因為資安事件頻傳，企業對於資訊安全這幾年也越來越重視，更甚而從產業的龍頭大廠要求供應鏈的廠商必須確保企業的資安管理能力，所以ISO27001的資訊安全管理成為管理系統認證的顯學，這些要求有些是企業內部的管理階層，而有些是客戶要求。
除了基本的ISMS管理制度要求外，部分產業更進一步的資安成熟度認證，例如歐系汽車產業的VDA TISAX資安成熟度認證、美國國防部針對相關供應商在承包DoD業務或工程時推行的CMMC網路安全成熟度模型認證(Cybersecurity Maturity Model Certification)，都已經讓資安的成熟度成為成為重大客戶合格供應商、業務訂單的基本條件。

過去在談資安，都以資訊部門及系統為主，但近年來對於IT之外的，例如企業的產品專案是否納入資安考量也越來越是個相稽核認證的重點。筆者以ISO27001:2022及TISAX對專案管理的要求為例，分享在專案管理將資訊安全納入實施考量的重點。

專案管理

所謂專案，包含內外部專案，且不限IT專案：

• 外部專案：例如IT系統委外開發、機房維運、產品零件設計委外、廠房修建專案...等
• 內部專案：例如IT內部系統開發、RD產品研發專案...等

因為專案包山包海，所以要判別的是：

• 此專案涉及的機密等級是否需要要有資安保護的考量
• 內部、外部交換的專案資料是否有涉及需要保護的資料

通常符合上述二點的專案才會進一步進行相關資訊安全的識別及管理的要求。
在設計上，通常會設計「專案管理安全程序書」，或是在企業現有的專案管理中加入資訊安全的作法。也就是在專案的五階段：「起始、計劃、執行、控管、及結案」各階段加入資安作法的考量：

1. 專案初期的風險評鑑，也就是識別專案安全的威脅和弱點
2. 專案初期「安全要求事項」識別
3. 專案執行過程對初期已識別的「安全要求事項」進行稽核，是否有落實資安管理

ISO27001:2022的專案管理資訊安全要求

在ISO27001對於專案管理的控制項要求，在附錄A.5.8中

A.5.8專案管理之資訊安全：資訊安全應整合入專案管理中。

ISO27001對於專案管理的控制項只要這個要求。業界常見的管理制度作法有2種：

1. 建立「專案管理安全程序書」說明專案各階段的安全實作
2. 在「委外管理程序書」及「系統獲取、開發管理程序書」中加入「專案管理」的安全要求。
   實際的管理作法，同上述【專案管理】各階段加入資安作法的考量。

TISAX專案管理的資訊安全要求

在TISAX中對於專案的要求有2個：

Information security： 1.2.3 To what extent are information security requirements taken into account in projects?
Prototype Prototection：8.2.4 To what extent is a process defined for granting access to security areas?

以下針對這二項MUST、Should的要求細節說明：

VDA ISA 6.0.1 Information Security 之要求：

1.2.3 To what extent are information security requirements taken into account in projects? 在各項專案考慮資訊安全需求到什麼程度
【MUST】

1. Projects are classified while taking into account the information security requirements. 專案根據其資訊安全要求進行分類。
   【筆者解說】：就是要針對IT和RD不同專案，要依照安全的考量有分類的方法：
   • 例如：IT專案分為(1)顧問教育訓練類、(2)系統開發類、(3)硬體網路維運類、(4)雲端服務類
   • 例如：製造業的RD專案分為(1)策略性產品研發、(2)客戶新產品研發、(3)衍伸性產品開發
   • 另一個重點：不同分類要有不同等級、不同層次的安全要求喔

【SHOULD】

1. The procedure and criteria for the classification of projects are documented. 文件化專案分類的程序和標準。
   【筆者解說】：就是專案分類、專案管理要有程序書或SOP文件化的實施。

2. During an early stage of the project, risk assessment is conducted based on the defined procedure and repeated in case of changes to the project. 在專案的早期階段，根據定義的程序進行風險評鑑，並在專案發生變化時重複進行風險評鑑。
   【筆者解說】：專案初期就要有實施風險評鑑的方法及實施記錄。

3. For identified information security risks, measures are derived and taken into account in the project. 對於已識別的資訊安全風險,應在專案中得出並考慮措施。
   【筆者解說】：專案識別出來的安全要求，必須和此專案提出相對應因應措施，以降低風險。

Additional requirements for high protection needs

1. The measures thus derived are reviewed regularly during the project and reassessed in case of changes to the assessment criteria. (C, I, A) 在專案期間定期審查由此衍生的措施，並在評估標準發生變化時重新評估。 (機密性，完整性，可用性 )
   【筆者解說】：要定期審查、稽核專案初期識別的專案要求事項。如果專案有發生重大變化，應該重新進行風險評鑑及專案的安全要求識別。

VDA ISA 6.0.1 Prototype Prototection之要求：

8.2.4 To what extent are security classifications of the project and the resulting security measures known? 已知的專案安全歸類和由此產生的安全措施，要實施到什麼程度？
【MUST】

1. Ensuring that the security classification and requirements in relation to the project progress are made known to each project member. 確保每個專案成員都知道與專案進度相關的安全歸類和要求事項。
   【筆者解說】：每一位專案成員都要知道此專案的「安全要求事項」是甚麼。(註:可請專案成員閱讀、了解及簽名)

2. Consideration of step-by-step plans, measures for secrecy and camouflage, development policies. 考慮逐步計劃、保密和偽 裝措施、發展政策。
   【筆者解說】：擬定需保護的樣品(Prototype)的保護措施實施計畫

3. The requirements are considered as a requirement regarding the information security of the project (see Controls 1.2.3 and 7.1.1 Information Security). 這些要求事項被視為與專案相關的資訊安全要求事項（參見資訊安全控制 1.2.3 和 7.1.1）
   【筆者解說】：Prototype的安全要求事項，必須符合1.2.3的專案管理安全，以及7.1.1客戶合約、相關法律的遵循性要求。

結論

綜合上述以ISO27001及TISAX的要求的解析說明，歸納專案管理的資安要求可實作的管理重點摘要如下：
所謂專案，不限IT專案，不限內外部的專案，要考量倒是專案本身是否有敏感性資訊需要保護。尤其在TISAX的稽核驗證中，客戶專案、研發專案、委外專案及外部服務專案安全要求的識別及執行安全管控的落實都是TISAX稽核的重點。

1. 第一關：依據安全要求的專案的分類，以及不同等級的安全的基本要求
2. 第二關：專案初期要進行專案的風險評鑑，並識別「安全要求事項」(包含合約、法律、內部安全要求)。
3. 第三關：專案人員對安全要求事項都知道 。
4. 第四關：稽核專案的要求事項之遵循狀況。

本文作者：AllanLo，資安顧問，ISO27001、TISAX認證輔導顧問。
企業資安議題歡迎交流。
allanlo.plus@gmail.com