<驗證專欄>ISO 27001與資訊安全簡介

02/07/19

資訊安全
在資訊安全領域最常聽到的資訊安全三大要素是:機密性(Confidentiality)、完整性(Integrity)、可用性(Availability),通常簡稱為C. I. A.。機密性是以”需要知道” (Need to Know)為基礎,只有” 需要知道”的人才有存取權限。有些組織會以權責定義,及對於資訊系統運作之環境做嚴密的隔離等等的措施來達成。而個人的隱私權就建立在這個概念上。 完整性則是基於有權限的人才能修改的概念, 並且使資料內容能達成一致性。對此需求,組織可在資料的活動上記錄內容,加密技術及相關確保機制的使用也有助益。可用性則是要求資訊系統持續有效的提供服務,以將資料遺失降到最低。組織通常可透過資料備份、系統備援及計畫性的持續復原練習和災難恢復程序來減少可用性的威脅因子。但是在顧及這三個要素時也要考慮其相互之間的關係,避免過度強化其中之一、二項而減低任一要素的執行效率。組織若要達到涵蓋以上資安三大要素可以有許多的方法,從資安治理的角度出發,有人提出資訊安全必須涵蓋三個層面、管理層面、技術層面、實際層面之類的主張。ISO 27001資訊安全管理系統非常適合來趨近並涵蓋這些資安面向,且透過ISO 27001的導入及外部稽核達成組織在資訊安全的期望結果。

ISMS 資訊安全管理系統
在ISMS系列中以ISO 27001為資訊安全管理系統驗證之主體。ISO/IEC 27001由聯合技術委員會ISO / IEC JTC 1,資訊技術,子技術委員會SC 27,IT安全技術所制定。而ISO 27001:2013遵行ISO文件高階結構共同用語及核心定義(ISO Annex SL, HLS),與其他ISO管理系統文件如 ISO 9001:2015、ISO 45001:2018使用相同的架構,可與ISO其他管理系統相互參照並結合運用,其主要章節為: 0.簡介 1.適用範圍 2.引用標準 3.用語及定義 4.組織全景 5.領導作為 6.規劃 7.支援 8.運作 9.績效評估 10.改善 。另外在ISO 27001:2013標準中之附錄Annex A 定義資訊安全管理中的控管領域(A5-A18)。 從資安治理的角度來看ISO 27001 Annex A 之控管領域可以大致分類如下:
1.人員與資源 -> 資訊安全政策、資訊安全之組織、人力資源安全。   
2.實體及軟硬體設備 -> 資產管理、存取控制、密碼學、實體及環境安全、運作安全、通訊安全、系統獲取開發及維護。
3.組織措施及管理系統 -> 供應者關係、資訊安全事故管理、營運持續管理之資訊安全層面、遵循性。
在主要章節第5章”領導作為”部分,資訊安全管理強調組織領導以及政策,以最高管理階層展現對資訊安全管理系統之領導及承諾,並建立資訊安全所需之資源及組織職責和權限。章節第6章之”規劃”,在文件中,則依據組織資訊安全風險評鑑和風險處理之規劃,建立附錄Annex A 之”適用性說明書”(SoA),以定義組織在資訊安全治理之範圍及作為。並於第8章之”運作”中,實際實現執行資訊安全風險評鑑和風險處理和”適用性說明書”(SoA)之內容。因此,資訊安全系統之建立一般前置作業部分會以確認驗證範圍、資產盤點及弱點掃描、弱點修復、風險評鑑、教育訓練等等主題啟始,並依前述實際建立之成果導入建立ISMS。
另外,ISO 27001:2013資訊安全管理系統強調風險管理,並且持續監控主要的風險,一般來說風險管理過程有四個執行步驟: 1. 風險識別(Risk Identification) 2. 風險衡量(Risk Measurement) 3. 風險應對策略選擇(Selection of Risk Management strategy) 
4.風險策略之實現與評估(Implementation and Evaluation) 這是個持續進行的循環。從另一方面來看,風險管理的目標可解釋為”於損失前做經濟的保證,而於損失後有一令人滿意的復原”。ISO 27001:2013 引用了ISO 31000風險管理原則與指導之框架與流程,如第6章及第8章,規劃對應風險及機會之行動分析和資訊安全風險評鑑(Risk assessment)及風險處理(Risk Treatment)。並且由Annex A附錄中之控管領域實際落實對資訊安全管理的控制領域操作,以達成風險管理的目標並降低人身損失、財產損失、信譽受損及責任損失。

ISO 27001 的應用領域
做為一套適用於所有產業類型組織之管理系統外,對應我國之內外部資安議題,ISO 27001亦有以下領域可以應用:
1.因應資通安全管理法之稽核需求,特別是關鍵基礎設施範圍所包含之能源、水資源、通訊傳播、交通、銀行金融、緊急救援與醫院、政府機構、高科技園區等產業。
2.個人資料保護之資訊安全相對應措施,或是如EU 的GDPR要求的符合性。從資訊資料的生命周期,提出資訊安全需考慮的相對應措施。 
3.工業控制資訊安全,如工業4.0應用中之智慧製造:工業控制系統(ICS)、感知元件、控制伺服器、資料倉儲、工作站電腦、控制網路等。 
不僅是對應現今之政治和經濟資安治理需求、個人權益保障的角度以及傳統和新興科技的應用方面,ISO 27001都有一定的適用性及必要性。 

資訊安全管理系統成功的條件
我們可以先思考以下這兩個名詞在資訊安全的意義: Due Care and Due Diligence。在資訊安全的領域,"Due Care" 可以解釋為相關人員必須熟知與資安有關的法令與準則,並在思考有關的資安政策時將它們考慮進去,而 "Due Diligence" 則可看成資安政策的制訂與防護機制的施行,必須是持續的、每日都在進行的活動。在ISMS(ISO 27000) 文件中也有提出資訊安全管理系統八項關鍵成功因素:
a)與資訊安全目標一致的資訊安全政策,目標和活動;
b)設計,實施,監控,維護和改進與組織文化一致的資訊安全方法和框架;
c)各級管理層,特別是最高管理人員的明顯支持和承諾;
d)了解通過應用資訊安全風險管理實現的資訊資產保護(asset protection)要求(見ISO / IEC 27005);
e)有效的資訊安全意識,培訓和教育計劃,告知所有員工和其他相關方資訊安全政策,標準等規定的資訊安全義務,並激勵他們採取相應行動;
f)有效的資訊安全事件(information security incident)管理流程;
g)有效的業務連續性管理(business continuity management)方法;和
h)用於評估資訊安全管理績效的測量系統和反饋改進建議 除了這些條文外,資訊安全成功的條件應須組織成員之個人認知及身體力行。特別是在資安治理上實現人員與資源、實體及軟硬體設備、組織措施及管理系統三大類的治理精神,組織並可輔以ISO 27001的標準框架、檢視及內部稽核、PDCA不斷持續的改善、認證機構的外部稽核認證等,展現組織在實現ISMS的企圖心及有效性,以達成C. I. A.的符合性及在資訊安全的期望。 

Reference:
1.ISO 27000:2018
2.ISO 27001:2013
3.ISO 31000:2018
4.資通安全管理法https://law.moj.gov.tw/Index.aspx
5.國家關鍵基礎設施安全防護指導綱要
6.標準檢驗局標準資料電子報
7.風險管理理論與實務 五南圖書出版
8.工業4.0 理論與實務 全華圖書

稽核員 周勝洪Mark Chou 
台灣衛理國際品保驗證股份有限公司

聯絡我們

BVC台灣衛理

+886 (02) 2570 7655

按此電郵詢問更多服務細節
  • 阿爾及利亞
  • 安哥拉
  • 阿根廷
  • Armenia
  • 澳洲
  • 奧地利
  • 亞塞拜然
  • 巴哈馬
  • 巴林
  • 孟加拉共和國
  • 巴貝多
  • 白俄羅斯
  • 比利時
  • 貝南
  • 百慕達(群島)
  • 玻利維亞
  • Bosnia and Herzegovina
  • 波紮那
  • 巴西
  • 汶萊
  • 保加利亞
  • 布吉納法索
  • 蒲隆地
  • 柬埔寨
  • 喀麥隆
  • 加拿大
  • 維德角共和國
  • 中非共和國
  • 查德
  • 智利
  • 中國
  • 哥倫比亞
  • 剛果
  • 剛果(民主共和國)
  • 哥斯大黎加
  • 象牙海岸
  • 克羅埃西亞
  • 古巴
  • 庫拉索
  • 捷克共和國
  • 丹麥
  • 吉布地
  • 多明尼加共和國
  • 厄瓜多爾
  • 埃及
  • 薩爾瓦多
  • 赤道幾內亞
  • 厄立特里亞
  • 愛沙尼亞
  • 衣索比亞
  • 斐濟
  • 芬蘭
  • 法國
  • 法屬西印度群島
  • 加彭
  • 喬治亞
  • 德國
  • 迦納
  • 直布羅陀
  • 希臘
  • 格林蘭島
  • 瓜地馬拉
  • 幾內亞
  • 幾內亞比索
  • 洪都拉斯
  • 匈牙利
  • 冰島
  • 印度
  • 印尼
  • 伊拉克
  • 以色列
  • 義大利
  • 日本
  • 約旦
  • 哈薩克斯坦
  • 肯尼亞
  • 韓國(南韓)
  • 科威特
  • 拉脫維亞
  • 黎巴嫩
  • 賴比瑞亞
  • 利比亞
  • 立陶宛
  • 盧森堡
  • 馬達加斯加
  • 馬拉威
  • 馬來西亞
  • 馬利
  • 馬爾他
  • 茅利塔尼亞
  • 墨西哥
  • 蒙特內哥羅共和國
  • 摩洛哥
  • 莫三比克
  • Myanmar
  • 那米比亞
  • 荷蘭
  • 荷屬安地列斯群島
  • 紐西蘭
  • 尼加拉瓜
  • 尼日
  • 奈及利亞
  • 挪威
  • 阿曼
  • 巴基斯坦
  • 巴拿馬
  • 巴拉圭
  • 秘魯
  • 菲律賓
  • 波蘭
  • 葡萄牙
  • 波多黎各
  • 卡達
  • 羅馬尼亞
  • 俄羅斯
  • 盧安達
  • 聖皮耶與密克隆群島
  • 沙烏地阿拉伯
  • 塞內加爾
  • 塞爾維亞
  • 塞席爾群島
  • 獅子山共和國
  • 新加坡
  • 斯洛伐克
  • 斯洛維尼亞共和國
  • 索馬利亞
  • 南非(共和國)
  • 西班牙
  • 斯里蘭卡
  • 蘇利南共和國
  • 瑞典
  • 瑞士
  • 敘利亞
  • 坦尚尼亞 (聯合共和國)
  • 泰國
  • 多哥共和國
  • 千里達及托巴哥
  • 突尼西亞
  • 土耳其
  • 土庫曼
  • 烏干達
  • 烏克蘭
  • 阿拉伯聯合大公國
  • 英國
  • 美國
  • 烏拉圭
  • 烏茲別克斯坦
  • 委內瑞拉
  • 越南
  • 葉門
  • 尚比亞
  • 辛巴威
  • 其他相關網站
  • 非洲
  • 全球網站
  • 中東
  • 東南亞
請選擇您需要的產業、服務或資產
您的產業

您的資產

我們的服務