ISO/IEC 27001 全名 Information technology - Security techniques - Information security management systems - Requirements 資訊科技-安全技術-資訊安全管理系統-要求。
它是一套完整的資訊安全管理國際標準,此標準一開始是由國際標準化組織(ISO)與國際電工委員會(IEC)在2005年聯合發布,其中列出了有關於資訊安全管理系統(information security management system, ISMS) 的架構、實施、維護,以及持續改善上的要求,目的是要幫助企業組織在保管資訊資產時能更加的安全。
而此標準也是目前國際上最廣泛使用,且最為完整的ISMS資安管理系統標準,簡單來說,ISO/IEC 27001可協助企業機構建立起資訊安全管理系統的機密性、完整性與可用性,以確保資訊資產的安全、降低未來資料外洩的損失。
相較於ISO 27001:2013版本,ISO 27001:2022多了11項控制措施,主要針對於當前的網路攻擊手法,以面對新型態的網路資安攻擊,主要的措施包含對軟體開發應採用安全編碼原則,因而減少軟體中遣在資訊安全漏洞,除此之外,也根據對組織造成安全威脅情資作分析,例如TWCERT和CVE等,以降低資安風險。
ISO 27001:2022新版根據雲端資訊安全有更多規定和限制,包含雲端服務作業委外的程序和管控都必須更完整。除此之外,也對資料刪除、資料遮蔽和預防資料洩漏有更多的規範,當需要保護敏感資料(例如個人識別資訊PII),應使用資料遮蔽或匿名化等方式,以避免暴露敏感資訊。並且對於不需要的資料,應刪除原本儲存於資訊系統和裝置中,其中對於機密性的資料,應以電子覆寫或加密抹除等方式刪除,避免洩漏。
新增的11項依序為:
5.7 威脅情資:
提前分析可能的駭客攻擊的手法,例如是釣魚手法(phishing),或者是漏洞攻擊,分散式阻斷攻擊,透過提早分析駭客攻擊的手法,讓組織能夠提早思考解決的方案。而會對企業造成威脅的情資,須和企業安全服務或者運用情境相關。
5.23使用雲端服務之資訊安全:
現在雲端的使用也日趨普遍,因此雲端也可能成為駭客攻擊的目標,包括雲端內都會儲存企業或者客戶的資訊,因此保護雲端的資料不洩漏,或者保障使用雲端的人能夠正常的使用,都成為這個項目最重要的規範。若是雲端為企業外包服務,也要確認雲端廠商能夠提供使用雲服務的存取控制,和機密資料儲存的國家和場域,也包含萬一不再使用雲端服務時,如何退場。除此之外,使用雲端服務可能造成的資訊安全風險,也都必須一併考慮在其中,提前做風險評估,做出資安分析模型和如何處理流程。
5.30為營運持續性做好資通技術(ICT)的準備:
確保資訊和通訊系統的可用性和安全性,可用性為當公司的人要運用到該軟體或者資訊系統時,能夠順利地使用,而會影響可用性包含軟硬體故障,天災人禍等等,都會導致公司的人要使用時,無法及時使用,因此要讓公司各個資訊和通訊系統能夠正常的營運,也成為此項重要的目標。
7.4實體安全監控:
說到資訊安全,人們最常想到的主機,伺服器或者網站或者軟體安全,但若一個企業內部有實體的資訊系統相關廠域時,稱為實體的敏感區域(例如放置主機的場所等),都應該只讓職權相關的人員能進入,確保未經授權的人,不能進入和接觸到實體的敏感區域,若未經授權的人進入,有可能對實體的敏感區域造成危害,也可以啟用安全監控(例如警衛和監視系統),讓萬一有可疑人士進入,能夠第一時間通報並且處理。
8.9組態管理:
確保職權相關的人才能使用特定軟體,資訊系統,若未經授權的人要接觸到特定軟體,確保有提高他的權限,使之能使用,避免未授權的人可以更改,如果有未授權的人能夠接觸到資料庫,軟體或者是主機,都有可能造成資料洩漏,或者資料竄改等。除此之外,公司的各個系統,軟硬體都需符合企業資訊安全政策的要求和標準,也要定期的做版本更新,避免資安攻擊。而各個組態也必須有相對應的負責人和管理人。
8.10資料刪除:
很多時候當資訊不再需要時,刪除時也要特別注意,若關係到敏感資訊,或者個資法相關資料,可使用電子覆寫或加密刪除等方式,避免個資洩漏。
8.11資料遮蔽:
當資料屬於敏感資料,可使用加密方式,或者隨機化(用隨機的值取代敏感資料),減少個資洩漏的風險。
8.12預防資料洩漏:
使用各種措施防止資料外洩,萬一不幸發生,也能有第一時間應對的方式讓風險降到最低。
8.16活動監控:
當系統有異常活動時,例如網路流量異常,能夠在第一時間識別並且處理。
8.22網頁過濾:
管理使用者和用戶訪問哪些網站,避免組織受到惡意程式攻擊,或者查詢到不法資料。
8.28安全編碼:
用安全的程式編碼原則編寫網站和軟體,避免軟體開發過程中有資安的風險。