資訊安全的國際準則可以參照ISO27000系列,是目前最熱門的資訊安全架構guide line。
ISO - International Organization for Standardization 是國際標準化組織,總部位於瑞士日內瓦,主要的職責就是制定全球工商業國際標準。ISO與另一個負責電子設備標準的IEC(International Electrotechnical Commission, aka 國際電工委員會)有著密不可分得合作。
題外話:
筆者當初看到ISO這個名字一直納悶: 為甚麼International Organization for Standardization 縮寫不是叫IOS? 是不是打反了? 結果去ISO官網才發現原來當初這個組織考量他們的名字用不同語言書寫會有不同組合(e.g., 英文是IOS, 法文是OIN , aka Organisation Internationale de normalisation),為了避免出現這樣的混亂情況改以希臘文的"isos”單字作為最終組織的名稱代號。而"isos"在希臘文裡代表的是平等,該組織想表達在任何國家、任何語言下,我們都是平等的概念。
果然是國際組織,光是命名的出發點就直接放眼全球,筆者佩服。
ISO27000系列裡最常被提出來討論的是ISO27001, ISO27002與ISO27003。當中又以「ISO27001」(有時也稱ISO/IEC 27001)最為代表性,它所涵蓋的內容為資訊安全管理系統(ISMS, Informationa Security Management System)的要求。全文(2013版, 預計2022年十月份會公布最新版)共有十個條款(clauses)以及一個附件(annex)。
十個條款內容分別為:
Scope (定義此標準的應用範圍)
Normative references (參考此檔案的建議作法)
Terms and Definitions (申明文章內的詞語定義源自ISO/IEC 27000)
Context of the Organization (申明本組織的立場環境與利益關係人)
Leadership (列出管理高層必須遵守的承諾或政策制定建議)
Planning (ISMS計劃:包含風險評估/風險處置以及執行手段)
Support (執行ISMS計畫時需要的輔助措施)
Operation (推動ISMS的執行計畫)
Performance evaluation (審核效度)
Improvement (檢討與改進措施)
以及一個附件
Annex A 控制列表與方式(內容節錄自ISO/IEC 27002 第五條至第十八條之條款)