题名

資通安全管理法驗證方案特定要求事項標準化初論:根基於ISO/IEC 27001:2022(E)及ISO/IEC 27009:2020(E)框架

并列篇名

Preliminary Study on the Standardization of Specific Requirements of Cyber Security Management Act Certification Scheme: Based on ISO/IEC 27001:2022(E) and Framework of ISO/IEC 27009:2020(E)

作者

樊國楨;羅德興;錢素英;陳韶薇

关键词

控制措施 ; 框架 ; 資訊安全管理系統(ISMS) ; 過程 ; 標準化 ; Controls ; Framework ; Information Security Management System (ISMS) ; Processes ; Standardization

期刊名称

電腦稽核

卷期/出版年月

48期(2023 / 08 / 31)

页次

24 - 60

内容语文

繁體中文;英文
中文摘要

隨著政府機關對資通安全的重視,我國整體資安防護體系之建立與資安防護能力之提升已日益精進;自2013年行政院資通安全稽核作業計畫於2013年9月2日至10月31日,正式將「資安健診」的資訊安全技術項目控制措施之實作納入評分,並納入2013年12月15日「國家資通訊安全發展方案(102年至105年)」的「行動方案」之中,開啟我國資訊安全管理系統(Information Security Management System,簡稱ISMS)稽核工作的新姿。2022年5月1日,全國認證基金會(Taiwan Accreditation Foundation, TAF)已實施於2022年4月頒佈的《管理系統驗證機構資通安全管理法驗證方案特定要求》,開展我國資訊安全管理系統(Information Security Management Systems, ISMS)實作及其驗證的新頁。於ISMS標準系列,因涉及各國法規及日益增加之控制措施需求,2013-02-07,ISO正式立項進行擴增ISO/IEC 27001與ISO/IEC 27002的規範供需用者採用;以制定所需標準之ISO/IEC 27009的標準化計畫。同前所述,根基於ISO新規,本文參照ISO/IEC 27009之框架,探討前述《管理系統驗證機構資通安全管理法驗證方案特定要求》之ISMS要求事項的標準化及國家通資訊安全發展方案(110年至113年)」中「建立資通系統弱點之主動發掘、通報及修補機制」與「完善政府網際服務網防禦深廣度」之工作項目中的資安弱點通報機制(Vulnerability Alert and Notification System, VANS)及零信任網路(Zero Trust Network,簡稱ZTN)以及端點偵測及應變機制(Endpoint Detection and Response, EDR)宜增加之控制措施的內容及其供應鏈安全實作之議題,做為制訂其標準的基礎。
英文摘要

With the increasing emphasis on information security by government agencies, the establishment of Taiwan's overall information security protection system and the improvement of information security protection capabilities have become increasingly refined. The first shot of the new trend in the audit work of Taiwan's Information Security Management System (ISMS) is the "Information Security Health Diagnosis". Its implementation of information security technology project controls was officially included in the rating of the 2013 Executive Yuan Information Security Audit Operation Plan, and it was included in the "Action Plan" of the "National Information and Communication Security Development Plan ( 102- 105 years)" on December 15, 2013 as well. On May 1, 2022, the Taiwan Accreditation Foundation (TAF) has implemented the Specific Requirements for Information Security Management Law Verification Scheme of Management System Verification Agencies issued in April 2022. Such move has launched a new page of the implementation and verification of Taiwan's Information Security Management Systems (ISMS). Due to the increasing demands for regulations and control measures in various countries, the International Organization for Standardization (ISO) officially initiated a standardization plan to expand the ISO/IEC 27001 and ISO/IEC 27002 standards for users to develop the required standards on 2013- 02- 07. Based on these standards and followed the framework of ISO/IEC 27009, this article firstly explores the standardization of ISMS requirements in the aforementioned "Specific Requirements for Verification Scheme of Information Security Management Law for Management System Verification Institutions", then discusses the control measures should be added to the "Vulnerability Alert and Notification System (VANS), Zero Trust Network (ZTN), and Endpoint Detection and Response (EDR) in the "Improving Defense Depth and Breadth of Government Internet Service Network "work projects and the establishment of active discovery, notification, and repair mechanisms for information security vulnerabilities in the "National Communication Information Security Development Plan ( 110- 113 years)", and finally addresses the issues in the supply chain security implementation.
主题分类 基礎與應用科學 > 資訊科學
参考文献
  1. 樊國楨(2012)。資訊安全護理之五:數位社會資訊安全生態系統(Ecosystem)初探。資訊安全通訊,18(2),20-34。
    連結:
  2. 樊國楨(2012)。資訊安全法制化初探之一:根基於美國聯邦資訊安全管理法。資訊安全通訊,18(1),23-40。
    連結:
  3. 樊國楨(2012)。資訊安全法制化初探之二:隱私衝擊評鑑。資訊安全通訊,18(2),6-19。
    連結:
  4. 樊國楨(2011)。資訊安全護理之四:軟體保證與標準化(下)。資訊安全通訊,17(4),1-22。
    連結:
  5. 樊國楨(2011)。資訊安全護理之四:軟體保證與標準化(上)。資訊安全通訊,17(3),3-20。
    連結:
  6. 樊國楨(2010)。資訊安全護理之一:終端護理。資訊安全通訊,16(1),4-25。
    連結:
  7. 樊國楨(2013)。完備我國資訊安全管理法規初探。前瞻科技與管理,3(1),97-147。
    連結:
  8. 樊國楨(2011)。資訊安全護理之四:軟體保證與標準化(上)。資訊安全通訊,17(3),3-20。
    連結:
  9. 樊國楨(2011)。資訊安全護理之四:軟體保證與標準化(下)。資訊安全通訊,17(4),1-22。
    連結:
  10. 樊國楨(2012)。論美國資訊安全管理政策-從「數位空間國際策略」中之供應鏈風險管理標準化進程談起。前瞻科技與管理,2(2),15-36。
    連結:
  11. 樊國楨(2012)。資訊安全管理法制化初探之四:資訊系統分級的技術要求初探。資訊安全通訊,18(4),4-23。
    連結:
  12. 樊國楨(2012)。資訊安全法制化之三:根基於中國大陸的「計算機信息系統信息安全保護條例:1994-02-18」與「信息安全等級保護管理辦法:2007-06-22」。資訊安全通訊,18(3),1-31。
    連結:
  13. 樊國楨(2012)。根基於2011-05-16之「數位空間國際策略」中的供應鏈風險管理標準化進程探討美國資訊安全管理政策之實作。資訊安全通訊,18(2),69-91。
    連結:
  14. 樊國楨(2011)。資訊安全護理之三:資訊安全管理系統的連續性稽核初探。資訊安全通訊,17(2),3-26。
    連結:
  15. 樊國楨(2010)。資訊安全護理之二:可信賴網路接取。資訊安全通訊,16(2),1-18。
    連結:
  16. 樊國楨,黃健誠(2011)。引入在線可信賴第三方實體鑑別機制 ( 虎符 ) 簡介。資訊安全通訊,17(2),27-36。
    連結:
  17. 樊國楨,羅德興,錢素英,蔡昀臻(2023)。ISMS 驗證合規初論:根基於管理系統驗證機構資通安全管理法驗證方案特定要求。電腦稽核期刊,47,44-83。
    連結:
  18. (2700).ISO/IEC 27001: 2022- 10. Informationsecurity, cybersecurity and privacy protection-Information security management systems–Requirements. 2022- 10..
  19. (2017).ISO/IEC 27003: 2017- 03.Informationtechnology –Security techniques –Information security management system implementation guidance, ISO/IEC 27003: 2017- 03..
  20. (2015).ISO/IEC 11889: 2015 Information technology -- Trusted platform module library(all parts)..
  21. (2013).ISO/TMB/JTCG . 2013. ISO/TMB/JTCG Jointtechnical Coordination Group on MSS (TAG 13), N 0359 JTCGFAQ to support Annex SL, ISO/TMB/JTCG N 359, 2013-12- 03..
  22. (2021).ISO/IEC TS 27022: 2021- 03.Informationtechnology — Guidance on information security management system processes. 2021- 03.
  23. (2022).ISO/IEC 15408: 2022- 08. Information security,cybersecurity and privacy protection(all parts)..
  24. (2021).ISO/IEC 10118: 2021 Information technology–Security techniques –Hash-functions(all parts)..
  25. (2020).ISO/IEC JTC 1/SC 27/WG 1. 2020.Updatedtext for ISO/IEC CD2 27002 based on DoC N 2544, 2020- 08- 27..
  26. (2022).ISO/IEC 18045: 2022- 08.Information security, cybersecurity and privacy protection —Evaluation criteria for IT security —Methodology for IT security evaluation..
  27. (2014).ISO/IEC 27000 2014 Information technology –Security techniques –Information security management systems - Overview and vocabulary, ISO/IEC 27000: 2014- 01..
  28. (1988).白居易詩選.遠流出版社.
  29. (2018).ISO/IEC 27000: 2018- 02- 07.Informationtechnology –Security techniques –Information security management systems - Overview and vocabulary, ISO/IEC 27000: 2018- 02..
  30. (2020).ISO/IEC 27009: 2020- 04.Information security, cybersecurity and privacy protection – sector-specific applications of ISO/IEC 27001–Requirements. 2020- 04..
  31. (2022).ISO/IEC 27036: 2021 Cybersecurity — Supplierrelationships .(all parts).ISO. 2022.SC 27 STANDING DOCUMENT SD 11: 2022 ( 2). July 2022..
  32. (2014).ISO/IEC . 2014. ISO/IEC Directives, Part 1, Consolidated ISO Supplement, Fifth edition, Annex SL (normative) Proposals for management system standards, pp. 115~ 136. 2014..
  33. (2022).ISO/IEC 27002: 2022- 03.Informationsecurity, cybersecurity and privacy protection–Information security controls. 2022- 03..
  34. Best, M.,Neuhauser, D.(2005).HEROES &MARTYRS OF QUALITY AND SAFETY:W Edwards Deming: father of quality management, patient and composer.Qual Saf Health Care,14,310-312.
  35. Best, M.,Neuhauser, D.(2006).HEROES AND MARTYRS OF QUALITY AND SAFETY:Walter A Shewhart, 1924, and the Hawthorne factory.Qual Saf Health Care,15,142-143.
  36. Boyens, Jon,Angela, Smith,Nadya, Bartol,Kris, Winkler,Holbrook, Alex,Fallon, Matthew(2022).Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations, NIST SP 800- 161.
  37. Boyens, Jon,Paulsen, Celia(2012).NIST IRNIST IR,未出版
  38. Calkin, A.(1995).Nine years of an ISO/IEC secretariat on IT security.Computer Standards & Interface,17(1),139-143.
  39. Fido Alliance, 2022. Document Authenticity Verification Requirements https://fidoalliance.org/specs/idv/docauth/document-authenticity-verification-requirements-v 1. 0-fd 20220815.html GitHub Stephanie Schuckers (Clarkson University) Chris Algrove (UK Digital Cabinet Office) Rayissa Armata (IDNow) Mark Brady (AU 10TIX) Tim Brown (Idemia) Hsin Hau Hanna (Thales) Fernando Martin (Thales) Santosh Rajvaidya (Jumio) Prashant Sharma (MasterCard) Amy Shuart (Onfido) Teresa Wu (IDEMIA) Copyright © 2022 FIDO Alliance. All Rights Reserved. This document contains the FIDO Document Authenticity Requirements and Test Procedures for the Document Authenticity Verification Certification Program. Table of Contents Final Document, August 15, 2022.
  40. Fumy, Walter(2012).Fumy, Walter. 2012- 10- 10. SC 27 BusinessPlan October 2014–September 2015 (PDF) (Business Plan). Retrieved 2013- 08- 22..
  41. Green, Richard 2021. ISO/IEC TS 27022: 2021– Information technology – Guidance on information security management system processes. https://www.quality.org/knowledge/ isoiec-ts- 270222021-%E 2% 80% 93-information-technology-%E 2% 80% 93-guidance-information-security-management. (Retrieved on 2023/ 02/ 05).
  42. Haufe, Knut(2017).DEPARTAMENTO DE INFORMÁTICA, Universidad Carlos III de Madrid.
  43. Humphreys, E.(2007).Implementing the ISO/IEC 27001 Information Security Management System Standard.ARTECH HOUSE, INC..
  44. Humphreys, E.(ed.)(2010).SC 27 Platinum Book.Suffolk, UK:Gripping Press Ltd.
  45. Morris, Robert,Thompson, Ken(1979).Password Security: A Case History.Communications of the ACM,22(11),594-597.
  46. NIST=National Institute of Standards andTechnology(2023).NIST(National Institute of Standards andTechnology)( January 2023) Artificial Intelligence Risk Management Framework (AI RMF 1. 0), NIST AI 100- 1..
  47. Ofte, Hvard Jakobsen,Katsikas, Sokratis(2023).Understanding situation awareness in SOCs, a systematic literature review.Computers & Security,126
  48. OMB, EXECUTIVE OFFICE OF THE PRESIDENT(2022).OMB (OFFICE OF MANAGEMENT ANDBUDGET, EXECUTIVE OFFICE OF THE PRESIDENT) ( 2022- 01- 26). Moving the U.S. Government Toward Zero Trust AND BUDGET, EXECUTIVE OFFICE OF THE PRESIDENT..
  49. Souppaya, M.,Morello, J.,Scarfone, K.(2017).NIST Special PublicationNIST Special Publication,未出版
  50. The Open Group(2012).The Open Group 2012. Open TrustedTechnology Provider Standard (O-TTPS) –Mitigating Tainted and Counterfeit Products (Snapshot), Figure 1, Page 5, February 2012 (ISO/IEC 20243- 1: 2018 (O-TTPS)).
  51. Thompson, K.(1984).Reflections on TrustingTrust (TURING AWARD LECTURE).Communications of the ACM,27(8),761-763.
  52. 丁文江,1928,重印天工開物卷跋。
  53. 中國信息通信研究院雲計算與大數據研究所(2021)。中國信息通信研究院雲計算與大數據研究所,2021,《數位化時代零信任安全藍皮報告 ( 2021 年 )》。
  54. 仉桂美,劉德勳,包宗和(2021)。仉桂美、劉德勳與包宗和,2021,109 教調0004 ( 監察院調查報告 ),2021 年 06 月04 日。
  55. 行政院,2021,資通安全管理法及子法彙編,2021 年 9 月。
  56. 行政院(2021)。行政院,2021,院臺護字第 1100164401 號函,2021 年 2 月 23 日。
  57. 行政院(2013)。行政院,2013,院臺護字第 1020157911 號函,2013 年 12 月 15 日。
  58. 行政院國家資通安全會報(2021)。行政院國家資通安全會報,2021,國家資通安全發展方案 ( 110 年至 113 年 ),2021年 02 月。
  59. 行政院國家資通安全會報技術服務中心(2021)。行政院國家資通安全會報技術服務中心,2021,政府機關資安健診服務委外服務案建議書徵求文件 ( 範本 ) (V 4. 0),2021 年 9 月 ( 2021 年 09 日 )。
  60. 行政院國家資通安全會報技術服務中心(2022)。行政院國家資通安全會報技術服務中心,2022,資通系統防護基準驗證實務,2022 年 9 月 ( 2022 年 09 日 )。
  61. 吳世忠(編),陳曉樺(編),李鶴田(編),李斌(編)(2006).信息安全測評認證.:中國科學技術大學出版社.
  62. 吳世忠,劉暉,郭濤,易錦(2013).信息安全漏洞分析基礎.科學出版社.
  63. 吳亞非(2011)。美國聯邦桌面核心配置中國政務終端安全核心配置研究。資訊安全管理系統標準化系列討論會之 9:「軟體保證與 ISMS」書面資料
  64. 吳樂群(1999)。從金融風暴省思監察人制度的興與革。會計研究月刊,159,27-34。
  65. 呂述望(2006)。呂述望,2006,自立於世界密碼之林-密碼應用體系研究 ( 簡報資料 ),中國信息協會信息安全專業委員會 2006 年年會,2006- 08- 26,甘肅省敦煌市。
  66. 呂述望,范修斌,周玉浩(2003).序列密碼的設計與分析.北京中軟電子出版社.
  67. 沈婉玉(2022)。創新衝第一卻忽視「 小問題 」揭國泰銀 15個月出六次包內幕。商業周刊,1832,32-34。
  68. 周立平(2012).周立平,2012,Cryptoanalysis in Real Life(Presentation),HITCOM 2012( 2012-07- 21 下午 13: 00~ 13: 45),台北市.
  69. 徐子苓,2023,「資安院揭牌加速零信任架構 」,自由時報,A 4 版,2023 年 2 月11 日。
  70. 財團法人全國認證基金會(2020)。財團法人全國認證基金會,2020,《資訊安全管理系統驗證機構認證規範 (ISO/IEC 27006: 2015 AMD 1: 2020)》,2020 年 10月。
  71. 財團法人全國認證基金會(2022)。財團法人全國認證基金會,2022,《管理系統驗證機構資通安全管理法驗證方案特定要求 》,2022 年 04 月。
  72. 國家 973 信息與網絡安全體系研究課題組組織(翻譯)(2022).信息保障技術框架.北京中軟電子出版社.
  73. 國家安全會議國家資通安全辦公室(2018).國家資通安全戰略報告─資安即國安.
  74. 國家安全會議國家資通安全辦公室(2021).國家資通安全戰略報告─資安即國安2. 0.
  75. 國家密碼管理局,2007,可信計算密碼支撐平台功能與接口規範,2007 年 12 月。
  76. 國家發展委員會,2021,政府資料傳輸平臺管理規範 ( 中華民國 110 年 9 月 28 日國家發展委員會發資字第 1101501487 號令訂定發布 ),2021 年 9 月。
  77. 張維真(2020)。全球數位資料權及標準分歧擴大,廠商面對困境何在?。貨幣觀測與信用評等,144,83-96。
  78. 楊蘭堯(2020)。加速政府資料傳輸與安全應用─T-Road 架構與安全機制。國土及公共治理季刊,8(4),86-91。
  79. 數位發展部資通安全署,2019a,資通安全維護計畫範本,2019 年 1 月 4 日(https://www-api.moda.gov.tw/File/Get/acs/zh-tw/o0ImqfHkSGWBl2H ,2021 年11 月 9 日檢索 )。
  80. 數位發展部資通安全署,2019b,資通安全維護計畫範本參考附件 (https://www.api.moda.gov.tw/File/Get/acs/zh-tw/h14CnUkyejUYUHT ,2021 年 11 月 9 日檢索 )。
  81. 樊國楨(2012)。第 16 屆全國科技法律研討會論文集
  82. 樊國楨(2012)。資訊安全管理之第三方稽核的資訊安全技術評估方法初探─根基於中國大陸之信息安全等級保護測評要求(下)。標準與檢驗,172,23-35。
  83. 樊國楨(2012)。資訊安全管理之第三方稽核的資訊安全技術評估方法初探─根基於中國大陸之信息安全等級保護測評要求(上)。標準與檢驗,171,44-57。
  84. 樊國楨(2011)。樊國楨,2011,資訊安全管理實作初探-根基於美國聯邦政府資訊安全管理法計畫與中國大陸信息安全等級保護之發展歷程 ( 未發表 )。
  85. 樊國楨,季祥,韓宜蓁(2021)。資訊安全管理系統稽核初論:根基於資安健診與標準化。Communications of the CCISA,21(1),33-56。
  86. 樊國楨與林樹國,2013,中國大陸資訊安全政策發展要情研析 ( 初稿 ) ( 未發表 ),2013 年 05 月 01 日。
  87. 樊國楨,楊中皇(2008)。海峽對岸國家密碼局公布之第一個密碼演算法- SMS 4及其與可信賴平台關係簡述。資訊安全通訊,14(2),130-141。
print cancel