取得ISO 27001資安認證的企業或機關,每半年都必須重新接受內、外部相關的稽核、審查,也有所謂的資安事件通報。根據認證單位BSI的統計,這些取得ISO 27001認證的企業,其所發生的資安事件通報中,有過半(58%)的資安事件是發生在非認證的範圍中,而發生在認證範圍中的資安事件,又以天災、人為資料外洩和軟體開發不完善為主。BSI表示,取得ISO 27001資安認證,可有效降低企業機關,在認證範圍所導致的人為資安事件與疏失。
凡計畫取得ISO 27001資安認證的企業機關,第一件事情就是界定導入資安認證的範圍(scope)。臺灣BSI訓練部協理蒲樹盛表示,有95%取得認證的企業、機關,以IT部門為認證範圍,大抵是保護攸關企業營運核心或關鍵資料的系統、伺服器或機房等,少部分是以風險管理單位、研發單位為資安認證範圍。其中,只有大約3%取得資安認證的公司,因為全公司所提供的服務都是屬於關鍵任務,所以才會以全公司做為資安認證範圍。
取得資安認證後,都必須落實每半年一次的稽核並做成相關記錄。蒲樹盛指出,這一份追蹤統計,主要來自於企業內部所做的每半年稽核記錄,以及某些企業發生資安事件見報後,由包含BSI在內的認證單位,所進行的主動稽核。
在這一份針對取得資安認證單位所做的資安事件分析統計資料中,可以分成非認證單位以及認證單位所爆發的資安事件。在非認證單位爆發的資安事件,可以分成軟體、硬體以及系統等3部分。蒲樹盛表示,其中以系統所發生的資安事件,占整體資安事件30%為最高。軟體資安威脅占所有資安事件的14%,他說,主要是軟體委外開發所衍生的資安事件。硬體所爆發的資安事件,占整體資安事件的14%,常見的原因是硬體規畫不足以負荷系統運作等。
至於在認證範圍中所爆發的資安事件,軟體所發生的資安威脅占整體資安事件的14%,主要是來自於軟體開發上的不完善。在人為疏失所導致的資安風險,占整體資安事件的14%,主要來自於合法授權的使用者,因有心或無意所導致的資料外洩。外在環境部分,主要來自於天災,占整體資安事件的14%。
蒲樹盛表示,這些在非資安認證範圍中所爆發的資安事件,占取得資安認證單位所有發生資安事件的58%;資安認證範圍中所爆發的資安事件,占整體資安事件的42%。這也意味著,取得ISO 27001認證,對於減少人為、可預防的資安事件有助益。文⊙黃彥棻
熱門新聞
2025-12-31
2025-12-31
2025-12-31
2025-12-31
2025-12-31
2025-12-31