對於臺灣企業和組織而言,要落實資安的第一步,經常是藉由取得相關的資安認證,例如,ISO 27001是全臺灣最普遍的資安認證之一。因此,每次相關認證有更新版本時,除了標準本身持續演進、納入最新趨勢外,更重要的是,透過標準更新,也帶動企業或組織在作法上的再進步。

臺灣BSI營運長謝君豪表示,透過國際標準及指引可提升企業在資安治理的綜效,這也是,企業組織參照各種國際標準作為自我提升的主因,接下來更重要的是,透過資安治理成熟度模型,讓以前的「做到」達到「做更好」的標準。

他也說,2018年影響資安與IT發展的幾個國際標準,包括:3月發布的BS 31111:2018 Cyber risk and resilience,主要是針對政府部門及高階管理階層制定的標準;另外,就是在4月,美國國家標準與技術研究所(NIST)公布的NIST Cybersecurity Framework(網路安全框架)1.1版,國際標準組織(ISO)在9月,針對IT服務管理推出更新版本ISO 20000-1:2018,以及在11月英國政府推出的新版標準PAS 201:2018,實施對象是英國銀行業界與金融科技新創業者。

英美資安標準也成全球關注重點

謝君豪表示,許多資安標準導入或是制度推動,高層的支持是必要的關鍵因素,而英國政府推出的BS 31111:2018,就是希望為企業組織提供好的實踐框架,及由上而下支持的網路安全機制。

要落實資訊安全,整個組織,尤其是公司管理階層,包括董事會及高階主管等,都必須能夠一起證明,投入的網路安全措施是有效的、具有彈性的,以及成熟的,必須共同承擔所要面臨的資安風險才行。他也說,BS 31111:2018需要導入成熟度模型並進行評鑑。

而美國NIST推出的Cybersecurity Framework 1.1版,針對美國民營企業如何評估並提高預防、偵測與回應網路攻擊能力,謝君豪表示,這個標準已經受到日本、以色列及其他國家的政府採用,影響力擴及全球。基本上,這個標準有22個類別,以及98個控制措施,本身也囊括ISO 27001、COBIT、NIST SP 800-5、以及ANSI / ISA-62443等資安技術標準的指引。

新版ISO 20000透過相同方法論,整合ISO 27001

先前,臺灣有許多企業同時取得ISO 20000及ISO 27001兩個標準認證,但前者強調IT系統服務的可用性,往往與後者強調的機密性有部分衝突,因此,許多取得認證的企業,都希望透過同樣的方法論,將不同標準整合在一起。

ISO 20000是一套強調資訊治理和服務水準的規範,本身分成敘述規畫和建置IT管理系統規定的ISO 20000-1:2011,以及說明服務管理最佳實務的ISO 20000-2:2012,其中,ISO 20000-1距離上一次更版,已經是7年前。

新版ISO 20000-1:2018,正式整合了品質管理標準ISO 9000、資訊安全管理標準ISO 27001、營運持續管理標準ISO 22301,以及環境管理標準ISO 14001等,可減少引進不同標準時,所額外耗費的工作量與重工問題。

KPMG資訊科技諮詢服務執行副總經理謝昀澤表示,此次更版的特色,就是確保IT服務提供的水準,當中除了傳統強調的服務可用性及服務持續性外,更直接加入資訊安全管理的內容,同時強化「需求管理」,透過不同的管理方式,例如:DevOps或是敏捷管理等方式,簡化資訊服務管理。

謝君豪指出,所有IT系統提供相關服務的同時,必須面對資訊安全議題,新版便直接納入相關資安管理規範,要在C(機密性)、I(完整性)、A(可用性),取得平衡。也就是說,除了強化資訊服務的可用性,也必須要降低IT服務遭到非預期中斷的頻率與衝擊。

至於PAS 201:2018是2018年底,由英國政府針對英國銀行與金融科技公司推出的標準,當中規定協助改善英國1,600間金融科技新創公司與銀行互動的指導方針,而這也成為英國財政部針對金融科技產業的戰略方針之一。


Advertisement

更多 iThome相關內容