Skip Navigation Links首頁 > 產業觀察

產業觀察

ISO/IEC27001新舊差異分析與實作(上)

作者/林信忠

[發表日期:2015/6/5]

前言

眾所周知,組織如欲達到一定的資訊安全要求,需考量到管理、技術、執行、法律四個構面。多數專家認為管理為這四個構面的基礎,也就是說管理就比重上而言,大於其他三者的ISO/IEC27001,既是公認最佳的資訊安全國際標準之一,在國內也是應用最廣的一套資訊安全標準。其原來的2005年版已逐漸無法適應當今的資訊安全需求,值此之故ISO組織於2013年9月15日推出了新版,針對舊版欠缺與因應環境變化及未來制度間的整合做出了修正。

筆者去年支援某件大型標案的資訊安全管理制度輔導該案橫跨兩個年度,不知幸與不幸正好處於此青黃不接的時期,深知許多已導入舊版標準的組織對新版存有一些疑慮故嘗試就自己的一些研究與轉版課程上講師授課的內容來做一個分享,讓讀者對ISO/IEC 27001新舊版差異能有一些了解本篇文章將分為上下兩篇介紹,上篇介紹新舊版本的差異,下篇則介紹新版某些具討論性之增加部分的實務作法。

新舊版的差異

一、新版主要差異

新舊版有什麼主要的改變呢?歸納其主要差異為下列7點:

    1.符合ISOAnnexSL要求,以便與其他ISO 管理制度整合。

    2.引用ISO 31000要求,並允許組織對不同的管理系統沿用相同的風險管理方法論。

    3.為了促進整個ISO系列標準術語與定義的一致性移除原2005年版中的用語釋義。

    4.管理階層的支持及承諾要求更加明確化,以展現領導力及承諾。

    5.移除重複及以短語的方式陳述要求,允許組織有更大自由選擇實施要求。

    6.移除”預防措施”的要求。

    7.強調績效展現,特別是所欲達成的目標與監控績效所訂定的量測指標。

說明如下:

    1.隨著規模與政府或重要客戶與原廠的要求日益嚴苛,越來越多的組織導入兩種(含)以上的國際標準,如ISO/IEC20000、ISO/IEC27001、ISO/IEC22301等以符合要求,這些標準要求事實上有諸多可整合之處,然因以往撰寫描述的方式或章節不盡相同而額外耗費了許多精力。新版採用標準化的ISO Annex SL架構,此架構將ISO各標準之要求以一致的架構進行描述,對組織而言,若欲整合管理系統可減少不少負擔。未來ISO各標準再次改版時,均會採行此架構。

    2.舊版之風險評鑑強調需先識別出範圍內的資訊資產,再對其進行鑑價、找出該資產所對應的威脅、弱點進而計算出其風險值.新版則不再強調如此單一的風險評鑑方式,而是要求參考ISO 31000風險管理的內容。ISO 31000所強調的是風險管理的框架,而非單一種方法,簡言之組織可採用各種不同的風險評鑑方法,相較舊版更有彈性。

    3.舊版將條文使用到的各項用語釋義置於本文第三章,此法缺點是與其他標準整合不易,如各標準用語可能不一致或重複,增加用語釋義爭議的機率。新版則直接將用語釋義指向ISO/IEC 27000,以後只要參閱ISO/IEC27000就能了解各種用語的意涵,如此增加了方便性。

    4.新版將領導獨立為本文第五章,該章節特別強調領導力的展現與承諾,確保資訊安全系統能與組織流程整合進而與目標契合,高層人員需提供足夠的支持與資源等等;這些內容與舊版管理責任(Management Responsibility)比較,新版條文中對高層人員的要求更明確且力道增強了許多,也更能滿足制度執行上實務的需求。

    5.相較於舊版,新版更契合了組織的資訊安全現況.如將管理審查原9大輸入5大輸出調整為6大輸入、輸出部分不再硬性要求。而其附錄項目從舊版的11個領域,39項目標及133項控制措施修正為14個領域,35項目標,114項控制措施.將舊版中重複或可合併的做調整,並因應環境變化新增了其他領域、目標、與控制措施。

    6.舊版提到的矯正與預防措施,矯正措施乃採取措施消除現存不符合情況原因,防止再度發生。預防措施目的乃在於消除潛在的不符合或其他不希望情況的原因。新版則認為此目的可被風險管理的過程所取代,所以新版內容僅強調矯正措施而淡化預防措施的角色。

    7.新版更強調定量化的各項指標來衡量資訊安全管理系統的績效,建構政策->目標->指標的邏輯性,包含對何時監控指標?誰來監控指標?誰分析指標等等都做了要求。


二、新版引入的觀念

為了讓標準能與時俱進,符合環境變動的要求,新版引入了幾個新的觀念,如《表一》


《表一》


以通過新版認證的來說,建議需在組織全景、溝通、資訊安全目標、風險所有人等觀念上增加證據與做法以達到新版的要求,故這四點是下篇文章強調的重點。風險評鑑部分因為ISO 31000框架未提供具體的作法,目前允許使用舊版的方法來進行。總而言之新版並不限定只能用單一的方法來做風險評鑑。

三、新舊版異動對照

新舊版本在本文的異動對照如《表二》

《表二》


結語

因應新版資訊安全標準,如通過舊版本的組織需調整現有之相關流程及程序文件,以符合轉版認證的要求。本篇重點強調差異性,採行表格的方式來做比較;下篇重點則在於實作出證據。包含前面提到屬於條文本文之組織全景、溝通、資訊安全目標、風險所有人部分與新版條文附錄A中部分控制措施的實作參考作法。(待續)

參考資料

1.張文瀞 “ISO27001:2013和ISO27001:2005的主要差異”, 臺灣大學計算機及資訊網路中心。
2.資訊安全管理制度(ISMS)2013轉版訓練課程講義,QA,2014。
3.ISMS Lead Auditor Transition Course from ISO/IEC 27001:2005 to ISO/IEC 27001:2013 Training Course,BSI,2014
4.“ISO/IEC 27001:2013, Information technology-Security techniques-Information Security management system-Requirement”,2013
5.“ISO/IEC 27001:2005, Information technology-Security techniques-Information Security management system-Requirement”,2005
6.“ISO 31000:2009, RISK MANAGEMENT –PRINCIPLES AND GUIDLINES”,2009
7.“Mapping between the requirements of ISO/IEC 27001:2005 and ISO/IEC 27001:2013”,BSI

 

回上層