ISO/IEC 27001:2022 資訊安全管理系統 要求於 2022 年 10 月 25 日公布新版條款,其中也回應了附錄 A ISO/IEC 27002:2022 資訊安全管理系統:指南、一般原則的變化。
本標準相較於前次 2013 版,最核心差異於 2022 版在資訊安全的基礎上導入了Cybersecurity and Privacy protection(網路安全和隱私保護)的概念,以呼應ISO/IEC TS 27110《資訊科技、網路安全和隱私權保護 — 網路安全架構開發指南》與 ISO/IEC 27701 隱私資料管理系統 等規範。
ISO/IEC 27001:2022 新版架構調整
本標準在條款上除了在編碼上進行小幅度的微調之外,整體的架構上也進行調和式結構的更動,使其可以呼應其他 ISO 標準。 這次 2022 年改版主要聚焦在新增的條文 6.3 變更的規劃:「當組織確定需要對資訊安全管理系統進行變更時, 應以計畫的方式進行變更。」因新增此條文也將本標準整體架構更貼近 ISO 9001 品質管理系統 。在組織使用相關系統時,如何進行一致化、標準化的管理來確保品質(產品、服務),以此觀點來思考 ISMS(資訊安全管理系統,Information Security Management System)的核心精神。
ISO/IEC 27002:2022 改版深入解讀
此次更動除了將原本 2013 版的 14 個控制領域整併為 4 大領域,將原 114 個控制措施整併、新增為 93 個控制措施之外。藉由控制領域的更動,可以使組織判斷此控制項是針對(組織、人員、實體、技術)哪一方面,並且在每項控制措施前也加入控制屬性,其主軸精神使組織利用標籤化系統來查找對應之控制措施。
控制屬性包含下列元素:
- 控制類型:預防、偵測、矯正
- 資安特性:機密性、完整性、可用性
- 網路安全框架:識別、保護、偵測、回應、復原
- 執行能力:治理、資產管理、資訊保護、實體安全、人員配置、人力資源安全、系統與網路安全、應用系統安全、安全配置、識別與存取管理、威脅及弱點管理、持續性、供應商關係安全、法規與遵循性、資訊安全保障
- 安全領域:治理生態系統、防護、防禦、韌性
在網路安全概念中的五大面向中,ISO/IEC 27002 參考 ISO/IEC TS 27110《資訊科技、網路安全和隱私權保護 — 網路安全架構開發指南》,並呼應到 NIST(美國國家標準與技術研究院,National Institute of Standards and Technology)所提出 CSF(網路安全框架,Cybersecurity Framework)之五大觀點。使組織在使用控制措施時更清楚此條款的定位。
新版資安標準企業該如何準備?
在新版的 ISO/IEC 27001 規範中,條款上面的變動不大,多屬於增強舊版精準度,及調和整體架構。若組織原本已導入 ISO/IEC 27001 在面對新版規範,應重新檢視組織治理政策,與相關程序書,並更新適用性說明。重要需留意證照的轉版期限,轉版期限計算是從 ISO/IEC 27001:2022 正式發布後起算 3 年,故最晚組織應於 2025 年 10 月 24 日完成轉版。
因應 ISO/IEC 27001 的改版,以此標準為基礎擴展的 ISO/IEC 27701 現階段也正研討開發中,且 ISO 基本上每五年為周期會對標準進行審查,以確保與市場環境的相關性。建議組織在未來期間也可以對 ISO/IEC 27701 隱私資料管理系統 多加關注。