標卻由39個減少成35個,控制措施數量也從133個減少成113個,以有效對應控制目標及控制措施。

 

ISO/IEC 27001:2013附錄 A中領域的變化,變更後的14個領域,架構如下:

A.5安全政策

A.6資訊安全的組織

A.7人力資源安全

A.8資產管理

A.9存取控制

A.10密碼

A.11實體與環境安全

A.12作業安全

A.13通訊安全

A.14系統取得、開發及維護

A.15供應商關係管理

A.16資訊安全事件處理

A.17營運持續管理

A.18遵循性

REPORT / 新聞稿

ARTICLES / 文章分享

  • 2007.04.01

    資訊安全管理新趨勢-ISO 27001管理系統簡介

    21世紀企業隨著企業經營環境的變化,對於資訊依賴之重要度提高。資訊(Information),已成為現今企業重要的無形資產,也是企業成功的基礎與命脈。如何確保企業資訊的機密性、完整性及可用性是當今最重要的課題之一,在今日許多組織均處於高度連網(內部網路與網際網路)的環境下,更顯示出其重要性。資訊安全管理系統(Information Security Management Systems 簡稱ISMS)因此孕育而生,由英國工業貿易部倡導,正在全球普遍推行當中;2005年國際標準組織(ISO)已正式頒布ISO 27000:2005資訊安全管理系統標準,且我中華民國也依此制定國家資訊安全標準,編號為CNS 27001。

      根據行政院資通安全會報規定,資訊安全等級列A、B級之政府單位必須於96、97年建置完成資訊安全管理系統(ISMS),並取得第三方認證通過。在政府帶動及民間企業也體認ISMS的重要,許多大型電信業者或金融、資訊服務業,為取信於客戶,紛紛推動ISMS的建置。因此,在法規要求以及客戶期望下,這波ISMS建置熱潮帶動下,推行ISO 27001管理系統已成為企業永續經營之必要工作。

    ISO 27001條文要求如下:
    4.資訊安全管理系統 
     4.1一般要求 
     4.2建立和管理ISMS 
      4.2.1建立ISMS 
      4.2.2實施和運作ISMS 
      4.2.3監控和審查ISMS 
      4.2.4維護和改善ISMS 
     4.3文件要求 
      4.3.1概述 
      4.3.2文件管制 
      4.3.3紀錄管制
    5.管理責任
     5.1管理者承諾
     5.2資源管理
      5.2.1資源的供應
      5.2.2訓練、認知及能力
    6.ISMS內部稽核
    7.管理審查
     7.1概述
     7.2審查輸入
     7.3審查輸出
    8.改善ISMS
     8.1持續改善
     8.2矯正措施
     8.3預防措施

    ISO 27001推行效益:
    1. 提升企業整体競爭力及形象。
    2. 確保業務資訊之機密性、完整性與可用性。
     (1)機密性:確保被授權之人員才可使用資訊。
     (2)完整性:確保使用之資訊正確無誤、未遭竄改。
     (3)可用性:確保被授權之人員能取得所需資訊。
    3. 鑑別資訊安全管制點,包括組織員工、客戶、供應商與股東。
    4. 消除與日俱增之資訊安全威脅,如:營業機密(研發成果)、欺詐、間諜、破壞、毀損、天災、電腦病毒、駭客入侵等。
    5. 建立資訊硬體設施及軟體之管理機制,以統籌分配、運用全公司資源。
    6. 實施資訊安全教育訓練,宣導資訊安全政策及相關實施規定。
    7. 建立適切之管理程序流程,確保資訊安全。
    8. 明確規範資訊系統及網路服務之使用權限,防止未經授權之存取動作。
    9. 訂定資訊作業安全災變回復計畫並實際演練,確保業務持續運作。
    10. 強化風險管理。

  • 2007.09.01

    ISO 27001資訊安全管理系統導入解析

    國際標準組織(International Organization for Standardization)於2005年10月15日宣布ISO27001資訊安全管理系統成為國際標準,提供組織建置資訊安全管理導入的國際標準規範。

      而導入ISO 27001資訊安全管理系統最為顯著的國家為「日本」,通過驗證之組織共計2148家,其次為「英國」316家,再者為「印度」249家,而「台灣」則排名在第四名,共計125家並持續增加中。

      特別值得一提的是日本、英國與印度導入ISO 27001之組織大多為「企業組織」,而台灣則是「政府組織」佔了絕大部份,這代表什麼樣的含意與現象呢?

      台灣是一個以中小企業為經濟主體的國家,對於資訊安全的想法與認知,都設限於只要做好內部管理即可,但是,一般公司的IT人員僅兩到三位,要如何管理全公司之資訊安全,這是企業管理人員應深刻思考的課題,因為只要一發生電腦病毒、駭客入侵或資料移失等狀況,對公司造成的傷害與損失,嚴重時,會造成組織服務的中斷,這是誰也不願見到與承擔的後果。

      在資訊發達與流通快速的今天,資訊危機無時無刻都存在我們身邊,如開啟不明電子郵件或瀏覽特定網頁,都可能造成資訊安全的風險,資訊安全的目的是「永續服務」,而「永續服務」的主體在於「人」,我們應如何做好資訊安全管理,需從「人」的動作與行為管理做起。

      因此,ISO 27001資訊安全管理系統的功能,著重在於資訊安全「流程管理」,結合ISO 9001的精神並整合資訊安全附錄十一項專業領域要求,要求項目如下:
      一、 安全政策
      二、 資訊安全組織
      三、 資產管理
      四、 人力資源安全
      五、 實體及環境安全管理
      六、 通訊及作業管理
      七、 存取控制
      八、 資訊系統獲得、發展和維護
      九、 資訊安全事件之處理
      十、 商業營運持續管理
      十一、 法規、遵循與稽核

      而ISO 27001資訊安全管理系統在導入初期,會進行「資安環境診斷」、「弱點掃描」、「資產鑑價」與「風險評估」,是一般ISO系統所少見的導入步驟,這也代表資訊安全著重的方向是在於「預防」,而非在於強化「硬體設備」之功能與架構。

      由初步診斷與評估,並結合十一項專業領域之要求之導入,可使IT人員更容易去掌握組織資安環境的變異,進而強化一般人員資安認知,並提昇組織對持續服務客戶之效益與效率更有信心,商譽與績效可同步提昇,進而達到永續發展的目標。

      在全球化的世界裡,只要有資訊與資料之流通,資訊安全就會存在風險,而資訊安全攻擊是不分國界與時間,只要有機會隨時可能被入侵與攻擊,所以,為了降低資安風險,期待企業組織共同來為更完善的資安環境盡一份心力。

  • 2008.11.01

    推行ISO 27001:2005概念說明

    ISO 27001係一套用以建立、實施、操作、監控、審查、維護及改善資訊安全管理系統(Information Security Manage- mentSystem 簡稱ISMS)之國際標準;ISO27001:2005資訊安全管理系統為一套過程導向與客戶需求引導的系統,而不是一個技術性的準則,協助客戶將資訊安全資產管理帶領到一個全新的領域。

      企業主要的資訊安全資產管理,跟資訊人員與使用者有何不同?資訊這個武器在資訊應用系統開發者的眼裡與使用者的概念有何不同?各位想必知道,資料在應用系統的整合後,能夠發揮出很大的效益。您也想必看過許多的商業型態的電影,描述主角如何利用企業中的資料帶出改進的契機,進而創造一個新的企業型態或形象。在輔導企業落實ISO 27001的經驗中發現,企業主對於資訊系統通常有著比較大的隔閡,可能因為資訊教育的不足,或是長年努力專精在技術、業務、研發等層面的工作,對於管理、資訊等領域通常比較陌生,在資訊安全的概念上也就更難以推展。因此,如何用商業的角度、客戶需求、過程導向、系統導向來思考資訊安全管理系統的推展,成為在ISO 27001顧問工作上努力的目標……

    ISO 9001以後,其實也推出了許多具有風險管理意識的系統,當然,這些系統很重要。但是從現在資訊如此發達,國際網路的威力無遠弗屆的趨勢來看,相信任何人都不會說資訊安全的保護不會是企業中令人關注的題目。但是,您企業中有關資訊安全的資產,真的很好的被保護著嗎?日前基測考生的個資洩漏問題鬧的沸沸揚揚,相信您也還記得陳冠希事件給社會帶來多大的衝擊,新聞上斗大的篇幅不斷的告訴您:不管是個人的資料或企業的資料都應該受到同等的關注。而要保護的對象是什麼?放在企業中的資訊安全資產到底哪些是重點?ISO 27001:2005 協助企業透過這個標準的推行,瞭解資訊安全風險管理的模式,進行資訊安全風險評估,運用過程導向與系統導向的方法鑑別出企業的資訊安全管理重點,規劃、建立有效的因應計畫與管控系統,持續運作各項資訊安全管理系統要求,確保組織能於最低風險下持續營運。

    ISO 27001 採用PDCA的概念
    自從戴明博士倡導PDCA的管理模式架構以來,PDCA雖然已經不是顯學,但卻是品質管理非常重要的概念,現在這個概念也引進了ISO27001的系統中,從計畫、行動、監控審查、行動這四個最重要的ISMS系統建置的步驟看來,有很多是必須要在推行過程中展開的:


    客戶需求原則:
    一般都會以汽車業推行的過程導向案例,來解釋分解客戶需求的方法導入過程導向的概念。這種方式在引導資訊安全資產重點時特別能夠讓企業主瞭解:客戶委託給企業(組織)中的哪些資訊資產會跟企業(組織)中的重要資產相結合。業態(組織主要經營獲利流程與型態)是常常拿來說明的一種說詞,通常業態會引發所有企業可能會有的營運管理原則,與企業中必須要執行的工作。從此思考,對於過程導向也將不難理解。很重要的是:未來具有主導性能力影響資訊安全系統推行的是客戶的概念,因為如果客戶不懂得保護自己委託給委外單位的資訊系統有關安全,被委託的單位或是組織也就不會重視。


    過程導向展開原則:
    常常在進行資訊安全風險評估的過程裡,企業的資訊主管或是主辦人都會為了資訊安全資產哪些是企業的重點而傷透腦筋,如果使用過程導向思考則絕不會惹上這樣的麻煩。您可以使用類似矩陣的方式來展開思考:
     
    ●上列圖表僅為範例,非意指正常業態流程。
    ● v 的含意代表著其中應該會有資訊安全資產可能會留存,只是型態還需要進一步的識別。
    ●系統導向引用ISO 9001思維,釐清各個流程之間的相互關係與順序,即可完成系統導向識別。

    風險管理原則:
    一般來說透過ORCA原則(目標、風險、控制、一致性)來推行資訊安全系統,採用了風險管理的思維,所以如何建立起符合ORCA原則的風險評估機制,藉以瞭解公司資安資產在機密性、完整性、可用性等方面可能遭遇的資產價值衝擊或是損失,是必須進行的重要步驟。所以建立起資訊安全系統的控管目標,結合風險研究,進行合理性的控制,進一步的透過內部稽核、管理審查的活動使規劃理想與實際控制符合,是整體資訊安全控制系統的風險管理規劃。
     
      風險評估後自然要面對企業所遭遇的資訊安全高風險項目進行回應,而同時能夠符合資訊安全政策、資訊安全目標以及持續營運的理想自然是最好不過,此時可能會因應公司資訊化程度作某些硬體、軟體上的投資,或是進行教育訓練宣導、訓練及制度管理。

    您可能針對硬體、軟體的投資會相當戒慎恐懼,當然,規劃、執行ISO27001:2005資訊安全系統,是可能要進行一些投資,但是跟其他系統完全一樣,您的投資是取得您的客戶對您的商務信譽得到更高度的信任,以及在資訊資產的保護上得到更多的風險上的減低,先期的投資可以讓你在日後的損失降到最低。而這樣的風險控管的概念,則跟保險的概念可以說是一致的。

    對於規劃、執行ISO 27001,自然會面臨到很多資訊上可能有專業術語會應用與討論,您可以尋找專業的諮詢顧問解答這些問題,而技術工具畢竟是為了增加企業競爭力所做的必要投資,所以適當投資是必要的。尋找適當的顧問,將可讓您的資訊安全風險與企業營利目標上得到最佳的平衡。
  • 2010.11.17

    ISO 27001資訊安全管理系統輔導經驗談

    ISO 27001:2005資訊安全管理系統自2005年公告以來,由公家機關、學校、醫院等機構開始導入,到近期相關私
    人企業也陸續導入此驗證系統,尤其自「個人資料保護法」公布後,個人資料大量以資訊化方式使用或儲存,資訊安
    全更加受到重視。

     

        企業在建立ISO 27001資訊安全管理系統時,應遵循一套系統性方法,以下就這些方法說明5個應注意的要項:

     

     

    一、資訊資產盤點:

     

        須確認其資訊資產分類方式,資訊資產分類與一般企業固定資產分類模式並不完全一致,以現有固定資產並無法

        將資訊類資產獨立而成資產盤點結果,例如:一般資訊資產盤點還須包括跟資訊安全有關的人員,這是與一般固  

        定資產不同的地方,必須先行確認資訊資產分類方式,使資訊資產清冊完整,並且對每項資產價值加以評估,依

        資訊資產的機密性、可用性及完整性作為資產價值評估的依據。此舉必須注意量化表現之方式,使其能展現一致

        的評估結果,以利後續風險鑑別。

     

    二、風險評鑑:

        
        風險評鑑須決定其方法論,並先行思考各項資產可能對應的弱點為何?可能導致哪些衝擊?建議先收集並建立適

        用的資料庫,以資產對應的弱點,弱點對應的衝擊建立之,避免遺漏風險未被鑑別。此資料庫並非一對一,通常

        是一對多,換言之,一項資產對應多項弱點,一項弱點亦可能對應多項衝擊,風險評鑑初期方法規劃需通盤且完

        整考量,如規劃未完整,常造成風險評鑑完整性不足,導致一再重複做風險評估作業。

     

     

    三、風險回應:

        
        此步驟針對已鑑別的風險做處置的管制方式之回應,於選擇管制項目時,一般企業常見狀況為控制項目的回應不

        夠完整,需確認ISO 27001:2005資訊安全管理系統附錄A提供之11項管理領域、39項控制目標、133項控制項

        目及方法已被充分考量。

     

    四、營運衝擊分析:

        
        針對可能造成營運中斷的資訊安全事件應加以分析及鑑別,必須建立一方法論,以企業的核心流程為主,其流程

        運用的資訊資產為何?這些資訊資產遭遇何種事故時,對營運持續性造成中斷的可能,以這些資訊安全事件發生

        的可能性及造成營運持續的衝擊大小分析,並決定相關營運持續計劃之建立。

     

    五、營運持續計劃:

        
        針對已鑑別出可能導致營運持續性中斷的事件,須建立相關計劃活動,以避免營運中斷事件發生或將影響降到最

        低。建立營運持續計劃時,須考量其步驟、權責人員、所需資源、預計完成時間等,計劃完成後,須以各種可行

        方式,確認計劃可行性,如沙盤推演、狀況模擬、技術性復原測試及完整演練確保資訊資產遭受破壞或不當使用

        時,能迅速採取必要的應變措施,在最短時間內復原,並降低該事故可能帶來的損害。

     

        由以上步驟得知,建立ISO 27001:2005資訊安全管理系統時,須先行確認各步驟方法,故方法論的建立及使用,

    即決定了ISO 27001:2005資訊安全管理系統建立及維護之成敗。在導入ISO 27001:2005資訊安全管理系統時,可參

    照國際標準組織公布的相關指導綱要,如ISO 27002:ISMS 作業規範、ISO 27003:導入指南、ISO 27004:信息安全

    管理評測標準、ISO 27005:偏重風險管理,或尋求外部專家協助,以期達到事半功倍之成效。

  • 2010.11.19

    ISO 27001管理制度建置方法論

    一般企業經營都需要「規矩」,規矩是累積企業商業營運模式而成的一種管理經驗,而後把商業營運經驗形成「管理制度」,即成為治理一所企業、組織所有規定的集合體,也是協助主管人員管理企業、組織的一套作業準則。

        在以往資訊安全輔導的經驗中,發現許多企業在打造資訊安全系統時,容易有以下錯誤觀念:

     

    1.資訊服務等於資訊安全:

     

      從事資訊服務的同仁通常兼任資訊安全的工作,雖然在技術上有共通處,但是資訊安全是在提供流程服務的資訊化過程中所必須
      考慮的,然而許多組織並沒有把關鍵服務流程資訊化,即公司運轉的過程尚有許多依靠溝通及人工進行,此時就會把資訊安全視
      為資訊部門的責任。

     

    2.資訊安全只要把技術搞定,就可以達到全面資訊安全:

     

      目前導入ISO 27001標準的範圍,都著眼於資訊部門或侷限某個資訊系統,如果本身沒有實際的資訊系統管理經驗,則很難提出有
      效且實用的建議,而提供資訊安全技術的公司通常也兼作資訊安全專家,如:電腦防毒科技類廠商在使用電腦技術上會提供建議
      ,這也成為一種商業上的模型,但並不是組織使用資訊的全貌,所以若沒有針對商業模式(營收過程)了解企業需求,就無法準
      確提出適用於組織的資訊安全方案。

     

    3.認定理論歸理論,實務管理歸實務管理:

     

      ISO 27001標準具備一套相當實用的理論,依戴明先生講述的規劃、實施、檢核、行動(Plan-Do-Check-Act, PDCA)理論模型,問
      題大多可迎刃而解,但那畢竟是理論,所以就讓公司的業務歸業務,理論歸理論。

     

     

    以下歸納前述問題提出幾點以作參考:

     

    1.全面導入、局部驗證的規劃

     

      很多公司在設定推行ISO 27001的範圍中,有一種「全部導入、局部驗證」的錯誤認知,即在時間有限的情形下,先讓大範圍的人
      員參與了解ISMS的精神,再採取「局部驗證」的方式,強制某部分單位按規定執行,雖然訂出來的制度全體皆必須遵守,但不須
      被檢查的單位可能會以一種「看好戲」的心態來面對所推行之資訊安全的政策。
     

      當然我們能夠理解 企業、組織的資源有限,不可能讓每個單位都受到完善的保護,所以必須依輕重程度排出優先順序予以管理、
      保護,才能將有限資源投入迫切需要的部份,但是在局部驗證的範圍導入過程中,如果只用實體區域設定的方式來考慮所謂的
     「局部」,則無法達到資訊安全推行的全面效果,如:只以機房其中一個機櫃的某台伺服器或一台刀鋒中的AP為範圍,卻沒有將企
      業的關鍵流程納入管理,這樣的方式僅適用在客戶迫於取得驗證通過的強大壓力下之情況,並不適用於推行資訊安全。

     

    2.制度化過程的謬思

     

      標準制定的過程中,通常會在認知上把過去ISO 9001標準化過程的陰影,套用在目前資訊安全制度化的過程,因為只考慮通過驗
      證,所以僅把驗證過程中需要的部分、條文建置過程中強制的部份設定出來,並將這樣的工作委由工作負荷較輕的員工負責,無
      論其資深或資淺,由於資深員工都以業務過於忙碌來推托,所以就把不了解狀況的人所設定的制度當作圭臬,隨即形成惡性循
      環。

     

      制度規範會更加深大家對管理制度的誤解, 若企業的規範沒有適合的人來定義,那麼照範本訂出的結果也僅剩應付驗證考試的
      意義。

     

    3.風險評鑑與制度建立脫鉤

     

      從資產盤點到風險評鑑,一直到殘餘風險認定,最常出現的錯誤為沒有規劃風險評鑑的基準問題、設定出來的過程不夠嚴謹,以
      及沒有將風險評鑑的方式進行有效的培訓,這造成了就算制定出方法也無法找出高風險且極待解決的弱點,ISO 27002提供了很好
      的指引,可以試著以此內容請顧問師做適當的引導,從制度面或技術面(實體、網路或系統等)討論如何強化,才會有實際助益。

     

    4.內部稽核團隊的能力弱化

     

      此部分較重要的問題是內部稽核團隊的弱化,其中包括內部稽核員的訓練。現在很多輔導顧問對於內部稽核的訓練並不扎實,
      如:內部稽核的技巧,許多訓練課程在此階段的操練並不足夠,通常只用現有的計劃表與檢查表進行訓練,所訓練出來的稽核員
      對於檢查表與計劃表的用法可能不是很清楚,例如:不會規劃稽核計劃中自己負責的作業、不會規劃擔任之稽核人員、稽核查檢
      表不會查編、不會描述事實,以及缺失報告不知道如何決定適用條文,這些都使得內部稽核作業沒有辦法變成高階主管監控系統
      成效的一雙眼睛,導致制度的落實程度無法得到有效的監控。

     

    5.營運持續管理落實度不佳

     
      營運持續的最大問題在於營運持續關鍵過程的分析不佳,通常是因為BIA的結構性在ISO 27001的規定中不夠詳細,所以BCP就會造
      成很多漏洞,此問題也因客戶對於產品的理解不夠所造成。

     

      證書導向雖有問題,但做好BIA才是不二法門,就不會讓客戶在風險評鑑過程中,無法利用ISO 27001設立的規則找到促進資訊安
      全流程改進的起點。

     

        從以上的觀點可以得知,管理能力越強的企業,越能以穩固的心態好好打造制度面中需要討論的流程,其實資訊安全沒有偏門,唯有落實制度化、確定資訊安全流程與業務流程的觀點、將電子化的部份獨立出來,詳細的把資訊引用的過程做一安全思維,才能建構完整的企業資訊安全網。

  • 2012.09.10

    個人資料的後台管理ISO 27001

    只要在搜尋引擎輸入「個資外洩」這關鍵字,你會馬上發現案例還真多,但是,看在企業營運的角度,發生「個資外洩」事故,無論召開記者會或發新聞稿向社會大眾說明原由,當下一定無法評估商譽的損失,但是事件之後,「個資外洩」勢必成為營運會議檢討的主題之一。

    而「個資外洩」最常問的第一個問題就是「為什麼會發生個資外洩?」,協助回答這項問題的單位,想想一定是資訊部門,但是,資訊部門是輔助管理單位,並非主要個人資料使用單位,也因為個人資料使用與管理單位的業務流程差異很大,如何在個人資料使用、管理及舉證流程上進行標準化,已經是企業營運必須積極思考的議題。

     

    個人資料保護法99年4月27日在立法院三讀通過,於99年5月26日公告實施,雖然個人資料保護法施行細則還在研擬,但修正草案已在法務部「個人資料保護法施行細則修正草案預告相關資料」中可取得相關資料。

     

    而個人資料管理,從資料蒐集、儲存、處理、利用、傳遞到銷毀,依個人資料保護法第二十七條規定,需制訂管理計畫,且要有可追溯的機制,而電子資料的追溯管理,就需要有完整的管理流程來管制。

     

    依目前個人資料流管理機制,會參照BS 10012標準與個人資料保護法規來建立標準流程,而個人資料電子與紙本後台管理機制,會參照ISO 27001資訊安全管理系統來建立標準流程。

     

    ISO 27001資訊安全管理系統針對個人資料的管制,依適用性聲明要求的重點,應特別加強人力資源安全、存取控制、實體/環境安全管理、通訊與作業管理、系統發展與維護、資訊安全事件及事故、持續營運管理、遵行性的管理。

     

    建立組織完整的個人資料管理機制,可整合ISO 9001、ISO 27001、BS 10012、BS 25999及個人資料法規相關文件,讓組織日常管理、資訊管理、風險鑑別、風險處理與緊急應變有一套完整的管理機制,並將管理機制外顯讓客戶安心,進而提高商譽價值。

Q & A / 問答集

ALBUMS / 活動花絮

PROJECT / 輔導實例