從根本認識 ISO 27001,各行各業都適用的資安架構介紹
ISO/IEC 27001 這個最熱門的資安認證,其中到底包含了什麼內容?通過認證需要準備什麼?快來跟著 UPAS 一步一步來認識它吧!
在資安事件頻傳的近幾年,企業開始重視資安系統的建置,ISO 27001 也因此逐漸成為主流的資訊安全架構。於 2019 全世界共有 36362 家企業與政府組織通過 ISO 27001 認證,為何這個認證如此重要,請接著看下去!
本文大綱
資訊安全的三大 CIA 要素
資訊為企業中重要的資產,左右企業的營運策略。沒有妥善的保護資訊,一旦發資訊安全事件,將會對企業造成不良影響。資訊安全是為了防範資訊遭受到不正當的侵害,以確保營運的持續性。
資訊安全為保護資訊的下列三項" CIA "特性:
- 機密性( Confidentiality ):確保資訊只有經過授權的人員、程序才可以取用。
- 完整性( Integrity ):確保資訊的準確度與完全性。
- 可用性( Availability ):確保資訊在需要時可以被存取。
ISO 27001 的基礎架構:PDCA
想要認識 ISO 27001 首先要了解" PDCA "。
資安事件的發生往往會對企業造成商譽受損以及法律的處罰。而要達到 100% 的資安防護則因為人為的疏失、資安攻擊的進步,成為一種不切實際的期望。因此資訊安全管理系統( ISMS 系統)的目標是透過 PDCA:
計畫( Plan ):建立管理資安風險的目標及改進資安系統的相關政策、控制措施
執行( Do ):實際運行計畫的政策、控制措施
查核( Check ):依據執行的成果檢查與預計目標的差異
行動( Act ):提出修正方案縮減成果與目標的差異,使下次計畫更加完善
等 4 階段的循環,透過不斷的審視與改進資安系統,將資訊安全風險降至可接受的範圍,保護資訊的機密性、完整性與可用性。ISO 27001 就是採用 PDCA 流程建構 ISMS 系統的準則。
ISO 27001 協助建立資安管理週期與風險管控
ISO 27001:2013 是一套國際通用的資訊安全管理工具和制度。以呼應全球對於資訊安全風險之因應措施,以及控制並降低資訊安全事件所帶來的威脅和衝擊。
ISO 27001 於 2005 年推出,因為技術的蓬勃發展、設備型態的更迭,2013 年 ISO 27001 進行了再版,改版後的 ISO 27001 刪減了不合時宜的內容,將 ISO 27001:2013 分為兩個部分,主條款強調應決定可接受的資安風險並以此建立完整的管理週期。附錄 A 則是提供 133 項控制措施,對管理面、制度面與技術面三者進行詳細的風險控制規範。
ISO 27001 給予明確的 PDCA 流程,並透過對管理面、制度面與技術面的規範,協助企業建立良好的 ISMS 系統。並且適用於各類型的產業,包含金融機構、醫療機構、政府組織、高科技產業等,都能建立資訊安全管理系統。也因此 ISO 27001:2013 成為世界上最廣泛運用的資安系統準則。
為什麼要通過 ISO 27001 認證?
ISO 27001 已是世界主流的資安系統標準,能夠有效保護企業的資訊安全,確保 ISMS 系統有計畫地持續發展。通過 ISO 27001 認證能夠帶來以下好處:
- 增加信任感:通過 ISO 27001 認證,代表企業內部已建立一套有效的資安管理體系,能夠承受一定程度的資安風險,增加商業往來的可信度以及顧客對企業的信任感。
- 通過法律規範:世界各國對於資訊安全越來越重視,因此資安相關法令也逐漸增加,其中不乏要求相關機構需通過 ISO 27001 認證以符合法規。如台灣的《資通安全管理法》中就規範 A、B、C 級機構需於期限內通過 ISO 27001 認證。
- 提升資安系統的安全:透過 ISO 27001 的 PDCA 流程,使企業需不斷地對資安系統進行檢視,能夠及時發現資安系統的缺陷與不足,並做出修補,讓企業的資安系統的安全性獲得提升。
通過 ISO 27001 認證需要準備什麼?
第一步:現況調查
全面審視公司內部的資訊安全管理現況,分析與 ISO 27001 標準條文的差距。並進行人員培訓使相關員工了解 ISO 27001 的規範。
第二步:風險評估
透過前一步獲得的資安概況,評估公司的資安系統風險,並選擇合適的方法、產品補足資安弱點,使系統達到能承受的風險。
第三步:管理規劃
根據已制定的資安政策,進行文件的編寫、全體員工的資安意識培訓,並實行 ISO 27001 附錄 A 中的控制措施。
第四步:驗證
當 ISMS 系統建立起來後,經過一段時間的試運行以確認其有效性與穩定性,即可準備向認證機關提請認證。
UPAS 與 ISO 27001
ISO 27001 附錄 A 控制項中,總共有 41 項控制項規範內網安全,涵蓋的章節為
A.6 資訊安全的組織:成立資訊安全組織,並定義其組織架構、運作流程與責任歸屬
A.8 資產管理:依照資訊資產之運作流程與資產價值,將資訊資產作分類,並規劃各不同等級資產所需之保護措施
A.9 存取控制:使用者權限之設定應依使用者工作職權而給予,以降低未經授權存取系統資源之風險
A.10 密碼:確保密碼的適當與有效使用,以保護資訊的機密性、鑑別性與/或完整性
A.12 作業安全:確保資訊設備的作業處理之安全性
A.13 通訊安全:確保通訊作業處理之安全性
A.14 資訊系統獲取、開發及維護:規劃組織內系統開發與維護過程,將資訊安全控管列入流程範圍
A.15 供應商關係:確保供應商可存取之組織資產的保護 ,維持議定等級之資訊安全及服務交付,並能與供應商協議一致
UPAS NOC符合其中24項內網安全控制項,在A.9存取控制的部分達到近九成的合規比率,在A.8資產管理章節更是擁有100%合規率,協助企業在導入ISO 27001時減少所需耗費的資源。且UPAS系統導入快速、可無須安裝任何Agent,大幅度降低導入所需耗費的人力與資源,能夠以最快的速度提供全面的內網安全管理系統。
NAC 於 A.6、A.8、A.9、A.13 提供網路准入技術,協助企業收集設備的詳細資訊、建立相關報表,保護企業內部網路安全。
IAM 的多種身分驗證機制,符合 A.6、A.9、A.13、A.15 中多項使用者與網路存取要求,加強內網使用者的身分認證功能。
IPAM 的 IP 管理功能,於 A.6、A.8、A.9、A.13 中提供管理人員詳細的網路設備資訊,使管理更加容易。
ITAM 提供軟硬體管理與 OS 管理,解決 ISO 27001 於 A.9、A.12 中對系統與城市管理的要求。
詳細資訊請參閱:UPAS NOC 7.0 ISO27001 符規對照表
