由Iso27002改版觀察iso27001轉版方向

1
1
由ISO27002 DIS 國際標準草案改版方
向看ISO27001轉版
(2021年10月)
萬弘資訊顧問有限公司
簡報者:萬弘資訊Joestar
Email:joestar@wanhung.com.tw
日期:2021年10月24日

2
標準名稱
控制項
名詞解釋

4
4
資安管理制度簡介
• ISO/IEC 27001
– 資訊安全管理系統(ISMS)的要求
– 可驗証的標準. (代表可發出國際證書)
• ISO/IEC 27001演進歷程
– BS 7799-2:1998發佈
– BS 7799-2:1999更新(重新發佈)
– BS 7799-2:2002 改版發佈
– ISO 27001:2005 (2005年10月發佈)
– ISO 27001:2013 (2013年10月發佈)

5
5
資安管理制度簡介
• ISO/IEC 27002
– 最佳實務參考. (Code of Practice)
• ISO/IEC 27002演進歷程
– BS 7799-1:1995發佈 (bs指得是BSI)
– BS 7799-1:1999更新發佈
– ISO/IEC 17799-1:2000 (被列為國際標準)
– ISO/IEC 27002:2005
–ISO/IEC 27002:2013 (2013年10月發佈)
–ISO/IEC 27002 2021年的 DIS. (Draft
International Standard)

6
從標準名稱定位角度觀察
參考網址:https://www.iso.org/obp/ui/#iso:std:iso-iec:27002:dis:ed-3:v1:en

7
標準名稱角度
ISO 27002: 2013
Information technology — Security techniques —
Code of practice for information security controls
ISO27002:2021 DIS
Information security, cybersecurity and
privacy protection — Information security
controls
參考網址:https://www.iso.org/obp/ui/#iso:std:iso-iec:27002:dis:ed-
3:v1:en

8
從控制項（Controls)角度觀察
參考網址:https://www.iso.org/obp/ui/#iso:std:iso-iec:27002:dis:ed-3:v1:en

9
條文合併精簡
ISO27002:2013 (A.5-A.18，共14個領域)合計
114個要求
ISO27002:2021 DIS草案版 (四大類別)合計 93個
要求
參考網址:
https://www.iso.org/obp/ui/#iso:std:iso-iec:27002:dis:ed-3:v1:en

10
條文合併精簡
參考網址:
https://www.iso.org/obp/ui/#iso:std:iso-iec:27002:dis:ed-3:v1:en

11
1、Organization Controls)
2、People Controls)
3、Physical controls)
4、Technological controls)
組織控制人員控制
技術控制
實體控制
四個類別

12
新增條文說明-Threat intelligence
讓我想到:
一、ISO 27001:2013外部議題、資安事故的學習
(與證據之搜集)、事件存錄（log)
二、資通安全管理法-資通安全情資分享
三、BSIMM Threat model

13
新增條文說明-Identity management
(身份管理)
讓我想到:
ISO 27001:2013相關條文如下:
1、秘密鑑別資訊管理
2、通行碼 (password)管理
3、使用者註冊&註銷
4、行動裝置之政策
5、歐盟GDPR個資定義
6、MFA (Multi Factor Authentication)

14
新增條文說明-ICT readiness for business continuity
營運持續規劃中要考慮「資通訊技術」(ICT)的準
備，更重視通訊、通報機制的技術性的考量與準
備。
讓我想到:
ISO 27001:2013相關條文如下:
1、規劃資訊安全營運持續
2、通報資訊安全事件

15
新增條文說明-Information security for
use of cloud services
一、雲端服務供應商通過
ISO27001/ISO27701/ISO27017/ISO27018幾
乎是必備的。
二、最大的挑戰: 雲端管理的熟悉、與操作，因
其管理介面不斷調整、變化。

16
新增條文說明-Physical security
monitoring
讓我想到:
1、是否一定要有監視器證明「監控」有效性
2、ISO27001:2013 設備安置及保護、無人看管
之使用者設備

17
新增條文說明-User endpoint devices
讓我想到:
ISO27001:2013 軟體安裝的限制、運作中系統
的軟體安裝、防範惡意程式、技術脆弱之管理、
資訊稽核之控制、網路控制、網路區隔、資產攜
出、遠距工作

18
新增條文說明-Configuration
management
讓我想到:
一、ISO27001:2013 變更管理、資訊備份、文
件化資訊的控制、紀錄之保護、保全系統工程原
則、系統變更控制程序、運作平台變更後之應用
的技術審查
變更
前
變更
中
變更
後

19
新增條文說明-Information deletion
讓我想到:
1、個資法: 個資依保留週期刪除
2、ISO27001:2013中的媒體汰除、資產的處置、
可移除之媒體的管理、設備汰除或再使用
3、 ISO27701:2019中 PII 暫存檔的處置

20
新增條文說明-Data masking
讓我想到:
1、ISO27001:2013保全系統工程原則、個人可
識別資訊之隱私及保護
2、 ISO27701:2019中 PII 處理後的去識別化與
刪除、最小化的目標、預設隱私的保護與設計

21
新增條文說明-Data leakage prevention
ISO27001:2013對應
1、電子傳訊、密碼式控制措施之政策
2、網路控制
3、網路區隔
4、可移除式媒體的管理/行動裝置的管理
5、事件存錄、管理者及操作者日誌、
外洩前
預防
外洩中
的偵測
外洩後
的防護

22
新增條文說明-Web filtering
讓我想到:
1、ISO27001:2013 網路控制
使用者面向
1、使用者上網的過濾，與ISO27001:2013中的
「對網路及網路服務之存取」
管理者面向
1、網路防火牆或閘道軟/硬體過濾黑名單網站或
IP

23
新增條文說明-Secure coding
讓我想到:
1、ISO27001:2013保全系統工程原則、系統安
全測試、技術脆弱之管理、保全開發政策
2、 ISO27701:2019中 PII 處理後的去識別化與
刪除、最小化的目標、預設隱私的保護與設計
3、BSIMM Attack Models
4、資安事件/事故回饋
5、官方SDK 的 Secure API

24
從名詞解釋（Terms)角度觀察
3:v1:en

25
ISO27002第三章節名詞 (列舉部份)
1、endpoint device (有連網的ICT設備)
2、PII (personally identifiable information)
3、PII principal
4、PII processor
5、PIA(privacy impact assessment

26
5種屬性
3:v1:en

27
Information security properties
Information
security
properties
Confidentiality
Integrity
Availability

28
Control Type
Preventive (預防)
Detective (偵測)
Corrective (修正)

29
Cybersecurity
concepts
Identify
Protect
Detect
Respond
Recover

30
governance,
Asset management,
Information protection,
Human resource security,
Physical security,
System and network security,
Application security,
Secure configuration,
Identity and access management,
Threat and vulnerability management,
continuity,
supplier relationships securit,
legal and compliance,
information security event management,
and information security assurance.
Operational
capabilities
Operational capabilities

31
Security domains
Security
domains
Governance
Ecosystem
Protection
Defence
Resilience.

32
快速詢價輔導認證驗證規劃
Email :sales@wanhung.com.tw
Line id: wanhung1911

33
相關參考資訊
■ISO27001認證費用
https://www.youtube.com/watch?v=8ElBmxfPIDY
https://www.wanhung.com.tw/2018/02/iso27001charge.html
■ISO27001認證案例
https://www.wanhung.com.tw/2017/04/milestone.html
■ISO27701認證費用
https://www.wanhung.com.tw/2020/10/ISO27701charge.html
■滲透測試費用
http://www.wanhung.com.tw/2015/01/pt.html
■電子發票加值中心ISO27001輔導認證
https://www.wanhung.com.tw/2020/06/iso27001certificationBSI.html
■ISO27001教育訓練盲點
https://www.youtube.com/watch?v=1jE7px6ykMo
■ISO27001認證是什麼
https://www.youtube.com/watch?v=qxjydZ3mkE0&t=2s

34
相關參考資訊
ISO27001曁ISO27701輔導認證實績案例客戶
https://www.wanhung.com.tw/2017/04/milestone.ht
ml
周世洪顧問FB粉絲頁
ISO27001關鍵流程剖析
https://www.youtube.com/watch?v=m5aiWDXUs2M
ISO27001認證驗證輔導費用組成的說明
https://www.youtube.com/watch?v=8ElBmxfPIDY

由Iso27002改版觀察iso27001轉版方向

Recommended

Recommended

More Related Content

What's hot

What's hot (11)

Similar to 由Iso27002改版觀察iso27001轉版方向

Similar to 由Iso27002改版觀察iso27001轉版方向 (16)

More from Wanhung Chou

More from Wanhung Chou (13)

由Iso27002改版觀察iso27001轉版方向