資誠：第三版ISO/IEC 27001問世 企業應盡早取得資安認證

資誠：第三版ISO/IEC 27001問世 企業應盡早取得資安認證

(中央社訊息服務20221027 11:50:24)國際標準組織(International Standard Organization, ISO)於2022年10月26日正式公告發行第三版ISO/IEC 27001，由於發行年度為2022年，故標準編號正式定為ISO/IEC 27001:2022。此次改版距離第二版(ISO/IEC 27001:2013)公告約有9年之久(前次改版間隔約為8年)，主要係Covid-19疫情持續不斷，使得各界望穿秋水的第三版ISO/IEC 27001遲至今年秋天才正式亮相。

環境劇變 為組織運作帶來不間斷的安全挑戰

資誠智能風險管理諮詢有限公司執行董事張晉瑞表示，從上個世紀網際網路流行開始，現代組織持續面對電子化、虛擬化、即時化、雲端化及智能化等環境變遷，近年又因Covid-19疫情持續而興起建構遠端/虛擬辦公室之浪潮，使得各類型組織必須不斷調整其營運模式以達成組織營運目標，過程中除了面對部署新興科技所帶來的營運成本壓力外，亦須因應伴隨新興科技普遍應用而至的網路攻擊威脅；墊高的營運成本造成直接的營運績效下降，多變的網路攻擊威脅則是實實在在顯著提升了組織存續危機，例如營運中斷、商譽受損、蒙受鉅額財物損失及危害人身安全等，而若受網路攻擊組織為國家層級之關鍵基礎設施提供者，更可能發生大規模或全國性的社會活動停擺(如電廠停擺導致大停電)，故網路攻擊威脅帶來的巨大風險可想而知。

有鑑於此，各國政府行政機關、產業界及專業機構皆不斷研擬與資訊安全、網路安全、及隱私保護相關之法規或標準，以協助甚至要求組織提升其應對網路攻擊威脅之能力，如台灣於2018年公告施行的資通安全管理法、國際半導體產業協會(SEMI)於2021年發布之半導體晶圓設備資安標準 (SEMI E187 - Specification for Cybersecurity of Fab Equipment)，及2021年施行之公開發行公司建立內部控制制度處理準則9-1條與資通安全管控指引；由於法規與標準為了因應快速的環境變遷而不斷推陳出新，進一步提高了組織法遵風險，其中產業標準更可能大幅提高成為供應鏈成員之門檻，換言之，沒有資安就沒有合作。

張晉瑞認為，運作一套符合法規與標準要求的資訊安全管理制度已成為組織生存的基本條件。ISO/IEC 27000系列標準做為一套通用化的國際標準，早已廣泛地被各型組織運用來建構能有效運作的資訊安全管理制度，該系列標準能夠被全球超過9萬個組織單位所採用，除了因其內容含括了全世界各產業與各領域專家所提供對資訊安全、網路安全、及隱私保護管理之見解，更因提供了資訊安全治理框架，以利組織識別、評估、並因應大量且多樣的資安/隱私相關法規與標準；順利取得ISO/IEC 27001認證的組織，代表其應對網路攻擊威脅之預防、矯正、持續改善、營運持續及資安相關法規/標準遵循能力都具有高度水準，做為全球供應鏈成員，提高資安管理水準對於整體供應鏈或產業將有根本性的助益。

張晉瑞建議，各類型組織應以甫改版並公告發布的ISO/IEC 27001:2022與ISO/IEC 27002:2022為基礎，盡速深入且廣泛地檢視資訊安全管理現況，以利組織掌握亟待解決的資安相關議題，或考量導入符合ISO/IEC 27001:2022要求之資訊安全管理制度，以進一步提升組織之資訊安全管理水準至國際認可程度。

ISO/IEC 27001:2022改版重點與因應之道

綜觀ISO/IEC 27001:2022全文，對比ISO/IEC 27001:2013主要有下列較顯著差異：

1.標準名稱由ISO/IEC 27001:2013之Information technology - Security techniques - Information security management systems - Requirements調整為Information security, cybersecurity and privacy protection - Information security management systems - Requirements，除了既有的資訊安全，更強調了網路安全及隱私保護等近期備受注目的安全或合規議題。

2.新增6.3 Planning of changes次條款，強調組織應有計畫性地回應資訊安全管理制度之變更需求。

3.調整了12項次條款內容，其中對資訊安全管理運作較有影響之6項次條款說明如下：

●4.1 Understanding the organization and its context

因應ISO 31000最新版為2018年版，調整實作參考為ISO 31000:2018。

●4.2 Understanding the needs and expectations of interested parties

明確要求組織應回應關注方之資安要求。

●6.2 Information security objectives and planning to achieve them

明確要求資訊安全目標應可被監控及可被取得。

●7.4 Communication

簡化了有關對外溝通方法之要求描述。

●8.1 Operational planning and control

明確要求應建立實施資訊安全管理制度之各項準則與控制要求，以期達成所規劃之預期成果。另將委外程序(outsourced processes)調整為由外部單位提供之程序、產品、或服務(externally provided processes, products or services)，某種程度消除了對「委外」定義之歧見所導致之管控差異(如金融業得委外事項之認定)。

●9.3 Management review

明確要求管理審查議題應包括關注方需求與期待之變化情形。

4.以做為資訊安全管理實作指引的ISO/IEC 27002:2022(2022/2月公告發行)為依據，更新了附錄A(Annex A)資訊安全控制參考(Information security controls reference)，控制要求數目自ISO/IEC 27002:2013的114項調整為ISO/IEC 27002:2022的93項，其中包括了11項新增之控制要求。

張晉瑞提醒，目前已取得ISO/IEC 27001:2013認證之組織，其持有之ISO/IEC 27001:2013認證將會有約3年之緩衝有效期，此期間做為組織之轉版準備期，可進行差異分析、調整現行資訊安全管理制度，以及因應新的風險態勢自ISO/IEC 27001:2022附錄A選擇並落實適當之控制措施，力求於緩衝有效期內通過轉版驗證；尚未取得ISO/IEC 27001認證且有意取證之組織，雖然於2024年初之前可能仍被允許辦理ISO/IEC 27001:2013驗證作業，但考量通過驗證後會因緩衝期限將至而必須隨即安排轉版驗證，故直接取得ISO/IEC 27001:2022認證實屬上策。