ISO 27001 资讯安全管理系统 【解析】(二)

三、 威胁
是属於一种外部事件或状态，对於基本要素会产生破坏，在此节仅针对其特性做一些基本叙述，於後面风险分析的章节会有更详细的说明。威胁会随着时间、技术及社会造成变化，并非一成不变的，更准确地说，资讯安全管理系统就是在管理如何因应这些威胁，降低这些威胁对资讯安全造成的冲击和影响。各大风险管理的组织及顾问都会定期发布相关威胁的变化，iThome定期会举办资讯安全大会，早期这个大会主要是资讯安全产品发布的会议，近期发生一些变化，大会目前主要讨论资讯安全趋势及威胁变化的情况，每年都会针对当年度所发生的事件进行统计，并分析预测下一年度所需要面对的威胁，就这些年来所做的预测及分析，相对来说都能准确地看到威胁的趋势，对於资讯安全能够提早针对威胁作出应对措施，降低组织的风险是非常重要的。因为威胁具有变化性，在此针对一些特定威胁进行叙述，期待能从这些基本叙述中让大家先行了解威胁的特性。

(一) 骇客：不意外的威胁第一位应该是骇客。从资讯开始发展以来，骇客是伴随着资讯一起成长的，有些时候甚至超越资讯本身，早期的骇客以成名或宣扬理念为主，所制造的病毒以破坏性着称，例如：红色警戒(Code Red)造成数以百万计的电脑无法运作。随着时代转变，现今的骇客以营利为主，所制造的病毒以封锁资讯为主，如果受骇组织肯付钱，可以解除其封锁，例如勒索病毒加密档案。

(二) 内部破坏及攻击：最坚固的堡垒通常是从内部开始破坏的，就如同前面基本因素的分析，就算做好各项防范措施，如果是内部人员将可轻易绕过这些措施，对所要保护的目标造成损失。

(三) 第三方及供应链：在复杂的因素下，各个组织均专注於本身的业务，大量运用委外或供应链的模式节省了自身人力及相关专业性的负荷，但这些委外的第三方或者是供应链本身就是一种威胁。曾发生过半导体工厂资讯安全事件，其威胁就是来自於委外厂商；另外云端也是另一种委外模式，云端的威胁也是一种新的模式。

(四) 法令遵循：不知道是为了保护人民，还是执政者发现资讯安全对政治有一定的影响力，各国政府不约而同对资讯安全相关法令日趋严谨；对组织与企业来看，威胁又增加一项是有关违反法令要求後要面对的行政处罚。资料外泄的案例层出不穷，这项威胁有与日俱增的趋势。

(五) 技术：资讯技术进步也会被视为一种威胁。近期大数据及AI技术有长足的进展，水能载舟亦能覆舟，这些进展也可被利用来破坏资讯安全，AI被骇客应用在入侵方面的案例已经有相当程度展现。
前面提到的威胁并不是全部，也非想要对所谓的威胁进行分类整理，只是做一个基本的介绍。因为威胁才是整个管理系统需要面对的，利用各种分析的方法去决定如何防范威胁的发生，我想这是资讯安全最重要的事情。
 
贰、 相关标准介绍
本章节的内容是与资讯安全管理系统有关的ISO组织及标准。ISO组织针对资讯安全管理方面开发了一系列的标准，因为在国内认知上的关系，通常只参考一部分标准，事实上与资讯安全管理系统相关的标准可运用在主条文及各个控制项的执行参考依据。在此简单介绍一下在ISO组织中在资讯安全方面的工作小组及相关标准，让大家能够了解它的架构及关连性，当有需要时可以拿来运用。
一、 组织
ISO/IEC JTC 1/SC 27是负责开发订定保护资讯和资讯通信技术的标准。包括解决安全性和隐私权方面的一般性方法、技术和指引，例如：资讯安全需求、资讯安全管理、加密及其他安全机制、资讯安全文件化管理、资讯安全管理系统稽核审查及认证、安全评估标准及方法，该组织设置五个工作小组，分别制定不同领域之标准，分配如下：

(一) WG 1：负责开发和维护资讯安全管理系统相关的标准及指引，主要负责项目为：

1. 开发和维护ISO/IEC 27000 ISMS标准系列。除ISO/IEC 27001和ISO/IEC 27002外，还包括ISMS指南和文件指引，例如：ISMS实施、资讯安全管理量测、资讯安全风险管理。
2. 资讯安全管理系统要求。
3. 验证、验证要求和稽核标准。
4. 资讯安全管理系统专业人员的能力要求标准。
5. 特定行业的ISMS应用标准。
6. 资讯安全管理治理和经济学。

(二) WG 2：负责开发和维护资讯通信技术系统有关密码学及安全机制相关的标准及指引，项目如下：

1. 定义资讯通信技术系统和其应用机制的安全性需求和要求(相关技术包含机密性、实体认证、不可否认性、金钥管理(包括随机数和质数生成)、数据完整性(例如资讯身份验证、函数和数位签章)。
2. 开发和维护应用於安全服务的技术及机制的术语、通用模型和标准。
3. 制定和维护WG 2常规文件。

(三) WG 3：负责开发和维护IT安全规范、IT系统、组件和产品的评估、测试和认证的标准(包括对网际网络、分散式系统、关联的应用程序服务、生物识别等的考量)。

1. 安全评估标准。
2. 适用标准的方法。
3. IT系统、组件和产品的安全功能和认证规范。
4. 确定安全功能和保证一致性的测试方法。
5. 用於测试、评估、认证和认可计划的管理程序。

(四) WG 4：负责开发和维护与资讯通信系统安全控制和服务相关的标准，并将其应用於资讯系统中的产品和系统，以及此类产品和系统的生命周期中的安全性。这些标准支持ISO/IEC 27001中定义的控制目标和控制的实施。

1. 资讯通信系统安全操作（例如：准备、连续性、事件和事件管理、调查）
2. 资讯生命周期（例如：创建、处理、储存、传输和处置）
3. 组织过程（例如：设计、采购、开发和供应）
4. 信任服务的安全性方面（例如：在提供、操作和管理这些服务中）
5. 与云端、网际网路和网络安全相关的技术和架构（例如：网路架构、虚拟化、储存）。

(五) WG 5：负责开发和维护有关身份识别管理、生物识别和个人资料保护的安全方面的标准和指引。

1. 身份识别管理，涵盖基於角色的存取控制、供应、标识符和单点登录。
2. 涵盖隐私框架和参考体系结构的隐私；隐私基础设施；匿名和凭证；特定的隐私增强技术（PET）和隐私工程。
3. 生物识别，涵盖对生物识别数据和身份验证技术的保护。
4. 确定这些领域的要求并开发未来的标准和指引。
   除了工作小组外，SC 27设置一些常设性的组织、ISO其他类型标准的联络人员，以及各国参与的会员，详细的介绍请参阅该组织的网站。
   

二、 标准
各个工作小组间所制定的标准互相具有关联性，以ISO 27001为主的关联性如下：
(一) 资讯安全管理系统ISO 27001、治理ISO 27014、字汇ISO 27000
(二) 控制措施：通用ISO 27702、延伸 (ISO 27011、ISO 27017、ISO 27018、ISO 27019、ISO 27701、ISO 27799)
(三) 风险管理：ISO 27005 (参考ISO 31000)
(四) 量测：ISO 27004
(五) 验证稽核：ISO 27006、ISO 27007、ISO 27008
(六) 控制措施指引：A.17 (ISO 27301)、A.13.1 (ISO 27033)、A.16 (ISO 27035)、A.15 (ISO 27036)、A.12.4 (ISO 27039)。
(七) 导入及整合：ISO 27003、ISO 27013 (整合ISO 20000-1)
(八) 控制措施参考：ISO 27033、ISO 27034、ISO 27035、ISO 27036、ISO 27039、ISO 27040、ISO 29100、 ISO 27007
(九) 调查证据：ISO 27037、ISO 27038、ISO 27040、ISO 27041、ISO 27042、ISO 27043、ISO 27044、ISO 27050。
由上面这些标准或指引可以看出来资讯安全本身就是一个复杂的系统，牵涉到的因素有非常多种类，SC 27在多年的努力下，想要建构一个完整的资讯安全科技及技术上的规范，但技术的进步太快了，导致标准的变化有些跟不上技术的脚步，但是以标准本身来说其适用性还是没有问题的，有关ISO 27系列的标准整理如图四