當組織決定採用ISO/IEC 27001國際標準作為資訊安全合規項目後,也代表即將建置資訊安全管理系統(簡稱ISMS,Information Security Management System),用以對組織資訊安全進行更全面性的治理。

組織建置ISMS的過程,往往需要投入足夠的資源。ISO 27001是一個完整的資安「框架」,目的是指導組織建置ISMS的必要考量條件。通常ISMS合宜的建置過程,先是描繪出組織的對於資訊安全的願景與使命,再來是決定資訊安全的目標與目的,進而制定完善的資安政策與程序,成立資訊安全管理組織,投入足夠的人力、實體與技術資源,配合已制定政策制定與推動,將風險進行評鑑與處理,控制好風險改善與變更的過程,最終進行制度的改善與持續維持。因為其考量的面向居多且牽涉了外部的介面,這些介面包括網路、系統及供應商,尤其在ISO 27001:2022版發布後,**Cybersecurity(網宇安全)Privacy(隱私)**也正式成為了主題,因此資訊安全的範疇不僅是組織本身,更包括要顧及受託者及供應鏈之資訊安全。

近年來網路攻擊的成本降低,尤其是生成式AI普及後,人人可以用來提升自己的專業學能,同時也降低惡意行為者的學習門檻。惡意行為者通常被稱為「駭客(Hacker)」,駭客可以透過AI撰寫惡意程式,並且透過AI輔助進行精準社交工程與深偽(deepfake),經常假冒內部員工或政府官員的面貌與用字遣詞,使得受攻擊者難以察覺或預防,導致被攻擊成功而洩漏重要的系統帳密,甚至造成個人與公司的財務損失,更嚴重者是機關(構)的品牌和信譽被影響。因此,我們不僅該認知到AI的惡意用途,也應該思考防範作為。駭客往往是組織內部在資訊維護上的外部阻力,目的通常是竊取組織內部的重要資料,所以在這個年代更需要有一套完整且能持續因時制宜的資訊安全制度,時刻獲取網路威脅情資(CTI),經常教育訓練內部員工及外部使用者,並搭配應有的風險控制措施,才能建構完整的資安防線,提高組織之資安韌性。當今資訊安全的觀念並非要把其做到密不通風,而是要在遭遇惡意攻擊時除了能夠適度承受並降低損失,也要能快速地恢復,因此新的資安觀念也開始講就韌性(resilience)。

資安公司的使命必須要協助客戶認知到資訊威脅的來源與嚴重程度,協助建立一套完整的管理機制,抵禦外部入侵,同時加強內部安全管控,大幅提升組織資安韌性。近幾年,ISO 27001相當於資安規範的領導地位,故藉由此規範的要求事項提醒組織應考量並實施風險管理是比較完整與全面的,較少忽略任何的安全地帶。若在組織依規範建構ISMS,並不斷地分析與強化自身的安全機制,並且通過ISO 27001驗證,將足以獲得資訊安全推動的寶貴經驗與建議。

期待您與我們聯繫並建立合作,共同為組織完善資訊安全管理制度。

作者:潘柏廷 Conrad Pan

現職:亞瑟國際驗證專任資安技術專家,資深資安教育者,曾任資安輔導顧問,專長領域為資安、個資、人工智慧