2007年11月17日 星期六

資安管理標準一統為ISO 27000系列

資安管理標準一統為ISO 27000系列
文/黃彥棻 (記者) 2007-11-16

資安認證標準ISO 27001作業規範今年7月從ISO 17799更名為ISO 27002,讓資安管理認證的ISO 27001,以及其作業準則的ISO 17799,能共同使用ISO 27000同一系列的編號。


ISO 27000系列相關內涵

標準名稱 相關內涵
ISO 27001 ISMS資安管理系統認證標準
ISO 27002 ISMS作業規範,原名ISO 17799
ISO 27003 ISMS導入指南(未定)
ISO 27004 資安管理評測標準(未定)
ISO 27005 偏重風險管理(未定)
ISO 27006 國際認可組織對驗證機關的規範
ISO 27007 針對ISMS稽核的參考指南(未定)
ISO 27799 針對醫療行業資安認證導入指南
資料來源:臺灣BSI,iThome整理,2007年11月
資訊安全管理認證,到底是ISO 27001、BS 7799還是ISO 17799?許多人可能都會有這個疑問。

其實BS 7799是英國的資安管理標準,變成國際化的資安管理標準就成了ISO 27001。之所以會有這樣的混亂,主要原因在於ISO組織在2000年,先把BS 7799的作業規範變成國際標準ISO 17799;而BS 7799資安管理標準到了2005年,才變成國際標準ISO 27001。因為變成國際標準的時間有先後差異,也導致規範資安管理標準ISO 27001,與作業規範ISO 17799看起來是風馬牛不相及的兩回事。

這個稍為混亂的局面迄今已經有了改善,國際標準組織已經決定把資訊安全管理標準統整為ISO 27000系列,並在2007年7月,從善如流地將ISO 27001作業規範ISO 17799,正式更名為ISO 27002。讓資安管理認證的ISO 27001,以及其作業準則的ISO 17799,能共同使用ISO 27000同一系列的編號。

整個ISO 27000系列還有很大的發展空間。臺灣BSI訓練部協理蒲樹盛表示,ISO 27003、27004、27005和27007則已經先訂好編號和相關的內容,等到內容發展完成就會是一個國際標準的推出。至於ISO 27006這個標準主要是針對驗證機關的稽核與發證的要求標準。蒲樹盛表示,這主要是將原本對認證機構的稽核發證標準ISO 17021,重新歸納到新的資安管理認證ISO 27000系列。

整個ISO 27000系列中,也會針對資安管理適用的行業別做規範,例如ISO 27799就是針對醫療行業的資安認證導入做一套規範指南。蒲樹盛說,目前預計相關行業資安導入參考指南的國際標準編號,甚至已經規範到ISO 27058。文⊙黃彥棻

認識ISO 27001主導稽核員

不論公司規模大小,只要預計要導入ISMS或者是要取得ISO 27001資安認證,通常都會派員上課並取得ISO 27001主導稽核員(Lead Auditor,簡稱LA)的認證。這些主導稽核員主要任務,仍以協助公司或組織建置資安制度為主。

臺灣BSI訓練部協理蒲樹盛表示,臺灣沒有一個機構可以統計全臺灣取得主導稽核員證照的人數,但若以BSI的開班數、企業和學校的包班數量,以及其他臺灣開辦LA訓練課程的開班數量和上課人數,取得主導稽核員證照的人數估計不超過2,500人。

主導稽核員多數是因應公司導入ISMS需求,前來了解是否可以導入或打退堂鼓之用。蒲樹盛指出,這些主導稽核員雖然證照掛著稽核的名稱,但絕大多數回公司 後,都是協助企業或組織進行ISMS制度的建置和導入。至於後續每年定期內稽,「企業或組織通常由公司內原本的稽核人員執行,避免球員兼裁判之嫌。」蒲樹 盛說。

這些主導稽核員除了協助企業建置ISMS制度外,蒲樹盛表示,也因為具有稽核的專業知識,有一些LA開始代表企業或組織稽核其供應商相關的資安制度或規範。文⊙黃彥棻