由於 ISO/IEC 27002 改版進行中,讓業界開始聯想許久未改版的 ISO/IEC 27001 是否也將開始有所動作,針對市場對 ISO/IEC 27001 系列改版的熱議,BSI 台灣營運長謝君豪特別提醒業界先進,透過了解相關標準的制定歷程,就能避免對改版時程的誤解。
謝營運長以「課本」與「參考書」來比喻可供驗證的ISO國際標準通常會搭配另一份實務規範,像是 ISO/IEC 27001:2013 與 ISO/IEC 27002:2013 是配對的概念,前者是課本後者是參考書,所有 ISO 27001 看不懂的安控措施,像是不知道如何做防毒、備份、BCP,都能在 ISO 27002 找到更多的指引,但這份參考書是不能被驗證的。
一般 ISO 國際標準平均五年會啟動改版作業,需要歷經一定的程序(圖1)與時間,並不會貿然的頒布,至於會先改課本或參考書?依據過往經驗來看,沒有一定的答案。目前業界使用的 ISO/IEC 27001 與 ISO/IEC 27002 皆是在 2013 年出版,過了這麼長的時間ISO/IEC 27002才開始改版是有其原因的:當國際標準改版時間走得慢,可能代表 1.標準非常成熟,改版沒有急迫需求 2. ISO找到另一個辦法減緩改版速度;至 10 月 27 日 ISO 官網上的 ISO/IEC 27001 並未開始改版。
圖 1:謝營運長建議大家可以關注 40 到 60 這三個標準修訂的階段,每個階段都有其規劃與審核,要走到 60.60 新版標準才算是正式出版。
ISO 多年前就針對 ISO 27001 做了很大的規劃,寫了很多的參考指引提供給企業參考(圖2),各行各業關注的面向都替你做出指引了,其策略是透過管理系統的標準訂定最低要求,其他則透過指引來強化。
圖2:謝營運長指出,ISO 27001 針對各行各業出了很多指引,作為企業解決問題的參考。
目前看到的是 ISO 27002 已進入改版程序[1],其與前一版差異,是控制措施集中在組織層與技術層,而 ISO 27002 新版安控項目數量不增反減,就是表明不再無限增加安控項目,延續就需要參考指引落實概念。謝營運長指出,ISO 前幾年定義了高階架構(High Level Structure, HLS),要求所有驗證用的標準架構都要一樣,就像是各標準使用的課綱一致,目的是讓企業便於整合,若要推估日後 ISO 27001 改版的變動差異幅度,謝營運長認為新版標準只可能加強,大改的可能性不大。
考量到企業預算編列與排程,假定 ISO 27001 的新版標準很快的在 2022 年第二或第三季問世,首先驗證單位需要時間準備,IRCA 要做核可,輔導顧問前也需上課,新版發布後的前 6 個月都在這些準備狀態,才可能輪到企業端開始轉版工作。在此謝營運長也向企業提出本質性問題:新版標準出來後您的下一步是什麼?在數位轉型的壓力下,組織優先考慮的議題為何?未來改版時希望 ISMS 達成的目標?若目前組織的 ISMS 驗證範圍不適切,安控措施無法落實,資安成熟度不到位,反而會增加之後轉版的難度。謝營運長言之諄諄,最後提醒:「資安要做好,長官是否支持,資源是否到位永遠都是最重要的,確實依循 PDCA,不管新版標準的安控措施加到多少都做得到。」
[1] ISO/IEC 27002 正在 FDIS 最終草稿版進程中。