# ISO/IEC 27001:2022 轉版心得 更新時間:2023/6/3 心得 --- 記得首次接觸ISMS已經是2013/2014年的時候 上完27001 LA:2013也過了七八年 這次來上轉版其實蠻多感觸 以前總以為上過、考試有過就有個大概可以朝顧問方向 但實際上資訊安全管理系統是導向整個公司的 所以如果你對公司整個營運、管理上的資安標準遵循不熟 真的不要說你懂資安(資安除了技術面向以外，管理的方式也很重要) 標準、建議都是參考， 因為資安是要套用到你的環境 如果你對你的環境不夠了解 那麼這套針對資訊安全進行管理的一套系統性方法 就可能無法被落實 另外還有一點要注意的是 認真來說這不是證照 只是你參加受到國際組織和通過國家驗證機構TAF認可的機構 在上完該機構舉辦的標準認知教育訓練後 課後對於上課者評估對於課程內容了解程度 假設通過一定程度就可以給你一個證明證明你了解 這幾天上課的內容(或標準規範) 所以不要以為有ISO 27001 LA就覺得很厲害 重點還是在於當ISO 27001用在實務上他的推行、營運以及檢核改善 對於公司的整體營運越清楚越了解，越能夠輔助導入 但是導入不是重點，重點在於訂出來的四階文件有沒有被遵循 不是流於形式，後續的維運才是重點 並且相關的規範要隨著時間去修正異動調整 該有的紀錄都要有 切記 這個不是證照 而是 被發證機構認可的教育訓練機構 協助上課(發證機構例如 SGS、BSI、TCIC)開立的上課證明 不要以為上完課程真的就 Lead Auditor 你拿到的只是叫做 LAC (Lead Auditor Training Course) 還有一件事情就是轉版是台灣自己搞出來的 正確還是要上五天的課程 所以才有ISO/IEC 27001:2022 Lead Auditor Transition Training Course 轉版課大概有什麼 --- * 新版ISO 27001異動與架構說明 * 新版ISO 27001條文與控制措施要點解析 * 轉版考試 有沒有IRCA的差別 -- 你在報名課程的時候就該注意到他是有沒有IRCA的 通常課程名稱會顯示為 ISO/IEC 27001:2022 CQI & IRCA主導稽核員訓練課程 如果沒有(你報的課程是ISO/IEC 27001:2022主導稽核員訓練課程) 你通過測驗的那張證明就不會有 CQI & IRCA IRCA是什麼? 可以參考這篇https://www.asfalisint.com/post/about_lac_certs 一般來說 CQI & IRCA主導稽核員訓練課程 會比較硬->有人監課 條件可以看一下這篇 CQI / IRCA主導稽核員申請條件 https://www.uuu.com.tw/Course/Partner/%E5%9C%8B%E9%9A%9B%E6%A8%99%E6%BA%96/section=test2/title=IRCA%20%E4%B8%BB%E5%B0%8E%E7%A8%BD%E6%A0%B8%E5%93%A1%E7%94%B3%E8%AB%8B%E6%A2%9D%E4%BB%B6 重點提示 --- 認證機構（Accreditation Body，AB） 國家認證機構（National Accreditation Body，AB） TAF(台灣) 、UKAS(英國)、ANAB(美國)、COFRAC(法國)、CNAB(中國)、JAB( 日本)、DAR(德國)及KAB(韓國)…等。 驗證機構（Certification Body，CB） 台灣TAF登記有7家(通過ISO/IEC 17021-1 管理系統驗證機構) (資訊安全管理系統ISMS ISO/ISC27001) SGS 台灣檢驗科技股份有限公司 BSI 香港商英國標準協會太平洋有限公司台灣分公司 AFNOR 艾法諾國際股份有限公司 TCIC 環奧國際驗證有限公司 ARES 亞瑞仕國際驗證有限公司 ETC 財團法人台灣商品檢測驗證中心 TUV 台灣德國北德技術監護顧問股份有限公司 **弄清楚驗證跟認證的差別** 你做好一件事情，找一個公正第三方(TAF認可的公司)來確認你(訂好的範圍)真的有按照標準去做->這叫做驗證(Certification) 驗證比較像是找一個懂這領域的第三方 幫你背書你有做到 資安法中資訊安全管理系統之導入及通過公正第三方之驗證(要求內容是於三年內完成公正第三方驗證，並持續維持驗證之有效性) 這裡的公正第三方就是上述TAF認可的七家 注意到第三方核發之驗證證書應有經濟部標準檢驗局委託機構TAF全國認證基金會之認證標誌 不同點在於資安法子法資通安全管理法施行細則 受託者辦理受託業務之相關程序及環境，應具備完善之資通安全管理措施或通過第三方驗證->這裡通常指的是乙方，也就是提供服務者(廠商)，這邊驗證並沒有要求前面提到TAF認可的七家 你弄了間實驗室也是按照國際標準去建，你找了認可實驗室的機構(TAF)確認你的實驗室有照標準並且被認可->這叫做認證(Accreditation) 認證比較像是被有公權力的單位確認你有資格 國際認證論壇（IAF）多邊相互承認協議 IAF MULTILATERAL RECOGNITION AGREEMENT (MLA) **ISO/IEC 27001 在MLA階層屬於第五層Level 5** ISO/IEC 17021-1 在MLA階層屬於第三層Level 3 ISO/IEC 27006 在MLA階層屬於第四層Level 4 ISO/IEC 17024 在MLA階層屬於第三層Level 3 強制性文件 Mandatory Documents 「modify」、「revise」 和 「amend」 這三個動詞都可以用來談論和法律有關的話題，其中「modify」 多用來表示 「變更」，而 「revise」 和 「amend」 則更常用來談論在發現錯誤或不充分的部分後 「作出修正、修訂」 **標記COR表示為修訂版本** Cyber Security舊稱資訊安全，CNS 62443-1-1將Cyber Security中譯為網宇安全，分支IT Security和OT Security ISO/IEC 27100:2020 Cybersecurity-safeguarding of society, people, organization and nation from cyber risks NIST Cybersecurity Framework(CSF)資訊安全框架 目前釋出2.0草案版本 可參考以下兩篇 - 公部門一定要認識的 NIST CSF —各國都在使用的熱門資安架構 https://medium.com/upas/%E5%B8%B6%E4%BD%A0%E8%AA%8D%E8%AD%98nist-cybersecurity-framework-303fb84e252c - 因應智慧資安時代，淺談NIST CSF網路安全框架2.0概念文件帶來的新改變 https://www.bsigroup.com/zh-TW/blog/Cybersecurity-and-Information-Resilience-Blog/2023/nist-csf-2/ 除了可用性為OT系統的重點外，OT系統也要考量一旦發生事故，對Health(健康),Safty(安全),and Environment(環境)，簡稱HSE可能造成的後果或嚴重性 **條文的探討** --- ISO 27001 主條文第4-10章 **Plan 第4、6、7章節 Do 第8章節 Check 第9章節 Act 第10章節** 要求事項(Requirement)->一定要做的 **當組織宣稱符合本國際標準(ISO/IEC 27001)時，不得排除第四至十章節所規定之任何要求事項** 27001 -> 教科書 27002 -> 參考書->教你如何做 原有的**14條款類別，重新調整為4大類別 (組織控制、人員控制、實體控制與技術控制) (Organization, People, Physical,Technological)** A.5 組織控制 (A.5.1~A.5.33) A.6 人員控制 (A.6.1~A.6.8) A.7 實體控制 (A.7.1~A.7.14) A.8 技術控制 (A.8.1~A.8.34) **資訊安全控制措施數量從114項減少到93項** 這93項包含(82+11) 合併了24個控制措施，更新了58個控制措施，新增了11個控制措施 **改版後已經沒有->35個控制目標** **新版已無控制目標，但於每個控制措施增加目的** 控制措施屬性表Attribute table包含(控制措施形式、資訊安全性質、網宇安全概念、運作能力、安全領域 以下**11個控制措施為改版後新增 A.5.7 威脅情資 A.5.23 使用雲端服務之資訊安全 A.5.30 營運持續之ICT備妥性 A.7.4 實體安全監視 A.8.9 組態管理 A.8.10 資訊刪除 A.8.11 資訊遮蔽 A.8.12 資料洩漏預防 A.8.16 監視活動 A.8.23 網頁過濾 A.8.28 安全程式設計** 異動摘要 -- 新增 6.3變更之規劃 9.2.1概述（內稽）(舊版本為使用者註冊及註銷) 9.2.2內部稽核計畫(舊版本為使用者存取權限之配置) 9.3.1(概述（管審）)(就版本為秘密鑑別資訊之使用) 9.3.2管理審查輸入 9.3.3管理審查結果 內容修訂 4.2了解關注方之需要與期望 4.4資訊安全管理系統 5.3組織角色職責與權限 6.2資訊安全目標及其達成目標之規劃 7.4溝通或傳達 8.1運作之規劃與控制 9.1監督測量分析評估 9.2.2內部稽核方案 9.3.2管理審查輸入 詞彙異動 4.4資訊安全管理系統 5.3組織角色職責與權限 6.1.3資訊安全風險處理 7.5.1一般要求 7.5.3文件化之控制 9.2.1概述（內稽） 順序變更(新版本為將2013版本兩個條款對調) 10.1持續改善 10.2不符合項目與矯正措施 備考異動或新增 4.1了解組織及其全景 4.2了解關注方之需要與期望 5.1領導及承諾 5.3組織角色則責與權限 6.1.3資訊安全風險處理 7.5.3文件化資訊之控制 名詞解釋 --- 機密性->使資訊不提供或不揭露予未獲授權之個人、個體或過程的性質 完整性->準確度及完整性之性質 可用性->一旦獲得授權個體提出需求時，即可取得及使用之性質 存取控制->用以確保存取資產係依據營運及安全之要求事項授權並受限的措施 鑑別->對個體宣稱之特性為正確，提供保證 不可否認性->證明發生所宣稱事件或行動，以及其發端個體之能力 可靠性/可靠度->意欲行為與結果一致之性質 資訊安全->保存資訊之機密性、完整性及可用性 資訊安全治理->指導及控制組織資訊安全活動之系統 利害關係人->能影響、受影響或感受本身將受決策或活動影響之個人或組織 管理系統->一套相互關聯或交互作用的原件，組織用以建立政策及目標，以及用以建立達成該目標之過程 事件->一組特定情況之發生或變動 資訊安全事件->系統、服務或網路狀態之被識別對象，指出可能係資訊安全政策的漏洞或保全之失效，或之前不知可能與資訊安全相關的情況 資訊安全事故->有顯著機率危害營運及威脅資訊安全之單一或一連串所欲或非預期的資訊安全事件 資訊安全事故管理->資訊安全事故之偵測、通報、評鑑、回應、處理及從中學習的過程 資訊安全持續性->用以確保持續之資訊安全運作的過程及程序 風險->對目標之不確性的效應 後果->影響目標之事件的結果 可能性->某事發生之機會 風險等級->風險之大小，以後果及可能性之組合表示之 威脅->非所欲事故之潛在原因，其可能導致對系統或組織的傷害 脆弱性->資產或控制措施之弱點，其能被1或多項威脅所利用 風險當責者->具可歸責性及權責管理風險之個人或個體 線上參考資源 --- ISO/IEC 27001:2022 https://www.iso.org/standard/27001 新版 ISO/IEC 27001:2022 標準 https://www.bsigroup.com/zh-TW/ISO-27001-Information-Security/ISOIEC-27001-Revision/ 新版ISO 27001：2022轉版重點整理 https://ucomedu.blogspot.com/2023/02/iso-270022022.html ISO/IEC 27001：2022 改版獨家深度解析 https://www.isoleader.com.tw/home/iso_news_detail/227210 ISO/IEC 27001：2022改版秘辛 https://www.cc.ntu.edu.tw/chinese/epaper/home/20230320_006407.html ISO/IEC 27001:2022 版與2013 版關鍵差異說明轉版指引說明 https://twap.sgs.com/trainsys/data/Changes-in-ISO-27001-2013-2022-Guidance.pdf ISO 27001：2022資訊安全管理系統改版重點說明 https://www.jsconsulting.com.tw/iso-27001-2022/ 新版ISO 27002:2022出爐，資安控制措施正式修訂為4大類93項 https://www.ithome.com.tw/news/149520 ISO 27002:2022 改版重點解析 /上篇 https://cybersecurenews.com.tw/policy-008/ ISO 27002:2022 改版重點解析 /下篇 https://cybersecurenews.com.tw/policy-009/ ISO 27001:2013轉版實務注意事項 http://mis.bankshung.net/2014/05/iso-270012013.html ###### tags: `ISO` `27001`