ISO/IEC 27001
ISO/IEC 27001其名稱是《資訊科技—安全技術—資訊安全管理系統—要求》(Information technology — Security techniques — Information security management systems — Requirements)是資訊安全管理的國際標準。此標準一開始是由國際標準化組織(ISO)及国际电工委员会(IEC)在2005年聯合發佈[1],在2013年改版[2]。其中有列出有關資訊安全管理系統(information security management system、ISMS)架構、實施、維護以及持續改善上的要求,目的是幫助組織可以使其保管的資訊資產更加安全[3]。2017年時,歐洲有更新此標準,並且出版[4]。組織若要符合此標準的要求,在成功完成一次內部審計後,可申請由合格的認證單位進行認證。
ISO/IEC 27001設計包括的範例不只是IT部門而已, ISO/IEC 27001會要求進行以下的管理:
- 系統性地檢驗組織的資訊安全風險,考慮其威脅、弱點以及影響。
- 設計、實現連貫而且全面的資訊安全控管套件,並且/或者其他的風險管理方案(例如風險避免或風險轉移)來處理無法接受的風險
- 用總體管理的流程,在現有的基礎上,確認資訊安全管理控管可以持續的符合組織的資訊安全需求。
管理層為了認證的考量,會決定資訊安全管理系統(ISMS)的範圍,例如限制在單一的事業單位或是單一地區。ISO/IEC 27001可以針對個別部門的認證,也可以針對全公司的認證[5][6]。
ISO/IEC 27000系列中的標準中可以提供設計、實現資訊安全管理系統以及其運作相關的指引,例如在有關資訊安全風險管理的ISO/IEC 27005。
標準歷史
ISO/IEC 27001中有許多內容是源自英國標準BS 7799。
BS 7799是由BSI集團提出的標準[7]。由英國貿易和工業部在1995年時改寫,分為幾個部份。
BS7799的第一部份包括資訊安全管理的最佳實務,在1998年修訂。各國的標準機構針對其內容進行長期的討論,最後由ISO在2000年修訂為ISO/IEC 17799《資訊科技—資訊安全管理實務準則》(Information Technology - Code of practice for information security management)。在2005年6月再次修訂,最後在2007年7月整合在ISO 27000的系列標準中(ISO/IEC 27002)。
BS7799的第二部份最早是由BSI在1999年發佈,稱為BS 7799第二部《資訊安全管理系統—規範及使用指引》(Information Security Management Systems - Specification with guidance for use)。BS 7799-2注重如何實現資訊安全管理系統(ISMS),在BS 7799-2中稱為資訊管理結構及控制。這部份後來成為ISO/IEC 27001:2005。BS 7799第二部份後來在2005年11月被ISO修改為ISO/IEC 27001。
BS 7799第三部份是在2005年後發佈,包括了風險分析及管理,後來變成ISO/IEC 27001:2005。
BS標準中,很少內容有引用ISO/IEC 27001。
認證
許多認可註冊商可以認證資訊安全管理系統是否符合ISO/IEC 27001[8]。若是針對ISO/IEC 27001各國版本(例如日本的JIS Q 27001)的認證,在功能上等效於針對ISO/IEC 27001的認證。
有些國家會將認證管理系統的組織稱為「認證機構」(certification bodies),有些則稱為「登記機構」(registration bodies)、「評估及登記機構」(assessment and registration bodies)、「認證/登記機構」(certification/ registration bodies)等。
結構
ISO/IEC 27001:2013分為以下10章,以及一個很長的附錄:
- 1. 此標準範圍
- 2. 如何參考此文件
- 3. 重新使用ISO/IEC 27000中的詞語及定義
- 4. 組織環境及利益相關者
- 5. 資訊安全領導及高層的政策支持
- 6. 資訊安全管理系統的計劃:風險評估,風險處置
- 7. 資訊安全管理系統的相關支持
- 8. 如何讓資訊安全管理系統可以正常運作
- 9. 審核系統的性能
- 10. 矯正措施
- 附錄A:控制方式列表以及其目的
此標準的結構和其他管理標準(例如有闗業務連續性計劃的ISO 22301)類似,有助於公司同時符合這些標準。27001:2005版中的附錄B,C,在新版已經刪除了。
控制
ISO/IEC 27001的6.1.3有描述組織如何用風險處置計畫來因應風險,其中很重要的一部份是選擇適當的風險控制方式。ISO/IEC 27001:2013中很重要的一項調整是不強制要求一定要用附錄A中所列的風險控制方式來管控風險。以往的版本要求(應)要從附錄A的控制方式中選擇一到數個方式來控管風險。舊版本下幾乎每一個風險評估都是用附錄A的控制方式完成的,但在新版本下,越來越多的風險評估沒有用附錄A中的控制方式來控管風險。此作法的目的是讓風險評估更簡單,也對組織更有意義,有助組織建議有關風險以及控管的正確所有權概念。
附錄中有114個控制,分為14群,35個控制分類。2005年的版本有133個控制,分為11個群。
- A.5:資訊安全政策(2個控制方式)
- A.6:資訊安全組織(7個控制方式)
- A.7:人力資源安全:在僱用前、中後共有6個控制方式
- A.8:資產管理(10個控制方式)
- A.9:訪問控管(14個控制方式)
- A.10:加密(2個控制方式)
- A.11:物理性及環境的安全(15個控制方式)
- A.12: 運作安全(14個控制方式)
- A.13: 通訊安全(7個控制方式)
- A.14:系統購置,開發和維護(13個控制方式)
- A.15: 供應商關係(5個控制方式)
- A.16:資訊安全事件管理(7個控制方式)
- A.17: 業務連續性計劃的資訊安全層面(4個控制方式)
- A.18: 合規,有關內部(例如政策)要求及外部(例如法令)要求(8個控制方式)
控制方式反映了許多組織相關技術的變化,例如雲端運算,不過如上所述,仍有可能在不使用上述控制方式的情形下通過ISO/IEC 27001:2013認證。
相關條目
- ISO JTC 1/SC 27:資訊技術安全技術
- ISO/IEC 27000系列
- ISO 9000
- BS 7799
- 網路安全標準
- 國際標準化組織
- ISO標準列表
- 資料安全
- 可信資訊安全評估交換
參考資料
- . bsigroup.com. BSI. [21 August 2020].
- Bird, Katie. . iso.org. ISO. [21 August 2020]. (原始内容存档于2019-09-20).
- . ISO. ISO. [9 July 2020]. (原始内容存档于2020-11-15).
- . www.bsigroup.com. BSI Group. [29 March 2018]. (原始内容存档于2019-12-22).
- 臺灣第四個全公司通過ISO 27001認證案例出爐
- 花錢就能拿證書 台灣資安玩假的?
- . bsigroup.com. [2020-12-06]. (原始内容存档于2012-10-20).
- Ferreira, Lindemberg Naffah; da Silva Constante, Silvana Maria; de Moraes Zebral, Alessandro Marcio; Braga, Rogerio Zupo; Alvarenga, Helenice; Ferreira, Soraya Naffah. . 2013 47th International Carnahan Conference on Security Technology (ICCST) (Medellin: IEEE). October 2013: 1–4 [2020-12-06]. ISBN 978-1-4799-0889-9. doi:10.1109/CCST.2013.6922072. (原始内容存档于2020-03-27).