Reading Time: 2 minutes ISO 27001 – 4個主題 93個控制項
了解 ISO 27001:2022 的四大主題
ISO 27001:2022 是資訊安全管理系統(ISMS)的國際標準,提供了一個強大的框架來保護敏感資料。該標準要求組織在14個領域內實施93項控制措施,分為四個關鍵主題:組織控制、人的控制、實體控制和技術控制。以下我們將探討這些主題及其相關控制措施,幫助您加強組織的安全態勢。
組織控制
組織控制是有效ISMS的支柱,專注於領導、政策和治理(條款5-6)。這些控制措施將業務目標與風險管理相結合,確保資訊安全採取結構化的方法。
關鍵焦點領域:
- 領導與治理:建立明確的政策並分配角色以推動責任。
- 風險管理:將安全目標與業務目標整合,以有效減輕風險。
- 供應商關係:確保安全措施延伸至第三方供應商和雲端服務。
- 事件管理:以結構化的流程準備和應對安全事件。
控制措施(37項):
- 資訊安全政策
- 資訊安全角色與責任
- 職責分離
- 管理責任
- 與當局聯繫
- 與特殊利益團體聯繫
- 威脅情報 (新增)
- 專案管理中的資訊安全
- 資訊及其他相關資產的清單 (變更)
- 資訊及其他相關資產的可接受使用 (變更)
- 資產返還
- 資訊分類
- 資訊標籤
- 資訊傳輸
- 存取控制
- 身份管理
- 認證資訊 (新增)
- 存取權限 (變更)
- 供應商關係中的資訊安全
- 在供應商協議中處理資訊安全
- 資訊與通訊技術供應鏈中的資訊安全管理 (新增)
- 供應商服務的監控、審查和變更管理 (變更)
- 雲端服務使用的資訊安全 (新增)
- 資訊安全事件管理規劃與準備 (變更)
- 資訊安全事件的評估與決策
- 應對資訊安全事件
- 從資訊安全事件中學習
- 證據收集
- 中斷期間的資訊安全 (變更)
- 業務連續性的資訊與通訊技術準備 (新增)
- 識別法律、法定、監管和合同要求
- 知識產權
- 記錄保護
- 隱私和個人身份資訊保護
- 資訊安全的獨立審查
- 遵守資訊安全政策和標準
- 文件化的操作程序
人的控制
人是組織的最大資產,也是潛在的弱點。條款7強調能力、意識和文化,以減輕與人相關的風險。
關鍵焦點領域:
- 培訓與意識:為員工提供知識,以識別和防止安全威脅。
- 責任:建立明確的責任和安全疏忽的後果。
- 遠端工作安全:解決分散工作環境的相關風險。
控制措施(8項):
- 篩選
- 勞動合同條款與條件
- 資訊安全意識、教育和培訓
- 紀律程序
- 終止或變更僱傭後的責任
- 保密或不披露協議
- 遠端工作 (新增)
- 資訊安全事件報告
實體控制
實體控制將安全延伸至IT之外,專注於保護設施、設備和存取點(附件A.7)。這些措施確保數位和實體安全之間的平衡。
關鍵焦點領域:
- 環境安全:防範火災或盜竊等實體和環境威脅。
- 存取管理:保護入口點和敏感區域。
- 設備保護:確保資產的安全處理和處置。
控制措施(14項):
- 實體安全邊界
- 實體進入控制
- 保護辦公室、房間和設施
- 實體安全監控
- 防範實體和環境威脅
- 在安全區域工作
- 桌面與螢幕清空
- 設備定位與保護
- 場外資產的安全
- 儲存媒體 (新增)
- 支援設施
- 電纜安全
- 設備維護
- 設備的安全處置或再利用
技術控制
技術控制(附件A和條款8)專注於將加密和存取控制等先進工具與操作流程整合,提供全面的保護。
關鍵焦點領域:
- 安全系統:實施強大的認證、加密和網路安全。
- 開發安全:確保安全的編碼實踐和測試。
- 資料保護:防止資料洩露並確保適當的備份。
控制措施(34項):
- 使用者端點設備 (新增)
- 特權存取權限
- 資訊存取限制
- 原始碼存取
- 安全認證
- 容量管理
- 防範惡意軟體
- 技術漏洞管理
- 配置管理
- 資訊刪除 (新增)
- 資料遮罩 (新增)
- 資料洩露防範 (新增)
- 資訊備份
- 資訊處理設施的冗餘
- 日誌記錄
- 監控活動
- 時鐘同步
- 特權公用程式使用
- 運營系統上的軟體安裝
- 網路控制
- 網路服務安全
- 網路分段
- 網頁過濾 (新增)
- 加密使用
- 安全開發生命週期
- 應用程式安全要求 (新增)
- 安全系統架構與工程原則 (新增)
- 開發與驗收中的安全測試
- 外包開發
- 開發、測試和生產環境的分離
- 變更管理
- 測試資訊
- 審計和測試期間的資訊系統保護
結論
ISO 27001:2022 的93項控制措施,分為四大主題,為保護組織的資訊資產提供了一個全面的框架。通過解決組織治理、人為因素、實體環境和技術防護措施,企業可以建立一個適應現代安全挑戰的強大ISMS。實施這些控制措施不僅增強了安全性,還展示了保護敏感資料的承諾,促進與利益相關者的信任。
