ISO 27002 資訊安全控制措施實務規範

ISO/IEC 27002是一部資訊安全控制措施的國際實務規範（Code of Practice），其前身為英國標準BS 7799-1。它本身並非一個管理系統驗證標準，而是作為可驗證標準ISO 27001的配套指南，針對ISO 27001附錄A（Annex A）所列的控制目標，提供詳細的實作指引與最佳實務。最新版本ISO/IEC 27002:2022將控制措施重整為93項，並歸納於四大主題：組織、人員、實體與技術。在風險管理體系中，當組織依據ISO 27001完成風險評鑑並決定處理方式後，即可參照ISO 27002來選擇並設計具體的控制措施。這對於滿足如台灣《個人資料保護法》施行細則第12條所要求的「採取適當之安全措施」或GDPR第32條的處理安全要求，提供了具體且國際公認的實踐框架。

ISO 27002的應用始於風險評鑑之後，其核心在於將抽象的風險管理策略轉化為具體的防禦行動。實務應用步驟如下： 1. **控制項選定與適用性聲明（SoA）**：依據ISO 27001風險評鑑的結果，從ISO 27002的93項控制措施中，篩選出與組織風險情境相關的項目，並在「適用性聲明書」中詳述選用或排除的理由。 2. **控制措施設計與導入**：參考ISO 27002的實作指引，為每個選定的控制項設計具體政策、流程與技術組態。例如，針對控制項「5.23 雲端服務的資訊安全」，企業需制定雲端服務使用政策、供應商安全評估流程及資料傳輸加密標準。 3. **有效性衡量與持續改善**：導入後，需建立衡量指標（KPIs）來監控控制措施的成效，例如，透過定期弱點掃描，追蹤「8.8 技術漏洞管理」的修補率是否達到95%以上。台灣某高科技製造業導入後，其年度外部稽核的缺失項減少了40%，並成功通過客戶的供應鏈資安審查。

台灣企業導入ISO 27002時，普遍面臨以下三大挑戰： 1. **資源與專業知識不足**：特別是中小企業，常缺乏專職資安人力與預算來實施完整的控制措施。對策是採用風險基礎方法，優先處理高風險項目，並將非核心的資安監控（如SOC監控）委外給專業的資安服務供應商（MSSP），以符合成本效益的方式達成目標。 2. **法規對應模糊**：不清楚如何將ISO 27002的控制項對應到台灣《資通安全管理法》或《個人資料保護法》的具體要求，導致重複投資或合規缺口。解決方案是建立「法規-標準對照表」，例如將控制項「8.10 資訊刪除」直接映射至《個資法》第11條的個資刪除權，確保一個控制項能滿足多重合規需求。 3. **員工安全意識薄弱**：再好的技術控制，都可能因員工點擊釣魚郵件而功虧一簣。應對此挑戰，需依據控制項「6.3 資訊安全意識、教育及訓練」，規劃為期一年的持續性培訓計畫，並結合社交工程演練，目標在6個月內將員工的釣魚郵件點擊率降低50%。

積穗科研股份有限公司專注台灣企業ISO 27002相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact