Embedded Files
106 年起,「臺灣網路協會」開始辦理「資訊安全管理系統標準化系列討論會」。106 年於第 3 季辦理 1 次,107 年於第 1 季及第 3 季辦理 2次,108至110 年均於第 1 季辦理 1 次,至今已持續五年。
106 年起,「臺灣網路協會」開始辦理「資訊安全管理系統標準化系列討論會」。106 年於第 3 季辦理 1 次,107 年於第 1 季及第 3 季辦理 2次,108至110 年均於第 1 季辦理 1 次,至今已持續五年。
該研討會源於經濟部標準檢驗局(BSMI),及行政院「國家資通訊安全發展方案」,配合行政院國家資通安全會報推動國內各政府機構及公民營事業機構建置資訊安全管理系統(ISMS),以降低我國整體資訊安全風險,強化資訊防衛能力所辦理之「堅實我國資訊安全管理系統稽核作業相關標準系列討論會」。因 BSMI 組織工作調整,106 年起改由「臺灣網路協會」辦理。
九十年代全球文明歷經了重大的轉變,品質、環境和職業安全衛生管理逐漸朝向一致化與標準化,而相關的國際標準也影響了許多國家經濟的發展和組織管理與經營的方式。
2000年 12 月 1 日,資訊安全管理系統(ISMS)控制措施之 ISO/IEC 17799:2000(E)公布,2002年 12 月 5 日相對應之 CNS 國家標準正式頒布,建立 ISMS 並擴大推動驗證已成為資訊安全之工作項目的主軸之一。2006 年 6 月 16 日,標準檢驗局再公布了 ISO/IEC 27001:2005(E)之資訊安全管理系統的要求事項等國家標準,也成就了資安管理制度與國際化接軌的開端。
標準可以累積知識與經驗,標準化則是冀求以系統的、共同的、協調一致的方法來強化標準實作的知識以供傳承。鑑於管理系統日益增多,其標準系列宜加以規範,國際標準組織(International Standardization for Organization,簡稱 ISO)自 2000 年起即分 3 階段進行管理系統標準(Management System Standards,簡稱 MSS)之標準化工作;已正式納入 ISO 之強制性規範(Procedures specific to ISO),期能在第 3 階段(2011年~2015年)完成各個管理系統要求事項的調合。
「讓過去與現在爭執不下,將錯失未來」
「讓過去與現在爭執不下,將錯失未來」
ISO/IEC JTC1/SC27 主席 Walter Fumy 先生,在世界資訊高峰會之邀請下,於 2004 年 9 月 24 日公布了 ISO 之深度防禦(Defense in Depth)的資訊安全管理模型觀點;其標準組件 ISO 27001 標準系列之 ISO/IEC 27003 已於 2010 年 2 月 1 日正式發行,ISMS 標準化的第一階段工作已樹立第 1 座里程碑。
ISO/IEC 27001 標準系列已遵循 MSS 逐步建立中,並納入個人資料/隱私(Privacy)管理系統(PIMS)安全規範之議題;以個人資料保護法施行細則第 17 條之規範為例,已公布 ISO/IEC 27009、ISO/IEC 29101、ISO/IEC 29191、ISO/IEC 20008 與 ISO/IEC 20009 標準系列,作為其 PIMS 中「前檯匿名、後檯實名」之實作要求事項的參考。
2012 年 10 月,ISO/IEC JTC 1/SC 27 在進行為期 1 年之 2 階段的研究後,正式公布 PIMS 之要求事項遵循 ISO/IEC 27001,同時開展其標準系列(ISO/IEC 27009、ISO/IEC 27018、ISO/IEC 27017、ISO/IEC 29134、ISO/IEC 29101、ISO/IEC 29151 以及預備文件 SD 4、SD 5 等)的標準化計畫,已於 2017 年 8 月完成第 1 階段之工作項目;並分成「管理」、「實作」與「技術」3 個面向,進行第 2 階段的標準制訂之計畫。
研究「標準化」的人是需要有「同情」與「推理」兩種能力,所謂「同情」是指「標準」的制定者要有對等之情,那樣體驗的「標準」自然是立體、多元的;「同情」加上「推理」,則「標準」是活的,每一份「標準」的頒布是因或是果,是趨勢或是成績,「標準」的產生絕非偶然而是無數之努力的形成。「標準化」從長遠的角度來看,便可以體察出是有一股流勢,有無法阻擋的推移力量;資訊安全的「標準化」更需要整合自然科學及社會科學之脈絡來解讀以及推理,才能溶入文化與數位台灣混然為一體,MSS 與個人資料保護標準化及 ISMS&PIMS 的整合性安全管理系統(Integrated Security Management System,簡稱 ISMS)之進程僅為一端。
2011 年 8 月 20 日,資訊安全,網宇安全及隱私防護之資訊安全控制措施之 DIS 版因無不贊成票已遵循程序直接登錄成為 ISO/IEC FDIS 27002(2021-08-23)Information security, cybersecurity and privacy protection — Information security controls。
2020 年 4 月 6 日 至 20 日 , ISO/IEC JTC 1 / SC 42( 人 工 智 慧 分 組 )第 五 次 全 會 及 工 作 組 會 議 以 線 上 形 式 召 開 , 其 WG 2 大數據工作組名稱變更為資料工作組,促成 SC 42 與 SC 36 就資料品質活動研究建立聯結,SC 27 亦立項研究人工智慧與安全及隱私之標準化(PWI 6089 Impact of Artificial Intelligence on Security and Privacy (Started in September 2020))中。
在國家通資訊安全發展中「因應新興科技發展,研訂資安標準規範」之工作項目中的 ISMS/PIMS 實作之議題規劃,希望對資通安全管理法以及ISMS/PIMS 的落實提供助益下,臺灣網路防護協會未來將持續舉辦 ISO/IEC 27001為基礎的資訊安全管理系統標準化相關專業會議,誠摰的歡迎您參與。
Page updated
Report abuse