UCOM 職能補給站

提供您專業技能的最佳管道,IT企業主管唯一推薦

2023年2月18日 星期六

新版ISO 27001:2022轉版重點整理

國內企業普遍採行的ISO/IEC 27001國際資安管理迎來大改版,新版資安標準將為企業還有個人皆帶來什麼影響?

新版ISO 27001:2022出爐
隨著國際資安標準ISO 27001:2022出爐,ISO 27001的改版動向屢屢受到關注,新版ISO 27001:2022已正式發布。為組織的資訊安全管理帶了許多資訊安全風險管控的新思維與作法。

ISO/IEC 27001:2022 並不是一個全面的改版。
主要的變更,包含下列:
  • 附錄 A 引用了ISO/IEC 27001:2022 中的資訊安全控制措施,其中包括控制措施標題和控制措施資訊
  • 6.1.3 c) 條註釋進行了文字編輯修改,包括刪除控制目標,並用“資訊安全控制措施”代替“控制措施”
  • 重新組織第 6.1.3 d) 條的措辭以消除潛在的歧義。


備註 1. 與舊版相比,ISO/IEC 27001:2022 附錄 A 有下列的改變:

  • 資訊安全控制措施數量改變:資訊安全控制措施數量從 14 條的 114 項減少到 4 條的 93 項。對於 ISO/IEC 27001:2022 附錄 A 中的資訊安全控制措施,新增了 11 個控制措施,從現有控制措施中合併了 24 個控制措施,更新了 58 個控制措施。
  • 附錄 A 中的資訊安全控制措施結構改變:為每個資訊安全控制措施引入了“屬性”和“目的”,不再為一組控制使用“目標”。


新版更加強於技術面資安管理

網路安全是一個需要不斷關注和適應不斷變化的威脅形勢。長達9年終於更新版的ISO/IEC 27001:2022 包括多項關鍵更新和改進,ISO/IEC 27001:2013從原先著重在管理面,新版將重點放在技術面,如威脅情資、雲端服務使用的資安、資通訊技術營運持續整備、實體安全監控、組態管理、資訊刪除、資料遮罩、資料外洩防護、活動檢視、網站過濾與安全程式碼撰寫等。

 

轉版期限

雖然有3年緩衝期轉版,但建議企業可提早佈局準備,強化技術面的資安措施。從而提高整個企業內部的資訊安全防範意識,減少人為操作失誤或故意破壞的可能性。

 

稽核人員轉版持續專業進修方式

新版ISO 27001:2022將控制措施集中於組織層與技術層,控制項目數量則有進一步的綜合整理歸納,並因應網路攻擊手法與樣態新增11項控制,同時提供屬性標籤能讓控制項目更容易使用。

您可參考ISO 27001:2022正式發布

ISO 270012022主導稽核員轉版訓練課程

ISO 270012022資訊安全管理系統核心概念與條文要點解析訓練課程

以上都能讓您進一步了解ISO/IEC 27001:2022資訊安全管理系統核心概念與條文要點,並對條文有進一步之認識,以精準解讀與掌握國際標準的要求。

 

特別需要ISO 27001 適用產業的行業或組織

  • 銀行和金融機構:由於金融機構處理大量的敏感信息和資料,因此安全風險特別高。
  • 醫療保健:醫療機構保存大量的醫療記錄和個人敏感信息,因此需要高度的資訊安全保護。
  • 電子商務和線上支付:網上購物和在線支付平台的安全保護至關重要,以防止客戶的個人和財務信息被盜用。
  • 航空航天和國防:這些行業涉及高度機密的技術和資訊,需要極高的安全保障。
  • 電信業:電信公司擁有大量的客戶數據和通信記錄,需要確保其安全性。

總結,任何需要保護敏感信息和資料的行業或組織,都可以考慮實施 ISO 27001


新版對組織可能的影響

ISO/IEC 27001:2022 變更的影響,僅限於引入新的附錄 A,因為:

1) ISO/IEC 27001:2013/COR 2:2015 已經發布並實施;

2) 附錄 A 是規範性的.


ISO/IEC 27001 使用附錄 A 資訊安全控制措施參考的要求,指的是將組織確定的 “資訊安全控制措施” 與 “附錄 A 中的資訊安全控制措施” 之間的比對過程 (6.1.3 c)),以及產生適用性聲明 (statment of applicability, SoA) (6.1.3 d))

 

通過將必要的資訊安全控制措施與附件 A 中的控制進行比對,組織可以確認所有附錄 A 中必要的資訊安全控制措施不會被疏忽、遺漏。比對過程中,如果發現無意中遺漏了必要的資訊安全控制措施,組織應更新其風險處理計劃 (risk treatment plan, RTPs),以適應額外的必要資訊安全控制措施,並實施它們。

如上所述,ISO/IEC 27001:2022 對已實施 ISMS 的組織的影響並不大。

 

新版對個人可能的影響

對於曾經參加過任何 ISO/IEC 27001:2013 訓練課程的專業人士,包含經理人、顧問、稽核員等,建議可以依照 CQI / IRCA 對註冊稽核員知識與技術的專業持續進修 (continuing professional development, CPD) 要求,保持每年至少 10 ~ 15 小時的進修時數,以維護 CQI / IRCA 稽核員註冊資格的有效性。

 

進修課程建議

由於此次管理系統標準內容的變動並未造成顯著的影響,所以針對  ISO/IEC 27001:2022 新版標準發布的認證課程標準中, 僅提供下列認證課程:

ISO 270012022主導稽核員轉版訓練課程(16小時)

ISO/IEC 27001:2022 (ISMS, 資訊安全管理系統)稽核員/主導稽核員轉版訓練課程(16小時)

ISO 270012022資訊安全管理系統核心概念與條文要點解析訓練課程(16小時)

 ISO 270012022資訊安全管理系統風險評鑑課程(16小時)

或者,您可以直接參加下列課程:

ISO 270012022資訊安全管理系統主導稽核員訓練課程(40小時)


0

0 意見:

張貼留言