淺談 資訊安全 ISO 27001:2013 ISMS

2022-01-24

2021年台灣企業網路安全重大事件
10月:臺灣電腦大廠宏碁、技嘉都再度傳出資安事故,駭客宣稱竊得兩家公司的機密文件,其共通之處則是他們都是今年第二次遇害。
9月: 教育部致歉!2萬5千件學生資料「遭刪除」全台81校都遭殃。
8月: 1.台灣綜合接入設備(IAD)製造商智易科技(Arcadyan)所生產的路由器,當中曝露的漏洞,不只影響華碩、Buffalo等品牌的多款       產品,更是波及許多網路服務供應商(ISP)的設備,漏洞可能影響數百萬臺設備。
2.瑞昱半導體(Realtek)無線晶片的漏洞,也使得超過200款連網產品受到影響。
3.物聯網雲端服務平臺Kalay傳出CVSS風險達9.6分的漏洞,很可能使得採用該平臺的連網設備曝露相關風險。
4.群暉科技(Synology)發出警告,指出他們偵測到一波殭屍網路病毒StealthWorker攻擊行動;事隔數日,資安業者Palo Alto Networks 揭露勒索軟體eCh0raix(亦被稱為QNAPCrypt)的威力變得更加強大,能同時針對群暉科技與威聯通科技(QNAP)的NAS下手。
6月:大考中心資料外洩,2千考生受影響。
4月:替蘋果代工的廣達電腦傳出遭到勒索軟體攻擊,但傳出駭客勒索廣達不成轉而找上蘋果要贖金。

九大網路安全統計速覽:
1. 94%的惡意軟體透過電子郵件傳送。
2. 在被報導的資安事件中,超過 80% 的成因來自釣魚攻擊。
3. 釣魚攻擊每分鐘造成 17,700 美元的損失。
4. 60% 的外洩事件所利用的漏洞已經有修補程式,但卻沒有套用所致。
5. 63% 的企業認為他們的資料在近 12 個月內可能因為硬體或晶片的漏洞遭到感染。
6. 針對物聯網設備的攻擊在 2019 上半年增加了兩倍。
7. 無檔案攻擊在 2019 上半年成長 256%。
8. 資料外洩平均耗費企業 392 萬美元。
9. 有 40% 的 IT 主管認為網路安全的工作最難補足人力。

資訊安全概念:
1. 資訊系統安全:流程與管理占60%,技術占40%。
2. 資訊安全有數套框架與管理系統,ISO 27001:2013只是其一。
3. Information Security is not just a hardware or software product.

資訊安全管理系統-ISMS由國際標準化組織(International Organization for Standardization,簡稱:ISO)及國際電工協會(International Electrotechnical Commission,簡稱:IEC)
於在2005年聯合發布,並在2013年正式發布新的標準,即為ISO27001:2013資訊安全管理系統Information Security Management System(ISMS),是資訊安全管理的國際標準。
為因應資訊時代潛在資訊安全風險的措施,更旨在控制及降低資訊安全 可能帶來的威脅,因此這套系統適用於所有類型的組織,幫助他們建立資訊安全管理系統作為保障。

資訊安全六個基本要素

機密性(Confidentiality) 確保只有獲得授權的人才能存取資訊

完整性(Integrity) 保護資訊及其處理方法的正確性和完整性

可用性(Availability) 確保獲得授權的使用者,在其需要時可以存取資訊並使用相關的資訊資產

不可否認性 Non-repudiation 傳送方或接收方,都不能否認曾進行資料傳輸或接收

鑑別性 Authentication 能辨別資訊使用者的身份

授權 Authority / Access Control 存取權限控制,依照身份給予適當的權限

ISO 27001:2013 ISMS 被視為一個組織框架,需要不斷的持續監測與定期審查,以便為組織的資訊活動提供有效的指導。

實施 ISO 27001:2013 有什麼好處?
1. 通過 ISO 27001 驗證,能保證和證明組織內對資訊安全的承諾。
2. 提升資安管理技術及增強資安管理制度。
3. 通過 ISO 27001 驗證,可改善企業業績、消除客戶不信任感。
4. 通過 ISO 27001 驗證,能夠向政府證明企業對相關法律法規的符合性。


ISO 27001:2013 導入的流程
1. 確認驗證範圍:從組織資安風險及投入時間角度評估資安驗證範圍導入。

2. 管理人員教育訓練:公司高層和管理人員必須熟悉 ISO 27001 核心觀念,包括資安風險盤點、資安驗證範圍確認、PDCA持續改善以及熟悉條文。

3. 維護與建立資訊安全系統:尋找顧問公司或是組織自行根據 27001:2013 條文與附錄 A 建置組織的資訊安全

參考資料:

https://www.isoleader.com.tw/home/iso-coaching-detail/ISO27001
https://www.iso.org/standard/54534.html
https://www.ithome.com.tw/security
https://www.cio.com.tw/2020-cyber-security-truth-data-and-statistics/

免責聲明:
轉載此文是出於傳遞更多訊息為目的,若有來源標註錯誤或侵犯了您的合法權益,請作者持權屬證明與本網聯繫,我們將及時更正、刪除,謝謝。


ISO 22000:2018 食品安全衛生管理系統

ISO 22000:2018 為國際通用的食品安全管理系統之標準,在2005年由ISO國際標準組織推出的食品安全管理系統,適用對象包含整個食品供應鏈所有直接與間接的供應商,也就是從「農場到餐桌」整個食品鏈的所有組織,包含與食品有相關的企業組織,如:食品、飲料、設備、包裝材料、清潔劑、食品添加物、原料等生產者及服務提供者,甚至也適用於餐飲業者。

碳足跡vs.碳中和:您真的了解嗎?

近年來,「碳足跡」和「碳中和」這兩個詞彙頻繁出現在我們的日常生活中,但你真的了解它們之間的差異嗎?就讓我們來一探究竟吧!