睽違9年ISO27001轉版，保華資安首曝光轉版重點，這些禁忌不要犯!

國際標準組織ISO就在今年2022年10月26日公告最新版ISO/IEC27001:2022，

距前一次ISO/IEC 27001改版已相隔9年(前一版為ISO/IEC 27001:2013)。
在ISO/IEC 27001已施行多年，為目前國際上最廣泛採用之資訊安全管理制度標準規範，我國從的金管會金融資安行動方案，要求各金融業遵循資安規範；2017年資通安全管理法公告施行，要求A、B級公務/非公務機關要通過ISO/IEC 27001驗證作業；以及因應這幾年駭客攻擊手法的改變，上市櫃公司不斷發生資安事件，金管會於2021年開始規範上市櫃公司，在「公開發行公司年報應行記載事項準則」，要求公司年報揭露資通安全管理作為與資安事件因應，以及環境、社會及治理(ESG)方面的行動。

由此可知資安即國安的重要性，從初期的金融業、政府機關，到所有的上市櫃公司，產業資安已經發展成為公司營運所必備的，相關的法規精神都是從ISO/IEC 27001概念延伸，因此ISO/IEC 27001的轉版對各產業勢必有相當多的衝擊及影響。

保華資安股份有限公司總經理游峯鵬表示：

ISO/IEC 27001管理制度已經普遍多年，資安事件仍層出不窮，我們都知道資安沒有100%，但企業導入ISO27001的施行範圍與落實度不足，確實是一個很關鍵的問題，過往企業大都僅以資訊單位為導入與驗證範圍，應重新審視將業務與使用單位也納入施行範圍。在落實度方面，舊版著重在管理面居多，技術面控制措施則由企業自行制定內部資安政策與規範，較沒有一致性的標準強制性要求，新版針對當前網路攻擊手法與型態，新增了11項控制措施進行補強，讓企業更容易依照新版標準強化自身在技術面資安控管，例如資料外洩防護、網站過濾與監視異常活動等，以避免標準流於形式。

駭客手法一直在轉變，破口只要存在就可能被入侵感染，駭客甚至會拉長潛伏期，讓感染範圍更大，要求更多贖金，例如近期的駭客入侵巴基斯坦國家電力監管局(NERPA)網站、藍新金流遭DDoS攻擊、智利政府機關遭綁架勒索軟體攻擊等。建議企業可從導入落實ISO27001資安管理度開始建立資安第一道防線，提升客戶對企業的信任度。

ISO/IEC 27001:2022改版重點彙整及保華資安小叮嚀

1. 標準名稱從ISO/IEC 27001:2013之Information technology – Security techniques – Information security management systems – Requirements調整為Information security, cybersecurity and privacy protection – Information security management systems – Requirements，除原先既有的資訊安全要求外，在2022版更強調了網路安全及隱私保護。
2. ISO/IEC 27001:2013 附錄A原先的144個控制措施也大洗盤，新版改為4大控制主題(組織、人員、實體、技術控制)、93項控制措施，其中新增11個控制措施、更新58個控制措施，並整併24個控制措施。
3. 另外新版也新增了屬性標籤(#Attributes)，每一個控制措施皆會對應到5種不同的屬性值：#1 控制類別Control Types、#2資安特性Information Security Properties、#3 網路安全概念Cybersecurity Concepts、#4執行能力Operation Capabilities、#5 安全領域Security Domains
4. 新增11項控制措施，主要是為了應對當前網路攻擊手法與型態。確保各企業能防範及強化自身資安控管。
5. 5.7威脅情資Threat Intelligence
6. 5.23雲服務的資訊安全Information Security For use of Cloud Services
7. 5.30資通訊技術營運持續整備ICT Readiness For Business Continuity
8. 7.4實體安全監控Physical Security Monitoring
9. 8.9組態管理Configuration Management
10. 8.10資訊刪除Information Deletion
11. 8.11資料遮罩Date Masking
12. 8.12資料外洩防護Date Leakage Prevention
13. 8.16監視活動Monitoring Activities
14. 8.22網站過濾Web Filtering
15. 8.22安全程式碼撰寫Secure Coding

從本次轉版新增項目，ISO/IEC 27001從原先著重在管理面居多，新版重心移至技術面，如安全程式碼撰寫、組態設定等，雖然轉版有3年緩衝期，但建議企業可提早佈局準備，強化技術類型的控制措施。唯有資安走在前，駭客才不會找上門。

詳細資料參考連結https://www.baohwatrust.com/baohwa-blog/8752