专案管理的资讯安全-以ISO27001及TISAX的要求为例

因为资安事件频传，企业对于资讯安全这几年也越来越重视，更甚而从产业的龙头大厂要求供应链的厂商必须确保企业的资安管理能力，所以ISO27001的资讯安全管理成为管理系统认证的显学，这些要求有些是企业内部的管理阶层，而有些是客户要求。
除了基本的ISMS管理制度要求外，部分产业更进一步的资安成熟度认证，例如欧系汽车产业的VDA TISAX资安成熟度认证、美国国防部针对相关供应商在承包DoD业务或工程时推行的CMMC网路安全成熟度模型认证(Cybersecurity Maturity Model Certification)，都已经让资安的成熟度成为成为重大客户合格供应商、业务订单的基本条件。

过去在谈资安，都以资讯部门及系统为主，但近年来对于IT之外的，例如企业的产品专案是否纳入资安考量也越来越是个相稽核认证的重点。笔者以ISO27001:2022及TISAX对专案管理的要求为例，分享在专案管理将资讯安全纳入实施考量的重点。

专案管理

所谓专案，包含内外部专案，且不限IT专案：

外部专案：例如IT系统委外开发、机房维运、产品零件设计委外、厂房修建专案...等内部专案：例如IT内部系统开发、RD产品研发专案...等

因为专案包山包海，所以要判别的是：

此专案涉及的机密等级是否需要要有资安保护的考量内部、外部交换的专案资料是否有涉及需要保护的资料

通常符合上述二点的专案才会进一步进行相关资讯安全的识别及管理的要求。
在设计上，通常会设计「专案管理安全程序书」，或是在企业现有的专案管理中加入资讯安全的作法。也就是在专案的五阶段：「起始、计划、执行、控管、及结案」各阶段加入资安作法的考量：

专案初期的风险评鉴，也就是识别专案安全的威胁和弱点专案初期「安全要求事项」识别专案执行过程对初期已识别的「安全要求事项」进行稽核，是否有落实资安管理

ISO27001:2022的专案管理资讯安全要求

在ISO27001对于专案管理的控制项要求，在附录A.5.8中

A.5.8专案管理之资讯安全：资讯安全应整合入专案管理中。

ISO27001对于专案管理的控制项只要这个要求。业界常见的管理制度作法有2种：

建立「专案管理安全程序书」说明专案各阶段的安全实作在「委外管理程序书」及「系统获取、开发管理程序书」中加入「专案管理」的安全要求。
实际的管理作法，同上述【专案管理】各阶段加入资安作法的考量。

TISAX专案管理的资讯安全要求

在TISAX中对于专案的要求有2个：

Information security： 1.2.3 To what extent are information security requirements taken into account in projects?
Prototype Prototection：8.2.4 To what extent is a process defined for granting access to security areas?

以下针对这二项MUST、Should的要求细节说明：

VDA ISA 6.0.1 Information Security 之要求：

1.2.3 To what extent are information security requirements taken into account in projects? 在各项专案考虑资讯安全需求到什么程度
【MUST】

Projects are classified while taking into account the information security requirements. 专案根据其资讯安全要求进行分类。
【笔者解说】：就是要针对IT和RD不同专案，要依照安全的考量有分类的方法：例如：IT专案分为(1)顾问教育训练类、(2)系统开发类、(3)硬体网路维运类、(4)云端服务类例如：製造业的RD专案分为(1)策略性产品研发、(2)客户新产品研发、(3)衍伸性产品开发另一个重点：不同分类要有不同等级、不同层次的安全要求喔

【SHOULD】

The procedure and criteria for the classification of projects are documented. 文件化专案分类的程序和标準。
【笔者解说】：就是专案分类、专案管理要有程序书或SOP文件化的实施。

During an early stage of the project, risk assessment is conducted based on the defined procedure and repeated in case of changes to the project. 在专案的早期阶段，根据定义的程序进行风险评鉴，并在专案发生变化时重複进行风险评鉴。
【笔者解说】：专案初期就要有实施风险评鉴的方法及实施记录。

For identified information security risks, measures are derived and taken into account in the project. 对于已识别的资讯安全风险,应在专案中得出并考虑措施。
【笔者解说】：专案识别出来的安全要求，必须和此专案提出相对应因应措施，以降低风险。

Additional requirements for high protection needs

The measures thus derived are reviewed regularly during the project and reassessed in case of changes to the assessment criteria. (C, I, A) 在专案期间定期审查由此衍生的措施，并在评估标準发生变化时重新评估。 (机密性，完整性，可用性 )
【笔者解说】：要定期审查、稽核专案初期识别的专案要求事项。如果专案有发生重大变化，应该重新进行风险评鉴及专案的安全要求识别。

VDA ISA 6.0.1 Prototype Prototection之要求：

8.2.4 To what extent are security classifications of the project and the resulting security measures known? 已知的专案安全归类和由此产生的安全措施，要实施到什么程度？
【MUST】

Ensuring that the security classification and requirements in relation to the project progress are made known to each project member. 确保每个专案成员都知道与专案进度相关的安全归类和要求事项。
【笔者解说】：每一位专案成员都要知道此专案的「安全要求事项」是甚么。(注:可请专案成员阅读、了解及签名)

Consideration of step-by-step plans, measures for secrecy and camouflage, development policies. 考虑逐步计划、保密和伪 装措施、发展政策。
【笔者解说】：拟定需保护的样品(Prototype)的保护措施实施计画

The requirements are considered as a requirement regarding the information security of the project (see Controls 1.2.3 and 7.1.1 Information Security). 这些要求事项被视为与专案相关的资讯安全要求事项（参见资讯安全控制 1.2.3 和 7.1.1）
【笔者解说】：Prototype的安全要求事项，必须符合1.2.3的专案管理安全，以及7.1.1客户合约、相关法律的遵循性要求。

结论

综合上述以ISO27001及TISAX的要求的解析说明，归纳专案管理的资安要求可实作的管理重点摘要如下：
所谓专案，不限IT专案，不限内外部的专案，要考量倒是专案本身是否有敏感性资讯需要保护。尤其在TISAX的稽核验证中，客户专案、研发专案、委外专案及外部服务专案安全要求的识别及执行安全管控的落实都是TISAX稽核的重点。

第一关：依据安全要求的专案的分类，以及不同等级的安全的基本要求第二关：专案初期要进行专案的风险评鉴，并识别「安全要求事项」(包含合约、法律、内部安全要求)。第三关：专案人员对安全要求事项都知道 。第四关：稽核专案的要求事项之遵循状况。

---

本文作者：AllanLo，资安顾问，ISO27001、TISAX认证辅导顾问。
企业资安议题欢迎交流。
allanlo.plus@gmail.com