作者:吳恭漢 / 臺灣大學計算機及資訊網路中心程式設計組行政專員
前言
ISO/IEC 27001在資安的領域當中,可謂說是武俠小說中的神兵利器,無人不知無人不曉,ISO組織創立於1946年,第一版的ISO27001起源於2005年也就是人人熟知ISO/IEC 27001:2005,ISO標準平均每五年檢討修訂內容是否合宜,時代的躍進從2005->2013歷經了9年後最新的ISO/IEC 27001:2022在去年的秋季才正式登場,在這幾年中我們碰到影響人類的重大事件Covid-19,影響我們各個層面,ISO組織也不例外,從2013->2022才與我們見面,接下來由我來分享ISO/IEC 27001:2022有哪些重大變動。
壹. 控制類別變更
我們可以從下圖得知控制類別的數量由14類整合成4大類。
圖1.控制類別變更圖
貳. 控制項目數量
由114個控制項目調整成93個。
圖2.控制項目數量圖
參. ISO/IEC 27001:2022新增控制項
11個新增控制項分別如下。新增的控制項目對舊的ISO/IEC ISO27001:2013管理系統用戶要重新瞭解並提早準備轉版的因應作法。
圖3.新增控制項目圖
肆. 差異性
我們從ISO/IEC 27001:2013-> ISO/IEC 27001:2022來看,英文名稱翻譯就有很大的差別,由Information technology-Security technique-資訊技術-安全技術變成Information security,cybersecurity and privacy protection-資訊安全-網路安全與隱私保護,也符合現代的個資與資安議題重視,對於ISO/IEC 27001:2022隱私保護可說是很重要的一塊,我們可以從新增控制項其中的數據洩漏預防做個切入點討論,在臺灣個資法的出現,對於資料外洩防護 (Data loss prevention,DLP)有了很大的重視,此次IOS/IEC 27001:2022的導入,就必須在此塊提出相對應的作法,此篇提出幾項未來企業單位導入可行的一些作法,以便符合新版控制項的要求。
伍. DLP(Data loss prevention,DLP)
我們常看到DLP從三大面向推出解決方案,1.端點(Endpoint)常見的就是透過防毒軟體整合模組達成,2.網路(Network)常見的透過設備部署於骨幹網路,用來查看網路封包是否夾帶機敏資訊等,3.最後就是資料庫與郵件防護伺服器,利用安裝模組來達到資料庫與郵件的DLP防護,這次ISO/IEC 27001:2022改版,企業可提早規劃部屬適當的DLP工具,進而符合ISO規範要求。
陸. 感想
ISO/IEC 27001:2013-> ISO/IEC 27001:2022可說是十年磨一劍,慢工出細活產出這套管理系統,整合現行資安要求,可說是跟上現代的腳步,大步邁前,導入目前ISO/IEC 27001:2013的產業也可提早準備改版因應措施,到2025年前有三年的轉版緩衝期,科技的發展,時代的進步,透過資訊安全,網路安全與隱私保護管理系統,提高人們資安素養與資訊靈敏度,進而達到資訊安全的光輝年代。
參考文獻
新版ISO/IEC 27001:2022:https://www.bsigroup.com/zh-TW/ISO-27001-Information-Security/ISOIEC-27001-Revision/