博創資訊科技股份有限公司
首頁 | 諮詢服務 | Q&A | 檔案下載
   
新知分享
 
 
新知分享
ISO 國際認證
資訊安全新知
職場經營
> 新知分享首頁 新知分享
新知分享

‧ISO 27001:2022 新版資安管理系統 (ISMS) 國際標準正式發行

 

 ISO 27001:2022 新版資安管理系統 (ISMS) 國際標準正式發行

 

資料來源:資安見聞錄新知來源網址

作者:花俊傑

2022年10月25日

 

眾所矚目的ISO 27001:2022新版資安管理系統 (ISMS) 國際標準,終於在今日正式公布發行了,以下簡要地說明新版標準與舊版之間主要的差異:

1. ISO 27001:2022新版國際標準從原本的「資訊技術-安全技術-資訊安全管理系統-要求事項 (Information technology - Security techniques — Information security management systems — Requirements),更名為「資訊安全、網路安全和隱私保護-資訊安全管理系統-要求事項 (Information security, cybersecurity and privacy protection — Information security management systems — Requirements)。
2. ISO 27001:2022新版國際標準的附錄A,採用了今年二月中已更新發行的ISO 27002:2022的四個控制領域 (組織、人員、實體、技術) 與93個控制措施。在舊版標準中所使用的控制目標 (Objective) 被移除了,改為以目的 (Purpose) 來取代,至於新增加的5個控制屬性 (five attribute),則可由組織自行選用,並非強制要求。
3. ISO 27001:2022新版國際標準的內容文字,以文件 (document) 取代原先使用的國際標準 (International Standard)。
4. ISO 27001:2022新版國際標準在本文「4.4資訊安全管理系統」,要求定義建 立、實作、維持及持續改善資訊安全管理系統所需的流程 (process)。
5. ISO 27001:2022新版國際標準更明確要求在組織內和資安有關的溝通角色。
6. ISO 27001:2022新版國際標準,微調了部份條款內容和編號,例如: 原先的「9.2 內部稽核」內容增加了「9.2.1 General 一般要求」和「9.2.2 Internal audit programme 內稽計畫」;「9.3管理審查」內容則增加了「9.3.1 General 一般要求」、「9.3.2 Management review inputs 管理審查輸入」及「9.3.3 Management review results 管理審查結果」。另外,原先舊版標準的「10 改善」,則是調整順序為「10.1 Continual improvement 持續改善」和「10.2 Nonconformity and corrective action 不符合項目及矯正措施」,僅將原先的編號對調但內容要求不變。

 

§ 轉版時程與規劃安排 

依據所得知的消息,自2022年11月1日起將會有3年的新舊版證書轉換期,所有的2013年舊版標準證書,預計將在2025年11月1日起失效。

目前已取得2013年舊版證書的組織,可以選擇在既定的後續審查 (CAV) 或三年重審 (RA) 時,同時進行轉版稽核,但要注意的是從2024年5月1日起,想要申請 ISO 27001 首次驗證 (IA) 或進行三年重審的組織,就不能選擇再採用2013年舊版標準來進行稽核了。

至於轉版的規劃,以下步驟可作為參考:

1. 取得新版的ISO 27001:2022國際標準,若有需要也可取得ISO 27002:2022國際標準,以便了解新版控制措施的實施指引。
2. 針對新版國際標準的要求,進行差異分析 (包括本文和附錄A) 和風險評鑑。
3. 針對ISMS管理體系和現有的控制措施,實施必要的改變和調整,並保留實施的文件化證據 (在轉版驗證時提供給稽核員看)。
4. 請務必更新適用性聲明書 (SOA) 以反映所實施新版國際標準的控制措施,並且說明適用和不適用的理由。
5. 主動與組織的驗證單位連繫,提早確認預計要進行轉版稽核的時間。

‧ISO 27701:2019 第一個隱私保護和個資管理的ISO標準誕生

 

 ISO/IEC 27701:2019

 第一個隱私保護和個資管理的ISO標準誕生

 

資料來源:資安見聞錄新知來源網址

作者:花俊傑

2019年8月8日

 

有鑑於國際上愈來愈多對於隱私保護和法令法規的要求,以及幾乎所有的組織都會有處理個人資料 (PII) 的情況,保護個人資訊和隱私已然成為民眾普遍的期望。

目前,ISO/IEC 27001已是國際上公認為資訊安全管理系統的首要標準,不過,在隱私保護方面除了所需的資安控制措施之外,如何因應法令法規對於個資和隱私保護的要求,以及從PII的控制者和PII的處理者的不同角度來實現和滿足,這也讓ISO組織開始著手編寫ISO/IEC 27552 (ISO/IEC 27701的前身) 標準,希望在既有的資訊安全管理系統 (ISMS)上,也能延伸補充個資管理系統 (PIMS) 的要求和實施指引。

如今,「ISO/IEC 27701:2019 Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines」已在2019年8月正式發布,成為全球第一個隱私保護和個資管理的ISO標準。

 

§ ISO/IEC 27701的內容分為8個章節如下:

 1.Scope

 2.Normative references

 3.Terms, definitions and abbreviations

 4.General

 5.PIMS-specific requirements related to ISO/IEC 27001

 6.PIMS-specific guidance related to ISO/IEC 27002

 7.Additional ISO/IEC 27002 guidance for PII controllers

 8.Additional ISO/IEC 27002 guidance for PII processors

第一到第三章,主要是適用範圍、參考標準和名詞定義的說明,ISO/IEC 27701適用於任何類型的組織,包括公務機關、民營企業及非營利組織。
第四章則是整體性的說明,包括PIMS的要求如何對應到ISO/IEC 27001的4~10章管理體系,以及PIMS增項的指引如何對應到ISO/IEC 27002的5~18章的控制措施。
第五章和第六章的內容,則是進一步敘述在第四章提到的PIMS對應ISO/IEC 27001管理體系要求和ISO/IEC 27002控制措施實施指引。
至於第七章和第八章,則分別從PII控制者和PII處理者的角度,說明包括蒐集和處理個資的情況和條件、應遵循的個資保護原則、設計和預設的隱私考量,以及個資的分享、傳輸和揭露的增項要求。
最後,在標準的附錄A~F中還補充了PII控制者和PII處理者可參考的控制目標和控制措施,以及對應到 ISO/IEC 29100、GDPR、ISO/IEC 27018、ISO/IEC 29151 的條款編號,並且加上如何應用此標準的說明,對於想要整合多項標準和遵循GDPR的組織而言是很清楚的參考資訊。

 
 
  Coptright © 2013 SafeLink All Rights Reserved Designed By mor-e 首頁 | 諮詢服務 | Q&A
博創資訊科技股份有限公司   博創資訊科技股份有限公司 版權所有      TEL: (04) 2525-0535 FAX: (04) 2461-5268 E-mail: sam@safelink.com.tw