大家好,這篇要來和大家聊聊 ISO 27001、27002 是什麼東西
(先聲明,這篇會有點枯燥乏味,因為幾乎全是文字)
前面介紹了一些資安的基本觀念後,相信大家都會好奇:資安有什麼標準去進行規範嗎?
答案是有的,那就是 ISO/IEC 27001
,它是目前國際上最流行的資訊安全管理系統(ISMS)認證標準,它可以幫助組織鑑別、管理和減少資訊所面臨到的各種風險
而 ISO/IEC 27002
則是 ISMS
的實務指導文件,主要是作為 ISO/IEC 27001
裡「附錄A」的參考文件,但它並不作為「評鑑與驗證的標準」(此為重點中的重點)
:蛤?你這是什麼意思阿
ISO/IEC 27001
只是「一套標準」,主要說明了公司在導入這套標準時,應該要管制的範圍,並沒有說明其應該如何實施
而ISO/IEC 27002
則是「一套指南」,說明了其管制具體應該如何進行實施,但這些指南並「不是」強制性的,公司可以自由決定該不該使用
它們的全名分別為:
ISO/IEC 27001:《資訊科技—安全技術—資訊安全管理系統—要求》(Information technology — Security techniques — Information security management systems — Requirements)
ISO/IEC 27002:《資訊科技 - 安全技術 - 資訊安全管理作業法規》(Information technology – Security techniques – Code of practice for information security controls)
那我們先來說說它們的演變歷史
1995年,英國標準協會(BSI) 提出編號為BS 7799
的資訊安全管理系統(ISMS)標準
而這個BS 7799
有分成兩個部分,分別為BS 7799-1
和BS 7799-2
ISO/IEC 17799:2005
,並在2007年時重新編號為 ISO/IEC 27002:2005
ISO/IEC 27001:2005
至於它為什麼是 ISO 跟 IES 呢,因為它們一開始是由國際標準化組織(ISO)
及國際電工委員會(IEC)
在2005年聯合發佈的,並在2013年改版,其冒號後面從2005改為2013
今年2022年也將進行改版,目前 ISO/IES 27002 在今年2月時已改版完成,而 ISO/IES 27001 則是會在今年10月時正式發佈
那我們再來細講 ISO/IEC 27001
的內容
上面有提到,它是目前國際上的資訊安全管理系統(ISMS)認證標準,提供 ISMS
之建立、實施與書面化的具體要求,依據個別組織,規定要實施的安全控制措施有哪些,幫助組織鑑別、管理和減少資訊所面臨到的各種風險
所以 ISO/IEC 27001 的重點在於:協助組織建立起 ISMS
的CIA Tried
(機密性、完整性及可用性)
(如果不知道CIA Tried
是什麼,可以看我這篇:Day 3 : 觀念篇 - 資安入門該知道的資安基本概念)
因此,當面臨資安問題時,ISO/IEC 27001
就是你最好的引航
而 ISO/IEC 27001 也包括了建置組織管理系統
所需要的PDCA(Plan、Do、Check、Act)管理架構
PDCA
是一套循環式的管理方法,一般用來提高「產品品質」和改善「產品生產過程」,也因為它一直在循環,所以有助於減少錯誤再次發生,避免重蹈覆轍
(圖片來源:https://www.projectclub.com.tw/hard-power/3min/1628-kpipdca.html)
ISO/IEC 27001
的附錄A中有提到,最常被提及的資安控管項目有以下 14 項:
由於資安涵蓋的範圍非常非常的廣,所以控制措施也會因公司的規模、流程而有所差異,你可以依照公司本身的狀況去進行規範
當你依照 ISO/IEC 27001 的標準去完成規範時,你可以申請向合格的認證單位進行認證,如果合格 ISO/IEC 27001
的合格證書
:那拿到這個證書有什麼樣的好處呢?
所以建議各位如果有開公司,可以考慮導入 ISO/IEC 27001,雖然在設計規範的過程中可能會有點麻煩,但認證成功的好處可是很多的
然而,資訊安全管理(ISMS) 在國內及全球已逐漸被重視,上述標準皆為目前國際公認「最完整的資訊安全管理標準」
而台灣其實也有類似的資安標準,叫CNS27001
,這邊也一併放上來供大家參考
以上就是今天的介紹
希望大家看完能對ISO/IEC 27001、27002更加了解