新版ISO 27001出爐 KPMG:標準不跟進 資安恐被搗蛋
隨著資訊科技快速發展,外部資安威脅態樣也日新月異,企業固守既有的防護措施已無法再保證組織營運的安全。國內企業普遍採行的ISO/IEC 27001國際資安管理制度,歷經了近十年推廣與應用,於今年10月下旬迎來大改版,對於苦於因應各類新型資安威脅的企業來說,將是一道曙光!
新版資安標準到底帶給台灣企業何種的正面影響?KPMG安侯企業管理股份有限公司董事總經理謝昀澤舉例,參考刑事警察局2022年第3季最新公布的資訊顯示,某擁有百萬會員的知名網購商城,經常有客戶個資外洩的情形,且不排除有內部員工將資料外洩的可能。針對這種所謂的內部攻擊(Insider Attack),新版資安標準已新增「資料外洩防護」與「監視網路、系統和應用程式的異常行為」等控制措施,主動辨認與監視是否有未經授權即揭露或傳輸敏感資訊的情況,企業如能參照落實,就能大幅降低資料外洩之風險。此外,謝昀澤提醒,根據KPMG日前發布的「2022年台灣企業資安曝險調查報告」顯示,企業如採用適當的國際標準且能確實遵循落實,資安防護能力成績即能有效提高,曝險程度也將相對下降。
謝昀澤認為,台灣高科技製造業(例如電腦與周邊、供應鏈核心產業等)之資安防護能力仍有很大進步空間,特別是俄烏戰爭後造成的國際供應鏈緊張情勢,各產業無不將提升企業核心業務韌性列為最高優先,以避免供應鏈停擺或服務中斷的資安事件。在國際局勢動盪、駭客蠢蠢欲動的時期,建議企業留意以下兩個重點並積極展開整備,以有效「防駭降險」!
應盡速評估導入最新資安管理制度並積極轉換取證
本次ISO/IEC 27001國際資安標準雖有三年的證照轉換過渡期,但企業面對的外部威脅是每天存在且與日俱增,沒有寬限期。企業不能僅以三年完成換證為目標,必須以更積極的方式評估導入最新制度並積極落實取證。
同步提升資安管理制度與技術管控方案
本次ISO/IEC 27001國際資安標準新增的11項控制措施中,包括了資料外洩防護、監視網路/系統和應用程式的異常行為、網站過濾等技術性管控作法與程式碼安全開發、組態管理等多項高技術含量的機制,技術工具與管理制度兩者必須相輔相成,才能發揮最佳效果。
KPMG安侯企業管理股份有限公司執行副總經理邱述琛表示,最近的資安事件不但越來越多,而且範圍越來越大,如沙烏地阿拉伯政府入口網站遭仿冒、美國醫療機構的VPN伺服器遭受駭客組織入侵、新加坡知名網路市集超過250萬名用戶的個資檔案在暗網兜售、澳洲保險等多間公司遭勒索軟體攻擊等。邱述琛指出,包含高科技產業在內,台灣的政府機關(含關鍵基礎建設)、金融、醫療、網路電商等產業,也都是新版資安國際標準的應用熱區,除了可以提升企業資安體質,取得資安國際證照,亦可符合國家或產業的法令法規要求。近年國內部分企業公開宣稱「符合」國際資安標準相關要求,但卻未實際通過獨立第三方之驗證,此舉不僅容易造成企業自我感覺良好的假象,更無法實質提升其資安防護實力。邱述琛認為,國際標準的新舊不是唯一重點,企業的執行力,及經得起第三方查核的挑戰,才是關鍵!