全站文章 iT邦幫忙
iThome Online提供免費電子報,現在就訂,最新IT訊息每日寄達。

iThome 每日新聞報
iThome 產品技術報
加入iThome Online會員,立即使用討論區、Blog等服務。

免費加入會員
登入 / 登出
管理會員帳號
忘記帳號密碼
聯絡客服
訂閱周刊
讀者服務
13' E政府專刊no.7(48)
13' iTcloud No.3(47)
12' E政府專刊no.6(46)
12' 個資法專刊No2(45)
12' iTcloud No.2(44)
12' e政府專刊No.5(43)
12' 個資法專刊(42)
11' CIO專刊(41)
11' e教育專刊No.3 (40)
11' e政府專刊No.4 (39)
11'iTcloud專刊(38)
10' e教育專刊No.2 (37)
10'e政府專刊No.3 (36)
09'e政府專刊No.2 (35)
09'e教育專刊(34)
09'e政府專刊(33)
08'企業資安專刊-端點安全防護(32)
08'企業採購情報誌(31)
07'資訊安全技術應用專刊(30)
07' 新世代資料中心專刊(29)
07'企業資安技術應用專刊(28)
企業採購情報誌'06冬季號(27)
新版ISO 27001:2013正式出爐,企業2015年適用新標準
文/黃彥棻 (記者) 2013-11-21
分享到facebook
因應未來國際標準管理系統一致性的趨勢,ISO 27001:2013推出一套新的標準化附件架構——ISO Annex SL,清楚定義架構,盡量做到所有管理系統作法趨於一致,降低組織標準整合的難度

國際標準組織於今年10月1日ISO年會中,正式推出新改版的資安認證標準ISO 27001:2013,這也是ISO 27001自從2005年正式成為國際標準之後的首次改版。

ISO 27001雖然是一張資安認證,但對於某些產業的營運發展而言,其實具有正面效益,例如,臺灣有許多金融業想要成立海外分行時,若銀行已經先取得一張ISO 27001的資安認證,相對容易取得當地國政府的信任,更容易核可成立當地分行。永豐銀行法令遵循處副總經理簡榮宗表示,臺灣有許多金控銀行都已經取得ISO 27001:2005的資安認證,對其他金融業者而言,ISO 27001:2005甚至是一個同業資安水準的參考指標。

但根據ISO國際組織截至2012年的統計資料,臺灣目前取得ISO 27001:2005的企業和組織數量高達855個,名列全球第6名。從這樣的數據也證明,ISO 27001一旦轉版,將影響臺灣許多已經取得ISO 27001的企業與政府部門。

臺灣BSI驗證部協理謝君豪表示,此次推出的新版ISO 27001:2013,除了在技術規範上跟上現在的IT技術潮流外,例如智慧型手機的控管外,也提供一個更高的標準架構,供企業重新界定新版標準和其他類似標準的整合。他說,預計企業最遲將在2015年全數適用ISO 27001:2013的新版標準。

因應未來標準管理制度趨於一致性的趨勢,國際組織也推出很多跨標準的共通參考的驗證準則,謝君豪指出,企業風險可以參考ISO 31000,ICT的營運持續可參考ISO 27031,資訊治理參考ISO 38500外,因應個資法的數位鑑識可以參考ISO 27037,軟體測試則可以參考ISO 29114等國際標準。

控制領域和控制措施條文減少,但內容更深
每當一個新版標準推出後,謝君豪表示,國際認可機構會依據新版標準與舊版內容差異的多寡,給予企業18∼24個月的緩衝期,讓企業有時間從舊版轉換到新版。

他說,雖然目前認可機構尚未寫出轉版聲明,一般而言,新版標準推出半年後,企業可以評估是否要以轉版方式,擴大企業原有的認證範圍,進而取得新版的ISO 27001:2013認證。但是,企業如果在2年內沒有透過轉版取得ISO 27001:2013的認證,之後企業要重新取得認證時,就得全數適用新版ISO 27001:2013規範。

臺灣BSI驗證部協理謝君豪表示,希望透過重新評估資安認證範圍,可以做到「局部驗證、全面導入」,提升資安認證的成效。
謝君豪指出,在舊版ISO 27001:2005有許多的內容規範重複性較高,等到2013新版推出時,已納入2005年版本的使用者意見,並考慮過去8年科技環境的改變而有所調整。

像是,整個控制措施從133個減少為113個,重新改寫控制措施的聲明並整併重複的條文,但是,控制措施的領域卻從原本11個增加為14個。首先,新增的是許多加密與安全基礎的「密碼學」(Cryptography),再者,隨著企業委外與合作關係的密切,「供應商關係管理」(Supplier Relationships)也成為企業資安重要的環節,在新版中,密碼學和供應商管理則成為單獨的領域。

其他新增的部份則是,舊版中的「溝通與執行」(Communications & Operations)領域,因應新科技的發展,拆成「操作安全」(Operations security)和「通訊安全」(Communications security),並正式納入行動裝置的控管。現在則將軟體開發和維護獨立出來,成為操作安全的一部分。


1 / 2 下一頁

分享到facebook

2014資安趨勢研討會
更多研討會
▼ ADVERTISEMENT ▼
▲ ADVERTISEMENT ▲

電週文化事業版權所有、轉載必究 •Copyright © iThome | 刊登廣告授權服務服務信箱隱私權聲明與會員使用條款關於iThome