ISO 27001标准改版箭在弦上，先从ISO 27002新版草案变化看国际资安管理标准新走向最新消息

许多企业在推动资安防护管理的工作上，最广泛采用的就是国际资讯安全管理标准ISO 27001，它是国际间认可的ISMS验证标准，在管理与执行层面上，提供了可遵循与稽核的方向，特别的是，随着资安管理标准的与时俱进，现行版本ISO 27001：2013的发布时间，与现在已相隔8年之久，因此，有许多企业都在关注一个问题：ISO 27001系列标准是否已到改版时刻？

简单来说，ISO 27001系列包含两套重要标准，以现行版本而言，一是可供实际验证的ISO 27001:2013，另一套是ISO 27002:2013，则完全对应ISO27001:2013的附录A，主要提供最佳实践方式，包含具体的指引参考。

而就改版的状态来看，在2018年3月，国际标准组织（ISO）已启动了ISO 27002的改版计划。

这项计划到了最近半年，有更多进展。例如，自2021年4月草案（DIS）版本投票通过，在8月底开始登记最终草案（FDIS）版本，接下来将等待投票时间公布，然后再经历为期8周的投票，以产生最终草案版本。

值得注意的是，尽管ISO 27002新版尚未出炉，从草案版本到最终草版发布之前，仍可能有变化，但从当前的草案版本来看，与现行2013年版本相比，已可看出一些未来国际标准制定走向。

距离上次改版已达8年，各界都很想知道新版定案、正式发布的时刻

关于这次国际标准改版的时程与现况，许多企业都很关心。

对此，SGS知识与管理事业群ISO 27001产品经理刘士弘表示，多久要改版，没有明确硬性规范，但从过往各国际标准改版经验，以及惯例来看，国际标准组织针对各个国际标准，每5年会审查一次，会有小幅更新，每8年则可能进行大幅度改版。

虽然，受到2020年延续至今的疫情影响，不过，刘士弘表示，从目前ISO 27002改版进度来看，他们预测，新版ISO 27002 FDIS将在10月开始投票，正式发布FDIS版本的时间在12月。

此外，依照2013版本当时推出的经验，从FIDS版发布到正式新版发布，只间隔10天，加上认为ISO 27001主条文内容可能变化不大，因此他们预估，ISO 27001与ISO 27002的新版发布，可能落在今年12月或是明年1月。

到底这次新版何时会发布？已经成为各界关注议题，对于详细情形，BSI台湾分公司首席运营官谢君豪表示，BSI总部有代表参与相关标准改版会议，根据他们目前得知的最新消息，ISO 27002新版将延后到2022年1月发布。

至于验证标准ISO 27001的改版，最近的10月正要开会讨论改版事宜。因此，要等到表决通过，才会有明确的改版方向。而且，以过去的改版生命周期而言，需要有一定的时间进行相关的内容调整流程，加上不确定是否会大幅改版，因此改版所需时间的长短，可能等到11月后，才有更明确的资讯。

新版草案主要变化，集中在控制要求，有大幅综合整理与新增

以ISO 27002新版草案的内容而言，有何不同变化？从目前的改版进度来看，可汇整成下列4大焦点。

首先，单就标题命名的方式上，就有很明显的变动。以ISO 27001:2013为例，其采用的名称为“资讯科技—安全技术—资讯安全管理系统—要求”，原本最前面是“资讯科技（Information Technology）”，未来将改为“资讯安全、网络安全及隐私保护”，英文全称是“Information Security,Cybersecurity and Privacy protection”。

随著名称的适度调整，我们可以预期，新版标准在涵盖广度将有所增加，毕竟，资讯安全、网络安全与隐私的保护，在适用范畴上仍存在些许差异。

第二，控制要求的内容，将有大幅变动与新增。

依照目前ISO 27002新版草案的内容来看，对比现行版本，也就是对应原本的Annex A.5~A.18，新版草案对于控制要求与措施，将有大幅度的打散重整，并有多项新增。

具体而言，在控制类型上，新版草案画分为4大控制类，暂时共有93项控制措施。这4大主题分别为：组织控制、人员控制、实体控制与技术控制。

特别的是，控制措施虽然看似比之前的108项要少，但刘士弘强调，相关的要求其实并未降低，原因在于，新版将控制措施有了更好的整并，因此，内容将是更为广泛与深入。

根据SGS的观察，新版控制措施将原有的56项，综合整理为24项，另有58项无变动，特别的是还新增加了11项，仅删除1项。

关于控制措施合并的方式，以新版合并的“变更管理”为例，刘士弘表示，以往企业处理这方面议题时，有点棘手，因为不管是组织自己导入或是顾问协助，关于变更管理的概念，其实分布在多个条文，例如：12.1.2“变更管理”、14.2.2“系统变更控制程序”、14.2.3“运作平台变更后应用系统技术审查”，与14.2.4“软件套件变更之限制”。新版草案则将原有的4项相关要求，综合整理为1项，也就是8.23“变更管理”，直接包含了流程、人员、系统、平台与软件套件的变更。他认为，这样的作法，将让整个条文完整度与一致性更高，不像现行版本如此分散。

至于唯一将删除的控制措施，只有现行版本提到的11.2.5“财产之携出”，不过，刘士弘指出，要做的事情其实仍然存在，因为在新版的两项控制措施中，就有场域外的资产保护与资讯删除

新增11项控制要求，自动化工具执行成关键

新版草案的第三个焦点在于，除了控制措施的大幅整并，新增的项目更令企业在意。

关于上述ISO 27002新版草案新增的11项控制要求，分别是：威胁情资、云端服务资安、资通讯技术营运持续整被、实体安全监视、组态管理、资讯删除、资料遮罩、资料外泄防护、检视活动、网站过滤与安全程式码撰写。

具体而言，在新版草案增加的控制要求有哪些重点？

例如，威胁情资将纳入控制要求，刘士弘指出，在实作指引中，说明了有效威胁情资的4大特性，包括需与组织保护有关，让组织可以对威胁有准确与详细的了解，也要为情资添加情境，并且可以有效采取行动。

而随着云服务的应用越来越普遍，这些云端服务的管理与使用，也纳入管控规范，算是补强各界期待已久的缺口。在涵盖面向中，包含云服务风险识别与管理、使用政策、供应商协议，以及退出、变更与转移的策略。

在实体安全监视方面，过去虽有相关规范，但具体要监控到什么程度，并不明确，新版草案则有清楚的说明，将提升实体安全概念的强度提升。在实作指引中有3大重点，包括实体场域要有持续的监控，像是警卫、入侵警报与CCTV监控系统等，以及实体安全监控范围是要涵盖关键系统的建筑物，还有监控强度要足够，包括能追溯查看、入侵侦测与警报、防窜改与个资隐私合规。

关于组态管理方面，这是过去大家都很困扰的议题，因为涵盖面向大，而新版草案增加这项控制要求的目的，是要协助做到符合组织安全政策要求，而管控重点是确保不被未经授权或错误变更。在其纳管范围，将包含软件、硬件、服务、网络与安全的组态，同时也涵盖组态模板、组态套用、变更管理，以及监视与审查等面向。

还有像是活动的控制要求，当中涵盖了网络、系统和应用程序的异常行为监控，以及所需采取的行动，其实，此项新的控制要求隐含了资讯安全监控中心（SOC）的影子，这意味着，要有基础的SOC机制在组织内运作。

至于安全程式码撰写方面，过去其实已有系统购置、开发及维护的控制要求，但唯独少了软件开发安全程式码的层面，新版草案终于有所补强，将系统开发与资讯系统生命周期说明更清楚，要将安全程式码撰写原则定义出来。

值得注意的是，刘士弘认为，这次新版草案中所新增的许多控制措施，依据实作指引提供的方向来看，若企业无更多资源或是自动化工具，在执行上会相当辛苦。为何会如此？他认为，以往的控制措施，可采用技术或管理等手段来因应，对于预算或资源不足的组织而言，尚且可以透过管理方式达到管控。

ISO 27002新版草案增加多项控制措施
条款	控制措施名称
5.7	威胁情资
5.23	云服务资讯安全
5.30	资通讯技术营运持续整备
7.4	实体安全监视
8.9	组态管理
8.10	资讯删除
8.11	资料遮罩
8.12	资料外泄防护
8.16	监视活动
8.22	网站过滤
8.28	安全程式码撰写

资料来源：SGS，iThome整理，2021年10月

为让组织能够更有效运用控制措施，新定义5类属性

最后，是在控制属性的设计方面。

为了便于不同的对象或角色使用，让控制措施可有不同视野角度，刘士弘表示，旧版ISO 27002所设计的属性概念，未来改版将有大幅扩增。

原先，控制要求主要连结了资讯安全三要素CIA，也就是机密性、完整性与可用性，现在的设计，则是让每一个控制要求，都会关连到5个不同定义的属性值，透过丰富的属性标签，以利于搜寻与过滤分类。

这5种新出现的控制属性，分别是：控制类型（Control Types）、资安特性（Information Security Properties）、网络安全概念（Cybersecurity oncepts）、执行能力（Operational Capabilities），以及安全领域（Security Domain）。例如：

●控制类型属性：防护、侦测与矫正等（威胁发生前中后）

●资安特性属性：机密性、完整性与可用性（CIA）

●网络安全属性：识别、保护、侦测、回应与复原（NIST CSF）

●执行能力属性：资产管理、人力资源安全、实体安全、系统与网络安全、应用程序安全、威胁与弱点管理、资安事件管理等15项

●安全领域属性：治理生态系统、防护、防御与韧性。这方面对应的是，组织所需要的资安领域、专业能力、服务或产品。

基本上，这些属性标签将能提供不同视角，让组织能更有效运用这些控制措施。例如，若是机房管理者，可借由属性标签，很快找到与实体安全相关的控制措施。此外，除了每一项控制措施都会预设5组属性，在草案版本附录A中，也说明了将有自定义的弹性与步骤，组织可依据需求定义自有属性值，亦即建立更多检视角度，来看控制措施的要求。

这次ISO 27001/ISO 27002的改版，有可能会扩大控制属性所包含的概念。新版草案中的每个控制措施，都一定会对应5种属性，包括：控制类型、资安特性、网络安全概念、执行能力与安全领域，同时也提供弹性，让组织可定义自有属性值。

除了符合资安基本要求，对于领域或产业需求已有更多参考指引

无论如何，尽管ISO 27001新版时程不定，而ISO 27002从草案版本到最终草案版本，内容也有可能大幅增修，但以现况来看，我们已可看出资安控制措施的内容，确实是更符合全球威胁与资安现况。

对于目前ISO 27002新版草案的变化，BSI台湾分公司首席运营官谢君豪表示，ISO 27001与ISO 27002的关系，就像课本与参考书，从参考书的改变来看，我们可以发现其框架出现大幅度调整，从原先的14个章节统整为4大面向，包含组织、人员、实体与技术的构面，而这样的改变，可呼应现在-推动资安，从策略、管理、技术与认知面向出发。

对于控制措施的强化与新增，谢君豪表示，新的要求可以更符合现在所有企业面临的风险，方便大家可用更宏观的角度，来看待这些控制措施的运用。

此外，除了顺应时势，将新兴资安议题纳入，还有一些新增的控制措施，像是资料遮罩、资料外泄防护与网站过滤等，这些早已发展为资讯安全技术，对此，谢君豪表示，在过往的控制要求中，其实已有这样的精神存在，只是新版草案用了不同的方式呈现要求，可以更符合现在的风险与管控。

事实上，对于全公司都要进行相关验证的企业而言，很多被要求具备的控制内容可能都不会感到陌生，至于控管到位程度要做得多细致，则将影响未来改版难易程度。但关键还是在于，企业导入这样的标准时，出发点是否正确？若是企业导入只是为了验证而验证，仅以机房或小系统为范围，企业关注这些新增控制措施，可能觉得窒碍难行，或是效果无法呈现。

论及国际资安标准的走向，从近年整个ISO 27000系列标准的发展，其实更能看出整体变化。谢君豪指出，以ISO的现行策略来看，只要那个领域或产业有需求，就会提供相关标准或指引。

举例来说，在现行ISO 27001/27002版本发布的2013年后，针对云服务使用与资安控制，已经推出ISO 27017:2015与ISO 27018:2019，其他还有供应链、网络、应用程序，以及电信、关键基础能源产业等，另也针对不同面向提供额外的参考方向，包括Big Data、区块链、IoT、智慧制造、云端运算等资安指引。

而在今明两年，有两个新增标准颇受关注，分别是针对事故管理的额外指引ISO/IEC WD 27035-4，以及对应NIST CSF的参考指引ISO/IEC TS 27110。

近期还有一项特别进展，那就是：BSI与ISO组织签署发布“新伦敦宣言（The new London Declaration）”，当中承诺要确保全球标准支援气候行动并推动国际倡议，联合国亦大力支持。因此，未来ISO国际标准势必将气候变迁纳入重要考量，而这不仅是特定企业、部门要关心的议题，企业IT也不例外，例如，大型机房能源管理所产生的碳排放，也将成为必须关注的面向。