誰適合閱讀本系列?
-想要了解ISO 27001的人或想要更精進ISO 27001解讀能力的
-資訊安全領域的入門者
本文視角:將從資訊顧問的角度出發說明、介紹ISO 27001
要談ISO 27001之前,首先要來談何謂資訊安全,為什麼要重視資訊安全這件事? 相信第一次聽到資訊安全這個名詞的同仁,可能會以為這都是工程師才需要懂得領域跟一般人或非資訊領域的人沒關係,但這其實是誤解。所謂資訊其實指的是帶有特定意義的符號,而這個符號可以是文字、圖像等。從這裡就可以衍伸出舉凡我們在系統上、紙本文件上或生活中看到的傳單等,其實都代表著一種資訊,所以資訊無處不在。那你有沒有想過為甚麼有些資訊會讓傳到網路上讓大家知道,而有些不會呢? 這其中有甚麼樣機制在運作呢?
以下先來介紹資訊安全的三要素:機密性、完整性、可用性。
機密性:
為了探討這樣的機制,舉上一段的例子說明,生活中看到的傳單與企業內部的資訊,從企業角度來思考,這兩種資訊對於企業的價值當然不一樣,企業內部的資訊是僅限給內部員工看,若是散播出去可能造成企業的機密資訊外流導致業務上的損失,因此,我們可以從這個簡單例子來看出資訊有所謂的機密性,機密性的意思是說某資訊僅能讓被授權的人得知該資訊,而其餘非被授權的人則不能得知該資訊。
完整性:
有關完整性的說明,簡單來說是指資訊本身所要代表的意義與他被創造出來或詮釋的意義相同。舉個例子來說明:假如有一段在書本上的話是:我喜歡吃蘋果。但是因為紙本老舊,導致其中有兩個字模糊看不清楚,變成我OO吃蘋果。如此一來,只要我們看到這行文字便無法正確理解其原本所要表達的意思,這在資訊安全裡就代表完整性不足。如果從更廣泛的角度來看,完整性除了資訊完整與否之外,資訊是否有被修改也會被算進完整性當中。
可用性:
用最白話的說法是資訊在你需要用到的時候,你隨時可以取用到這個資訊。舉例來說,現代資訊絕大部分都會放在資訊系統上,因此資訊系統的運作與否,對系統使用者能否取得需要的資訊至關重要,只要系統正常運作就可以取得所需資訊,相反的,只要系統故障,就無法取得所需資訊,因此可用性也被破壞。
以上是針對資訊安全的三大要素概要說明,相信讀者應該能夠體會這三個因素對於資訊安全的重要性為何。
接下來就要正式說明ISO 27001的架構。ISO 27001其實是由ISO 20000的系列衍伸出來的標準,其主要是在闡明「資訊安全管理體制」。這裡介紹一個概念就是「體制」或稱「體系」,因ISO國際標準組織針對管理體系其實有一定的規範需要被保留在這個「體系」中。而針對ISO 27001的架構分為「本文」及「附錄」,其中本文所敘述就是管理體系當中要有的規範,比如:組織全景分析、管理階層、風險評鑑、運作及測量有效性等,而「附錄」則是指在說明為了達成資訊安全管理體系的資安目標所要實行的動作,而這些動作想當然是跟資訊安全有關的控制措施。目前ISO 27001:2022版將「附錄」分為四大領域:A.5組織、A.6人員、A.7實體、A.8技術,總共有93個條文,並且針對每個條文都會對應的資訊安全屬性,讀者在閱讀ISO 27001時可以搭配屬性能夠更深刻了解該條文屬於何種屬性便於理解。以下舉【A.5.7威脅情資】說明。
A.5.7威脅情資
控制措施:
宜蒐集並分析與資訊安全威脅相關之資訊, 以產生威脅情資。
目的:
提供對組織威脅環境之認知, 以便採取適切的減緩措施。
當讀者日後在研讀ISO 27001時,筆者推薦從先推薦由上而下閱讀,首先,條文名稱大致上會告訴條文與什麼有關,控制措施會描述組織若要符合本條文所需要達成的效果,目的就不多贅述。以【A.5.7威脅情資】的控制措施「宜蒐集並分析與資訊安全威脅相關之資訊, 以產生威脅情資。」從控制措施描述可以知道有三個動作需要被滿足,分別是「蒐集」、「分析」、「產生威脅情資」,而這個條文的主體是威脅情資。如此一來,就能夠很清楚明瞭若要達成條文的要求。因此,針對【A.5.7威脅情資】就要有「蒐集」、「分析」、「產生威脅情資」這三個動作:
「蒐集」->如何蒐集?蒐集來源?
「分析」->如何分析?分析的方法是什麼?
「產生威脅情資」->如何判定是否為威脅情資? 若是威脅,則後續組織應該採取的動作是甚麼?
結論:
本文簡述資訊安全三大要素:機密性、完整性、可用性,及有關ISO 27001之架構、如何解讀各個條文,分為拆解控制措施的「動作」及「描述主體」,期望讀者能夠透過本文了解ISO 27001架構及資訊安全基本概念。
由於筆者是第一次寫文章,自小到大國寫能力也一直屬於同儕中的中下程度,若表達上有讓人誤解的地方或語意不順之處還請多多包涵~~。
