跳到主要內容區塊

ntuccepaper2019

校務服務

ISO27001:2013和ISO27001:2005的主要差異
  • 卷期:v0030
  • 出版日期:0001-01-01

作者:張文瀞 / 臺灣大學計算機及資訊網路中心程式設計組副理

資訊安全國際標準ISO 27001自2005年發布至今已長達8年之久,國際標準組織於2013年公布新版本,改版後的資安認證標準為ISO 27001:2013,這也是ISO 27001成為國際標準之後的首次改版。改版前後的差異在哪裡,這是很多通過驗證的單位關心的問題,本文針對主要的改變及新舊版本的主要差異做說明。

ISO/IEC 27001:2013年的主要改變
資訊安全國際標準ISO27001有什麼主要的改變呢?2005年版本和2013年版本的主要差異,如下:
1. 引用ISO 31000風險管理要求,允許組織針對不同的管理系統沿用相同的風險管理方法論。
2. 此次的改版與其他管理系統更容易整合,並符合ISO Annex SL要求,制訂ISMS管理制度面的要求。
3. 移除2005年版中的用語釋義,直接引用ISO/IEC 27001的術語,目的是促進整個ISO 27001系列標準術語與定義的一致性。
4. 更明確的管理階層的支持及承諾要求,以有效的展現領導力及承諾。
5. 移除重複的要求及以短語的方式陳述要求,避免可能造的抵觸,並允許組織有更大自由選擇實施要求。
6. 適用性聲明書要求雷同,但更明確的要求控制措施的選擇應藉由風險處理過程來決定。
7. 強調績效展現,更加強調設定目標,監控績效及訂定量測指標。

27001:2013新版本為了更符合資訊安全的現況及需求,由原先ISO 27001:2005的A.5至A.15(11個領域,39項目標及133項控制措施)變成A.5至A.18(14個領域,35項目標,114項控制措施)控制目標減少了4項,控制措施由原本的133個變成114個。領域變多了,控制目標及控制措施都減少了。且2013年版本新增了兩個領域分別是A.10密碼(Cryptography)領域與A.15供應商關係(Supplier Relationships)領域,並將原本A.10通訊與作業管理(Communications and operations management)領域分成A.12作業安全(Operations Security)與A.13通訊安全(Communications Security)兩個領域。比較如下:


圖一、2005年版本vs.2013年版本標準章節比較


圖二

依照2005年版本的要求,首先必須先確定組織的驗證範圍,之後訂定組織的各項資產清冊,各項資產的價值及威脅與弱點等級,並利用威脅等級與弱點等級去計算出風險值。由各項資訊資產價值、威脅利用弱點造成資訊資產損害及營運中斷之可能性,對應所產出之風險分布加以判斷,並產出「風險評鑑報告」。

而2013年新版則特別強調瞭解組織的全景,並由內部議題及外部議題去鑑別出影響組織的利害關係者,及這些利害關係者對資訓安全的要求,才能決定驗證範圍是否符合需求或需要再擴大。如此一來組織才更能確實的執行資訊安全準則不會受到範圍的限制。

結語
因應本次ISO27001資訊安全標準的改本,中心也將針對新版之要求調整現有之相關流程及程序文件,以符合ISMS管理制度面的要求-PDCA(Plan、Do、Check、Action),符合ISO Annex SL的要求,並於規定時間內進行轉版驗證以維持原有證書之有效性。同時也將請擁有ISO 27001主導稽核員證照同仁參加教育訓練,並通過認證考試取得新版的主導稽核員證照,繼續負責中心內部稽核工作。

參考資料
1. Bsi 台灣 http://www.bsigroup.tw/
2. 姍姍來遲之資訊安全管理國際標準-淺談ISO27001新版重點, 陳志明、 葉耿志【勤業眾信通訊2013年12月號】,
http://www.deloitte.com/view/tc_TW/tw/48080/48084/136508/15504b7c655d2410VgnVCM2000003356
f70aRCRD.htm
3. 新版ISO 27001:2013正式出爐,企業2015年適用新標準, 黃彥棻,
http://www.ithome.com.tw/node/83807
4. 標準動態-ISO/IEC 27001:2005 資訊安全管理系統改版分析, SGS,
http://www.sgs.com.tw/zh-TW/Local/Taiwan/News-and-Press-Releases/2013/04/The-Proof-April-2013-
Article-1.aspx