ISO 27001：2022 轉版重點及技術措施解析

2023/10/30

根據世界經濟論壇（WEF）發佈的 2023 全球風險報告，資安相關課題持續名列前五名；在台灣，從資通安全管理法規範政府機關和國營企業，到主管機關要求金融機構與上市上櫃公司提升資安，顯見資安與合規已是不分產業的共同課題。

值此同時，國際標準組織（ISO）於 2022 年公告第三版 ISO/IEC 27001：2022 資訊安全管理系統，2024 年 5 月 1 日後不再進行 2013 版的驗證及審核，也就是新申請的驗證或已持有證書要進行重新審查，皆必須以 2022 版進行驗證；此外，已取得舊版驗證的組織必須在 2025 年 10 月 31 日前完成轉版，否則證書將會失效。換言之，轉版期限已迫在眉睫。

網宇安全與隱私保護為新增重點

BSI 英國標準協會台灣分公司 ISO/IEC 27001 資訊安全產品經理劉卜瑞表示，ISO 27001：2013 專注在資訊技術，ISO 27001：2022 最重要的變化則是加入網宇安全（Cyber Security）與隱私保護，並新增相關條款。

首先在資訊保護，包括資訊刪除、遮蔽及洩露的預防，第一步是找出必須保護的機敏資料，進而了解有哪些系統、設備或開發及測試環境在使用這些資料，才能因應新條款對機敏資料存在的管道進行強力控管措施。

其次，在威脅和脆弱性管理，則新增了威脅情資的收集和分析。劉卜瑞經理說：「威脅情資的重要性，在於它影響了整個管理系統，也帶出新版希望組織能落實主動預防的精神。」威脅情資的變化影響許多條款的執行，例如：組態管理、資料洩漏預防、監視活動、安全程式設計。情資的收集是為了知道威脅來源及使用的攻擊工具，分析的目的則是做好防禦措施。至於委外管理，除了在第 8 章將文字由「委外服務」修改為「外部提供」，將所有外部提供的過程、產品及服務都納入管理，以因應外部提供的服務，例如：IDC 機房或公有雲只有制式合約，不同於委外廠商的客製化合約。附錄 A 此次也新增了使用雲端服務之資訊安全的控制措施，規範了雲的獲取、使用管理及退出，包括使用前要確認雲平台提供的服務是否符合組織本身的資安要求，退出時是否確實刪除資料並提供佐證。

高難度的技術控制重點大解析

KPMG 安侯企業管理公司執行副總經理林大馗指出，由於證交所對上市上櫃公司的資安要求主要是參考資通安全管理法及 ISO 27001 進行規劃，導入ISO 27001 並通過驗證對上市上櫃公司很有助益，不僅可以實質提升資安，對企業治理的評比也有加分效果。

企業想要因應 ISO 27001 的轉版，落實相關措施，但一定都需要採購解決方案嗎？在資源有限的前提下也可以選擇不做，但要考量未落實的影響與衝擊。

從今年年初運輸業者的一連串資安事件發現，資訊安全比我們想像的還要細節，魔鬼藏在細節裡。可能是一個組態錯誤導致安全組態配置錯誤、為何雲端安全要被關注、為什麼 access control 是重要的，都是從這些資安事件中可以發現貓膩。如果是上市櫃公司，導入 ISO 27001 對企業來說會有很大的幫助。

針對 ISO 27001：2022，他也點出執行難度較高的條款包括雲服務資訊安全、組態管理、威脅情資、DLP（Data Loss Protection）、安全程式碼撰寫。

針對雲服務資訊安全，難以從合約裡確認供應商的資安執行細節，建議可參考金融機構委託他人處理辦法，涵蓋了雲端服務的使用及供應商位在境外時應該如何處理。

組態管理亦是高難度條款，必須涵蓋軟體、硬體、網路、服務四大主題建立基線，由於各部門啟用功能的需求不同，無法只以工具處理。國內的 GCB（政府組態基準）或國外的 CIS（Center of the Internet Security）則可用於參考並建立所需的基線。

對於技術性控制措施而言，威脅情資極為重要，雖可透過外購來簡化收集過程，但光是一筆情資所牽動的釐清、盤查、因應或預防行動就很耗時耗力。可行作法是建立安全資訊和事件管理（Security Information and Event Management；SIEM）機制，但由於投資昂貴，委外是可以考慮的方向，SOC（Security Operation Center）的建置亦可朝委外發展，重點在於必須有足夠的記錄與資料來拼湊出安全事件的全貌。

與資料相關的 DLP（Data Loss Protection）和刪除作業亦是棘手課題。資料必然歷經的儲存、使用、刪除等三個階段，DLP 都必須扮演角色，部分資安閘道產品雖有 DLP 模組，但功能陽春，無法以關鍵字攔截加密過的資料，較可行的作法是投資 DLP 工具，或是採取虛擬桌面架構（VDI），將管控點限縮在伺服器。

攜手資安專業團隊，合作落實法遵及降低風險

果核數位軟體開發安全部副理蔡龍佑分享過往擔任稽核員與受稽方經驗。他強調，受稽人員提供客觀的執行佐證，供稽核員確認安全控制措施的實施情況，與目前標準是否一致，是確保組織安全的關鍵步驟。然而，由於組織文化以及受稽人員對稽核員的誤解，導致受稽人員不願與稽核員有過多的互動，這將使組織內的安全風險難以被發現。從近期的資安事件與新聞中不難發現，若希望組織免受相同的災害，可以透過實施 ISO 27001:2022 中對應的控制措施，由此可見落實資訊安全管理系統確實能夠幫助組織降低面臨的安全風險。

然而，實施控制措施的過程中，仍然存在許多細節需要注意。例如，在 ISO 27001:2022 附錄 A 的「8.28 安全程式設計」中，組織常常使用原始碼檢測工具作為「安全程式碼撰寫」的自動化檢核方法，但是，掃描人員是否有將程式碼完整進行檢測，以及開發人員對於誤判的判讀與解釋是否正確，都是在稽核過程中常被提出的問題。

同樣地，在 27001:2022 附錄 A 的「8.29 開發及驗收中之安全測試」中，組織通常會透過網站掃描或滲透測試來進行。然而，相關人員不願意提供測試帳號密碼，可能會導致網站弱點掃描或滲透測試的結果不夠完善。

總結來說，資訊安全不僅僅是技術問題，更是一種組織文化。我們需要改變對稽核的誤解，積極與稽核人員互動，並且在實施控制措施的過程中，注意到每一個細節。只有這樣，我們才能真正地降低組織面臨的安全風險。

報導來源: https://www.ithome.com.tw/pr/159495