iT邦幫忙

2022 iThome 鐵人賽

DAY 10
1
Security

做IT必備的資安觀念!手把手帶你攻防實戰系列 第 10

Day 10 : 觀念篇 - 資訊安全管理標準:ISO/IEC 27001、27002 是什麼?

  • 分享至 

  • xImage
  •  

大家好,這篇要來和大家聊聊 ISO 27001、27002 是什麼東西
(先聲明,這篇會有點枯燥乏味,因為幾乎全是文字)

介紹

前面介紹了一些資安的基本觀念後,相信大家都會好奇:資安有什麼標準去進行規範嗎?

答案是有的,那就是 ISO/IEC 27001它是目前國際上最流行的資訊安全管理系統(ISMS)認證標準,它可以幫助組織鑑別、管理和減少資訊所面臨到的各種風險

ISO/IEC 27002則是 ISMS實務指導文件,主要是作為 ISO/IEC 27001 裡「附錄A」的參考文件,但它並不作為「評鑑與驗證的標準(此為重點中的重點)


解釋

:蛤?你這是什麼意思阿

ISO/IEC 27001只是「一套標準」,主要說明了公司在導入這套標準時,應該要管制的範圍,並沒有說明其應該如何實施

ISO/IEC 27002則是「一套指南」,說明了其管制具體應該如何進行實施,但這些指南並「不是」強制性的,公司可以自由決定該不該使用
https://ithelp.ithome.com.tw/upload/images/20220925/20141088AQbimwWzac.png

它們的全名分別為:

ISO/IEC 27001:《資訊科技—安全技術—資訊安全管理系統—要求》(Information technology — Security techniques — Information security management systems — Requirements)

ISO/IEC 27002:《資訊科技 - 安全技術 - 資訊安全管理作業法規》(Information technology – Security techniques – Code of practice for information security controls)


那我們先來說說它們的演變歷史

演變歷史

1995年英國標準協會(BSI) 提出編號為BS 7799資訊安全管理系統(ISMS)標準

而這個BS 7799有分成兩個部分,分別為BS 7799-1BS 7799-2

  • 2005年6月,BS 7799-1 成為 ISO/IEC 17799:2005,並在2007年時重新編號為 ISO/IEC 27002:2005
  • 2005年10月,BS 7799-2 則成為 ISO/IEC 27001:2005

至於它為什麼是 ISO 跟 IES 呢,因為它們一開始是由國際標準化組織(ISO)國際電工委員會(IEC)2005年聯合發佈的,並在2013年改版,其冒號後面從2005改為2013

今年2022年也將進行改版,目前 ISO/IES 27002 在今年2月時已改版完成,而 ISO/IES 27001 則是會在今年10月時正式發佈


那我們再來細講 ISO/IEC 27001的內容

ISO/IEC 27001

上面有提到,它是目前國際上的資訊安全管理系統(ISMS)認證標準,提供 ISMS 之建立、實施與書面化的具體要求,依據個別組織,規定要實施的安全控制措施有哪些,幫助組織鑑別、管理和減少資訊所面臨到的各種風險

所以 ISO/IEC 27001 的重點在於:協助組織建立起 ISMSCIA Tried(機密性、完整性及可用性)
(如果不知道CIA Tried是什麼,可以看我這篇:Day 3 : 觀念篇 - 資安入門該知道的資安基本概念

因此,當面臨資安問題時,ISO/IEC 27001就是你最好的引航


而 ISO/IEC 27001 也包括了建置組織管理系統所需要的PDCA(Plan、Do、Check、Act)管理架構

  • 計畫(Plan):觀察現況、找出問題,並擬定「改善計畫」
  • 執行(Do):根據計畫內容,做出實際行動
  • 查核(Check):驗收成果,檢討計畫是否需要做更動
  • 行動(Act):根據「查核」所提出的更動,重新修正做法並正確的實施

PDCA是一套循環式的管理方法,一般用來提高「產品品質」和改善「產品生產過程」,也因為它一直在循環,所以有助於減少錯誤再次發生,避免重蹈覆轍
https://ithelp.ithome.com.tw/upload/images/20220926/201410884tjCDPwyKc.png
(圖片來源:https://www.projectclub.com.tw/hard-power/3min/1628-kpipdca.html


控管項目

ISO/IEC 27001的附錄A中有提到,最常被提及的資安控管項目有以下 14 項:

  • A.5 資訊安全政策
  • A.6 資訊安全組織
  • A.7 人力資源安全
  • A.8 資產管理
  • A.9 存取控制
  • A.10 密碼
  • A.11 物理性和環境安全
  • A.12 運行安全
  • A.13 通訊安全
  • A.14 系統存取、開發和維護
  • A.15 供應商關係
  • A.16 資訊安全事件管理
  • A.17 可連續性管理的資訊安全層面
  • A.18 符合規範

由於資安涵蓋的範圍非常非常的廣,所以控制措施也會因公司的規模、流程而有所差異,你可以依照公司本身的狀況去進行規範

當你依照 ISO/IEC 27001 的標準去完成規範時,你可以申請向合格的認證單位進行認證,如果合格 ISO/IEC 27001 的合格證書


好處

:那拿到這個證書有什麼樣的好處呢?

  • 降低個資外洩的風險、營運成本
  • 增加客戶的信任,讓他們相信資料在你手上不會有事
  • 提升公司管理效率,當面臨資安事件時能即時找到方法應對
  • 遵循法規,確保資料的蒐集、使用符合法律規範
  • 使公司在國際上更有競爭力(因為 ISO/IEC 27001 是國際認證標準)

所以建議各位如果有開公司,可以考慮導入 ISO/IEC 27001,雖然在設計規範的過程中可能會有點麻煩,但認證成功的好處可是很多的


結論

然而,資訊安全管理(ISMS) 在國內及全球已逐漸被重視,上述標準皆為目前國際公認「最完整的資訊安全管理標準
而台灣其實也有類似的資安標準,叫CNS27001,這邊也一併放上來供大家參考
https://ithelp.ithome.com.tw/upload/images/20220926/20141088Ab51HQClpU.png


以上就是今天的介紹
希望大家看完能對ISO/IEC 27001、27002更加了解


上一篇
Day 9 : 觀念篇 - 網路上常說的 cookie 是什麼東西?又該如何刪除它呢?
下一篇
Day 11 : 實作篇 - Kali Linux VM虛擬機安裝教學
系列文
做IT必備的資安觀念!手把手帶你攻防實戰30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言