資安認證標準ISO 27001自從2005年成為正式的國際標準以來,迄今,全球已經有超過上萬個企業或組織取得該項資安驗證。ISO國際標準組織在經歷8年的時間後,已經於日前推出一個草案版(DIS),預計在今年10月19日推出新版。臺灣BSI驗證部協理謝君豪表示,從草案版來看,最大的改變是資安驗證的資安控管領域,從原本的11個增加為14個,133個控制措施減少為113個。

ISO 27001草案版資安控管領域增加為14個
ISO 27001在進行國際標準改版時,已經先頒布一個草案,並在今年1月6日~3月23日時,開放各界針對頒布的草案版內容提供各項建議與指教。

謝君豪表示,目前草案版內容已具有參考價值,可以看出未來ISO 27001可能的轉變方向,最明顯的改變就是,新增資安控管領域包括:全新的「加密」及「供應鏈關係管理」,還有將原本「資訊系統整併、開發及維運」領域,拆分成「營運安全」和「溝通安全」。而多數的企業資訊部門主管,則可以從ISO 27001草案內容,預先了解改變方向,以免等到標準正式頒訂後,因為沒有任何心理準備而會感到措手不及。

謝君豪表示,透過這次國際組織的改版作為,同時頒布了許多ISO 27000資安認證系列的各式參考指引,目前參考指引共有81種之多,包括電信、金融等產業,都有各個產業的資訊安全產業參考指引。

ISO國際標準組織也將重複的、語焉不詳的控制措施從133個減少為113個,謝君豪認為,減少的原因主要是合併原本在不同章節、具有類似規範的控制措施,並將對企業資安與營運更息息相關的加密、供應鏈管理另外獨立出來,成為一個新的驗證領域項目。

統整各個國際標準之間,相同內容的驗證標準
不只如此,ISO國際標準組織開始統整不同標準,避免制訂標準時,還針對相關的驗證內容,疊床架屋制訂雷同標準。謝君豪說,最明顯的例子就是風險控管標準ISO 31000,以往不同的標準,會針對各自標準的「風險」內容,另行制定一套風險評鑑、營運衝擊分析的標準與規範。

他指出,但從制訂新版ISO 27001的討論過程以來,ISO國際標準組織則整併所有的標準,未來與風險評鑑相關的內涵,各個標準將不另行制訂,而是將以ISO 31000風險驗證標準作為統一的驗證基準。另外,像是ICT的營運持續則參考ISO 27031,資訊治理則可以參考ISO 38500等。

若目前推出的草案版內容,在截止討論後並沒有出現大幅度的內容更動,謝君豪說,新版ISO 27001預計於今年10月19日正式推出。

他表示,所有新版標準推出後,ISO國際標準組織都會給企業2年的緩衝期。也就是說,新版標準推出半年後,企業可以評估是否要以轉版方式,擴大認證範圍,取得新版的ISO 27001;但企業在2年後,都將全數轉為通過新版ISO 27001的資安認證。文⊙黃彥棻

ISO 27001新版草案改版重點
● 資安控管領域,從原本11個增加為14個,其中,全新增加的「加密」及「供應鏈關係管理」,還有將原本「資訊系統整併、開發及維運」領域,拆分成「營運安全」和「溝通安全」。
● 資安控制措施:從原本133個減少為113個,整併說明不清或重複的控制措施。
● 統整出跨標準的共通參考驗證準則,例如,風險評估可參考ISO 31000,ICT的營運持續則參考ISO 27031,資訊治理則可以參考ISO 38500。
● 2013年1月6日~3月23日開放各界回應草案內容,若沒有大幅度的修正,預計今年10月19日將推出新版ISO 27001。


Advertisement

更多 iThome相關內容