新版ISO27001:2013发布 预计国内2015年实施

国际标准组织于去年10月1日ISO年会中，正式推出新改版的信息安全管理体系认证标准ISO27001:2013，这也是ISO27001自从2005年正式成为国际标准之后的首次改版。

ISO27001虽然是信息安全管理体系认证，但对于某些产业的营运发展而言，其实具有正面效益。

根据ISO国际组织截至2012年的统计资料，中国目前取得ISO27001:2005的企业和组织数量高达1490个，名列全球第4名。从这样的数据也证明，ISO27001一旦转版，将影响中国许多已经取得ISO27001的企业与政府部门。

此次推出的新版ISO27001:2013，除了在技术规范上跟上现在的IT技术潮流外，也提供一个更高的标准架构，供企业重新界定新版标准和其他类似标准的整合。预计企业最迟将在2015年全数适用ISO27001:2013的新版标准。

控制领域和控制措施条文减少，但内容更深

每当一个新版标准推出后，国际认可机构会依据新版标准与旧版内容的差异，给予企业18～24个月的缓冲期，让企业有时间从旧版转换到新版。

虽然目前认可机构尚未写出转版声明，一般而言，新版标准推出半年后，企业可以评估是否要以转版方式，扩大企业原有的认证范围，进而取得新版的ISO27001:2013认证。但是，企业如果在2年内没有透过转版取得ISO27001:2013的认证，之后企业要重新取得认证时，就得全部适用新版ISO27001:2013规范。

在旧版ISO27001:2005有许多的内容规范性较高，等到2013新版推出时，已纳入2005年版本的使用者意见，并考虑过去8年科技环境的改变而有所调整。

像是，整个控制措施从133个减少为113个，重新改写控制措施的声明，但是，控制措施的领域却从原本11个增加为14个。首先，新增的是许多加密与安全基础的「密码学」（Cryptography），再者，随着企业外包与合作关系的密切，「供应商关系管理」（Supplier Relationships）也成为企业信息安全管理的重要环节，在新版中，密码学和供应商管理则成为单独的领域。

其他新增的部份则是，旧版中的「沟通与执行」（Communications & Operations）领域，因应新科技的发展，拆成「操作安全」（Operations security）和「通讯安全」（Communications security），并正式纳入控管。现在则将软件开发和维护独立出来，成为操作安全的一部分。

未来所有国际标准将具有一致性的架构

此次新版ISO27001:2013推出时，国际标准组织也意识到，许多标准之间虽然有一些精神雷同、作法类似，却因为分属于不同的条文章节，常常让企业对于一些类似精神条文在整併及适用上，有无所适从的感受。

最明显的例子就是，ISO27001:2005中有一项「政策要求」，但同时要求企业制定「资安政策」和「ISMS政策」，彼此之间既相似却又重複性高，导致企业在政策制定时，对于是否该当成同样精神的条文制定并遵守感到困扰。

另外，有不少企业在取得ISO27001:2005后，也会另外取得ISO20000以提升整体IT服务品质，但ISO20000的「资讯服务管理政策」与ISO27001:2005中的政策要求差异点在哪里？很多公司搞不清楚。此外从BS25999成为正式国际标准的ISO22301，也要求要有「BCMS政策」，但企业持续营运管理和ISO27001中的「信息安全政策」之间的差异点多大，都有进一步探究的空间。不同标准之间类似的政策内容虽然有其相似之处，但因为分属不同标准，很难完全整合；假若认证的组织范围又不一致，整合难度更高。

为了解决不同国际标准之间所面临到的整合困境，国际标准组织在此次推出新版ISO27001:2013时，采用了一个可以清楚定义架构面、管理制度面、章节面、细部章节等面向的标准化附件架构──ISO Annex SL，简化了与其他管理系统之间的整合。

先把架构定义出来后，才能尽量做到所有管理系统作法趋于一致，也降低组织标准整合的难度以达到整合的综效。例如，未来所有国际标准的第4章节，就是要规范「组织的背景」，第5章节便载明「领导力」，第6章节则是与标准相关的「规画」内容。

从企业风险角度重新评估信息安全管理体系认证范围

信息科技发展持续进步，企业所处的信息安全环境却是更复杂，因此，ISO27001:2013推出之际，ISO国际标准组织也期待企业重新检视企业所面临的风险，甚至可以引用ISO31000的企业风险标准，作为企业重新检视企业资安风险的标准。

企业在面对新版标准，必须重新定义资安认证范围，就必须重新考量组织所面临的风险、法规和客户等要求。他说，旧版标准要求企业参照标准附录的作法即可，但新版内容则建议，企业直接引ISO31000企业风险标准来评估企业的风险。

企业若依照ISO31000标准要求，必须先识别出企业违反信息安全管理政策所面临的风险，例如违反财产权、违反同业竞争、研发资料外泄、专业人员流失及黑客入侵等；也必须识别利害关系人，像是研发部门的利害关系人就包括：客户、供应商、内部员工及股东等。

在确认这些利害关系人对企业的资安要求后，才能决定认证范围是否仍维持只有资讯部门进行认证，还是要将认证范围扩大到业务单位。即便企业无法扩大认证范围，也希望企业透过重新定义认证范围后，做到「局部验证、全面导入」，真正提升资安认证的成效。

许多导入ISO27001:2005标准的企业或组织，大部分都是以资讯部门作为资安验证的范围，很少纳入业务单位。但是，在新版标准中，国际组织在第4章节规范「组织的背景」，新版在制度面明确要求，不论企业是否要扩大认证范围，面对新版标准时，要或不要都必须解释清楚，像是界定第4章节「组织的背景」时，企业就得要做到：可以识别组织所面临的内外部议题和挑战，也得界定出谁是利害关系人及利益团体等。