了解 ISO 27001 和 ISO 27002 之間的差別
網路安全如今是一項持續性的威脅。導入資訊安全管理系統(ISMS, Information Security Management System)可以幫助企業管理資訊安全風險,但對某些公司而言,這個領域可能還相當陌生。ISO 27001(資訊安全管理)與 ISO 27002(資訊安全控制措施)這兩項標準,能夠提供很大的協助,它們都屬於 ISO/IEC 27000 系列標準,專為保護組織資訊資產而設計。
在比較這兩項標準之前,應先注意一點,儘管它們常被簡稱為 ISO 27001 和 ISO 27002,但這實際上並不正確。這兩項標準是由國際標準化組織(ISO)與國際電工委員會(IEC)共同制定並發佈的,正確名稱應為 ISO/IEC 27001 與 ISO/IEC 27002。然而,許多人仍習慣稱呼為 ISO 27001 和 ISO 27002。
了解 ISO/IEC 27001 和 ISO/IEC 27002 之間的差異,是導入正確資訊安全管理實務的關鍵。
什麼是 ISO/IEC 27001?
為了因應資訊安全威脅並符合國內或區域性相關法規,組織應建立資訊安全管理系統(ISMS)。ISO/IEC 27001 是目前最受認可的 ISMS 國際標準,其帶來的好處包括:協助組織建立資訊安全管理政策、目標與流程,理解重大面向如何被管理,導入必要的控制措施,並設定明確目標以提升資訊安全性。
它採取全面性的方法來管理資訊安全,涵蓋範圍包括數位資訊、紙本文件、實體資產(如電腦和網路設備),甚至員工的知識。需要解決的問題則涵蓋從員工能力發展到防範電腦詐騙的技術保護措施。
ISO/IEC 27001 的設計與其他國際公認的管理系統標準相容並可整合,因此可輕鬆整合至現有的管理系統和業務流程,即使是不同領域的管理系統亦可兼容。
深入了解 DNV 的 ISO 27001 內部稽核員訓練課程。
什麼是 ISO/IEC 27002?
導入資訊安全管理系統(ISMS)時,了解其中涉及的威脅和風險是重要的一環。ISO/IEC 27001 要求組織鑑別資訊安全風險,並選擇適當的控制措施加以應對。然而,對於員工專業能力不聚焦於 IT 的中小型企業來說,這可能是一項艱鉅的挑戰。即使是擁有 IT 部門的大型組織,也可能無法全面掌握所有潛在風險。
ISO/IEC 27001 在附錄 A 中提供了一項實用內容:列出 93 項組織可能需要考量的安全控制措施。不過,該標準對於具體應用方式的指引相對較少。
ISO/IEC 27002 是針對 ISO/IEC 27001 的補充性指導標準,擴充了附錄 A 的內容,更詳細說明各項控制措施,並提供資訊安全控制措施的實務指引。它提供一套啟動、導入、維護與持續改善資訊安全管理的原則與建議。
ISO/IEC 27001 與 ISO/IEC 27002 有何不同?
ISO/IEC 27001 與 ISO/IEC 27002 的主要差異在於其著重的內容與應用方式。
ISO/IEC 27001 是可供驗證的標準,規範了 ISMS 的建置條件,它涵蓋建立、實施、維護及持續改進 ISMS 的相關要求。取得驗證的組織能夠清楚向利害相關者證明其對資訊安全的重視,這有助於提升客戶與商業夥伴的信任,並向主管機關展現其已符合法定要求。
相對地,ISO/IEC 27002 並非用於驗證,而是提供資訊安全控制最佳實務的完整指導文件,針對組織導入 ISMS 時應考慮的控制措施提供建議。其涵蓋的關鍵資安面向包括存取控制、加密技術、人力資源安全與事件應變等。透過運用 ISO/IEC 27002 的指引,企業可採取更積極的資安風險管理做法,防止關鍵資訊遭不當存取或遺失。
企業應該何時使用這兩個標準?
ISO/IEC 27001 適用於希望建立正式的 ISMS ,並透過獨立的第三方驗證來證明其符合資訊安全最佳實務的組織。對許多組織而言,這甚至是進入市場的「門票」,因為客戶與合作夥伴希望確保其數據受到妥善保護。此外,該標準還有助於提升企業韌性,確保業務連續性。
ISO/IEC 27002 則更適合作為依據 ISO 27001 的要求來挑選與導入控制措施的參考指引。對於不一定追求驗證,但希望提升資訊安全管理實務的組織來說,這是一項特別實用的工具。即使不尋求 ISO/IEC 27001 驗證,採用 ISO/IEC 27002 中所列控制措施,也能為組織提供一定程度的網路威脅防護。
這兩項標準皆會定期更新,以因應資訊安全領域快速發展的威脅與需求。