【國際個資保護法規與標準演進時間軸】臺灣BSI營運長謝君豪指出,企業若是希望可以和既有的ISO 27001資安標準做整合,2019年推出的ISO 27701,則是2020年可以關注的隱私標準(圖片來源/BSI)

資訊安全管理不再只是單純服務流程的驗證,包括軟、硬體產品和整個供應鏈安全,都已經是政府和企業無法忽視重要趨勢,臺灣勤業眾信風險管理顧問公司執行副總經理萬幼筠便指出,資訊安全從元件、零組件、模組、韌體、軟體,到系統開發、系統整合等,形成一個資安供應鏈,而企業和組織則透過資訊供應鏈安全的(Supply Chain Cybersecurity)驗證機制,確保產品和服務的安全性。而臺灣BSI營運長謝君豪則認為,ISO 27701是2020年最重要的隱私管理標準。

歐盟通過Cybersecurity Act,為資安產品驗證奠基

縱觀全球資安標準的發展,有幾種驗證機制值得注意。萬幼筠表示,Cybersecurity Act(資訊安全系列法案)於2019年6月27日生效,並將於2021年6月28日適用於整個歐盟,這個法案主要是賦予ENISA(歐盟網路資訊安全局)永久性授權,並為ICT產品、服務和流程,建立歐洲網路安全認證框架。

萬幼筠表示,目前歐盟已經推動下列四種資訊安全產品或服務的驗證。

第一種是由英國開發的、只是用現貨商品的商業產品驗證(Commercial Product Assurance,CPA),可以驗證產品的製造,可惜的是,CPA沒有相互承認協議,英國認證不代表其他歐盟國家承認。

第二種驗證,則是由法國國家網路安全局(ANSSI)所建立的IT安全認證計畫CSPN(Certification Securitaire de Premier Niveau),類似英國的CPA,也同樣沒有相互認證協議,法國認證的產品安全同樣無法獲得其他國家的認可。
第三種驗證,則是由荷蘭推動的安全產品評估基準(Dutch Baseline Security Product Assessment,BSPA),主要是測試資安產品是否適用於「敏感但未分類」的資訊設備與服務。

而最受歡迎的產品驗證SOG-IS MRA,則是由歐盟12個成員國和挪威促成,他們開發一些關於數位產品保護剖繪(Protection Profile),例如:數位簽章、行車記錄器和智慧卡等。萬幼筠表示,因為這個認證可以在消費者與終端產品做到交互驗證,也成為歐盟目前使用最廣的資訊安全產品與服務驗證框架。

隱私保護可以參考ISO 27701

全球有132國有隱私保護法案,但企業要怎麼從流程中落實隱私保護,參考國際標準是一個可行的作法。謝君豪表示,ISO 27001是許多資安流程的基礎,在這個基礎上,除了可以參考針對資通訊系統隱私權框架保護的ISO 29100,由英國國家標準局撰寫的BS 10012,針對個人資料的蒐集、處理和利用等過程,都做了詳細的規範,也同時符合歐盟GDPR對於個資和隱私保護的精神。

但他也指出,企業若是希望可以和既有的ISO 27001資安標準做整合,2019年推出的ISO 27701則是2020年可以關注的隱私標準。而謝君豪也建議,對於該標準有興趣的企業,可以研究ISO 27701的附錄A和附錄B,當中針對個人識別資訊(PII)控制者和處理者,說明特定控制目標和措施。

從事資安標準驗證多年經驗的謝君豪也坦言,資安標準其實只是資安最基本的要求而已,不是「有做就好」,而是要真正做到「符合想要落實與達到資安的目的」才行。

 相關報導  2020年10大資安趨勢預測


Advertisement

更多 iThome相關內容