ISO國際標準

onal Organization for Standardization，簡稱 ISO)為一世界 性組

際 cessing Standards

際網路之盛行帶來數位社會的商機與風險，而資訊安全已成為數位社會能否進一步 發展的關鍵。所謂標準就是基於公平、公正、便利等觀點做好統一規格與單純化時之必 要條件；而通稱的規格就是這些標準中直接或間接的有關產品或服務品質之技術上的規 範事項。國際上標準化的主要目的在於創造物品交換、技術轉移的貿易環境；例如產品 品質及信賴性與價格相符，保障使用者的安全並促進資源的再利用，物品、技術與服務 的互運性以及彼此之間的接續性，單純化以減少塑模數。期能擴大生產規模以降低成本，

並強化維修保養的便利性與配銷的效率性。資訊安全標準的制定早已在世界各國及若干 國際組織行之有年，而我國中央標準檢驗局亦持續進行資訊安全相關國家標準之修訂工 作，並且將資訊安全標準之修訂工作列為標準檢驗局重點工作

國際標準組織(Internati

織，其成員是由來自世界約 130 個國家級標準組織代表所組成（均為聯合國成員 國），其下設有 2850 個技術委員會（Technical Committee，簡稱 TC）、分組委員會

（Subcommittee，簡稱 SC）及工作小組（Working Group，簡稱 WG）負責各項國 標準之制定工作，如表 2.3 所示為 ISO 組織中與資料安全有關之 TC【5】。

1977 年 1 月 5 日，美國頒布聯邦資訊處理標準(Federal Information Pro

，簡稱 FIPS)出版品(Publication)第 46 號之資料加密標準(Data Encryption

Standard，簡稱 DES)起，雖著金融交易的需求，至 1987 年 6 月 1 日 ISO 第 68 技術委 員會(Technical Committee，簡稱 TC68)根基於 DES，頒布了 ISO 8731，成為第 1 分 ISO 之資訊安全的國際系列標準【6~7】。

為制定密碼技術之標準，負責訂頒資訊處理(Information processing)標準之 ISO TC 97 於

2. ments in commerce，industry and

3. gy 分組委員會，設有：

ts MG）

ut contacts

3.2. 設有：

es

1981 年 1 月召開第 1 次之第 1 工作會(Working Part 1，簡稱 WP1)，自 1983 年起，

TC 97 WP 1 將此項工作轉交由德國標準機構支援的「資料密碼學技術(Data cryptographic techniques)」的 20 分組(Subcommittee，簡稱 SC20)，SC20 下 鑰演算法與應用(Secret key algorithms and applications)之第 1 工作小組(Working Group，簡稱 WG 1)、公開金鑰密碼系統與模的使用(Public key crypto-systems an modes of use)之 WG 2 與在通訊架構中使用加密技術(Use of decipherment techniqu in communication architectures)的 WG 3，正式展開資訊安全國際標準的制定工作。

1989 年，由 ISO 與國際電工委員會(International Electro technical Commission，

IEC)，在根基於共同與一般之安全測量標準已取代僅根基於密碼學應用之特定範圍 標準的制定工作，成立如圖 2.3 所示之 ISO/IEC 第 1 聯合技術委員會(Joint Technical Committee，簡稱 JTC 1)的資訊技術(Information Technology，簡稱 IT)安全技術(Securi Techniques，簡稱 ST)之第 27 分組委員會(Sub-Committee，簡稱 SC27)。ISO/IEC JTC1/SC 27 下轄 3 個工作組(Working Group，簡稱 WG)分別就資訊安全之「需求、

全服務與指導綱要」、「安全技術與機制」及「安全評估準則」遵循如表 2.4 之流程制定 國際標準，如表 2.5 是 ISO/IEC JTC1/SC27 WG1 已頒布和正制定中之國際標準。：

urities and other financial services 技術委員會

1.1. SC 2 Security management and general banking operation 分組委員會 1.2. SC 4 Securities and related financial instruments 分組委員會

1.3. SC 6 Retail financial services 分組委員會 1.4. WG 3 Bank-telecommunication messages 1.5. WG 4 Security coordination 分組委員會 TC 154 Processes，data elements and docu administration 分組委員會

JTC 1 information technolo

3.1. SC 17 Identification cards and related devices 分組委員會，其下設有：

WG 1 Physical characteristics and test methods for ID-cards WG 3 Identification cards－Machine readable travel documen WG 4 Integrated circuit card with contacts

WG 5 Registration Management Group（R WG 7 Financial transaction cards

WG 8 Integrated circuit cards witho

WG 9 Optical memory cards and devices SC 27 IT Security techniques 分組委員會，其下

WG 1 Requirements、security services and guidelin WG 2 Security techniques and mechanisms

WG 3 Security evaluation criteria

ISO/IEC JTC 1/SC 27 Information

technology-Security techniques

Working Group 1 Requirements, Security services,

Guidelines

Working Group 2 Security techniques

and mechanisms

Working Group 3 Security evaluation

criteria

Security Management

Cryptographic 、 Non-cryptographic and Information Security

Management System

Security Assurance

▲圖 2.3：ISO/IEC JTC1/SC 27 組織架構

▼表 2.4：國際標準制定流程

1. 研究階段(Study Period)：就一標準之需求非正式的交由委員會加以研究，將其結 果就此需求刪除或提交新工作項目建議書(New work item Proposal，簡稱 NP)進行 票決。

2. 新工作項目建議書(NP)階段：完成提交 JTC1 秘書處之建議書。

3. 工作草案(Working Draft，簡稱 WD)階段：分項委員會(SC)或工作小組(WG)內部文 件集。

4. 委員會草案(Committee Draft，簡稱 CD)或技術報告草案建議(Proposed Draft Technical Report，簡稱 PDTR)階段：當 WD 考量其穩健性已足夠充分後，由分項 委員會向 ISO/IEC 之資訊技術工作組(Information Technology Task Force，簡稱 ITTF)登錄成為 CD，由 SC 國家會員代表在 3 個月內投票並提出評論，相關文件由 JTC1 派送。

5. 國際標準草案(Draft International Standard，簡稱 DIS)或技術報告草案(Draft Technical Report，簡稱 DTR)階段：當 CD 或 PDTR 已充分討論，無技術面被期待 之修改，SC 向 ITTF 提出票決成為 DIS 或 DTR，由 JTC1 國家會員代表 4 個月內 投票並提出評論。

6. 國際標準(International Standard，簡稱 IS)或技術報告(Technical Report，簡稱 TR) 階段：遵循 IS 或 TR 出版之程式，就各個國家會員代表發現技術錯誤的瑕疵報告 (Defect Report)，SC 決定此 IS 或 DTR 修正、取銷或頒布 IS 或 TR。

7. 審核(Review)階段：每分 IS 或 TR 在 5 年內應重新審核，由 SC 負責提出 IS 或 TR 宜修正、作廢或維持之確認報告後，由 JTC1 決定。

▼表 2.5：ISO/IEC JTC1/SC27 WG1 已完成與進行中計畫 1. SC27 目前有 31 個有投票權的成員，11 個無投票權的觀察員。

2. SC 27 WG1 已完成與進行中之計畫：

2.1. ISO/IEC 9979 (1999-04-01)：Information technology - Security techniques - Procedures for the registration of cryptographic algorithms。

2.2. ISO/IEC 11770-1 (1996-12-15)：Information technology - Security techniques

- Key management - Part 1: Framework。

2.3. ISO/IEC 13335-1 (2004-11-15)：Information technology - Security techniques - Management of information and communications technology security (MICTS) - Part 1: Concepts and models for information and communications technology security management。

2.4. ISO/IEC 4^th WD 13335-2 (2004-10-23)：Information technology - Security techniques - Management of information and communications technology security (MICTS) - Part 2: Techniques for information and communications technology security risk management。

2.5. ISO/IEC TR 13335-3 (1998-06-15)：Information technology - Security techniques - Guidelines for the management of IT security (GMITS) - Part 3:

Techniques for the management of IT security。

2.6. ISO/IEC TR 13335-4 (2000-03-01)：Information technology - Security techniques - Guidelines for the management of IT security (GMITS) - Part 4:

Selection of safeguards。

2.7. ISO/IEC TR 13335-5 (2001-11-01)：Information technology - Security techniques - Guidelines for the management of IT security (GMITS) - Part 5:

Management guidance on network security。

2.8. ISO/IEC TR 14516 ( 2002-06-15)：Information technology - Security

techniques - Guidelines on the use and management of Trusted Third Party services。

2.9. ISO/IEC 15816 (20020201)：Information technology Security techniques -Security information objects for access control。

2.10. ISO/IEC 15945 (2002-02-01)：Information technology - Security techniques - Specification of TTP services to support the application of digital signatures。

2.11. ISO/IEC TR 15947 (2002-10-15)：Information technology - Security techniques - IT intrusion detection framework。

2.12. ISO/IEC 2^nd FDIS 17799 (2005-02-11)：Information technology - Security techniques - Code of practice for information security management。

2.13. ISO/IEC 1^st CD 18028-1 (2004-12-01)：Information technology - Security techniques - IT network security - Part 1: Network security management。

2.14. ISO/IEC 2^nd FCD 18028-2 (2004)：Information technology - Security techniques - IT network security - Part 2: Network security architecture。

2.15. ISO/IEC 2^nd FCD 18028-3 (2004)：Information technology - Security techniques - IT network security - Part 3: Securing communications between networks using security gateways。

2.16. ISO/IEC 180284 (2005)：Information technology Security techniques -IT network security - Part 4: Remote access。

2.17. ISO/IEC 1^st CD 18028-5 (2004-12-03)：Information technology - Security techniques - IT network security - Part 5: Securing communications across networks using Virtual Private Networks。

2.18. ISO/IEC 2^nd CD 18043 (2004-12-10)：Information technology - Security techniques - Guidelines for the implementation, operation and

management of Intrusion Detection Systems (IDS)。

2.19. ISO/IEC TR 18044 (2004-10-15)：Information technology - Security

2.20. ISO/IEC 1^st WD 24742 (2005-01-10)：Information technology - Security techniques - Information security management metrics and

measurements。

2.21. ISO/IEC FCD 24743 (2004-12-04)：Information technology - Security techniques - Information security management systems requirements specification。I