ISO 27001:2013 資訊安全管理系統(Information Security Management System,ISMS),共包含2份標準:
● ISO 27001:2013《資訊安全管理系統:要求》(Information technology-Security techniques- Information security management systems- Requirements)
● ISO 27002:2013《資訊安全管理系統:指南、一般原則》(Information technology-Security techniques -- Code of practice for information security controls)
ISO 27001:2013是一套國際通用的資訊安全管理工具和制度。以呼應全球對於資訊安全風險之因應措施,以及控制並降低資訊安全事件所帶來的威脅和衝擊。因此,ISO 27001:2013也提供所有類型的組織,包含商業企業、政府機構和非營利組織,都能建立資訊安全管理系統。將全名拆解來看,可分為三部份逐一解讀:
● ISO:指的是國際標準組織(International Organization for Standardization)。
● 27001:至今已成立65年的ISO,歷年來已針對不同業產業製定不同者的品質標準,並為不同的品質系統命名。因此,「27001」並無數字上的特殊意義。
● 2013:代表這套系統是由 ISO 在2013年公佈的新版條文。上一個版本為2005年發佈。
ISO 27001 是資訊安全領域的管理系統標準,能夠有效保護企業的資訊資源安全,保護資訊化進程健康、有序、可持續發展。當企業通過了ISO 27001 的認證,就代表企業的資訊安全管理已經建立了一套科學有效的管理體系作為保障。而企業ISO 27001 認證的好處包括:
1. 通過 ISO 27001 驗證,能保證和證明組織內對資訊安全的承諾。導入資訊安全管理系統就可以透過資安風險評估及 ISO 27002 要求建立組織所需資訊管理制度。
2. 提升資安管理技術及增強資安管理制度。
3. 通過 ISO 27001 驗證,可改善企業業績、消除客戶不信任感。ISO 27001 資訊安全管理系統驗證可以增進企業間電子電子商務往來的信用度,建立起網站和貿易夥伴之間的互相信任,隨著企業間的電子交流的增加通過資訊安全管理的記錄可以看到資訊安全管理明顯的利益,並為廣大用戶和服務提供商提供一個基礎的設備管理。同時,把企業的干擾因素降到最小,創造更大收益。
4. 通過 ISO 27001 驗證,能夠向政府證明企業對相關法律法規的符合性。在台灣,《個資法》亦呼應此說法。《個資法》第29條規定:「非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。」。有保存有個人資料檔案者的組織,導入 ISO 27001 更有必要性。
資訊安全之3大要素,業界慣用"CIA"稱之,包括機密性 (Confidentiality)、完整性(Integrity)與可用性(Availability);更應增加諸如鑑別性、可歸責性、不可否認性與可靠性。
機密性是指採用適當的安全機制保護資料和資源以避免暴露於無權限人員或程式之下,而危害到資訊安全目標。換言之,機密性是為維護資料在傳輸、儲存、與處理狀態時,不被非授權人員之存取、使用、或竄改。許多攻擊型態都是以破壞資訊的機密性為主,例如:網路抓取封包、偷取密碼檔案、利用監視軟體、網路掃描等,都是破壞機密性的攻擊行為。
指確保維持資料原來的狀態,只允許有權限的使用者可以修改資料內容。在資料內部與外部均需維持資料的一致性,例如,傳輸資料時,在傳輸中的資料與接收、儲存的資料,均需要保持一致而且是可以確認的。資料喪失完整性的原因,並非完全只是由於遭受外部攻擊,許多事件都會使資料無法維護完整性,例如,意外刪除檔案、鍵入不正確資料、錯誤指令、病毒感染等。針對上述這些事件,可以採用方法加以對抗,例如:意外刪除檔案,可以用嚴格驗證程序或存取控制,以減少意外發生;預防鍵入不正確資料,可以使用輸出入查核程式加以過濾等。對資產之精確與完整安全保證的特性,尚須關注以下三特性:
(i) 可歸責性 (Accountability):確保實體之行為可唯一追溯到該實體的特性。
(ii) 鑑別性 (Authenticity):確保一主體或資源之識別就是其所聲明者的特性。鑑別性適用於如使用者、程序、系統與資訊等實體。
(iii) 不可否認性 (Non-repudiation):對一已發生之行動或事件的證明,使該行動或事件往後不能被否認的能力。
已授權實體在需要時可存取與使用之特性。始終如一預期之行為與結果的特性。可用性是為了確保資訊與系統能夠持續營運、正常使用,當合法使用者要求使用資訊系統時,例如,電子郵件、應用系統等,使用者均可以在適當的時間內獲得回應,並獲得所需服務。可用性需要與前述的機密性與完整性配合一起考慮,以符合既定的資訊安全目標。三者如無法整體考量密切配合,可能反而造成問題,例如:只考慮機密性,將網路資訊加密,或因記錄稽核而影響系統回覆時間,甚或延緩系統服務效能,而違反可用性的原則。
資訊安全(Information Security)管什麼?資訊可透過網路來互通共享,部份資訊可公開,但部份資訊屬機密,不可公開且不可篡改,必須作保密的管制以防使用者有意或無意的讀取或更改,而有關資訊保護之研究的總合稱為資訊安全。
在資訊安全中所討論的資訊,一般而言,指的是企業或組織在營運時所收集,產生,或運用的資料,它可以存在於任何形式,不論是有形或無形的,它可以是存在於電腦中的資料,列印或書寫在紙張上的資訊,甚至是存在於通訊中。
這些資訊對企業或組織而言都是有價的,對企業或組織的營運有相當的影響。 因此,需要賦予適當的保護,降低其風險,避免遭受內在或外來的威脅。
第一章:範圍(Scope)
第二章:規範性引用文件(Normative references)
第三章:術語和定義(Terms and definitions)
第四章:組織的背景(Context of the organization)
第五章:領導(Leadership)
第六章:規劃(Planning)
第七章:支持(Support)
第八章:運行(Operation)
第九章:績效評估(Performance evaluation)
第十章:改善(Improvement)
領導力企管擁有眾多資訊安全系統輔導成功案例,並提供 ISO/IEC 27001:2013 最佳解決方案,包括教育訓練(Training)、文件與管理流程建置(Implementing)、 驗證(Certification)、維護(Maintaining)。
• 從組織資安風險及投入時間角度評估資安驗證範圍導入。
• Step1-1:企業可以先從資安部門及機房技術先做資訊安全盤點之第一步,盤查後台資安風險、建構完善資料儲存機制,機房及防火牆之完整設立可以保存資安資訊之完整性、機密性及可用性,
• Step1-2:先以資訊部門及機房作為資安管理驗證的第一步,作為穩固組織資安文化的前置步驟。
• Step1-3:逐步跨大部門盤點資安風險,建立組織全面之資安管理系統。
• 公司高層和管理人員必須熟悉 ISO 27001 核心觀念,包括資安風險盤點、資安驗證範圍確認、PDCA持續改善以及熟悉條文。
• 依據 Step1.盤點資安風險 ;Step2.ISO 27001 條文要求; Step3.ISO 27002 附錄A要求,建立管理制度,明文管制公司內部之資安制度,如敏感資料未經允許不得攜出公司外、公司內部不得使用未經允許的熱點連結上網,個人電腦密碼每3-6個月強制更新。
• 透過領導力企管或自行找到適合組織的驗證機構,目前國內經過TAF認可的驗證機構有:SGS、Afnor/環亞貝爾、BSI、TUV Nord、TCIC,而國內通過ISO27001的組織有500多間。資料來源:TAF,蒐集資料時間:2019年2月。
• 持續內部宣導管理制度並落實,每年定期內稽、弱點掃描、管理審查,也可以委託領導力企管協助弱點偵測/掃描、內部稽核訓練。
歡迎立即與我們聯繫。
