ISO27001:2013原先就要求組織應關注影響資訊安全管理系統的外部議題、與關注方保持聯繫,以及資安事故之學習。(A.6.1.4)
這次改版中,ISO27001:2022新控制項5.7威脅情報(Threat intelligence)完整引進情報學(Intelligence studies)概念「指導─蒐集─處理─運用」,協助組織/企業因應瞬息萬變的資安威脅環境。其中,將威脅情報分拆為戰略威脅情報、戰術威脅情報、行動威脅情報,更是直接引進軍事戰略情報的研析方法。
未來在實務操作上,建議組織像平常一樣不時留意資通安全趨勢(最新網攻滲透手法、技術等)、漏洞訊息,蒐集威脅情報,納入會議議程、留下紀錄;可參考以下資源:
另外一點比較特殊的是,5.7威脅情報(Threat intelligence)也提到組織可以自己產出情報,意即一些資安事件,如流量異常、某帳號超過3次登入失敗告警、設備發生不明故障等,也應被視為可能的威脅情報,朝最壞的可能情境設想,並做適當處置。換言之,ISO希望組織都能以情報的角度看待資訊安全,不漏掉任何蛛絲馬跡。
額外補充,將情報研究方法從軍事、戰略情報領域挪用到網路安全的作法其實有先例可循。如知名的F3EAD循環威脅情報循環,就是從美軍在反恐任務中的特種作戰行動歸納出的經驗結晶,發現目標、定位目標、消滅威脅、蒐集並利用情報、分析萃取有用情報、發布分享需求單位。ISO27001:2022則是進一步簡化這個脈絡,以最便捷的方式,蒐集、運用網安威脅情報。
Commenti