ISO/IEC 27001:2022轉版重點
在〈上篇〉分享完資安的重要趨勢與政府主管機關相關政策後,BSI謝君豪營運長也為2022資安年會揭開了另一個重頭戲— ISO/IEC 27001:2022轉版重點剖析。謝營運長表示ISO/IEC 27001:2022正式頒佈的時間為2022年10月25日,目前企業有通過驗證或正在導入的版本為2013年版,此次改版的幅度並不是很大,最大的改變是在附錄A的控制措施做了一些調整,並建議企業可以利用3年的轉版時間,好好梳理現在在導入制度時可能遇到的一些挑戰。
謝營運長解釋一般國際標準可以分成兩個部分,一個是制度面也就是所謂PDCA要求,在此次的改變幅度有限,而附錄A的控制措施則做了比較大幅的調整。綜整例舉如下:
- 某些用語上的調整,如:以文件 (document) 取代原先國際標準 (International Standard) 字眼。
- 重新梳理部分條款的一些要求跟定義,使其讀起來更順暢。
- 將一些子條款做適當的調整,如:管理審查會有子條款要求管理審查的輸入輸出、內部稽核會要有內部稽核的方案、執行等定義跟要求。
- 在推動ISMS時,對於整個相關流程的管理,必須要去做一些適當的控管。這也是所有國際標準現在非常重視的一環,強調溝通跟互動方面不能只有做,還要去監控到底做得多好。
- 新增3條款-變更的規劃。是這次改變最大也是唯一增加的一項子條款,其用意是要企業組織在日常推ISMS的時候,如果有任何流程要做改變,如:教育訓練、風險評鑑、系統管理流程或開發流程,都須確保這些流程有經過規劃才可以去實施。
- 調整1條款的順序。先做持續改善,再做矯正跟避免再發生。
- 將2013年版中的14個主題 (theme) 與35個控制目標,整併為4個主題,包括:組織、人、實體、技術,與目前政府在推的策略、管理、技術、能力認知非常像。而原35個控制目標也全都移除,僅列出控制措施,其中只有11個是新增的部份。
修訂後附錄A的資安控制措施,從原先114個整併為93個控制措施,其中包含24項控制措施被合併、58項控制措施獲得更新、11項控制措施新增,謝營運長建議企業可以參考這些措施,並依產業特性和公司營運風險考量評估需要的部份。此外,營運長也提醒,近年來政府為加強資安控管,要求企業將系統依照敏感等級區分為高、中、普三類。然而,最常發生資安問題的,卻是稽核時普遍被認為最安全的普級系統,因為其安控基準最少,但涉及的資料卻很多,若上雲管理遇到的挑戰又會更多,建議企業也可多方參考ISO/IEC 27002裡面的ISO/IEC 27017跟ISO/IEC 27018,來做好雲的控制措施。
另外,謝營運長也提到資訊系統不中斷對營運持續的重要性,即所謂的IRBC (ICT Readiness for Business Continuity),其中引用到的ISO/IEC 27031:2011標準涵蓋非常多完整的框架,能協助企業做好資訊部門的備援,不用擔心會發生資訊中斷,進而影響整個業務核心的運作。謝營運長進一步分享現在ISO組織正在撰寫的資安標準,不會只針對特定面向,而是會涵蓋產品、自駕車、硬體安全,甚至與AI、IoT等相關領域,建議企業在接下來的3年可以參考ISO現在正在制定的這些國際標準,與既有的控制措施和規章搭配做必要的優化。
轉版時程為期3年
謝營運長提醒ISO/IEC 27001:2022的轉換時間為期3年,即自ISO/IEC 27001:2022標準公佈日後三年內(至2025年10月底前),要完成資訊安全管理系統的轉版作業。同時,需在此期間內的後續審查時,採用此新標準做管理系統稽核並取得ISO/IEC 27001:2022的證書,否則在截止日2025年10月31日後,舊版證書將會失效。
此外,由於每家企業組織的風險跟複雜度不同,所需要的轉版人天數也會不同,建議可以進一步與BSI的企業服務代表諮詢評估。
*以上時程已依據2023年3月中旬之最新公告及要求調整更新。
最後,謝營運長亦提到全球正面臨資安人才缺口挑戰,面對金融業跟高科技企業的高薪搶人,企業組織如何吸引並留住資安人才將會是未來需考量的重點之一。除了可配合政府或各主管機關相關的資安人才職能地圖,BSI也提供相關的教育訓練課程,協助企業人才培育與所需的專業證明,並從2023年1月開始,推出為期2天的公開轉版課程,也能依企業組織需求提供客製化的內部訓練,協助組織與人員更清楚瞭解轉版相關作業,順利完成新版轉換。
