資通安全管理法與ISO27001

2018-11-26

作者:宋範翔律師


立法院於2018年5月11日三讀通過《資通安全管理法》,而總統已於2018年6月6日公布實施,惟正式施行日期由主管機關另定。

曾經,資通安全管理法草案第18條,因規定主管機關或直轄縣市政府,認為有必要時,得派員攜帶執行職務證明文件,進入非公務機關檢查,而引起擴權、相關條文有違明確性原則等等爭議,有興趣者請查閱相關輿論報導。

以上問題或許有機會再討論,現在關注的是該草案第2條之立法說明其中提到用詞定義,有參考美國家標準技術研究所(National Institute of Standards and Technology ) SP800 -60 Volume I: Guild for Mapping Type of Information and Information System to Security Categories 及經濟部標準檢驗局公布國家標準 CNS 27001「資訊技術- 安全技術-資訊管理要求事項」等文件, 於第一款至第三款規定資通系統、資通服務及資通安全之定義。

那什麼是CNS 27001?

CNS 27001係參考2013年最新版ISO 27001國際標準修訂(資料來源:行政院國家資通安全會報)。ISO 27001標準由國際標準組織(ISO; International Organization for Standardization)所制定之資訊安全管理系統(ISMS; Information Security Management System),透過應用風險管理流程以維護資訊的機密性(confidentiality)、完整性(integrity)、與可用性(availability)。然而ISO 27001淵源於英國標準協會(BSI; The British Standards Institution)於1990年代發展的BS7799標準,做為資訊安全管理系統標準,現在成為資訊安全管理的典範。ISO 27001曾有2005年版,現在適用之標準為2013年版。

ISO 27001:2013的主要章節如下:

0. 簡介Introduction

1. 適用範圍Scope

2. 引用標準Normative

3. 用語定義Terms and definitions

4. 組織環境Context of the organization

5. 領導統御Leadership

6. 規劃Planning

7. 支援Support

8. 運作Operation

9. 績效評估Performance evaluation

10. 改善Improvement

附錄 A

參考控制目標與控制措施

A.5資訊安全政策、A.6資訊安全組織、A.7人力資源安全、A.8資產管理、A.9存取控制、A.10密碼措施、A.11實體與環境安全、A.12作業安全、A.13通訊安全、A.14系統獲取、開發及維護、A.15供應商關係、A.16資訊安全事故管理、A.17營運持續管理的資訊安全層面、A.18遵循性。