綁定帳號登入

Android 台灣中文網

打印 上一主題 下一主題

[科技] 新版ISO 27001:2013正式出爐,企業2015年適用新標準(下)

[複製連結] 查看: 251|回覆: 0|好評: 0
跳轉到指定樓層
樓主
游幃翔 | 收聽TA | 只看該作者 回帖獎勵 |倒序瀏覽 |閱讀模式
發表於 2013-11-21 19:40

馬上加入Android 台灣中文網,立即免費下載應用遊戲。

您需要 登錄 才可以下載或查看,沒有帳號?註冊

x
未來所有國際標準將具有一致性的架構

謝君豪指出,此次新版ISO 27001:2013推出時,國際標準組織也意識到,許多標準之間雖然有一些精神雷同、作法類似,卻因為分屬於不同的條文章節,常常讓企業對於一些類似精神條文在整併及適用上,有無所適從的感受。

最明顯的例子就是,ISO 27001:2005中有一項「政策要求」,但同時要求企業制定「資安政策」和「ISMS政策」,彼此之間既相似卻又重複性高,導致企業在政策制定時,對於是否該當成同樣精神的條文制定並遵守感到困擾。

另外,有不少企業在取得ISO 27001:2005後,也會另外取得ISO 20000以提升整體IT服務品質,但ISO 20000的「資訊服務管理政策」與ISO 27001:2005中的政策要求差異點在哪裡,很多公司搞不清楚。此外從BS 25999成為正式國際標準的ISO 22301,也要求要有「BCMS政策」,但企業持續營運管理和ISO 27001中的「資安政策」之間的差異點多大,都有進一步探究的空間。謝君豪坦言,不同標準之間類似的政策內容雖然有其相似之處,但因為分屬不同標準,很難完全整合;假若認證的組織範圍又不一致,整合難度更高。

為了解決不同國際標準之間所面臨到的整合困境,國際標準組織在此次推出新版 ISO 27001:2013時,採用了一個可以清楚定義架構面、管理制度面、章節面、細部章節等面向的標準化附件架構──ISO Annex SL,簡化了與其他管理系統之間的整合。

謝君豪認為,先把架構定義出來後,才能盡量做到所有管理系統作法趨於一致,也降低組織標準整合的難度以達到整合的綜效。例如,未來所有國際標準的第4章節,就是要規範「組織的背景」,第5章節便載明「領導力」,第6章節則是與標準相關的「規畫」內容。

從企業風險角度重新評估資安驗證範圍
謝君豪表示,資訊科技發展持續進步,企業所處的資安環境卻是更複雜,因此,ISO 27001:2013推出之際,國際標準組織也期待企業重新檢視企業所面臨的風險,甚至可以引用ISO 31000的企業風險標準,作為企業重新檢視企業資安風險的標準。

企業在面對新版標準,必須重新定義資安認證範圍,就必須重新考量組織所面臨的風險、法規和客戶等要求。他說,舊版標準要求企業參照標準附錄的作法即可,但新版內容則建議,企業直接援引ISO 31000企業風險標準來評估企業的風險。

企業若依照ISO 31000精神,必須先鑑別出企業違反資安管理政策所面臨的風險,例如違反智慧財產權、違反同業競爭、研發資料外洩、專業人員流失及駭客入侵等;也必須鑑別利害關係人,像是研發部門的利害關係人就包括:客戶、供應商、內部員工及股東等。

在確認這些利害關係人對企業的資安要求後,才能決定認證範圍是否仍維持只有資訊部門進行認證,還是要將認證範圍擴大到業務單位。謝君豪認為,即便企業無法擴大認證範圍,也希望企業透過重新定義認證範圍後,做到「局部驗證、全面導入」,真正提升資安認證的成效。

許多導入ISO 27001:2005標準的企業或組織,大部分都是以資訊部門作為資安驗證的範圍,很少納入業務單位。但是,在新版標準中,國際組織在第4章節規範「組織的背景」,新版在制度面明確要求,不論企業是否要擴大認證範圍,面對新版標準時,要或不要都必須解釋清楚,像是界定第4章節「組織的背景」時,企業就得要做到:可以鑑別組織所面臨的內外部議題和挑戰,也得界定出誰是利害關係人及利益團體等。文⊙黃彥棻
來源 ithome
====================================================
缺積分?? 缺碎鑽?? 缺鑽石?? 缺權限?? ...還是什麼都缺嗎?
可以參考以下兩篇 :
1. 共襄盛挙:結縁*随縁*感恩*惜福 APK.TW送給您*伴手禮*/
2. 新會員必讀 ~升級密技~ 鑽石-任務-積分-權限-簽到-搜尋-發文

====================================================
歡迎大家踴躍加入 群組 內的 "九局棒棒歡樂新天地"/"香蕉卯上芭樂"和"韓流瘋"及" 爆爆遊樂園"不定期會有些小活動...歡迎踴躍參與...
====================================================
【其它小分享 福利帖】
(第351波大放送) : 人人回帖有獎勵
(第350波大放送) : 人人回帖有獎勵
(第349波大放送) : 人人回帖有獎勵
(第348波大放送) : 人人回帖有獎勵
(第347波大放送) : 人人回帖有獎勵
<如須查詢更多相關內容,請自行爬文>


★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★
★                          **以上報告完畢**                          ★
★     如果可以的話,幫我評個分數或是送一多花給我^^          ★
★     您的評分與鮮花,是我下次再發帖的原動力                   ★
★                                 謝謝~                                   ★
★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★

====================================================
                                                                                   2013/11/21 By 游幃翔
「用Android 就來APK.TW」,快來加入粉絲吧!
Android 台灣中文網(APK.TW)
收藏收藏 分享分享 分享專題
用Android 就來Android 台灣中文網(https://apk.tw)
回覆

使用道具 舉報

您需要登錄後才可以回帖 登錄 | 註冊

本版積分規則