資安認證關鍵機構參考

資安認證關鍵機構參考
3 月 27, 2019 No Comments Certification, Ultra_Service 管理員

隨著新興科技如 IoT、Big data、AI、Blockchain 的蓬勃發展,國內外新興科技資安與個資相關法 規與國際標準也陸續的發展,如何有效管理 Cybersecurity 的風險與事故更是刻不容緩。

國內的資安與個資法規

資通安全管理法與相關子法於2018年6月與11 月相繼公告,也勾勒出了資通安全與個資保護的合規展現相關要求,例舉說明如下: 

於資通安全責任等級分級辦法總說明中,可見: 

初次受核定或等級變更後之二年內,全部核 心資通系統導入CNS 27001資訊安全管理系統國 家標準、其他具有同等或以上效果之系統或標 準,或其他公務機關自行發展並經主管機關認可 之標準,於三年內完成公正第三方驗證,並持續 維持其驗證有效性。

此要求說明了國家標準 CNS 27001驗證的重要性,也建議原只進行ISO 27001驗證的組織加驗CNS 27001,另可窺知可 其它涵蓋CNS 27001驗證的國家標準如 ISO/CNS 27018與ISO/CNS 29151(制定中)等PIMS國家標 準驗證可展現為「以上效果之系統或標準」, 而其它外國標準如美國ANSI、英國BS、加拿大 CAN、德國DIN等,除非經主管機關認可外,均不被接受。 

目前國際上比較知名的認證機構

1. (ISC)2 :https://www.isc2.org/ 

2. BSi:https://www.bsigroup.com/ 

3. CompTIA:https://certification.comptia.org/ 

4. CREST:https://www.crest-approved.org

5. EC-council:https://www.eccouncil.org/ 

6. Elearning Security:https://www.elearnsecurity.com

7. GIAC:https://www.giac.org/ 

8. ISACA:https://www.isaca.org/ 

9. ISFCE:https://www.isfce.com/ 

10. Offensive Security:https://www.offensive-security.com

11. SGS:https://www.sgs.com.tw/ 

12. 中華民國電腦技能基金會:https://www.csf.org.tw/ 

『公正第三方驗證』所稱第三方,指通過我國 標準法主管機關委託機構認證之機構。此要求說明了唯有經全國認證基金會(TAF)認證的驗 證機構進行的第三方驗證方可被接受。 

第四條第四款中「業務涉及全國性民眾或公務員個人資料檔案之持有」及對應說明「第四款所稱 全國性民眾或公務員個人資料檔案,指含括全國 地域範圍內之絕大部分民眾或公務員之個人資料 檔案」,已將個資列入分級的條件,也可窺知若核心資通系統中涉及個資,亦在資通安全管理法與相關子法的規範範圍之內。

於資通安全管理法施行細則總說明中,可見 「為確保受託者辦理受託業務之程序及環境具安全性,並得妥善執行受託業務,爰為第一款及第二款規定。第一款所稱第三方,係指通過我國標準法主管機關委託機構認證之機構,其驗證標準可為國際、國家或團體標準。」

此要求說明了唯有國際 (ISO),國家(CNS)或團體標準(如IEC,IEEE或ITU)可 被接受,其它外國標準(如美國ANSI,英國BS,加拿 大CAN,德國DIN等)並非國際標準(ISO)而將不被接受。 

資通安全管理法與相關子法公告後,也宣告國內一直以來被某些外國標準或驗證機構或前述機構的合作顧問機構主張其所推廣的某些外國標準可做為國內資安或個資的合規展現的亂象的終止,相對的,標準法主管機關對於資安與個資國家標準的制 定與推動與TAF對於資安與個資驗證機構的認證方案的制定與推動就必須跟得上法規的腳步與市場的需 求。各組織(包含提供資通安全管理法適用機構委外辦理資通系統之建置、維運或資通服務之提供商)在建立、維運與最佳化其 ISMS/PIMS 時也必須將資通安全管理法與相關子法的要求納入管理系統以有效的展現合規。

國外的資安與個資法規
歐盟的GDPR自2018年5月實施前就一直被關注著相關的發展,然而另一個與GDPR有個相同主管機構European  Data Protection  Board(EDPB)與相同高罰則的 ePrivacy法規(Regulation)也不容忽視。

因 ePrivacy 影響層面涉及國內廠商擅長之網通服 務、網通設備、Smartphone/APP與 IoT 相關應用等領域或產業,宜及時準備對應的合規措施。於2019年 1月,法國的個資主管機構(DPA) CNIL 對 Google 因違反 GDPR 開罰歐元 5,000 萬的案例,也再次提醒了全球各 GDPR 適用單位對於法規遵循整備的迫切性, 國內 GDPR 主政機構除積極與歐盟進行第三國適足性(Adequacy)協商外,也應儘速的整合 GDPR 相關資源,有效的協助企業面對 GDPR 的合規展現作為。 

值的借鏡的是,依據2019年1月23日 European Commission 的公告文件 ”COMMISSION IMPLEMENTING DECISION “ [pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on the adequate protection  of personal  data by Japan under the Act on the Protection of Personal Information],日本的適足性(Adequacy)已被有條件 的同意,日本申請適足性認定由2017年1月開始討論 到2018年9月初步被接受,歷經 GDPR 的主管機構由 Article 29 Working Party 轉換為 EDPB 的組織性變動, 歷時21個月。

國際(ISO)PIMS 驗證標準已經出現

國際間各國共同努力 於 ISO 組織中推動的 PIMS 驗證標準 ISO/IEC 27552 已經於2018年年底公告其準國際標準(DIS),於公告的準國際標準中可見 ISO/IEC 27552 整合了資訊安全管理系統與個資管理系統的要求於一個標準中,也代表通過 ISO/IEC 27552 驗證可展現同時符合資訊安全管理系統(ISMS)驗證(ISO/ CNS27001)與個資管理系統(PIMS)驗證的要求,可作為符合國內資通安全管理法與相關子法精神(同時涵蓋資安與個資面象)最佳的合規展現。

Tags
About The Author

Leave a reply