從新標準到新未來 資安韌性更升級

根據世界經濟論壇（WEF）發佈的2024全球風險報告，資安相關課題持續名列前五名；在台灣，政府及主管機關越來越重視資訊安全議題，從政府機關和國營企業，到金融機構與上市上櫃公司有更多資安控管機制建立與強化的要求，顯見資安與合規已是不分產業的共同課題。

因應國際標準 資安管理系統全面改版

與此同時，國際標準組織（ISO）於2022年公告第三版ISO/IEC 27001:2022 資訊安全管理系統，中鼎為已取得舊版驗證的組織，必須在2025年10月31日前完成轉版，以維持證書有效。

此次改版最重要的變化是加入網宇安全（Cybersecurity）與隱私保護，並新增相關條款。首先在資訊保護，包括資訊刪除、遮蔽及洩露的預防。其次，在威脅和脆弱性管理，則新增了威脅情資的收集和分析。觀察附錄 A 的控制措施調整，反映了新版的變化。這些更動為：

• 結構已合併為 4 個主題 (theme)：將2013年版中的14個主題整併為4個主題，包括：組織、人、實體、技術 。
• 列出的控制措施從 114 項減少到 93 項：部分控制措施被合併，部分遭刪除並引入了新的控制措施，其餘部分亦有更新。
• 引入了屬性概念：與數位安全領域常用術語一致，五種屬性為：控制類型、資安特性、網路安全概念、執行能力及安全領域。

啟動轉版作業 持續精進資安管理

中鼎為符合ISO/IEC 27001:2022要求，將進行以下轉版作業，並說明如下：

• 現況分析：針對既有安全政策、組織架構、人員權責、資訊資產及作業流程進行檢視並整理分析，檢視是否符合新版要求。
• 執行風險評鑑與風險處理：建立符合新版要求之風險評鑑程序並執行風險評估作業，依前述風險評鑑作業結果，進行風險處理，並確認殘餘風險皆已控制在可接受風險以下。
• 資訊安全管理制度調整：更新適用性聲明書，並依照差異分析結果，調整現有管理文件。
• 制度落實與稽核驗證：落實內部稽核及執行檢討改善，並完成資訊安全管理審查會之年度資訊安全工作推動管理審查，以順利取得新版稽核驗證。

透過PDCA（Plan-Do-Check-Act，即循環式品質管理）的循環，中鼎將持續精進資安管理系統，同時也擴大檢視與其他系統的符合程度，進一步將ISO/IEC 27001的精神推廣至集團旗下各個子公司，全面提升中鼎集團的資安韌性，以接軌國際品質要求。

**圖片來源: Pixabay