iT邦幫忙

2024 iThome 鐵人賽

DAY 13
0

前面已經走完風險、風險評鑑及風險處理的程序,再回到ISMS對這部份的要求,ISMS的存在最重要的目標,就是能讓組織能有效的面對資訊安全風險 (Information Security Risk),對組織的經營過程中存在的各類型資訊安全風險進行評鑑及處理,因此在主條文中,對風險處理相當重視,甚至是整個ISMS的指導方針。

主條文6.1要求組織必須進行資訊安全風險與機會之因應、資訊安全風險評鑑 (6.1.2)、資訊安全風險處理 (6.1.3),並且要將整個過程以文件化資訊呈現。

資訊安全風險管理在ISO 27000家族中由ISO 27005所制訂,在前一版本 (2013) 時,相應的ISO 27005版本為2018,而新版的ISO 27005:2022則與新版ISO 27001:2022同步於2022年10月發行,雖然就資訊安全風險處理的要求部份,2013與2022幾乎沒有變化 (只有條文文字與順序的微幅調整),但ISO 27005則有較大幅度的改變,其中改變最大的有兩項:

  1. 新增風險情境 (Risk scenario) 的概念。
  2. 新增以事件為主的方法 (event-based approach) 與以資產為主的方法 (asset-based approach) 進行風險辨識的對比。

風險情境的定義如下:

Risk scenario is a sequence or combination of events leading from the initial cause to the unwanted consequence. (ISO 27005:2022 3.1.4)
風險情境是從最初原因導致不良後果的一系列事件或事件組合。

風險情境的概念,應是來自於2018年開始的供應鏈攻擊 (Supply chain attack),供應鏈攻擊並非來自於組織本身,而是於組織的供應鏈發生,但卻對組織有重大的影響,如2020年的SolarWinds被攻擊事件,就連帶使得許多美國政府組織、大型企業受到影響,可能身為供應鏈上的組織自己都沒有發覺,駭客在某個時機點上發動攻擊才驚覺事態嚴重,這是一種進階持續威脅 (APT) 的攻擊手法。自SolarWinds事件開始,產業界對不在組織範圍內的風險意識逐漸抬頭,或許也間接促成了ISO 27005對風險情境的定義。

ISO 27005:2022將組織的資訊安全風險管理週期分為兩個部份,與前面所說的風險評鑑層級相似,分別是策略週期 (strategic cycle)運作週期 (operational cycle),也就是基於組織高度的風險管理,以及就執行細節部份的風險管理,而這兩個分析的方法也會不同,亦即戰略週期採用以事件為主的方法,而戰術週期則採用以資產為主的方法,組織亦可以將這兩個方法合併使用,以辨識出更多潛在的風險。

在風險辨識方法中,ISO 27005:2022引進了以事件為主的方法,並保留了原本ISO 27005:2018以資產為主的方法;以事件為主的方法可由組織的生態系統 (Ecosystem)、組織策略規劃及與關注者之間的互動作為基礎,同時也應納入組織外部與組織有關的互動 (如法規異動、供應商之間的關係、客戶與其他供應商的關係及互動等),藉以找出潛藏的風險;而以資產為主的方法則應以運作情境切入,檢視運作中所包含的主要資產 (Primary Assets) 與支援資產 (Support Assets) 中潛藏的風險,也可以與組織策略結合進行評估,這有利於提升風險後果與可能性評估的準確性。

ISMS風險評鑑與一般的風險評鑑有些許差異,包含要指定風險當責者 (Risk Owner) (主條文6.1.2(c)(2)),風險擁有者具有核定風險處理計畫的權限,以及決定風險等級 (Risk Level) (主條文6.1.2(d)(3)),風險等級會決定哪些風險要優先處理,且風險等級會與風險數值一併列入風險評估以推導出風險處理的項目。

風險評鑑完成後,即針對風險進行處理,風險處理的方式與ISO 31000:2018相似,基於ISMS新增的風險當責者的概念,風險處理的方法選定要由風險當責者核定,而風險當責者也有制訂相關管理制度的責任,以確保風險處理的方法是有效性、可重覆且可持續運作的制度。

所有風險處理的決定會彙集為適用性聲明書 (Statement of Applicability),適用性聲明書是ISMS的核心文件之一,在ISO 27001:2022的附錄A中,列舉了4大領域共93項控制措施,當組織依主條文6.1.3(a)以及6.1.3(b)之要求選定以修改風險 (Risk Modification)—亦即修改後果及可能性的數值—作為處理方式時,可由附錄A中選擇一個或多個控制措施,然後據以進行控制措施的規劃、實作、運作以及相關之監督改善活動。當然,若附錄A沒有適合的控制措施時,可以納入由組織自行制訂或來自於其他法規、標準之控制措施,但要明確訂定於管理制度內,作為後續實作與監督的依據。

依照主條文6.1.3(d)的規定,組織需準備一份適用性聲明,列舉附錄A中的所有控制措施、是否選定、選定的理由及是否實作等,當然依照組織處理風險的選擇,可能會有部份控制措施是不使用 (或不適用),這些都要在適用性聲明書中呈現。ISO 27005:2022已定義出一份適用性聲明書的內容,應該包含下列四個元素:

  1. 必要的控制措施 (原則上就是附錄A的那93個)
  2. 評估其適用的理由 (可能是標準要求、法規、契約、風險處理,或其他應納入的理由)
  3. 實作與否
  4. 自ISO 27001:2022附錄A中排除的理由 (亦即不適用的原因)

在6.1.3(d)中有一項較令人玩味,亦即「是否實作必要的控制措施」,這是原本ISO 27001:2013所沒有的,主條文中也沒有對這一句話有著明確的定義 (如已實作、未實作的二分法),不過ISO 27005:2022對這一句話有較明確的指引,組織可以聲明所有的控制措施均已實作,或是針對單一控制措施聲明已實作、部份實作或未實作,組織原則上應實作適用的控制措施,但若有其理由,可以採用部份實作或未實作,但宜將理由文件化,以作為後續評鑑及稽核的參考。


上一篇
[Day 12] 風險評鑑過程
下一篇
[Day 14] 目標、有效性及制度的穩定性
系列文
資訊安全管理系統制度白手起家32
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言