在系列文章的一開始先由管理系統的概念開始導入,先對管理系統的定義有些認知後,再回頭來看ISMS會比較能理解它到底是什麼,以及它要達到什麼目的,導入ISMS對組織的利益會是什麼。
資訊安全 (Information Security) 在這個處處充滿各類型資訊及系統的現代化資訊社會已經是不可或缺的重要事項,無論是個人或是組織,若沒有適當的保護資訊安全,會使得個人或組織處於不確定性 (uncertainly) 之下,而這些不確定性可能會導致個人或組織蒙受損失,例如個人資料外洩所導致的詐騙,又或是組織沒有管理好內部機密資料導致的機密外洩等等,在在都會使個人或組織發生損害;損害也會依不確定性所發生的程度及受影響的標的有著不同的規模,例如社群帳號被盜對每個人的損害程度就不一樣,一般人大概只是損失在該社群的資料,但對一位網紅來說損害可就大了,因為裡面可能有某些私密資料無法見光,又或是會被拿去犯罪等等。
對組織來說,未適當管理好資訊安全,意味著其他組織或客戶會因為對組織的資訊安全管理沒有信心,而不敢與組織有任何形式的合作 (比如擔心洩密、無法符合相關合規性,或無法滿足契約要求等),對組織而言傷害會相當顯著,又或是組織沒有適當處理好相關的事故 (如組織系統被入侵、被植入勒索程式而使資料被竊取或破壞),導致無法保證品質或履約事項,亦會使組織商譽受到相當損害,間接導致組織營運受影響等等,因此組織必須嚴肅並積極的面對資訊安全的議題,來保障對組織有價值的事物 (anything that has value to the organization, ISO 27002:2022 3.1.2)。
ISMS源自於英國標準BS 7799,於2000年時由ISO頒布ISO 17799:2000作為資訊安全管理規範指引 (Code of practices),英國另在2002年頒布BS 7799-2,定義資訊安全管理系統的規格,並於2005年由ISO頒布為ISO 27001:2005,作為資訊安全管理系統的要求事項,ISO 17799則於2005年改版更新,後續ISO於2007年將ISMS的標準整合為ISO 27000,因此ISO 17799:2005於2007年7月更名為ISO 27002:2005,ISMS的標準架構自此抵定;國內亦有翻譯中文版,最新版本為CNS 27001:2023及CNS 27002:2023。
ISMS係基於管理資訊安全所制訂以資訊安全作為領域的一套管理系統制度,要求組織在確保營運過程中的CIA—機密性 (Confidentiality)、完整性 (Integrity) 及可用性 (Availability)—為基礎,對組織營運建立 (Establishing)、實作 (Implementing)、運作 (Operating)、監視 (Monitoring)、審查 (Reviewing)、維護 (Maintaining) 及改進 (Improving) 其資訊安全的系統化作法 (Systematic Approach),也就是組織要由業務營運的角度,仔細審視組織要保護的有價值事物 (包含有形及無形、實體或過程等等)、制訂政策及目標、規劃達成目標的作法 (或過程)、將作法實作為制度、依制度執行、在執行過程中予以監控、審查制度執行的成果、維護整套制度的運作以及依需要對制度做改進等等的活動,ISO 27001對這些活動有其要求,也就是所謂的要求事項 (Requirements),組織的ISMS必須符合ISO 27001內各項活動的要求事項 (ISO 27001:2022 4.4有明文規定),並通過第三方符合性評鑑活動,才能正式取得ISMS符合性認證,對外作為ISMS合規的依據。
總而言之,合規只是結果,重點仍然在於組織有沒有確實自己依ISO 27001要求所設計的制度落實執行,進而達到ISO 27001所要達到的目標—保護組織的資訊安全—因此,組織在執行制度的過程中,必須留下足夠的證據,以證明組織確實依照自己所設計的制度執行,而這也是符合性評鑑所要檢視的重點項目。
ISO將整套資訊安全管理領域收納在ISO 27xxx的標準集裡面,ISO 27001僅是一個起點,說明一套ISMS的要求事項;由ISO 27001開始,ISO制訂了許多相關的技術與管理標準,形成ISO 27000家族,如下表所示:
編號 | 標題 | 最新版本 |
---|---|---|
27000 | 概念與詞彙定義 | 2018 |
27001 | 管理系統要求事項 | 2022及2024增修 |
27002 | 資訊安全控制措施 | 2022 |
27003 | 資訊安全管理系統指引 | 2017 |
27004 | 資訊安全管理之監督、量測、分析與評估 | 2016 |
27005 | 資訊安全風險管理 | 2022 |
27006-1 | 提供資訊安全管理系統稽核與授證之實體之要求 Part 1-一般 | 2024 |
27006-2 | 提供資訊安全管理系統稽核與授證之實體之要求Part 2-隱私資訊管理系統 (TS) | 2021 |
27007 | 資訊安全管理系統稽核指引 | 2020 |
27008 | 資訊安全控制措施評鑑指引 (TS) | 2019 |
27010 | 特定領域與組織間溝通之資訊安全管理 | 2015 |
27011 | 電信業基於ISO 27002之資訊安全控制措施 | 2024 |
27013 | 整合ISO 27001與ISO 20000-1實作指引 | 2021 |
27014 | 資訊安全治理 | 2020 |
27016 | 資訊安全管理之組織經濟 (TR) | 2014 |
27017 | ISO 27002基於雲端服務之資訊安全控制措施實務規範 | 2015 |
27018 | 作為PII控制者之公有雲內個人識別資訊保護實務規範 | 2019 |
27019 | 能源公用產業之資訊安全控制措施 | 2017 |
27021 | 資訊安全管理系統專業人員能力要求 | 2017及2021增修 |
27022 | 資訊安全管理系統過程指引 | 2021 |
27031 | 營運持續資通訊技術整備指引 | 2011 |
27032 | 網際網路安全指引 | 2023 |
27033-1 | 網路安全Part 1: 概觀與概念 | 2015 |
27033-2 | 網路安全Part 2: 網路安全設計與實作指引 | 2012 |
27033-3 | 網路安全Part 3: 網路化情境參考—威脅、設計技術與控制議題 | 2010 |
27033-4 | 網路安全Part 4: 運用安全閘道於網路間保全通訊 | 2014 |
27033-5 | 網路安全Part 5: 運用虛擬私人網路於跨網路間保全通訊 | 2013 |
27033-6 | 網路安全Part 6: 保全無線IP網路存取 | 2016 |
27033-7 | 網路安全Part 7: 網路虛擬化安全指引 | 2023 |
27034-1 | 應用程式安全Part 1: 概觀與概念 | 2011及2014勘誤 |
27034-2 | 應用程式安全Part 2: 組織規範框架 | 2015 |
27034-3 | 應用程式安全Part 3: 應用程式安全管理過程 | 2018 |
27034-5 | 應用程式安全Part 5: 協定與應用程式控制措施資料結構 | 2017 |
27034-5-1 | 應用程式安全Part 5-1: 協定與應用程式控制措施資料結構、XML綱要 (TS) | 2018 |
27034-6 | 應用程式安全Part 6: 案例研究 | 2016 |
27034-7 | 應用程式安全Part 7: 保證預測框架 | 2018 |
27035-1 | 資訊安全事故管理Part 1: 原理與過程 | 2023 |
27035-2 | 資訊安全事故管理Part 2: 事故回應之規劃與準備指引 | 2023 |
27035-3 | 資訊安全事故管理Part 3: 資通訊事故回應運作指引 | 2020 |
27036-1 | 供應者關係Part 1: 概觀與概念 | 2021 |
27036-2 | 供應者關係Part 2: 要求 | 2022 |
27036-3 | 供應者關係Part 3: 硬體、軟體與服務供應鏈安全指引 | 2023 |
27036-4 | 供應者關係Part 4: 雲端服務安全指引 | 2016 |
27037 | 數位證據識別、蒐集、獲取及保存之指引 | 2012 |
27038 | 數位編輯規範 | 2014 |
27039 | 入侵偵測與預防系統之選擇、部署與運作 | 2015 |
27040 | 儲存安全 | 2024 |
27041 | 確保事件調查方法的適用性和充分性的指引 | 2015 |
27042 | 分析與解讀數位證據的指引 | 2015 |
27043 | 事故調整原理與過程 | 2015 |
27050-1 | 電子發掘Part 1: 概觀與概念 | 2019 |
27050-2 | 電子發掘Part 2: 電子發掘之治理與管理指引 | 2018 |
27050-3 | 電子發掘Part 3: 電子發掘實務規範 | 2020 |
27050-4 | 電子發掘Part 4: 技術整備度 | 2021 |
27070 | 建構受信任的虛擬化根之要求 | 2021 |
27071 | 於設備與服務間建構受信任連線的安全建議 | 2023 |
27099 | 公開金鑰基礎建設實務與政策框架 | 2022 |
27100 | 網宇安全概觀與概念 (TS) | 2020 |
27102 | 網宇保險 (Cyber-insurance) 指引 | 2019 |
27103 | 網宇安全與ISO及IEC標準 (TR) | 2018 |
27110 | 網宇安全框架發展指引 (TS) | 2021 |
27400 | 物聯網安全及隱私指引 | 2023 |
27402 | 物聯網安全及隱私設備基準要求 | 2024 |
27403 | 物聯網安全及隱私之家庭自動化指引 | 2024 |
27550 | 系統生命週期過程之隱私工程 (TR) | 2019 |
27551 | 基於屬性的不可連結實體認證的要求 | 2021 |
27553-1 | 在行動裝置上使用生物辨識技術進行身份驗證的安全和隱私要求Part 1:本地模式 | 2022 |
27554 | 評鑑身份識別相關風險之ISO 31000應用 | 2024 |
27555 | 個人識別資訊刪除的指引 | 2021 |
27556 | 使用者為中心的隱私偏好管理框架 | 2022 |
27557 | 於組織隱私風險管理之ISO 31000:2018應用 | 2022 |
27559 | 隱私強化資料去識別化框架 | 2022 |
27560 | 隱私技術—同意記錄資訊結構 (TS) | 2023 |
27561 | 隱私操作模型與工程方法 | 2024 |
27563 | 人工智慧使用案例之資訊安全及隱私—最佳實務 (TR) | 2023 |
27570 | 智慧城市之隱私指引 (TS) | 2021 |
27701 | 為隱私資訊管理之ISO 27001與ISO 27002延伸—要求與指引 | 2019 |
上面雖然列了長長一串ISO 27000家族的所有現行標準,但資訊安全領域並非只有ISO 27000家族而己,還有很多其他的國際標準 (如密碼技術、隱私控制等),ISO 27000基本上是針對ISMS領域內所制訂的相關規範,接下來的文章中如有必要也會引用相關的標準。