iT邦幫忙

2024 iThome 鐵人賽

DAY 6
0
Security

資訊安全管理系統制度白手起家系列 第 7

[Day 6] 認識資訊安全管理系統 (ISMS)

  • 分享至 

  • xImage
  •  

在系列文章的一開始先由管理系統的概念開始導入,先對管理系統的定義有些認知後,再回頭來看ISMS會比較能理解它到底是什麼,以及它要達到什麼目的,導入ISMS對組織的利益會是什麼。

資訊安全 (Information Security) 在這個處處充滿各類型資訊及系統的現代化資訊社會已經是不可或缺的重要事項,無論是個人或是組織,若沒有適當的保護資訊安全,會使得個人或組織處於不確定性 (uncertainly) 之下,而這些不確定性可能會導致個人或組織蒙受損失,例如個人資料外洩所導致的詐騙,又或是組織沒有管理好內部機密資料導致的機密外洩等等,在在都會使個人或組織發生損害;損害也會依不確定性所發生的程度及受影響的標的有著不同的規模,例如社群帳號被盜對每個人的損害程度就不一樣,一般人大概只是損失在該社群的資料,但對一位網紅來說損害可就大了,因為裡面可能有某些私密資料無法見光,又或是會被拿去犯罪等等。

對組織來說,未適當管理好資訊安全,意味著其他組織或客戶會因為對組織的資訊安全管理沒有信心,而不敢與組織有任何形式的合作 (比如擔心洩密、無法符合相關合規性,或無法滿足契約要求等),對組織而言傷害會相當顯著,又或是組織沒有適當處理好相關的事故 (如組織系統被入侵、被植入勒索程式而使資料被竊取或破壞),導致無法保證品質或履約事項,亦會使組織商譽受到相當損害,間接導致組織營運受影響等等,因此組織必須嚴肅並積極的面對資訊安全的議題,來保障對組織有價值的事物 (anything that has value to the organization, ISO 27002:2022 3.1.2)。

ISMS源自於英國標準BS 7799,於2000年時由ISO頒布ISO 17799:2000作為資訊安全管理規範指引 (Code of practices),英國另在2002年頒布BS 7799-2,定義資訊安全管理系統的規格,並於2005年由ISO頒布為ISO 27001:2005,作為資訊安全管理系統的要求事項,ISO 17799則於2005年改版更新,後續ISO於2007年將ISMS的標準整合為ISO 27000,因此ISO 17799:2005於2007年7月更名為ISO 27002:2005,ISMS的標準架構自此抵定;國內亦有翻譯中文版,最新版本為CNS 27001:2023及CNS 27002:2023。

ISMS係基於管理資訊安全所制訂以資訊安全作為領域的一套管理系統制度,要求組織在確保營運過程中的CIA—機密性 (Confidentiality)、完整性 (Integrity) 及可用性 (Availability)—為基礎,對組織營運建立 (Establishing)、實作 (Implementing)、運作 (Operating)、監視 (Monitoring)、審查 (Reviewing)、維護 (Maintaining) 及改進 (Improving) 其資訊安全的系統化作法 (Systematic Approach),也就是組織要由業務營運的角度,仔細審視組織要保護的有價值事物 (包含有形及無形、實體或過程等等)、制訂政策及目標、規劃達成目標的作法 (或過程)、將作法實作為制度、依制度執行、在執行過程中予以監控、審查制度執行的成果、維護整套制度的運作以及依需要對制度做改進等等的活動,ISO 27001對這些活動有其要求,也就是所謂的要求事項 (Requirements),組織的ISMS必須符合ISO 27001內各項活動的要求事項 (ISO 27001:2022 4.4有明文規定),並通過第三方符合性評鑑活動,才能正式取得ISMS符合性認證,對外作為ISMS合規的依據。

總而言之,合規只是結果,重點仍然在於組織有沒有確實自己依ISO 27001要求所設計的制度落實執行,進而達到ISO 27001所要達到的目標—保護組織的資訊安全—因此,組織在執行制度的過程中,必須留下足夠的證據,以證明組織確實依照自己所設計的制度執行,而這也是符合性評鑑所要檢視的重點項目。

ISO將整套資訊安全管理領域收納在ISO 27xxx的標準集裡面,ISO 27001僅是一個起點,說明一套ISMS的要求事項;由ISO 27001開始,ISO制訂了許多相關的技術與管理標準,形成ISO 27000家族,如下表所示:

編號 標題 最新版本
27000 概念與詞彙定義 2018
27001 管理系統要求事項 2022及2024增修
27002 資訊安全控制措施 2022
27003 資訊安全管理系統指引 2017
27004 資訊安全管理之監督、量測、分析與評估 2016
27005 資訊安全風險管理 2022
27006-1 提供資訊安全管理系統稽核與授證之實體之要求 Part 1-一般 2024
27006-2 提供資訊安全管理系統稽核與授證之實體之要求Part 2-隱私資訊管理系統 (TS) 2021
27007 資訊安全管理系統稽核指引 2020
27008 資訊安全控制措施評鑑指引 (TS) 2019
27010 特定領域與組織間溝通之資訊安全管理 2015
27011 電信業基於ISO 27002之資訊安全控制措施 2024
27013 整合ISO 27001與ISO 20000-1實作指引 2021
27014 資訊安全治理 2020
27016 資訊安全管理之組織經濟 (TR) 2014
27017 ISO 27002基於雲端服務之資訊安全控制措施實務規範 2015
27018 作為PII控制者之公有雲內個人識別資訊保護實務規範 2019
27019 能源公用產業之資訊安全控制措施 2017
27021 資訊安全管理系統專業人員能力要求 2017及2021增修
27022 資訊安全管理系統過程指引 2021
27031 營運持續資通訊技術整備指引 2011
27032 網際網路安全指引 2023
27033-1 網路安全Part 1: 概觀與概念 2015
27033-2 網路安全Part 2: 網路安全設計與實作指引 2012
27033-3 網路安全Part 3: 網路化情境參考—威脅、設計技術與控制議題 2010
27033-4 網路安全Part 4: 運用安全閘道於網路間保全通訊 2014
27033-5 網路安全Part 5: 運用虛擬私人網路於跨網路間保全通訊 2013
27033-6 網路安全Part 6: 保全無線IP網路存取 2016
27033-7 網路安全Part 7: 網路虛擬化安全指引 2023
27034-1 應用程式安全Part 1: 概觀與概念 2011及2014勘誤
27034-2 應用程式安全Part 2: 組織規範框架 2015
27034-3 應用程式安全Part 3: 應用程式安全管理過程 2018
27034-5 應用程式安全Part 5: 協定與應用程式控制措施資料結構 2017
27034-5-1 應用程式安全Part 5-1: 協定與應用程式控制措施資料結構、XML綱要 (TS) 2018
27034-6 應用程式安全Part 6: 案例研究 2016
27034-7 應用程式安全Part 7: 保證預測框架 2018
27035-1 資訊安全事故管理Part 1: 原理與過程 2023
27035-2 資訊安全事故管理Part 2: 事故回應之規劃與準備指引 2023
27035-3 資訊安全事故管理Part 3: 資通訊事故回應運作指引 2020
27036-1 供應者關係Part 1: 概觀與概念 2021
27036-2 供應者關係Part 2: 要求 2022
27036-3 供應者關係Part 3: 硬體、軟體與服務供應鏈安全指引 2023
27036-4 供應者關係Part 4: 雲端服務安全指引 2016
27037 數位證據識別、蒐集、獲取及保存之指引 2012
27038 數位編輯規範 2014
27039 入侵偵測與預防系統之選擇、部署與運作 2015
27040 儲存安全 2024
27041 確保事件調查方法的適用性和充分性的指引 2015
27042 分析與解讀數位證據的指引 2015
27043 事故調整原理與過程 2015
27050-1 電子發掘Part 1: 概觀與概念 2019
27050-2 電子發掘Part 2: 電子發掘之治理與管理指引 2018
27050-3 電子發掘Part 3: 電子發掘實務規範 2020
27050-4 電子發掘Part 4: 技術整備度 2021
27070 建構受信任的虛擬化根之要求 2021
27071 於設備與服務間建構受信任連線的安全建議 2023
27099 公開金鑰基礎建設實務與政策框架 2022
27100 網宇安全概觀與概念 (TS) 2020
27102 網宇保險 (Cyber-insurance) 指引 2019
27103 網宇安全與ISO及IEC標準 (TR) 2018
27110 網宇安全框架發展指引 (TS) 2021
27400 物聯網安全及隱私指引 2023
27402 物聯網安全及隱私設備基準要求 2024
27403 物聯網安全及隱私之家庭自動化指引 2024
27550 系統生命週期過程之隱私工程 (TR) 2019
27551 基於屬性的不可連結實體認證的要求 2021
27553-1 在行動裝置上使用生物辨識技術進行身份驗證的安全和隱私要求Part 1:本地模式 2022
27554 評鑑身份識別相關風險之ISO 31000應用 2024
27555 個人識別資訊刪除的指引 2021
27556 使用者為中心的隱私偏好管理框架 2022
27557 於組織隱私風險管理之ISO 31000:2018應用 2022
27559 隱私強化資料去識別化框架 2022
27560 隱私技術—同意記錄資訊結構 (TS) 2023
27561 隱私操作模型與工程方法 2024
27563 人工智慧使用案例之資訊安全及隱私—最佳實務 (TR) 2023
27570 智慧城市之隱私指引 (TS) 2021
27701 為隱私資訊管理之ISO 27001與ISO 27002延伸—要求與指引 2019

上面雖然列了長長一串ISO 27000家族的所有現行標準,但資訊安全領域並非只有ISO 27000家族而己,還有很多其他的國際標準 (如密碼技術、隱私控制等),ISO 27000基本上是針對ISMS領域內所制訂的相關規範,接下來的文章中如有必要也會引用相關的標準。


上一篇
[Day 5] 「符合性評鑑」與「稽核」的概念
下一篇
[Day 7] 透視你的組織—組織全景
系列文
資訊安全管理系統制度白手起家32
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言