資安管理標準一統為ISO 27000系列 | ||||||||||||||||||||||||
文/黃彥棻 (記者) 2007-11-16 | ||||||||||||||||||||||||
資安認證標準ISO 27001作業規範今年7月從ISO 17799更名為ISO 27002,讓資安管理認證的ISO 27001,以及其作業準則的ISO 17799,能共同使用ISO 27000同一系列的編號。 | ||||||||||||||||||||||||
其實BS 7799是英國的資安管理標準,變成國際化的資安管理標準就成了ISO 27001。之所以會有這樣的混亂,主要原因在於ISO組織在2000年,先把BS 7799的作業規範變成國際標準ISO 17799;而BS 7799資安管理標準到了2005年,才變成國際標準ISO 27001。因為變成國際標準的時間有先後差異,也導致規範資安管理標準ISO 27001,與作業規範ISO 17799看起來是風馬牛不相及的兩回事。 這個稍為混亂的局面迄今已經有了改善,國際標準組織已經決定把資訊安全管理標準統整為ISO 27000系列,並在2007年7月,從善如流地將ISO 27001作業規範ISO 17799,正式更名為ISO 27002。讓資安管理認證的ISO 27001,以及其作業準則的ISO 17799,能共同使用ISO 27000同一系列的編號。 整個ISO 27000系列還有很大的發展空間。臺灣BSI訓練部協理蒲樹盛表示,ISO 27003、27004、27005和27007則已經先訂好編號和相關的內容,等到內容發展完成就會是一個國際標準的推出。至於ISO 27006這個標準主要是針對驗證機關的稽核與發證的要求標準。蒲樹盛表示,這主要是將原本對認證機構的稽核發證標準ISO 17021,重新歸納到新的資安管理認證ISO 27000系列。 整個ISO 27000系列中,也會針對資安管理適用的行業別做規範,例如ISO 27799就是針對醫療行業的資安認證導入做一套規範指南。蒲樹盛說,目前預計相關行業資安導入參考指南的國際標準編號,甚至已經規範到ISO 27058。文⊙黃彥棻
|