壹. 控制類別變更
可以得知控制類別的數量由14類整合成4大類。
27001/2013
A.5資訊安全政策 A.6 資訊安全的組織 A.7人力資源安全 A.8資產管理
A.9存取控制 A.10 密碼 A.11 實體與環境安全 A.12 作業的安全 A.13通訊安全
A.14 資訊系統獲取、開發及維護 A.15 供應商關係 A.16資訊安全事故管理
A.17 營運持續管理的資訊安全層面 A.18 遵循性
27001:2022
5組織控制 6人員控制 7實體控制 8技術控制
貳. 控制項目數量
原2013,114個控制項目/ 2022調整成93個控制項目
參. ISO/IEC 27001:2022新增控制項
11個新增控制項分別如下。新增的控制項目對舊的ISO/IEC ISO27001:2013管理系統用戶要重新瞭解並提早準備轉版的因應作法。
1.威脅情報 2.雲服務的資訊安全 3. ICT為業務連續性做好準備
4. 實體安全監控 5. 組態管理 6.資訊資料刪除
7.資訊資料屏蔽 8.預防資訊洩漏 9.監控活動
10. 網頁過濾 11. 安全程式編碼
肆. 差異性
從ISO/IEC 27001:2013-> ISO/IEC 27001:2022
英文翻譯就有很大的差異,
原 Information technology-Security technique-資訊技術-安全技術
改 Information security,cybersecurity and privacy protection-資訊安全-網路安全與隱私保護.
較符合現代的個資與資安議題重視,對於ISO/IEC 27001:2022隱私保護可說是很重要的一塊,我們可以從新增控制項其中的數據洩漏預防做個切入點討論,在臺灣個資法的出現,對於資料外洩防護 (Data loss prevention,DLP)有了很大的重視,此次IOS/IEC 27001:2022的導入,就必須在此塊提出相對應的作法,此篇提出幾項未來企業單位導入可行的一些作法,以便符合新版控制項的要求。
伍. DLP(Data loss prevention,DLP)
常見到的DLP從三大面向推出解決方案,
1.端點(Endpoint)常見的就是透過防毒軟體整合模組達成,
2.網路(Network)常見的透過設備部署於骨幹網路,用來查看網路封包是否夾帶機敏資訊等,
3.最後就是資料庫與郵件防護伺服器,利用安裝模組來達到資料庫與郵件的DLP防護,這次ISO/IEC 27001:2022改版,企業可提早規劃部屬適當的DLP工具,進而符合ISO規範要求。
陸. 緩衝期
ISO/IEC 27001:2013-> ISO/IEC 27001:2022可說是十年磨一劍,慢工出細活產出這套管理系統,整合現行資安要求,可說是跟上現代的腳步,大步邁前,導入目前ISO/IEC 27001:2013的產業也可提早準備改版因應措施,到2025年前有三年的轉版緩衝期,科技的發展,時代的進步,透過資訊安全,網路安全與隱私保護管理系統,提高人們資安素養與資訊靈敏度,進而達到資訊安全的光輝年代。
Line@ISO27001顧問諮詢:@554jyjna
Ashley.
--------------------------------------------------------
以上資料參考來源:國立台灣大學計資中心電子報https://www.cc.ntu.edu.tw/chinese/epaper/home/20230320_006407.html
