新版ISO 27001：2013正式出爐，企業2015年適用新標準

國際標準組織於今年10月1日ISO年會中，正式推出新改版的資安認證標準ISO 27001：2013，這也是ISO 27001自從2005年正式成為國際標準之後的首次改版。

ISO 27001雖然是一張資安認證，但對於某些產業的營運發展而言，其實具有正面效益，例如，臺灣有許多金融業想要成立海外分行時，若銀行已經先取得一張ISO 27001的資安認證，相對容易取得當地國政府的信任，更容易核可成立當地分行。永豐銀行法令遵循處副總經理簡榮宗表示，臺灣有許多金控銀行都已經取得ISO 27001：2005的資安認證，對其他金融業者而言，ISO 27001：2005甚至是一個同業資安水準的參考指標。

但根據ISO國際組織截至2012年的統計資料，臺灣目前取得ISO 27001：2005的企業和組織數量高達855個，名列全球第6名。從這樣的數據也證明，ISO 27001一旦轉版，將影響臺灣許多已經取得ISO 27001的企業與政府部門。

臺灣BSI驗證部協理謝君豪表示，此次推出的新版ISO 27001：2013，除了在技術規範上跟上現在的IT技術潮流外，例如智慧型手機的控管外，也提供一個更高的標準架構，供企業重新界定新版標準和其他類似標準的整合。他說，預計企業最遲將在2015年全數適用ISO 27001：2013的新版標準。

因應未來標準管理制度趨於一致性的趨勢，國際組織也推出很多跨標準的共通參考的驗證準則，謝君豪指出，企業風險可以參考ISO 31000，ICT的營運持續可參考ISO 27031，資訊治理參考ISO 38500外，因應個資法的數位鑑識可以參考ISO 27037，軟體測試則可以參考ISO 29114等國際標準。

控制領域和控制措施條文減少，但內容更深
每當一個新版標準推出後，謝君豪表示，國際認可機構會依據新版標準與舊版內容差異的多寡，給予企業18～24個月的緩衝期，讓企業有時間從舊版轉換到新版。

他說，雖然目前認可機構尚未寫出轉版聲明，一般而言，新版標準推出半年後，企業可以評估是否要以轉版方式，擴大企業原有的認證範圍，進而取得新版的ISO 27001：2013認證。但是，企業如果在2年內沒有透過轉版取得ISO 27001：2013的認證，之後企業要重新取得認證時，就得全數適用新版ISO 27001：2013規範。

臺灣BSI驗證部協理謝君豪表示，希望透過重新評估資安認證範圍，可以做到「局部驗證、全面導入」，提升資安認證的成效。

謝君豪指出，在舊版ISO 27001：2005有許多的內容規範重複性較高，等到2013新版推出時，已納入2005年版本的使用者意見，並考慮過去8年科技環境的改變而有所調整。

像是，整個控制措施從133個減少為113個，重新改寫控制措施的聲明並整併重複的條文，但是，控制措施的領域卻從原本11個增加為14個。首先，新增的是許多加密與安全基礎的「密碼學」（Cryptography），再者，隨著企業委外與合作關係的密切，「供應商關係管理」（Supplier Relationships）也成為企業資安重要的環節，在新版中，密碼學和供應商管理則成為單獨的領域。

其他新增的部份則是，舊版中的「溝通與執行」（Communications & Operations）領域，因應新科技的發展，拆成「操作安全」（Operations security）和「通訊安全」（Communications security），並正式納入行動裝置的控管。現在則將軟體開發和維護獨立出來，成為操作安全的一部分。未來所有國際標準將具有一致性的架構

謝君豪指出，此次新版ISO 27001：2013推出時，國際標準組織也意識到，許多標準之間雖然有一些精神雷同、作法類似，卻因為分屬於不同的條文章節，常常讓企業對於一些類似精神條文在整併及適用上，有無所適從的感受。

最明顯的例子就是，ISO 27001：2005中有一項「政策要求」，但同時要求企業制定「資安政策」和「ISMS政策」，彼此之間既相似卻又重複性高，導致企業在政策制定時，對於是否該當成同樣精神的條文制定並遵守感到困擾。

另外，有不少企業在取得ISO 27001：2005後，也會另外取得ISO 20000以提升整體IT服務品質，但ISO 20000的「資訊服務管理政策」與ISO 27001：2005中的政策要求差異點在哪裡，很多公司搞不清楚。此外從BS 25999成為正式國際標準的ISO 22301，也要求要有「BCMS政策」，但企業持續營運管理和ISO 27001中的「資安政策」之間的差異點多大，都有進一步探究的空間。謝君豪坦言，不同標準之間類似的政策內容雖然有其相似之處，但因為分屬不同標準，很難完全整合；假若認證的組織範圍又不一致，整合難度更高。

為了解決不同國際標準之間所面臨到的整合困境，國際標準組織在此次推出新版 ISO 27001：2013時，採用了一個可以清楚定義架構面、管理制度面、章節面、細部章節等面向的標準化附件架構──ISO Annex SL，簡化了與其他管理系統之間的整合。

謝君豪認為，先把架構定義出來後，才能盡量做到所有管理系統作法趨於一致，也降低組織標準整合的難度以達到整合的綜效。例如，未來所有國際標準的第4章節，就是要規範「組織的背景」，第5章節便載明「領導力」，第6章節則是與標準相關的「規畫」內容。

從企業風險角度重新評估資安驗證範圍
謝君豪表示，資訊科技發展持續進步，企業所處的資安環境卻是更複雜，因此，ISO 27001：2013推出之際，國際標準組織也期待企業重新檢視企業所面臨的風險，甚至可以引用ISO 31000的企業風險標準，作為企業重新檢視企業資安風險的標準。

企業在面對新版標準，必須重新定義資安認證範圍，就必須重新考量組織所面臨的風險、法規和客戶等要求。他說，舊版標準要求企業參照標準附錄的作法即可，但新版內容則建議，企業直接援引ISO 31000企業風險標準來評估企業的風險。

企業若依照ISO 31000精神，必須先鑑別出企業違反資安管理政策所面臨的風險，例如違反智慧財產權、違反同業競爭、研發資料外洩、專業人員流失及駭客入侵等；也必須鑑別利害關係人，像是研發部門的利害關係人就包括：客戶、供應商、內部員工及股東等。

在確認這些利害關係人對企業的資安要求後，才能決定認證範圍是否仍維持只有資訊部門進行認證，還是要將認證範圍擴大到業務單位。謝君豪認為，即便企業無法擴大認證範圍，也希望企業透過重新定義認證範圍後，做到「局部驗證、全面導入」，真正提升資安認證的成效。

許多導入ISO 27001：2005標準的企業或組織，大部分都是以資訊部門作為資安驗證的範圍，很少納入業務單位。但是，在新版標準中，國際組織在第4章節規範「組織的背景」，新版在制度面明確要求，不論企業是否要擴大認證範圍，面對新版標準時，要或不要都必須解釋清楚，像是界定第4章節「組織的背景」時，企業就得要做到：可以鑑別組織所面臨的內外部議題和挑戰，也得界定出誰是利害關係人及利益團體等。文⊙黃彥棻

備註：統計數字只到2012年底，全球總共有19,577個企業或組織取得ISO 27001：2005資安認證，光在2012年發出的證書就高達2,222張，比2011年成長13％。
資料來源：ISO國際標準組織，2013年11月