國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
33
2.4. 新版 ISO 27001:2013 國際標準
ISO/IEC 27001 即本研究主題之 ISO 27001,為資訊安全管理的標準,源自於英國國 際標準 BS 7799 Part-2:2002,英國標準協會於 2005 年公布新版之 BS 7799 Part-2:2005,
國際標準組織於 2005 年 10 月 14 日將 BS 7799 Part-2:2005 編納為 ISO 27001,是目前國 際公認最完整的資訊安全管理標準,其規範安全內容涵蓋:建立、實施、操作、監督、
審查、維持與改善資訊安全管理系統(Information Security Management System,ISMS)。
國際標準組織於 2013 年 10 月 1 日 ISO 年會中,正式推出新改版的資安認證標準 ISO 27001:2013,這也是 ISO 27001 自從 2005 年正式成為國際標準之後的首次改版。
2005 年版本和 2013 年版本的主要差異,除了內容更加明確律定外,附錄 A 的控制 措施更符合實務工作進行,最主要是執行 ISMS 的有效性,特別將管理階層的領導力凸 顯出來,並強調設定目標、績效量測與展現。
27001:2013 新版本為了更符合資訊安全的現況及需求,由原先 ISO 27001:2005 的 A.5 至 A.15(11 個領域,39 項目標及 133 項控制措施)變成 A.5 至 A.18(14 個領域,
35 項目標,114 項控制措施)控制目標減少了 4 項,控制措施由原本的 133 個變成 114 個。領域變多了,控制目標及控制措施都減少了。且 2013 年版本新增了兩個領域分別 是 A.10 密碼(Cryptography)領域與 A.15 供應商關係(Supplier Relationships)領域,並將原 本 A.10 通訊與作業管理(Communications and operations management)領域分成 A.12 作 業安全(Operations Security)與 A.13 通訊安全(Communications Security)兩個領域[16]。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
34
表 2-3:ISO 27001:2005 與 ISO 27001:2013 比較表
資料來源:[17]
ISO 27001 標準條文如表 2-4,分為簡介、適用範圍、引用標準、用語及定義、組織 全景、領導作為、規劃、支援、運作、績效評估、改善等 10 節以及附錄 A.5~A.18 控制 目標及控制措施,控制措施架構如圖 2-4 所示。
‧
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
36
編號 條文大網
10.1 不 符 合 項 目 及 矯 正 措 施 10.2 持 續 改 善
附 錄 A A . 5 資 訊 安 全 政 策 ~ ~ A . 1 8 遵 循 性 資料來源:ISO 27001:2013 Standard
圖 2-4:ISO 27001:2013 控制領域 資料來源:本研究自行整理
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
37
本研究為使讀者更能了解ISO 27001:2013,以圖 2-5 架構來明確指出各條文要求在 整個 ISMS 實際運作上 PDCA 所展現的流程位置,在一開始導入 ISMS 時,在第 4 條組 織全景部分,組織應了解相關利益團體或個人需求與期望,及決定 ISMS 範圍。外圈為 管理階層所要進行之工作項目,內圈為執行編組所要進行之工作項目,均運用 PDCA 循 環運作模式;領導階層運用第 5 條領導作為,下定決心進行 ISMS 實施,執行部門進行 第 6 條 ISMS 規劃及風險管控之行動,並依規劃進行第 8 條運作,在這之前管理階層需 進行第 7 條進行賦予適當權力與支援,透過第 9 條進行組織績效評估,了解組織各項績 效與內部缺失與風險所在,最後進行第 10 條各項改善工作,ISMS 進行當中可利用附錄 A 控制目標及控制措施明確了解工作項目並進行控制風險作業。
圖 2-5:ISO 27001:2013 架構 資料來源:本研究自行整理
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
38