|
今(2018)年對於資訊安全議題是個不平凡的一年,隨著年初,電腦安全專家針對電腦都裝有的微處理器,發現了兩個被命名為「Meltdown」跟「Spectre」的重大安全漏洞,影響層面擴及個人電腦、智慧型手機、雲端服務,可能導致受保護的核心記憶體資料外洩;3月中,臉書(Facebook)爆出逾上千萬筆個資遭外洩濫用;5月25日歐盟正式實施歐盟通用資料保護規則(EU
General Data Protection Regulation,GDPR)等重大個資保護措施。為維護組織及個人使用者資訊安全,國內外皆陸續制修訂一系列資訊安全或個資保護相關標準,如:國際標準ISO/IEC
27000系列標準、英國標準協會BS
10012、CNS
27000系列標準等,以下就近期修訂公布的新版標準ISO/IEC
27000:2018、BS
10012:2017以及國內常用的CNS
27001分別簡介之:
一、ISO/IEC
27000:2018「資訊技術-安全技術-資訊安全管理系統-概觀及詞彙」
資訊安全管理系統(ISMS)包含政策、程序、指導綱要及相關聯之資源與活動,由組織於追求保護其資訊資產時統合管理。ISMS係建立、實作、運作、監視、審查、維護及改進組織資訊安全之系統化作法,以達成營運目標。其依據風險評鑑及組織所設計之風險接受等級,以有效地處理及管理風險。必要時,分析保護資訊資產要求事項並應用適切的控制措施,以確保此等資訊資產之保護,有助於ISMS之成功實作。組織能使用ISMS系列標準發展及實作框架,用以管理其資訊資產(含財務資訊、智慧財產、員工個資、客戶或第三方所託管資訊等)之安全。
ISO/IEC
27000系列標準共有十幾種標準,下圖說明ISMS系列標準之關係:
ISMS系列標準之關係圖(摘譯自ISO/IEC
27000:2018)
ISO/IEC
27000「資訊技術-安全技術-資訊安全管理系統-概觀及詞彙(Information
technology -- Security techniques -- Information security management
systems -- Overview and vocabulary)」提供資訊安全管理系統(ISMS)之概觀,以及ISMS系列標準中,共同使用之用語及定義。並介紹這些標準如何組合在一起:它們的適用範圍、角色、功能和彼此之間的關係。該標準適用於所有型式及規模之組織(例:商業企業、政府機關及非營利組織)。ISO/IEC
27001的使用者將會發現ISO/IEC
27000很有用,因為它匯集了ISO/IEC
27000系列中其他所有標準常用的基本術語。
ISO國際標準組織於今(2018)年2月修訂公布ISO/IEC
27000最新版(第5版),與前一版本相比主要變化如下:
-介紹(Introduction)已被重寫;
-一些術語(terms)和定義(definitions)已被刪除;
-該標準第3條(Clause
3)與ISO管理系統標準(management
systems standard,MSS)的高階架構(High
Level Structure, HLS)保持一致;
-該標準第5條(Clause
5)已更新,以反映相關標準的變化;
-附錄A
(Annexes A)和附錄B
(Annexes B)已被刪除。
二、BS
10012:2017「資料保護-個人資訊管理系統規範」
BS
10012「資料保護-個人資訊管理系統規範
(Data protection–Specification
for a personal information management system)」是英國標準協會(British
Standards Institution, BSI)於2009年公布的一個國際認可的個人資訊管理標準,適用於任何規模和行業的組織,而許多對個資管理與保護要求較高的組織,例如:公家機關、學校、金融、電信、醫療與電子商務等,也都以通過BS
10012為目標,以確認組織能在尊重當事人隱私的前提下,充分保障個人資訊的合理運用,並確保客戶所提供之個人資訊是在符合法令規定下,受到最適當的保護。
新版BS
10012:2017於2017年3月31日正式公布,此次修訂的主要目的是為調和歐盟於2016年4月14日所通過的「一般資料保護規範(the
European Union General Data Protection Regulation , GDPR)」,該法令已於2018年5月25日正式實施(取代在1998年所通過的歐盟個人資料保護指令European
Directive (95/46/EC)),不僅規範在歐盟境內設立的企業組織及其海外分支機構、關係企業,還將適用範圍擴大至傳輸、蒐集及處理歐盟民眾個資的境外組織,因此更加突顯了新版BS
10012:2017標準在全球的重要性。
舊版BS
10012:2009標準是為因應英國於1998年所公布的Data
Protection Act資料保護法(簡稱DPA)所制定發行,新版BS
10012:2017很多變化都是以歐盟於2016年頒訂之GDPR為個人資料保護法規的依據,並參考其他通用的管理系統方法,和ISO
9001:2015、ISO
14001:2015同樣採用ISO的高階架構(High
Level Structure, HLS)。
除此之外,BS
10012:2017標準主要修訂內容還有:
-重新定義個人和敏感資料(New
definition of personal and sensitive data)
-限制對個人資料的分析側寫(Restrictions
on profiling using personal data)
-資料保護官新的管理要求(New
administrative requirements for data privacy officers)
-廢止DPA之通知/註冊要求(Abolishing
of notification/registration requirement) (註:DPA:英國於1998年所公布的Data
Protection Act資料保護法)
-更嚴格資料處理同意權要求(New
stricter require for consent for processing)
-當事人存取資訊及其可行使權利的改變(Changes
to subject access and other rights for data subjects)
-強化當事人的資料刪除權和可攜權(Enhanced
right to erasure and new right to portability)
-安全事故的通知要求(Security
breach notification requirement)
-從設計著手隱私保護和隱私衝擊評估要求(Privacy
by design and privacy impact assessment requirements)
-適法性遵循範圍延伸至資料處理者(Extension
of the law to cover data processors)
-刪除符合安全港協議條件者可將資料傳輸至美國(Removal
of the safe Harbour ground for data transfers to the U.S.)(註:安全港協議(safe
Harbour):歐盟執委會在2000年與美國簽訂的安全港協議,是基於美國隱私法規對用戶個資保護程度媲美歐盟的前提。該協議能讓美國4,500家科技業者順利在歐盟與美國之間合法傳輸網路資料,而忽略歐盟各國法規之間的細微差異。)
三、國內資訊安全管理系統(ISMS)系列標準
隨著經濟全球化的發展,各組織間的資訊交流日益增多,而資訊安全與企業的營運、服務及發展皆已密不可分,而引進國際認同的資訊安全管理標準,則是確認政府機關、民間機構、營利或非營利組織之資訊安全是否具備一定水準的重要參考指標。
為與國際接軌,我國目前主要的資訊安全管理系統(ISMS)系列國家標準也多係參考ISO國際標準所制定,其中CNS
27001「資訊技術-安全技術-資訊安全管理系統-要求事項」便是參考ISO/IEC
27001:2013,該標準係資訊安全管理系統(ISMS)的驗證標準,亦是資訊安全管理系統(ISMS)當中使用最頻繁的標準。
CNS
27001規定於組織全景內建立、實作、維持及持續改善資訊安全管理系統之要求事項。該標準亦包括依組織需要而裁適之安全風險評鑑及處理的要求事項。CNS
27001敘述之要求事項為通用的,旨在適用於所有組織,不論其型式、規模或性質。
此外,CNS
27001與CNS
27002的關係密不可分,如果管理人員想要協助組織建立資訊安全管理制度,卻不知應該要如何著手時,可以參照CNS
27002的內容來進行。
CNS
27002「資訊技術-安全技術-資訊安全控制措施之作業規範」係參考ISO/IEC
27002:2013制定,該標準是企業在發展資訊安全管理系統(ISMS)中所需之作業規範(Code
of Practice),也是企業在導入資訊安全計畫中廣泛使用的標準,基於這個標準的實施計劃,讓組織可以在複雜的經營環境下滿足所需之資訊安全要求;此外,對該標準的深入了解,也對個人在資訊科技與資訊安全上的發展有很大的助益。
CNS
27002提供組織資訊安全標準之指導綱要,以及資訊安全管理之實務作法,包括將組織資訊安全風險環境納入考量後之控制措施的選擇、實作及管理。CNS
27002係設計供具下列目的之組織使用。
(a)於依據CNS
27001實作資訊安全管理系統之過程中,選擇控制措施。
(b)實作被普遍接受之資訊安全控制措施。
(c)發展自有之資訊安全管理指導綱要。
除了上述已公布的現行標準外,ISO國際標準組織為因應歐盟GDPR的實施以及近期大規模個資外洩事件,於今(2018)年成立一個新的專案委員會ISO/PC
317「消費者保護:消費者產品和服務的隱私保護設計(Consumer
protection: privacy by design for consumer goods and services)」,來制定第一套預防性國際準則,以確保將消費者隱私納入到產品或服務中,從而在整個個資管理生命週期中提供保護,相關資訊可參考ISO官網了解。
國內資訊安全相關標準資訊(料)皆置放於標準局「國家標準(CNS)網路服務系統」(網址為http://www.cnsonline.com.tw/),歡迎各界上網查詢閱覽。
參考資料來源:ISO
News(ISO/IEC
27000:2018)、BSI、BSI
News、BS
10012:2017、
CNS 27001、ISO
News(ISO/PC
317)
|
小安心
