國際標準組織(ISO)幾年前已啟動ISO 27001/ISO 27002的改版計畫,從目前進度來看,在2021年8月23日,ISO 27002最終草案(FDIS)已註冊審核,接下來將進行投票,預計2022年1月公布,也因此,ISO 27001改版狀況成為焦點。

許多企業在推動資安防護管理的工作上,最廣泛採用的就是國際資訊安全管理標準ISO 27001,它是國際間認可的ISMS驗證標準,在管理與執行層面上,提供了可遵循與稽核的方向,特別的是,隨著資安管理標準的與時俱進,現行版本ISO 27001:2013的發布時間,與現在已相隔8年之久,因此,有許多企業都在關注一個問題:ISO 27001系列標準是否已到改版時刻?

簡單來說,ISO 27001系列包含兩套重要標準,以現行版本而言,一是可供實際驗證的ISO 27001:2013,另一套是ISO 27002:2013,則完全對應ISO27001:2013的附錄A,主要提供最佳實踐方式,包含具體的指引參考。

而就改版的狀態來看,在2018年3月,國際標準組織(ISO)已啟動了ISO 27002的改版計畫。

這項計畫到了最近半年,有更多進展。例如,自2021年4月草案(DIS)版本投票通過,在8月底開始登記最終草案(FDIS)版本,接下來將等待投票時間公布,然後再經歷為期8週的投票,以產生最終草案版本。

值得注意的是,儘管ISO 27002新版尚未出爐,從草案版本到最終草版發布之前,仍可能有變化,但從當前的草案版本來看,與現行2013年版本相比,已可看出一些未來國際標準制定走向。

距離上次改版已達8年,各界都很想知道新版定案、正式發布的時刻

關於這次國際標準改版的時程與現況,許多企業都很關心。

對此,SGS知識與管理事業群ISO 27001產品經理劉士弘表示,多久要改版,沒有明確硬性規範,但從過往各國際標準改版經驗,以及慣例來看,國際標準組織針對各個國際標準,每5年會審查一次,會有小幅更新,每8年則可能進行大幅度改版。

雖然,受到2020年延續至今的疫情影響,不過,劉士弘表示,從目前ISO 27002改版進度來看,他們在9月預測,新版ISO 27002 FDIS將在10月開始投票,正式發布FDIS版本的時間在12月。

此外,依照2013版本當時推出的經驗,從FIDS版發布到正式新版發布,只間隔10天,加上認為ISO 27001主條文內容可能變化不大,因此他們預估,ISO 27001與ISO 27002的新版發布,可能落在今年12月或是明年1月。

到底這次新版何時會發布?已經成為各界關注議題,對於詳細情形,BSI台灣分公司營運長謝君豪表示,BSI總部有代表參與相關標準改版會議,根據他們目前得知的最新消息,ISO 27002新版將延後到2022年1月發布。

至於驗證標準ISO 27001的改版,最近的10月正要開會討論改版事宜。因此,要等到表決通過,才會有明確的改版方向。而且,以過去的改版生命週期而言,需要有一定的時間進行相關的內容調整流程,加上不確定是否會大幅改版,因此改版所需時間的長短,可能等到11月後,才有更明確的資訊。

新版草案主要變化,集中在控制要求,有大幅綜合整理與新增

以ISO 27002新版草案的內容而言,有何不同變化?從目前的改版進度來看,可彙整成下列4大焦點。

首先,單就標題命名的方式上,就有很明顯的變動。以ISO 27001:2013為例,其採用的名稱為「資訊科技—安全技術—資訊安全管理系統—要求」,原本最前面是「資訊科技(Information Technology)」,未來將改為「資訊安全、網路安全及隱私保護」,英文全稱是「Information Security,Cybersecurity and Privacy protection」。

隨著名稱的適度調整,我們可以預期,新版標準在涵蓋廣度將有所增加,畢竟,資訊安全、網路安全與隱私的保護,在適用範疇上仍存在些許差異。

第二,控制要求的內容,將有大幅變動與新增。

依照目前ISO 27002新版草案的內容來看,對比現行版本,也就是對應原本的Annex A.5~A.18,新版草案對於控制要求與措施,將有大幅度的打散重整,並有多項新增。

具體而言,在控制類型上,新版草案畫分為4大控制類,暫時共有93項控制措施。這4大主題分別為:組織控制、人員控制、實體控制與技術控制。

特別的是,控制措施雖然看似比之前的108項要少,但劉士弘強調,相關的要求其實並未降低,原因在於,新版將控制措施有了更好的整併,因此,內容將是更為廣泛與深入。

根據SGS的觀察,新版控制措施將原有的56項,綜合整理為24項,另有58項無變動,特別的是還新增加了11項,僅刪除1項。

關於控制措施合併的方式,以新版合併的「變更管理」為例,劉士弘表示,以往企業處理這方面議題時,有點棘手,因為不管是組織自己導入或是顧問協助,關於變更管理的概念,其實分布在多個條文,例如:12.1.2「變更管理」、14.2.2「系統變更控制程序」、14.2.3「運作平臺變更後應用系統技術審查」,與14.2.4「軟體套件變更之限制」。新版草案則將原有的4項相關要求,綜合整理為1項,也就是8.23「變更管理」,直接包含了流程、人員、系統、平臺與軟體套件的變更。他認為,這樣的作法,將讓整個條文完整度與一致性更高,不像現行版本如此分散。

至於唯一將刪除的控制措施,只有現行版本提到的11.2.5「財產之攜出」,不過,劉士弘指出,要做的事情其實仍然存在,因為在新版的兩項控制措施中,就有場域外的資產保護與資訊刪除

新增11項控制要求,自動化工具執行成關鍵

新版草案的第三個焦點在於,除了控制措施的大幅整併,新增的項目更令企業在意。

關於上述ISO 27002新版草案新增的11項控制要求,分別是:威脅情資、雲端服務資安、資通訊技術營運持續整被、實體安全監視、組態管理、資訊刪除、資料遮罩、資料外洩防護、檢視活動、網站過濾與安全程式碼撰寫。

具體而言,在新版草案增加的控制要求有哪些重點?

例如,威脅情資將納入控制要求,劉士弘指出,在實作指引中,說明了有效威脅情資的4大特性,包括需與組織保護有關,讓組織可以對威脅有準確與詳細的了解,也要為情資添加情境,並且可以有效採取行動。

而隨著雲服務的應用越來越普遍,這些雲端服務的管理與使用,也納入管控規範,算是補強各界期待已久的缺口。在涵蓋面向中,包含雲服務風險識別與管理、使用政策、供應商協議,以及退出、變更與轉移的策略。

在實體安全監視方面,過去雖有相關規範,但具體要監控到什麼程度,並不明確,新版草案則有清楚的說明,將提升實體安全概念的強度提升。在實作指引中有3大重點,包括實體場域要有持續的監控,像是警衛、入侵警報與CCTV監控系統等,以及實體安全監控範圍是要涵蓋關鍵系統的建築物,還有監控強度要足夠,包括能追溯查看、入侵偵測與警報、防竄改與個資隱私合規。

關於組態管理方面,這是過去大家都很困擾的議題,因為涵蓋面向大,而新版草案增加這項控制要求的目的,是要協助做到符合組織安全政策要求,而管控重點是確保不被未經授權或錯誤變更。在其納管範圍,將包含軟體、硬體、服務、網路與安全的組態,同時也涵蓋組態模板、組態套用、變更管理,以及監視與審查等面向。

還有像是活動的控制要求,當中涵蓋了網路、系統和應用程式的異常行為監控,以及所需採取的行動,其實,此項新的控制要求隱含了資訊安全監控中心(SOC)的影子,這意味著,要有基礎的SOC機制在組織內運作。

至於安全程式碼撰寫方面,過去其實已有系統購置、開發及維護的控制要求,但唯獨少了軟體開發安全程式碼的層面,新版草案終於有所補強,將系統開發與資訊系統生命週期說明更清楚,要將安全程式碼撰寫原則定義出來。

值得注意的是,劉士弘認為,這次新版草案中所新增的許多控制措施,依據實作指引提供的方向來看,若企業無更多資源或是自動化工具,在執行上會相當辛苦。為何會如此?他認為,以往的控制措施,可採用技術或管理等手段來因應,對於預算或資源不足的組織而言,尚且可以透過管理方式達到管控。

ISO 27002新版草案增加多項控制措施
條款 控制措施名稱
5.7 威脅情資
5.23 雲服務資訊安全
5.30 資通訊技術營運持續整備
7.4 實體安全監視
8.9 組態管理
8.10 資訊刪除
8.11 資料遮罩
8.12 資料外洩防護
8.16 監視活動
8.22 網站過濾
8.28 安全程式碼撰寫

資料來源:SGS,iThome整理,2021年10月

為讓組織能夠更有效運用控制措施,新定義5類屬性

最後,是在控制屬性的設計方面。

為了便於不同的對象或角色使用,讓控制措施可有不同視野角度,劉士弘表示,舊版ISO 27002所設計的屬性概念,未來改版將有大幅擴增。

原先,控制要求主要連結了資訊安全三要素CIA,也就是機密性、完整性與可用性,現在的設計,則是讓每一個控制要求,都會關連到5個不同定義的屬性值,透過豐富的屬性標籤,以利於搜尋與過濾分類。

這5種新出現的控制屬性,分別是:控制類型(Control Types)、資安特性(Information Security Properties)、網路安全概念(Cybersecurity oncepts)、執行能力(Operational Capabilities),以及安全領域(Security Domain)。例如:

●控制類型屬性:防護、偵測與矯正等(威脅發生前中後)

●資安特性屬性:機密性、完整性與可用性(CIA)

●網路安全屬性:識別、保護、偵測、回應與復原(NIST CSF)

●執行能力屬性:資產管理、人力資源安全、實體安全、系統與網路安全、應用程式安全、威脅與弱點管理、資安事件管理等15項

●安全領域屬性:治理生態系統、防護、防禦與韌性。這方面對應的是,組織所需要的資安領域、專業能力、服務或產品。

基本上,這些屬性標籤將能提供不同視角,讓組織能更有效運用這些控制措施。例如,若是機房管理者,可藉由屬性標籤,很快找到與實體安全相關的控制措施。此外,除了每一項控制措施都會預設5組屬性,在草案版本附錄A中,也說明了將有自定義的彈性與步驟,組織可依據需求定義自有屬性值,亦即建立更多檢視角度,來看控制措施的要求。

這次ISO 27001/ISO 27002的改版,有可能會擴大控制屬性所包含的概念。新版草案中的每個控制 措施,都一定會對應5種屬性,包括:控制類型、資安特性、網路安全概念、執行能力與安全領域, 同時也提供彈性,讓組織可定義自有屬性值。

除了符合資安基本要求,對於領域或產業需求已有更多參考指引

無論如何,儘管ISO 27001新版時程不定,而ISO 27002從草案版本到最終草案版本,內容也還是有可能大幅增修,但以現況來看,我們已可看出資安控制措施的內容,確實是朝向更符合全球威脅與資安現況。

對於目前ISO 27002新版草案的變化,BSI台灣分公司營運長謝君豪表示,ISO 27001與ISO 27002的關係,就像課本與參考書,從參考書的改變來看,我們可以發現其框架出現大幅度調整,從原先的14個章節統整為4大面向,包含組織、人員、實體與技術的構面,而現在國內政府推動資安時,也是提出從策略、管理、技術與認知面向出發。

對於控制措施的強化與新增,謝君豪表示,新的要求可以更符合現在所有企業面臨的風險,方便大家可用更宏觀的角度,來看待這些控制措施的運用。

此外,除了順應時勢,將新興資安議題納入,還有一些新增的控制措施,像是資料遮罩、資料外洩防護與網站過濾等,這些早已發展為資訊安全技術,對此,謝君豪表示,在過往的控制要求中,其實已有這樣的精神存在,只是新版草案用了不同的方式呈現要求,可以更符合現在的風險與管控。

事實上,對於全公司都要進行相關驗證的企業而言,很多被要求具備的控制內容可能都不會感到陌生,至於控管到位程度要做得多細緻,則將影響未來改版難易程度。但關鍵還是在於,企業導入這樣的標準時,出發點是否正確?若是企業導入只是為了驗證而驗證,僅以機房或小系統為範圍,企業關注這些新增控制措施,可能覺得窒礙難行,或是效果無法呈現。

論及國際資安標準的走向,從近年整個ISO 27000系列標準的發展,其實更能看出整體變化。謝君豪指出,ISO 27001與ISO 27002只是基本要求,而以ISO的現行策略來看,只要那個領域或產業有需求,就會額外提供相關標準或指引。

舉例來說,在現行ISO 27001/27002版本發布的2013年後,針對雲服務使用與資安控制,已經推出ISO 27017:2015與ISO 27018:2019,其他還有供應鏈、網路、應用程式,以及電信、關鍵基礎能源產業等,另也針對不同面向提供額外的參考方向,包括Big Data、區塊鏈、IoT、智慧製造、雲端運算等資安指引。

而在今明兩年,有兩個新增標準頗受關注,分別是針對事故管理的額外指引ISO/IEC WD 27035-4,以及對應NIST CSF的參考指引ISO/IEC TS 27110。

近期還有一項特別進展,那就是:BSI與ISO組織簽署發布「新倫敦宣言(The new London Declaration)」,當中承諾要確保全球標準支援氣候行動並推動國際倡議,聯合國亦大力支持。因此,未來ISO國際標準勢必將氣候變遷納入重要考量,而這不僅是特定企業、部門要關心的議題,企業IT也不例外,例如,大型機房能源管理所產生的碳排放,也將成為必須關注的面向。

2022年2月16日更新補充

關於國際標準ISO/IEC 27002:2022的發布時程,根據ISO網站揭露的資訊,於2021年12月17日進入發布階段,後續於2022年2月15日正式發布

文章來源:

https://www.ithome.com.tw/tech/147261