ISO 27001資訊安全標準簡介

ISO 27001資訊安全標準簡介
24 5 月, 2017 No Comments Certification 管理員

ISMS資安工程主要包含七個實施階段:

專案準備與管理、營運影響評估與規劃資訊安全政策、風險評鑑、風險控制管理、ISMS制度建置、資訊安全稽核模擬演練、ISO2700標準認證。

ISO 27001國際標準的歷史

國際標準組織(International Organization for Standardization, ISO)於2005年10月15日公佈ISO 27001資訊安全標準(全名是ISO/IEC 27001:2005 – Information Security Management Systems Certification),是一種國際認可的資訊安全管理體系(Information Security Management Systems)驗證標準;ISO 27001資訊安全標準是從英國標準協會(British Standards Institution)提出之BS7799-2 標準(全名是BS7799 Information technology-Security techniques-Information security management systems-Requirements),延伸整合而成的國際資訊安全標準,其演進過程如下:

  • 1995年:英國公佈BS7799 Part I
  • 1998年:英國公佈BS7799 Part II
  • 1999年:英國公佈新版BS7799 Part I、Part II
  • 2000年:ISO通過成為ISO/IEC 17799 Part I
  • 2002年:BS7799:2-2002,成為資訊安全管理系統驗證規範
  • 2005年:ISO/IEC 17799:2005
  • 2005年:BS7799:2-2005,2005年10月15日成為國際標準ISO27001
  • 2006年:經濟部於6月轉訂為台灣國家標準CNS 27001

ISO 27000系列包含如下:

  • ISO 27001–ISMS驗證標準
  • SO 27002–ISMS指導綱要
  • ISO 27002–ISMS指導綱要
  • ISO 27003–實施ISMS之指引
  • ISO 27004–ISMS 量測與尺規指引
  • ISO 27005–ISMS 風險管理指引
  • ISO 27006–認證機構對ISMS驗證機構之認證
  • ISO 27007–ISMS稽核之指引。
  • ISO/IEC TR 27008–ISMS控制措施之稽核員指引。

ISO/IEC 27000系列是國際上最廣受認可的資訊安全管理規範,提供企業資訊安全管理的框架,其中ISO/IEC 27001是資訊安全管理系統的驗證標準,而ISO/IEC 27002則是企業在發展資訊安全管理系統(Information Security Management System,ISMS) 中所需之作業規範(Code of Practice),也是企業在導入資訊安全計畫中,一項廣為全球尊重和引用的標準,基於這個標準的實施計劃,讓組織可以在複雜的經營環境下滿足所需之資訊安全要求;此外,對這個標準的深入了解,也對個人在資訊科技與資訊安全上的發展有很大的助益。

ISO 27001與ISO 27002之關係

ISO 27001資訊安全管理系統之要求:

  • 對風險評鑑主要在於提供原則性的要求內容(what),可應用於組織內部、或為驗證、契約之目的;
  • 著重在ISMS能符合CIAL之有效性(CILA,C:機密性,I:完整性,A:可用性,L:適法性);
  • ISO 27001 資訊安全標準的規範要求,是一般性且可廣泛應用的,適用於任何型式的組織,並不限制組織規模大小和營業性質;

ISO 27002資訊安全管理之指引

  • 著重於實務性的指南內容(How to do),以為組織建立、維持其ISMS的指導綱要及管理原則,特別對企業發展過程中的安全標準與管理實務,較ISO 27001更為廣泛;
  • 可作為超越ISO 27001要求,追求績效的持續改進之一項指引;
  • 不可作為驗證或契約之目的;

由於ISO27005標準(Information Technology–Security Techniques –Information Security –Risk Management,資訊技術–安全技術–資訊安全–風險管理)整合了四個管理系統對風險評鑑的要求,因此以ISO27005:2008版的實作指引或要求來設計規範,可以同時滿足最大差異的需求。

因此,可以參考「國防部及其所屬A、B、C及D級單位」以及「空軍司令部及其所屬A、B及C級單位」,共61個單位的作法,均以導入ISO27005:2008版標準作為基本要求,在實施方案上,採用「一級輔導一級」按單位逐步拓展實施範圍的方式,分階段完成全組織導入與建ISO27005風險管理的工作。

對於安全等級要求比較高的企業,可以考慮效法國防部作法,按國際標準ISO27005:2008標準導入,以較高的技術提供指南作為主動支援,為組織的資訊安全風險管理提供實務上的執行指南(Guideline)。

通過驗證之效益

通過ISO 27001資訊安全標準驗證,對於組織(企業)而言,至少可以產生以下三點效益:

(一)確保企業核心競爭力,保護營業機密,防止資訊之濫用;

(二)保護客戶財產,對提供作為使用或組合成為產品之顧客財產(包括智慧財產),可予以識別、查證、保護及安全防護;

(三)確保企業生產力,防止資訊之誤用與意外災害,確保業務永續運作。

ISO 27001資訊安全標準驗證流程簡介

組織於確認驗證範圍、並建立及實施ISO 27001資訊安全管理制度三個月後,即可申請取得ISO 27001資訊安全標準認證,申請驗證必須要通過驗證單位(例如:BSI)的稽核驗證,由驗證單位向發證單位(例如:UKAS)提出建議發證申請,最後由發證單位決定發證,並頒發ISO 27001證書。

ISO 27001標準認證流程,可以分成三個程序:

(一) 申請驗證前應注意事項

第一個程序為驗證前的準備,組織開始向驗證單位申請驗證前需注意下面條件要準備完成:

  1. 系統文件完成且符合標準要求,並符合相關法規要求;
  2. 全員認知公司之政策、目標、承諾;
  3. 所有關鍵人員依訓練需求及計畫接受訓練;

管理系統程序執行中,且有完整之管理循環及三個月執行紀錄;

系統稽核與獨立審查

然後決定驗證範圍,並與驗證單位確認實際驗證工作人天數與價格,雙方簽約並安排時程進行驗證作業,一般為早期發現正式驗證可能會有的問題,並使正式驗證能順利進行,於正式驗證前會安排預評作業,就是模擬正式驗證的作業,在預評作業完成後,再進行下一階段。

(二) 文件審查作業

第二個程序為正式驗證作業之第一階段驗證(Initial Audit Step 1, IA1),即文件審查作業,主要驗證重點如下:

  1. 驗證範圍與適用性聲明是否適當;
  2. 確認管理系統的運作型態和文件化程度;
  3. 管理系統是否依風險評估結果所建立;
  4. 審查及驗證是否可信賴;

在此階段如果沒有「不符合事項」,則不需矯正措施確認或追蹤稽核。

(三) 實地審查作業

第三個程序為正式驗證作業之第二階段驗證(Initial Audit Step 2, IA2),即實地審查作業,主要驗證重點如下:

  1. 文件化的管理系統是否符合相關標準;
  2. 管理程序是否確實執行;
  3. 管理系統方面是否能達到持續改善及法規遵循。

在此階段如果沒有「不符合事項」,則不需矯正措施確認或追蹤稽核,驗證單位會建議發證,並頒發ISO 27001證書。

About The Author

Leave a reply