(圖片來源:Pixabay)
臉書(Facebook)於今(2019)年3月21日承認,數以百萬計的用戶密碼被以未加密形式儲存在內部伺服器,讓超過2萬名臉書內部員工可以直接瀏覽使用者密碼。臉書表示那些密碼從沒外洩,調查後也沒發現員工有濫用或不當存取這些密碼,但臉書資安維護一再出包,也動搖用戶的信任。
對於任何組織而言,資訊是其最有價值的資產之一,而資料外洩可能會造成組織和客戶個人重大的損失,更重挫組織形象和信譽。因此,必須加強現有的控制措施,以保護資訊安全並同時進行資安監控,以因應瞬息萬變可能發生的風險。
大多數組織都有控制措施來保護其資訊安全,但我們要如何確保這些控制措施是足夠且有效的?有鑑於此,ISO於今(2019)年1月公布ISO/IEC
TS 27008「資訊技術-安全技術-資訊安全控制措施之評估指南(Information
technology -- Security techniques -- Guidelines for the assessment
of information security controls)」,引導組織進行控制措施的評估,確保控制措施可以發揮應有的效用,並符合組織的目標。
ISO/IEC
TS 27008係由ISO技術委員會ISO/IEC
JTC 1/SC 27分組委員會「IT安全技術(IT
Security techniques)」所制定,該標準適用於所有的組織,不論其組織類型及規模。制定該標準的工作組負責人愛德華‧漢弗萊斯教授(Edward
Humphreys)說:「在這個世界裡,網路惡意攻擊愈來愈頻繁,而且也愈來愈難以發現和預防,資訊安全控制措施的定期評估及審核,是組織業務流程的重要工作。而ISO/IEC
TS 27008可以幫助組織確保他們的控制措施是有效、充分以及適當的,降低組織面臨的資訊風險。」
ISO/IEC TS 27008:2019取代了2011年出版的ISO/IEC
TR 27008,以符合資訊安全管理系列中其他標準的需求,例如:ISO/IEC
27000:2018「資訊技術-安全技術-資訊安全管理系統-概觀及詞彙」、ISO/IEC
27001:2013「資訊技術-安全技術-資訊安全管理系統-要求事項」以及ISO/IEC
27002:2013「資訊技術-安全技術-資訊安全控制措施之作業規範」,這些標準都在ISO/IEC TS 27008:2019中被引用到。
今(2019)年3月20日行政院副院長陳其邁出席「108年中央及地方政府資訊安全長及資訊主管會議」時指出,資安攻擊手法複雜多變,防禦難度亦逐漸提高,盼中央與地方共同努力,加強法制面建構、整體的區域聯防、資安人才培育及相關資安產業。國內「資通安全管理法」於今(2019)年1月1日正式上路,標準檢驗局表示,資訊安全是組織或企業經營中不可或缺的重要環節,建立有效之資訊安全管理系統(ISMS),並持續落實資安法、做好資安防護工作,以達企業的永續發展。
有關ISO國際標準更多資訊可參考ISO官網。另外,標準局已和ISO國際標準化組織簽訂授權影印協議,民眾只需支付權利金,即可合法取得最即時的標準資料,歡迎各界多加利用。如需查詢館藏狀況、價格及購買方式,請至該局「標準資料查詢系統(https://fsms.bsmi.gov.tw/nation_dmz/)」查詢或撥打服務專線02-23431980洽詢。
參考資料來源:ISO
News、ISO/IEC
TS 27008:2019、經濟日報、中時電子報 |