國際標準組織於今年10月1日ISO年會中,正式推出新改版的資安認證標準ISO 27001:2013,這也是ISO 27001自從2005年正式成為國際標準之後的首次改版。
ISO 27001雖然是一張資安認證,但對於某些產業的營運發展而言,其實具有正面效益,例如,臺灣有許多金融業想要成立海外分行時,若銀行已經先取得一張ISO 27001的資安認證,相對容易取得當地國政府的信任,更容易核可成立當地分行。永豐銀行法令遵循處副總經理簡榮宗表示,臺灣有許多金控銀行都已經取得ISO 27001:2005的資安認證,對其他金融業者而言,ISO 27001:2005甚至是一個同業資安水準的參考指標。
但根據ISO國際組織截至2012年的統計資料,臺灣目前取得ISO 27001:2005的企業和組織數量高達855個,名列全球第6名。從這樣的數據也證明,ISO 27001一旦轉版,將影響臺灣許多已經取得ISO 27001的企業與政府部門。
臺灣BSI驗證部協理謝君豪表示,此次推出的新版ISO 27001:2013,除了在技術規範上跟上現在的IT技術潮流外,例如智慧型手機的控管外,也提供一個更高的標準架構,供企業重新界定新版標準和其他類似標準的整合。他說,預計企業最遲將在2015年全數適用ISO 27001:2013的新版標準。
因應未來標準管理制度趨於一致性的趨勢,國際組織也推出很多跨標準的共通參考的驗證準則,謝君豪指出,企業風險可以參考ISO 31000,ICT的營運持續可參考ISO 27031,資訊治理參考ISO 38500外,因應個資法的數位鑑識可以參考ISO 27037,軟體測試則可以參考ISO 29114等國際標準。
