資訊保安管理系統 iso/iec 27000 標準系列概論 - …...資訊保安管理系統 iso/iec...
TRANSCRIPT
資訊保安管理系統 ISO/IEC 27000 標準系列概論
什麼是 ISO/IEC 27001?
ISO/IEC 27001 標準的名稱為《資訊科技 — 保安技術 — 資訊保安管理系統 —要求》,由國際標準化組織( ISO)及國際
電 工 委 員 會 ( IEC ) 出 版 。 ISO/IEC
27001:2013(下稱 ISO/IEC 27001)為最
新版本的 ISO/IEC 27001 標準,修訂了 2005 年出版的上一個版本(即 ISO/IEC
27001:2005)。本標準訂明有關建立、推行、
維護和持續改善資訊保安管理系統的各項
要求。資訊保安管理系統闡述保障敏感資訊
安全的系統化方法,通過應用風險管理流程
管理人事、工序及資訊科技系統。這套系統
不僅適用於大型機構,中小型企業也會合
用。
ISO/IEC 27001 可以與相關支援控制措施
配 合 使 用 , 例 如 載 列 於 ISO/IEC
27002:2013(下稱 ISO/IEC 27002)文件
的控制措施。 ISO/IEC 27002 分為 14 節及 35 個控制目標,詳述 114 項保安控制措施。
有關 ISO/IEC 27001 及 ISO/IEC 27002 的
目錄載於附錄 A。
機構是否遵行 ISO/IEC 27001 標準所定的
要求,可由認可認證機構進行正式評估和認
證 。 若 機 構 的 資 訊 保 安 管 理 系 統 獲 取 ISO/IEC 27001 標準的認證,顯示機構致力
保障資訊保安,又可增加客戶、合伙人及持
份者的信心。
ISO/IEC 27001 認證要求
為符合 ISO/IEC 27001 認證要求,機構的
資訊保安管理系統必須由國際認可的認證
機構進行審計。 ISO/IEC 27001 第 4 節至 10 節所載的要求(見附錄 A)是強制性要
求,並沒有豁免情況。若機構的資訊保安管
理系統通過正式審計,便會獲認證機構頒發 ISO/IEC 27001 證書。證書的有效期為三
年,期滿後,機構需要重新為其資訊保安管
理系統進行認證。
在三年有效期內,機構必須執行證書維護,
以確保資訊保安管理系統持續遵行有關要
求,按規定運作和不斷改善。為了保持證書
有效,認證機構會每年至少一次就資訊保安
管理系統進行實地視察,以進行監察審計。
在審計過程中,認證機構只會對部分資訊保
安管理系統作出審計。當三年有效期臨近屆
滿時,認證機構才會對整個資訊保安管理系
統作出審計。
政府資訊科技總監辦公室於二零一五年四月出版(最後更新二零二零年五月) 1
資訊保安管理系統 ISO/IEC 27000 標準系列概論
ISO/IEC 27001 認證的效益
機構獲取 ISO/IEC 27001 認證後,在內部
保安及對外競爭力方面,均會受惠。
在內部方面,機構採用 ISO/IEC 27001 可
獲得下述效益:
訂立依據,以便安全地交換資訊和保障
資料私隱,尤其是敏感資訊;
管理和減低風險承擔,從而減少發生事
故的機會,亦相應減少用於保安事故應
變的時間及金錢;
加強內部組織架構和改善業務的安全
性結構,如明確界定有關資訊保安的職
責及職務;
減少在投標合約時和批出合約後,按客
戶的要求分別用於整理和提交與保安
相關資訊的資源。
在對外方面,機構通過宣傳已獲取 ISO/IEC
27001 認證,可獲得下述效益:
給予客戶及持份者信心,讓他們了解機
構如何管理敏感資訊的風險及保安事
宜;
有助遵守法律責任,如《個人資料(私
隱)條例》;
享有競爭優勢,以助吸引更多投資者及
客戶;
改善服務及產品的一致性,從而提高客
戶的滿意度和挽留客戶;
由於保安流程經獨立認證機構核實,故
可保障和提升機構信譽,從而提高對機
構、資產、股東及董事的保障;
充分準備好面對客戶日益殷切的期望。
現時市民對資訊保安事故愈趨敏感,一
個認可國際標準認證或會漸漸成為客
戶採用服務的先決條件。
認證機構
ISO/IEC 27001 認證過程涉及由認證機構
給予的認可。認證機構須顯示已完全符合有
關國際標準的要求,即 ISO/IEC 17021《合
格評定 — 管理系統審計認證機構的要
求》及 ISO/IEC 27006《資訊保安管理系統
審計認證機構的要求》,才獲授予認可。
2011 年 11 月 15 日,香港認可處正式推出 ISO/IEC 27001 認證的認可服務。認證機構
可聯絡香港認可處,並提出認可申請。有關
申請純屬自願性質。
認證費用
首次認證費用包括推行資訊保安管理系統
和獲取 ISO/IEC 27001 認證所需的費用。
推行資訊保安管理系統的費用,主要取決於
機構現有與所需的保安控制措施之間的差
距。在推行費用方面,部分費用及資源用於
推行保安控制措施、編寫文檔、培訓人員等。
獲取認證的費用則包括外聘審計人員費用
(每天按一定比例收取的費用)、申請費、
證書費、維護費等。
香港的應用情況
根據國際標準化組織在 2018 年進行的調
查,全球 131 個國家及經濟體系已獲發至
少 31 910 張 ISO/IEC 27001 證書。在 2018
年,首三個獲發證書總數最多的國家分別是
中國( 7 199 張)、日本( 5 093 張)及英
國( 2 444 張)。根據同一調查的資料,香
港獲發的證書數目為 72 張,包括部分政府
部門就某些指定職能範疇取得的 ISO/IEC
27001 認證。
政府資訊科技總監辦公室於二零一五年四月出版(最後更新二零二零年五月) 2
資訊保安管理系統 ISO/IEC 27000 標準系列概論
ISO/IEC 27001 的推行情況和認證過程概要
• ISO/IEC 27001的推行情況
1
•制訂資訊保安政策 • 工作:確定業務目標並取得管理層的支持,以推行保安改善計劃。
2
•界定資訊保安管理系統範圍 • 工作:比較現有的資訊保安管理系統與ISO/IEC 27001的要求,同時選擇資訊保安管理系統將會涵蓋的業務單位、部門或系統。
3
•進行風險評估 • 工作:制訂風險評估的方法,備存須予保障的資訊資產清單,並按風險評估的風險分類排列資產。
4
•管理已確定的風險 • 工作:建立風險處理計劃,為資訊保安風險管理確立適當的管理工作、資源、職責及優先項目。
5
•選擇將會推行的控制措施 • 工作:擬備適用性聲明,記錄適用於資訊保安管理系統的控制措施(例如 ISO/IEC 27002中的114項保安控制措施)及這些措施的推行方法。
6
•推行控制措施 • 工作:制定計劃以推行已確定的控制措施。
• ISO/IEC 27001的認證
7
•準備認證 • 工作:操作資訊保安管理系統,並進行包括內部審計、管理覆檢及其他相關工作的整個流程。
8
•申請認證 • 工作:着手申請認證,其中包括在不同階段的檔案覆檢及有關遵行要求的實地審計。
政府資訊科技總監辦公室於二零一五年四月出版(最後更新二零二零年五月) 3
資訊保安管理系統 ISO/IEC 27000 標準系列概論
ISO/IEC 27000 標準系列
ISO/IEC 27000 標準系列(見附錄 B)包括
互有關連的標準及指南 (已經出版或正在擬備 ),以及若干重要的組成部分。這些組成
部分重點介紹有關資訊保安管理系統要求
( ISO/IEC 27001)、 ISO/IEC 27001 標準
的認證機構要求( ISO/IEC 27006)及資訊
保安管理系統於特定行業推行的外加要求
框架( ISO/IEC 27009)的參考標準。其他
標準及指南就推行資訊保安管理系統的不
同範疇提供指引,如一般流程、特定控制措
施指南及特定行業指南。
政府資訊科技總監辦公室於二零一五年四月出版(最後更新二零二零年五月) 4
資訊保安管理系統 ISO/IEC 27000 標準系列概論
ISO/IEC 27001 的現有版本在 2013 年發
布。除了上文最多提及的 ISO/IEC 27001、 ISO/IEC 27002 及 ISO/IEC 27018 外, ISO/IEC 27000 標準系列的一些其他標準
也被廣泛引用,例子包括:
ISO/IEC 27000 —《資訊保安管理系統 — 概述和詞彙》概述資訊保安管理系
統的資料,並提供資訊保安管理系統標
準系列的常用術語和定義。為確保用語
一致,所有 ISO/IEC 27000標準系列會
以 ISO/IEC 27000所載的術語及定義為
準。這標準提供入門概覽,讓讀者對 ISO/IEC 27000標準系列有初步了解。
ISO/IEC 27003 —《資訊保安管理系統 — 指南》就 ISO/IEC 27001所訂明對資
訊保安管理系統的要求提供指南,並載
述與這些要求相關的建議、可能情況及
允許情況。
ISO/IEC 27004 —《資訊保安管理 —監測、測量、分析和評價》提供指引,
協助機構評估資訊保安績效和資訊保
安管理系統的成效,以達到 ISO/IEC
27001所訂明有關監測、測量、分析和
評價的要求。
ISO/IEC 27005 —《資訊保安風險管
理》提供有關資訊保安風險管理的指
南。該標準進一步闡述 ISO/IEC 27001
所載的一般概念,旨在協助按風險管理
方法順利推行資訊保安措施。
ISO/IEC 27017 — 《 基 於 ISO/IEC
27002的雲端服務資訊保安控制措施
實務守則》提供支援推行資訊保安控制
措施並適用於雲端服務用戶及供應商
的指南。用戶及供應商可按照適用於雲
端服務的風險評估及其他要求,選擇適
當的控制措施和採用有關的推行指南。
這標準與 ISO/IEC 27018一併使用,涵
蓋範圍更為廣泛,除私隱外,還包括雲
端運算的資訊保安方向。
ISO/IEC 27031 —《資訊及通訊科技業
務連續性指南》說明有關促進業務連續
性的資訊及通訊科技就緒程度概念及
原則,並提供相關方法及流程的框架,
以識别和訂明可提升機構資訊及通訊
科技就緒程度的措施,以促進業務連續
性。
ISO/IEC 27035-1 —《資訊保安事故管
理 — 第 1部分:事故管理原則》載述
資訊保安事故管理的基本概念及各個
階段,並有系統地將這些概念與原則結
合,用於事故偵測、報告、評估和應變,
以及經驗教訓。
ISO/IEC 27035-2 —《資訊保安事故管
理 — 第 2部分:事故應變規劃和準備
指南》就事故應變的規劃和準備提供指
南。
ISO/IEC 27036-4 —《供應商關係資訊
保安 — 第 4部分:雲端服務保安指南》
制訂支援推行資訊保安管理系統並適
用於雲端服務的指南。
ISO/IEC 27037 —《數碼證據的識別、
收集、獲得和保全指南》提供指南,說
明處理數碼證據的具體工作,包括識
別、收集、獲得和保全或具證據價值的
潛在數碼證據。
政府資訊科技總監辦公室於二零一五年四月出版(最後更新二零二零年五月) 5
資訊保安管理系統 ISO/IEC 27000 標準系列概論
雲端運算中的個人識別資料 (PII)
目前,雲端運算以前所未有的方式不斷演
變,這個趨勢在未來數年將會持續和繼續發
展。雲端運算具備潛在的好處,在使用、維
護和提升方面亦具備成本效益。較諸傳統的
資料儲存方法,雲端運算的資料備份和復原
方法亦較為容易。此外,雲端運算亦具備快
速配置和便利獲取資訊的好處。
一些機構將應用系統遷移到雲端。從機構的
角度來看,雲端運算的保安,尤其是資料保
安和私隱保障等問題備受關注,這些仍然是
阻礙機構採用雲端運算服務的主要因素。
ISO/IEC 27018:2019 標準(下稱 ISO/IEC
27018)的名稱為《 PII 處理者在公共雲端
上保護 PII 的實務守則》。這是首個專為保
障公共雲端上個人資料而設的國際標準。 ISO/IEC 27018 主要闡述普遍用作保障經
公共雲端服務供應商 (即個人識別資料處理商 )處理的個人識別資料的控制目標、控制
措施和指南。
ISO/IEC 27018 為通過雲端處理個人識別
資料的所有類型及規模的私營或公營機構 (個人識別資料處理商 )而設。
ISO/IEC 27018 的保障個人識別資料控制措施
制訂 ISO/IEC 27018 時已考慮 ISO/IEC
27002 所載的要求,並通過以下兩種方法加
強 ISO/IEC 27002 的 內 容 : 第 一 , 就 ISO/IEC 27002 所訂明的控制措施實施指
南作出補充;第二,提供 ISO/IEC 27002 未
有涵蓋的額外控制措施和相關的實施指南,
以配合保障在公共雲端上的個人識別資料
的 要 求 。 就 第 一 種 方 法 而 言 , ISO/IEC
27018 在以下 11 項 ISO/IEC 27002 控制
措施制訂了額外的實施指南:
資訊保安政策
資訊保安組織架構
人力資源保安
接達控制
加密方法
實體和環境保安
操作保安
通訊保安
資訊保安事故管理
資訊保安方面的業務連續性管理
遵行要求
就第二種方法而言, ISO/IEC 27018 附件 A載列 11 項在 ISO/IEC 27002 基礎上的加強
控制措施,以符合保障個人識別資料的要
求,該等要求適用於作為個人識別資料處理
商的公共雲端服務供應商。這些加強控制措
施根據 ISO/IEC 29100:2011《資訊科技 —保安技術 — 私隱框架》(下稱 ISO/IEC
29100) 的 11 項 私 隱 原 則 分 類 。 有 關 ISO/IEC 29100 的私隱原則載於附錄 A。
ISO/IEC 27018 的效益
ISO/IEC 27018 適用於處理從用戶獲取的個人識別資料,以作用戶與雲端服務供應商所
訂立的合約中已訂明的用途。通過採用 ISO/IEC 27018,機構可:
用作指引,以便遵行有關保障資料的要求;
贏取客戶的信任,以便他們把資料託管於雲端平台,從而拓展客源;以及
協助在跨國市場營運的公共雲端服務供應商符合不同國家的保障資料標準,並在不
同司法管轄區進行複雜評估。
政府資訊科技總監辦公室於二零一五年四月出版(最後更新二零二零年五月) 6
資訊保安管理系統 ISO/IEC 27000 標準系列概論
後記
ISO/IEC 27001 闡述資訊保安管理系統的
正式規格,着重於「管理系統」而非「資訊
保安」。已認證的資訊保安管理系統能明確
顯示該機構正通過系統化方法鑑別、評估和
附錄 A
ISO/IEC 27001:2013 的目錄
0. 簡介 1. 範圍 2. 參考標準 3. 術語和定義 4. 組織架構環境 5. 領導 6. 規劃 7. 支援 8. 操作 9. 績效評估 10. 改善
附件 A 控制目標和控制措施參考
參考書目
ISO/IEC 29100:2011 的私隱原則
1. 同意與自主 2. 使用目的之合法性與闡明該目的 3. 搜集限制 4. 資料最小化 5. 使用、保存與披露資料的限制 6. 準確性與質素 7. 公開、透明與通知 8. 個別參與和查閱 9. 相關責任 10. 資訊保安 11. 遵守私隱
管理資訊保安風險。資訊保安管理系統若能
有效操作,則可確保已採取足夠的保安控制
措施。 ISO/IEC 27001 證書可有助推廣、提
高公信力和增加客戶信心。
ISO/IEC 27002:2013 的目錄
0. 簡介 1. 範圍 2. 參考標準 3. 術語和定義 4. 本標準的結構 5. 資訊保安政策 6. 資訊保安組織架構 7. 人力資源保安 8. 資產管理 9. 接達控制 10. 加密方法 11. 實體和環境保安 12. 操作保安 13. 通訊保安 14. 系統購置、發展和維護 15. 供應商關係 16. 資訊保安事故管理 17. 資訊保安方面的業務連續性管理 18. 遵行要求
參考書目
政府資訊科技總監辦公室於二零一五年四月出版(最後更新二零二零年五月) 7
資訊保安管理系統 ISO/IEC 27000 標準系列概論
附錄 B
以下 ISO/IEC 27000 標準系列的資訊保安標準已經出版或正在擬備(註: TR 指技術報告; TS 指技術規格):
標準 出版 名稱
ISO/IEC 27000 2018 資訊保安管理系統 — 概述和詞彙
ISO/IEC 27001 2013 資訊保安管理系統 — 要求
ISO/IEC 27002 2013* 資訊保安控制措施實務守則
ISO/IEC 27003 2017 資訊保安管理系統 — 指南
ISO/IEC 27004 2016 資訊保安管理 — 監測、測量、分析和評價
ISO/IEC 27005 2018* 資訊保安風險管理
ISO/IEC 27006 2015 資訊保安管理系統審計認證機構的要求
ISO/IEC 27007 2020 資訊保安管理系統審計指南
ISO/IEC TS 27008 2019 資訊保安控制措施評估指南
ISO/IEC 27009 2020 ISO/IEC 27001 的特定行業應用 — 要求
ISO/IEC 27010 2015 行業間和機構間通訊的資訊保安管理
ISO/IEC 27011 2016*基於 ISO/IEC 27002 的電訊組織資訊保安控制措施實務
守則
ISO/IEC 27013 2015* ISO/IEC 27001 和 ISO/IEC 20000-1 的整合實施指南
ISO/IEC 27014 2013* 資訊保安管治
ISO/IEC TR 27016 2014 資訊保安管理 — 組織經濟學
ISO/IEC 27017 2015基於 ISO/IEC 27002 的雲端服務資訊保安控制措施實務
守則
ISO/IEC 27018 2019 PII 處理者在公共雲端上保護 PII 的實務守則
ISO/IEC 27019 2017 能源公共行業資訊保安控制
ISO/IEC 27021 2017 資訊保安管理系統專業人員能力要求
ISO/IEC 27022 擬稿 ^ 資訊保安管理系統過程指南
ISO/IEC TR 27023 2015 ISO/IEC 27001 和 ISO/IEC 27002 修訂版本對照
ISO/IEC 27030 擬稿 ^ 物聯網的保安和私隱指南
ISO/IEC 27031 2011* 資訊及通訊科技業務連續性指南
ISO/IEC 27032 2012* 網絡安全指南
ISO/IEC 27033-1 2015 網絡安全 — 第 1 部分:概述和概念
ISO/IEC 27033-2 2012 網絡安全 — 第 2 部分:網絡安全設計和實施指南
ISO/IEC 27033-3 2010 網絡安全 — 第 3 部分:威脅、設計技術和控制問題
ISO/IEC 27033-4 2014網絡安全 — 第 4 部分:使用安全網關保護網絡之間的
通訊
ISO/IEC 27033-5 2013網絡安全 — 第 5 部分:使用虛擬專用網絡 (VPN)保護
跨網絡的通訊安全
ISO/IEC 27033-6 2016 網絡安全 — 第 6 部分:保護無線 IP 網絡訪問
ISO/IEC 27034-1 2011 應用保安 — 第 1 部分:概述和概念
政府資訊科技總監辦公室於二零一五年四月出版(最後更新二零二零年五月) 8
資訊保安管理系統 ISO/IEC 27000 標準系列概論
標準 出版 名稱
ISO/IEC 27034-2 2015 應用保安 — 第 2 部分:組織規範性框架
ISO/IEC 27034-3 2018 應用保安 — 第 3 部分:應用保安管理過程
ISO/IEC 27034-4 擬稿 ^ 應用保安 — 第 4 部分:驗證和確認
ISO/IEC 27034-5 2017 應用保安 — 第 5 部分:協議和應用保安控制數據結構
ISO/IEC TS 27034-
5-1 2018
應用保安 — 第 5-1 部分:協議和應用保安控制數據結
構,XML 模式
ISO/IEC 27034-6 2016 應用保安 — 第 6 部分:案例分析
ISO/IEC 27034-7 2018 應用保安 — 第 7 部分:安全保證預測框架
ISO/IEC 27035-1 2016* 資訊保安事故管理 — 第 1 部分:事故管理原則
ISO/IEC 27035-2 2016*資訊保安事故管理 — 第 2 部分:事故應變規劃和準備
指南
ISO/IEC 27035-3 擬稿 ^ 資訊保安事故管理 — 第 3 部分: ICT 事故應變操作指
南
ISO/IEC 27036-1 2014 供應商關係資訊保安 — 第 1 部分:概述和概念
ISO/IEC 27036-2 2014* 供應商關係資訊保安 — 第 2 部分:要求
ISO/IEC 27036-3 2013*供應商關係資訊保安 — 第 3 部分: ICT 供應鏈保安指
南
ISO/IEC 27036-4 2016 供應商關係資訊保安 — 第 4 部分:雲端服務保安指南
ISO/IEC 27037 2012 數碼證據的識別、收集、獲得和保全指南
ISO/IEC 27038 2014 數碼脫敏規格
ISO/IEC 27039 2015* 入侵偵測和防護系統( IDPS)的選擇、部署和操作
ISO/IEC 27040 2015* 儲存保安
ISO/IEC 27041 2015 確保事故調查方法適宜性和充足性的指南
ISO/IEC 27042 2015 數碼證據分析和解釋指南
ISO/IEC 27043 2015* 事故調查原則和過程
ISO/IEC 27045 擬稿 ^ 大數據保安和私隱 — 過程
ISO/IEC 27046 擬稿 ^ 大數據保安和私隱 — 實施指南
ISO/IEC 27050-1 2019 電子發現 — 第 1 部分:概述和概念
ISO/IEC 27050-2 2018 電子發現 — 第 2 部分:電子發現管治和管理指南
ISO/IEC 27050-3 2020 電子發現 — 第 3 部分:電子發現實務守則
ISO/IEC 27050-4 擬稿 ^ 電子發現 — 第 4 部分:技術就緒程度
ISO/IEC 27070 擬稿 ^ 虛擬化信任根的保安要求
ISO/IEC 27071 擬稿 ^ 建立裝置與服務之間可信賴連接的保安建議
ISO/IEC 27099 擬稿 ^ 公共密鑰基礎設施 — 作業模式和政策框架
ISO/IEC TS 27100 擬稿 ^ 網絡安全 — 概述和概念
ISO/IEC TS 27101 擬稿 ^ 網絡安全 — 框架發展指南
ISO/IEC 27102 2019 網絡保險指南
ISO/IEC TR 27103 2018 網絡安全與 ISO/IEC 標準
ISO/IEC TR 27550 2019 系統生命周期過程的私隱工程化
ISO/IEC 27551 擬稿 ^ 以屬性為本不可連接實體認證的要求
政府資訊科技總監辦公室於二零一五年四月出版(最後更新二零二零年五月) 9
資訊保安管理系統 ISO/IEC 27000 標準系列概論
標準 出版 名稱
ISO/IEC 27553 擬稿 ^ 在流動裝置使用生物特徵識別的保安要求
ISO/IEC 27554 擬稿 ^ ISO 31000 在評估身分管理相關風險的應用
ISO/IEC 27555 擬稿 ^ 刪除 PII 指南
ISO/IEC 27556 擬稿 ^ 基於私隱偏好處理 PII 的以用戶為中心的框架
ISO/IEC TS 27570 擬稿 ^ 智慧城市私隱指南
ISO/IEC 27701 2019 ISO/IEC 27001 和 ISO/IEC 27002 私隱資訊管理的延伸
— 要求和指南
ISO 27799 # 2016健康資訊學 — 使用 ISO/IEC 27002 的健康資訊保安
管理
^ 擬備中
* 正進行調整
# 並非使用同一通用名稱的國際標準,但屬 ISO/IEC 27000 系列的標準
參考資料 1. 參考 http://www.iso.org
有關 ISO/IEC 27000 標準系列的內容
2. 參考 http://www.pc-history.org/17799.htm
有關 ISO/IEC 27001 的演變
3.參考 https://www.iso.org/the-iso-survey.html
有關 ISO 證書調查報告
政府資訊科技總監辦公室於二零一五年四月出版(最後更新二零二零年五月) 10