ISO 27001
【資訊安全】ISO 27001是什麼?資訊安全管理國際標準介紹|天矽科技
目錄
➤ ISO/IEC 27001
➤ 什麼產業需要ISO 27001
➤ ISO 27001重要性
➤ ISO 27001新版和舊版差異
➤ ISO 27001導入過程
ISO/IEC 27001
ISO/IEC 27001 全名 Information technology - Security techniques - Information security management systems - Requirements 資訊科技-安全技術-資訊安全管理系統-要求。
它是一套完整的資訊安全管理國際標準,此標準一開始是由國際標準化組織(ISO)與國際電工委員會(IEC)在2005年聯合發布,其中列出了有關於資訊安全管理系統(information security management system, ISMS) 的架構、實施、維護,以及持續改善上的要求,目的是要幫助企業組織在保管資訊資產時能更加的安全。
而此標準也是目前國際上最廣泛使用,且最為完整的ISMS資安管理系統標準,簡單來說,ISO/IEC 27001可協助企業機構建立起資訊安全管理系統的機密性、完整性與可用性,以確保資訊資產的安全、降低未來資料外洩的損失。
ISO 27001三大要素
ISO 27001有三大要素,分別是機密性、完整性與可用性,如下:
- 機密性(Confidentiality):
保障企業所有資訊只有「取得授權者」可獲取,維護企業與用戶資訊的保密和機密性。 - 完整性(Integrity):
保障資訊不被未經授權的方式修改或竄寫,確保資訊準確度與完整性。 - 可用性(Availability):
保障資訊的流暢性,讓資訊可被授權者隨時取用,不因任何因素而中斷。
什麼產業需要ISO 27001
隨著網路的快速發展,數位轉型、線上化、雲端化…等愈來愈普及,全球的資安事件和威脅層出不窮,美國第三大消費者信用報告業者Equifax在2017年被駭客入侵,導致1億多位消費者的個資外洩,而此事件是因Equifax內部系統出現安全漏洞,但Equifax卻未修補並釀災。近年來,政府與台灣許多企業和公部門,都已將資訊安全列為強制性的要求與標準,讓科技快速發展的同時也能降低資安所帶來的衝擊和威脅。
因此ISO 27001這套國際標準,對所有產業的資訊安全管理系統都非常適合!國際標準組織(ISO)於2022年公告第三版ISO 27001:2022資訊管理系統,相較於上一個版本ISO 27001:2013,此版本著重於網路安全與隱私保護並新增相關條款,主要為了應對當前網路攻擊的手法與型態。
ISO 27001重要性
從上面的介紹中我們可以知道,這套標準可使資訊資產更加安全,不過實際的效益是什麼呢?實際的效益可能會有這些:
- 遵守法律規定(如:臺灣《個資法》):
在許多行業都需遵守對於資訊安全相關法律和條款,ISO 27001提供企業一個指引和框架,能夠導入企業並保護資訊安全
- 使客戶感受到自身資料受到保護,增加企業信任度與形象:
ISO 27001的導入有助於降低資訊安全風險和資料的外洩,通過風險分析和報告,讓企業能夠提早對於資安漏洞和資訊安全有保護,提高顧客對企業的信任度和形象。
- 落實善盡管理責任,降低資安風險:
ISO 27001讓企業的各個部門將資安層層把關,讓資料外洩或者資安網路攻擊的風險能降到最低,保護公司資產。
- 提高市場經爭力:
ISO 27001的導入讓資安受到重視的時代中,成為企業在市場中很大的競爭優勢之一。
ISO 27001:2022新版和舊版差異
新版本 ISO 27001:2022的重大變動:
控制措施增加11項
相較於ISO 27001:2013版本,ISO 27001:2022多了11項控制措施,主要針對於當前的網路攻擊手法,以面對新型態的網路資安攻擊,主要的措施包含對軟體開發應採用安全編碼原則,因而減少軟體中遣在資訊安全漏洞,除此之外,也根據對組織造成安全威脅情資作分析,例如TWCERT和CVE等,以降低資安風險。
ISO 27001:2022新版根據雲端資訊安全有更多規定和限制,包含雲端服務作業委外的程序和管控都必須更完整。除此之外,也對資料刪除、資料遮蔽和預防資料洩漏有更多的規範,當需要保護敏感資料(例如個人識別資訊PII),應使用資料遮蔽或匿名化等方式,以避免暴露敏感資訊。並且對於不需要的資料,應刪除原本儲存於資訊系統和裝置中,其中對於機密性的資料,應以電子覆寫或加密抹除等方式刪除,避免洩漏。
新增的11項依序為:
- 5.7 威脅情資:
提前分析可能的駭客攻擊的手法,例如是釣魚手法(phishing),或者是漏洞攻擊,分散式阻斷攻擊,透過提早分析駭客攻擊的手法,讓組織能夠提早思考解決的方案。而會對企業造成威脅的情資,須和企業安全服務或者運用情境相關。
- 5.23使用雲端服務之資訊安全:
現在雲端的使用也日趨普遍,因此雲端也可能成為駭客攻擊的目標,包括雲端內都會儲存企業或者客戶的資訊,因此保護雲端的資料不洩漏,或者保障使用雲端的人能夠正常的使用,都成為這個項目最重要的規範。若是雲端為企業外包服務,也要確認雲端廠商能夠提供使用雲服務的存取控制,和機密資料儲存的國家和場域,也包含萬一不再使用雲端服務時,如何退場。除此之外,使用雲端服務可能造成的資訊安全風險,也都必須一併考慮在其中,提前做風險評估,做出資安分析模型和如何處理流程。
- 5.30為營運持續性做好資通技術(ICT)的準備:
確保資訊和通訊系統的可用性和安全性,可用性為當公司的人要運用到該軟體或者資訊系統時,能夠順利地使用,而會影響可用性包含軟硬體故障,天災人禍等等,都會導致公司的人要使用時,無法及時使用,因此要讓公司各個資訊和通訊系統能夠正常的營運,也成為此項重要的目標。
- 7.4實體安全監控:
說到資訊安全,人們最常想到的主機,伺服器或者網站或者軟體安全,但若一個企業內部有實體的資訊系統相關廠域時,稱為實體的敏感區域(例如放置主機的場所等),都應該只讓職權相關的人員能進入,確保未經授權的人,不能進入和接觸到實體的敏感區域,若未經授權的人進入,有可能對實體的敏感區域造成危害,也可以啟用安全監控(例如警衛和監視系統),讓萬一有可疑人士進入,能夠第一時間通報並且處理。
- 8.9組態管理:
確保職權相關的人才能使用特定軟體,資訊系統,若未經授權的人要接觸到特定軟體,確保有提高他的權限,使之能使用,避免未授權的人可以更改,如果有未授權的人能夠接觸到資料庫,軟體或者是主機,都有可能造成資料洩漏,或者資料竄改等。除此之外,公司的各個系統,軟硬體都需符合企業資訊安全政策的要求和標準,也要定期的做版本更新,避免資安攻擊。而各個組態也必須有相對應的負責人和管理人。
- 8.10資料刪除:
很多時候當資訊不再需要時,刪除時也要特別注意,若關係到敏感資訊,或者個資法相關資料,可使用電子覆寫或加密刪除等方式,避免個資洩漏。
- 8.11資料遮蔽:
當資料屬於敏感資料,可使用加密方式,或者隨機化(用隨機的值取代敏感資料),減少個資洩漏的風險。
- 8.12預防資料洩漏:
使用各種措施防止資料外洩,萬一不幸發生,也能有第一時間應對的方式讓風險降到最低。
- 8.16活動監控:
當系統有異常活動時,例如網路流量異常,能夠在第一時間識別並且處理。
- 8.22網頁過濾:
管理使用者和用戶訪問哪些網站,避免組織受到惡意程式攻擊,或者查詢到不法資料。
- 8.28安全編碼:
用安全的程式編碼原則編寫網站和軟體,避免軟體開發過程中有資安的風險。
控制類別整合
原有控制類別的數量由14類整合成4大類:
ISO 27001:2013控制類別的14大類依序為:
A.5:資訊安全政策
A.6:資訊安全組織
A.7:人力資源安全
A.8:資產管理
A.9:存取控管
A.10:加密
A.11:物理性及環境的安全
A.12:運作安全
A.13:通訊安全
A.14:系統購置,開發和維護
A.15:供應商關係
A.16:資訊安全事件管理
A.17:業務連續性計劃的資訊安全層面
A.18:合規,有關內部(e.g.:政策) 要求及外部(e.g.:法令)要求
ISO27001:2022將上述的14類整合成為4大類:
A5:資訊安全政策
A6:人員控制
A7:實體控制
A8:技術控制
新版因有許多增刪修,在導入ISO 27001:2022時,應先以新版架構文件建立程序,並且融合資產的風險評鑑,並且確認措施都有符合法規管控,新版本也對隱私和資料有更多的規範,應整合公司各個部門,將資訊安全層層保護,避免資安事件造成的危害和損失。
ISO 27001導入過程
- 確認組織現有狀況
- 確定導入範圍
- 管理制度建構
- 技術面:風險評估,弱點補強,風險探查
- 選擇控制目標
- 選擇因應措施
- 建立程序文件
- 系統實施
- 訓練相關人員
- 內部稽核
- 認證申請
- 評鑑和稽核
天矽科技的主機廠商宏遠電訊都符合ISO 27001的標準,除此之外天矽科技也擁有國外許多關於資訊安全相關的課程和證書:
天矽科技承諾網站資訊安全政策,以指標性機構 OWASP TOP 10 為基礎的防護內容,並經過Acunetix 弱點掃描,排除高風險,為您的網站把關。
資料來源與參考:
➜ 維基百科|ISO/IEC 27001
➜ 驪鑫有限公司|ISO27001認證是什麼?專家顧問教你掌握14項要點、保護資安!
➜ SGS|ISO 27001 - 資訊安全管理系統