南韓公部門的火災事故之後,多數檢討集中在「沒有備援或未演練」;ISO/IEC 27001:2022 / 27002:2022 的 A.5.30(ICT 續行備妥)與 A.5.23(雲服務使用之資安),正是把備援與雲治理「操作化」的關鍵。
ISO/IEC 27001:2022 A.5.30 (ICT 續行備妥) 與 A.5.23 (雲服務使用之資安)對照表
| ISO/IEC 27001:2022 條款 | 核心要求 | 設計對策 | 稽核證據 |
|---|---|---|---|
| A.5.30 ICT 續行 | MTPD/MBCO 與 RTO/RPO | 多區域/多雲、主被動或多活、不可變備份、降載機制 | BIA、演練報表、降載腳本 |
| A.5.23 雲服務 | 上/用/退雲治理 | 供應商盡職調查、金鑰主權、資料可攜、日誌一致性 | 合規清單、銷毀證明、API 日誌 |
- A.5.30 → 從 BIA 到 RTO/WRT 的技術落地:
- 以 BIA 量化中斷影響與 MTPD、定義 MBCO;
- 擬定 RTO/WRT 與演練週期;
- 規畫 ICT 續行架構(多區域、多雲、零信任網段隔離、金鑰主權、不可變備份);
- 佐以稽核證據(演練紀錄、還原報表、KPI 看板)。
- A.5.23 → 雲服務生命週期治理(上雲 / 用雲 / 退雲):
- 上雲前:風險評估、資料分類、金鑰策略、供應商盡職調查;
- 用雲時:權責分界、資安保證(滲測/弱掃/WAF)、日誌標準;
- 退雲時:資料匯出格式、加密保留、銷毀證明、憑證與金鑰回收。
行動要點 – 標準不只是「證照」,更是設計準則
- 把標準「條款」轉為「設計檢核表」與「演練腳本」。
- 以稽核證據說話:建立「從指標到演練」的閉環。
Cloudmax 將 A.5.30 / A.5.23 轉為「設計檢核表+演練腳本+合規證據包」,把標準從文件變成可驗證的韌性:季度還原實測、事件通報留痕與 RTO/RPO KPI 看板,確保在真實故障中可用。
來信:[email protected]|來電:02-2718-7200|加入匯智官方 LINE https://line.me/R/ti/p/@cloudmax,了解 Cloudmax 匯智相關服務:
- 資安與合規輔導(27001/27002 映射、BCP/DR 腳本):
https://www.cloudmax.com.tw/product/cybersecurity-guide - 混合雲/多雲整合與異地備份:
https://www.cloudmax.com.tw/product/cloud-hosting
https://www.cloudmax.com.tw/product/remote-backup - M-WAF 與資安防護(強化應用層韌性):
https://www.cloudmax.com.tw/product/m-waf
FAQ
1. 條款如何量化?
以 MTPD/MBCO → RTO/WRT → RPO 的時間鏈倒推與對映 KPI。先以 BIA 釐清服務分級與 MTPD(最長可容忍中斷)與 MBCO(最低可持續營運水位),再設定 RTO(恢復時間)與 WRT(清空積壓時間),最後定義 RPO(復原點)。KPI 至少包含:實測 RTO/RPO 分佈、WRT 清件時數、演練頻率與還原成功率,並將「例外與修正時程」納入季度報表。
2. ISO 27001 與 ISO 22301 的關係是什麼?
ISO 22301 建立營運持續管理(BCM/BCP)的管理框架與術語(如 MTPD/MBCO);ISO/IEC 27001:2022 則在資安管理系統下,透過附錄 A(例如 A.5.30 ICT 續行備妥、A.5.23 雲服務使用之資安)把「資訊與 ICT 層面」的控制要求落地。簡言之:22301 管框架,27001 管資安控制與 ICT 落地,兩者互補。
3. 稽核最常缺什麼證據?
最常缺的是還原實測證據與事件級通報留痕。建議每季產出一包「合規證據包」,含:還原報表(截圖、日誌、校驗紀錄)、RTO/RPO/WRT 實測值、演練腳本與簽到、例外清單與修正完成日期,以及 P1/P2 事件通報時間線與責任分工紀錄。
【註】ISO 條款說明
本文提及之 A.5.23 / A.5.30 屬 ISO/IEC 27001:2022 附錄 A 控制項(詳解見 ISO/IEC 27002:2022):
- A.5.23〈Information security for use of cloud services〉:強調雲服務「上雲/用雲/退雲」的治理與安全(供應商審查、資料分類與可攜、金鑰主權、日誌與事件通報、結束服務的資料刪除證明)。
- A.5.30〈ICT readiness for business continuity〉:以 MTPD/MBCO → RTO/WRT → RPO 建立可用性目標,規劃多區域/多雲/不可變備份與定期演練,並保留可稽核證據(還原報表、腳本、日誌)。
- 與 ISO 22301 的關係:22301 提供 BCM/BCP 管理框架與術語;27001 的 A.5.30 要求把「ICT 層面備援與演練」落到技術與流程,兩者互補。
歡迎轉載!請見:轉載原則。
Image by AI-generated via Google Gemini / DALL·E
