40　■ 財金資訊季刊 / No.83 / 2015.07

資訊分享〡從 ISO 27001新版標準看企業資安管理之挑戰與因應

從 ISO 27001新版標準看企業資安管理之挑戰與因應

周哲賢 / 勤業眾信聯合會計師事務所副理黃邦平 / 勤業眾信聯合會計師事務所顧問

一、 前言

世界經濟論壇 (World Economic Forum，

簡稱WEF) 於年初發表西元 2015年之全球風

險報告 (The Global Risks Report)，預測未來

十年全球主要風險發生的可能性與衝擊程度，

其中，屬於技術類的「資料詐騙或竊取」及

「網路攻擊」名列於前十大可能發生之風險，

而「關鍵性資訊基礎設施中斷」風險更高居衝

擊程度排行榜第七名。

另，我國政府持續延伸資訊安全管理思

維，於行政院國家資通安全會報之「國家資通

訊安全發展專案 (民國 102年至 105年 )」中，

明訂研議資訊安全管理專法之行動方案，使得

法律遵循成為驅動資訊安全最強勁的一道力

量，希望能加強企業之資訊安全防護責任，實

施符合企業規模的資訊安全管理措施。

國際標準組織 (International Standard

Organization，簡稱 ISO) 於 2013年 10月正

式發布新版「 27001資訊安全管理系統國際

標準」，企業組織研究 ISO 27001標準之改

版內容，可全面瞭解資訊安全相關議題已不僅

止於以往的基礎架構或流程管控層面，更進一

步延伸，以兼顧產業特性、法令法規及內部組

織作業特性，並考量相關配套之技術解決方

案，期能有效降低潛在之資訊安全風險，維護

企業持續穩健前進。

二、 ISO 27001:2013改版重點

(一 ) 符合 ISO Annex SL要求，以利與其他

管理系統整合

ISO Annex SL所定義的高階結構 (High

level structure)，如圖 1所示，是 ISO國際

組織訂定各類管理制度的重要依據，不論是

2012年改版之 ISO 22301業務持續運作管

理系統國際標準，或是 2013年改版的 ISO

27001資訊安全管理系統國際標準，均依據

Annex SL之結構性要求進行調整，以利不同

管理系統之接軌與整合。

www.fisc.com.tw ■　41

從 ISO 27001新版標準看企業資安管理之挑戰與因應〡資訊分享

圖 1　ISO Annex SL 架構

(二 ) 引用 ISO 31000風險管理要求，評估

潛在未知的風險

新版 ISO 27001標準不再獨尊先前以資

訊資產、弱點、威脅為主要考量面向之風險

評鑑方式，企業組織可以參照 (但不侷限於 )

ISO 31000風險管理準則之架構與流程 (如圖

2)，進行已知風險及未知潛在風險之評鑑作

業，以期有效因應新興世代與科技發展所帶來

各種面向之衝擊。

圖 2　ISO 31000 風險管理架構與流程

(三 ) 移除「預防措施」之要求

新版 ISO 27001標準雖已移除預防措施

之要求，企業組織在針對不符合事項研擬矯正

措施，採取控制矯正相關行動時，仍應評估是

否應設法消除可能引發不符合事項之原因，以

避免反覆或於他處再次發生。至於以往的預防

性措施，則調整為更廣義的風險管理措施，針

對已知風險及未知潛在風險進行評鑑，實施合

適的控制措施，並輔以有效性量測指標 (KPI)

之日常監控作業，以降低組織可能面臨之風

險。

42　■ 財金資訊季刊 / No.83 / 2015.07

資訊分享〡從 ISO 27001新版標準看企業資安管理之挑戰與因應

(四 ) 設定目標、監控績效及訂定量測指標，

強調績效展現

資訊安全目標應與資訊安全政策一致，並

且是可量化與可衡量的，必要時應考量風險評

鑑及風險處理計畫之執行結果。規劃資訊安全

管理目標與服務效能之量化與監控時，應考量

以下不同面向：必須量測的內容或指標有哪些

(What)、分析與評估的方法是什麼 (How)、何

時執行監控及量測 (When)、誰負責監控及量

測 (Who)、分析及評估之結果如何等。

(五 ) 其他文字內容與編排方式調整

1. 移 除 ISO 27001:2005 版 本 的「Terms

and Definitions」章節，直接引用 ISO

27000所訂定之名詞定義。

2. 移除本文重複之要求及以短語方式陳述之

要求。

3. 敘明管理階層之支持及承諾相關要求，以

展現領導力 (Leadership)。

三、 新版控制要求之解析與因應

ISO 27001:2005附錄原本定義 11個資

訊安全管理領域 (Domain)，共 133項控制措

施。新版標準調整為 114項控制措施，將通訊

與作業管理分成兩個獨立的領域，而「供應商

關係管理 (Supplier relationships)」及「加密

(Cryptography)」兩項比較重要之控制目標亦

提升為新的領域，如圖 3所示。

圖 3　ISO27001:2013控制領域新舊差異比較

www.fisc.com.tw ■　43

從 ISO 27001新版標準看企業資安管理之挑戰與因應〡資訊分享

在控制措施方面，ISO 27001:2013因應

資訊技術與安全管理之發展趨勢，增加「行

動裝置 (Mobile devices) 管理」、「資通訊

(Information and communication technology，

簡稱 ICT) 供應鏈管理」及「系統開發管理」

之資訊安全要求等控制項目。以下簡要說明這

些新增項目及其因應之道：

(一 ) A.6.1.5專案管理之資訊安全

在專案管理成為顯學的潮流之下，資訊安

全更應融入專案管理之生命週期，舉凡專案資

訊溝通、專案風險管理均應考量資訊安全相關

議題。企業組織可從程序面檢視現有專案管理

程序，強化資訊安全管理機制。

(二 ) A.6.2.1行動裝置政策

行動裝置應用的盛行，引發資訊安全管理

思維的改變。企業組織應針對企業配發或員工

自備之行動裝置，建立監控與管理機制，若從

事行動裝置 APP之程式開發活動，更應強化

APP程式之安全性。

(三 ) A.12.6.2軟體安裝管制

眾多惡意軟體經常藏身於免費的應用程

式中，企業組織應有效堵絕惡意軟體侵入之

管道，訂定軟體安裝管理政策，強化軟體安裝

權限之管制。在實作面上，除應設定軟體安裝

之管理規則外，更應強化既有已安裝軟體 (例

如 Adobe Reader、Flash Player、Java 或

Media Player等辦公室常見軟體 ) 之安全性更

新機制。

(四 ) A.14.2.1安全開發政策、A.14.2.5系

統工程安全原則、A.14.2.6安全開發

環境、A.14.2.8系統安全測試

企業組織之資訊安全管理應與軟體 (或系

統 ) 開發生命週期整合，才能有效建立安全

軟體開發生命週期 (Secure SDLC，Secure

Systems Development Life Cycle)，實踐以下

重要理念：

1. 除應用系統自身之資訊安全設計外，企業

組織應訂定資訊安全開發政策，並且在需

求設計階段就應考量資訊安全機制。

2. 重視開發環境之資訊安全要求，避免於開

發階段就出現資訊安全管理之漏洞。

3. 撰寫程式應兼顧功能性及安全性，避免有

安全疑慮之程式語法，並確實執行安全性

測試，以降低系統上線後發生安全問題之

風險。

在程序面上，企業組織應落實系統安全需

求之設計，強化系統安全測試 (如壓力測試、

原始碼檢測等 )；在技術面上，應強化開發環

境與測試環境之管制，並建立系統安全基準

(baseline)。

(五 ) A.15.1.1供應商關係之資訊安全政策、

A.15.1.3資通訊技術供應鏈

企業組織可從程序面著手，檢視供應商管

理程序，強化資訊安全相關細部要求，在合約

中增列供應商服務分包或轉包相關規範，並透

過外部稽核或委託獨立單位，檢驗與監督廠商

之落實程度，確保達到一致之安全要求。供應

商使用之技術或產品亦應於組織進行校準，以

確認可符合組織之期望。

44　■ 財金資訊季刊 / No.83 / 2015.07

資訊分享〡從 ISO 27001新版標準看企業資安管理之挑戰與因應

(六 ) A.16.1.4資訊安全事件之評估與決策、

A.16.1.5資訊安全事件回應、A.17.2.1

維持資訊處理設備之可用性

對於資訊安全事件 (Events) 與事故

(Incidents) 之辨識、評估與回應，應以標準而

系統化之方式管理。針對重要系統或資訊服務

設施，建立有效之容錯及備援機制，以符合可

用性之要求，則是資訊安全及營運持續運作二

者皆須考量之議題。

企業組織可從程序面強化資訊安全事件管

理機制，強化評估項目及回應方式；技術面則

可重新檢視及強化重要服務或系統之可用性架

構設計，並經由實作與定期情境演練，提升同

仁緊急應變能力，使發生資安事故之負面影響

降至最低。

四、 管理系統轉版對策

(一 ) 強化組織溝通

ISO 27001新版標準特別強調與內外部

單位之溝通，企業組織應針對資訊安全管理系

統之運作範圍，識別利害關係人及其相關要求

(包含法律、法規與合約等 )，以確認組織應

符合之資訊安全要求。

(二 ) 調整管理文件

由於 ISO 27001新版標準之資訊安全控

制措施由 133項調整為 114項，且條文章節

順序亦有部分差異，組織應依據新版標準內

容，調整對應之管理程序文件。例如：依據

新版標準第 9.3節「管理審查 (Management

Review)」，將企業組織之管理審查內容調整

為 6大審查項目；依據新版標準第 6.1節「風

險及機會之辨識行動 (Actions to address risks

and opportunities)」，參照 ISO 31000之架

構與流程，調整風險評鑑方法。

(三 ) 持續落實

針對 ISO 27001新版標準因應資訊發展

趨勢所新增與改變之控管要求，企業組織應

檢視現行管理程序是否符合控制要求，並參考

ISO 27002之實務指引內容，增補或修訂相關

管理機制與文件，持續落實新版標準之要求，

並留下對應之文件紀錄。

五、 結語

「遵循規範標準是否就等於安全？」一直

是資安業界長期以來爭論不休的議題。然而，

建立並持續維護資訊安全管理系統之有效運作

仍然是企業組織最重要的基本功夫，企業組織

唯有確認資訊安全管理相關要求，持續強化人

員之資訊安全認知，將資訊安全整合於日常運

作，才能持續朝向資訊安全領域邁進。

※參考文獻 /資料來源：1. 2015 The Global Risks Report, World

Economic Forum, Jan. 2015。2. 「姍姍來遲之資訊安全管理國際標準－淺談 ISO 27001新版重點」，勤業眾信通訊 2013年 12月號，陳志明、葉耿志，勤業眾信聯合會計師事務所企業風險管

理部門。