PCI DSS 與 ISO/IEC 27001 資安標準之比較 Comparison of PCI DSS and ISO/IEC 27001 Standards 作者 :Tolga Mataracioglu, CISA,CISM,COBIT Foundation,CCNA, CEH, ISO 27001 LA,BS 25999 LA, MCP, MCTS,VCP, is chief researcher at TUBITAK BILGEM Cyber Security Institute in Turkey. He is the author of many papers about information security published nationally and internationally. His areas of specialization are system design and security, operating systems security, information security management systems, business continuity, COBIT, and social engineering. 譯者 : 孫嘉明, CISA, ACDA, CHFI, CEAP 雲林科技大學會 計系副教授 支付卡資料安全標準 (PCI DSS) 為處理各大信用卡交易的支付卡組織所適用的資訊安全標準, 所涵蓋的組織有 :Visa, MasterCard, 美國運通 (American Express), Discover, 以及 JCB PCI DSS 建立的目的在於提昇持卡人資料的相關控制以降低因為資訊外洩所導致的信用卡詐欺 1 相對而言, ISO/IEC 27001 則是資訊安全管理體系的規範標準, 由國際標準組織 (ISO) 與國際電工委員會 (IEC) 所共同組成的聯合委員會所制定 2 雖然這兩項標準都是資安標準, ISO/IEC 27001 適用於各種不同類型的組織,PCI DSS 則較適用於處理電子商務的機構 但這兩大標準可否合併採用? 是否可行呢? 兩者之間又有何不同? 本文將討論及檢視 PCI DSS 3.1 與 ISO/IEC 27001:2013 之間的共同執行概況 (interoperability) 並且進一步比較和對照兩者的優缺點等特性 PCI DSS PCI DSS 是由 Visa MasterCard 美國運通 (American Express) Discover, 以及 JCB 所共同組成的委員會, 目的在於保護支付卡及持卡人的敏感資訊 3 在標準中制訂了 6 項目標以及 12 個需求項目 ( 圖 1). ISACA JOURNAL 摘譯文章 14
這 12 項需求可以被包涵於由 ISO 與 IEC 所共同制訂的 ISO/IEC 27001:2013 標準高階需求目標之中 圖 2 列出了 PCI DSS 這 12 項需求與 ISO/IEC 27001:2013 版條文的對映關係 受查公司必須定期由 PCI Council 4 所授權的合格安全評估機構 (QSA) 進行稽核以及合格安全檢測廠商 (ASV) 定期檢查 國際自動化協會 (ISA) 也要求依據商家的規模及層級使用自我評估問卷 (SAQs) 進行評量 圖 3 中舉例說明了 PCI DSS 依據不同交易數量及類型所區分的 4 種不同層級及遵循要求 圖 4 則是列舉了 JCB 的遵循要求 圖 5 則是美國運通的遵循規範 由這些圖表可以瞭解組織在年度不同交易數量下所應提供的資訊安全稽核訊息 依據這些圖表資訊, 資安長 (CISOs) 很容易即可判斷需要進行自我評估 安全檢測或是現場查核等不同資安稽核要求的適用情境 ISACA JOURNAL 摘譯文章 15
ISO/IEC 27001 標準 該標準中包涵了 Annex SL 範疇中的七大主題, 分別為 : 組織 領導 規劃 支援 運作 績效評量及改善 5 Annex SL 是新制定的管理體系架構, 目的在於使得新標準的建置以及單一組織內同時推行多項標準時能夠更為順暢且易於實施 它是由 ISO 技術管理委員會 (TMB) 所屬的聯合 技術協調小組 (JTCG) 所共同制定 6 透過 Annex SL 共同定義的主題, 將有助於組織可以透過單一的管理體系去符合多種不同管理體系標準的需求 雖然 ISO/IEC 27001 並未建議採用 Plan-Do- Check-Act(PDCA) 循環, 這七大主題仍可對應至該循環當中, 如圖 6 所示 ISACA JOURNAL 摘譯文章 16
如圖 7 所示,ISO/IEC 27001 包含了 14 個控制領域, 以及 114 項控制 不同標準間的比較 InformationShield 制定了一項表格, 其中提供了 PCI DSS 與 ISO/IEC 27001 資安規範的高層次比較 7 建議如果組織能夠整合 PCI DSS 與 ISO/IEC 27001 這兩種資安標準, 將可以提供更好的作法 ISO/IEC 27001 的彈性比 PCI DSS 要大多許多, 因為所有的控制項目都是以較抽象的方式表達 組織在建立資訊安全管理體系範疇時, 必須確認其適用的界限與適用層次 8 相較於兩大標準的適用範圍,ISO/IEC 27001 可由組織自行選擇及決定適用範疇 ; 然而,PCI DSS 則是明確訂定為支付卡資訊的處理流程 雖然,ISO/IEC 27001 的控制項為建議項目, 但是值得注意的是 PCI DSS 的控制項則是強制性的 既然 ISO/IEC 27001 要比 PCI DSS 來得有彈性, 使得要遵守 ISO/IEC 27001 也相對較為容易 ISACA JOURNAL 摘譯文章 17
在建置成本方面, 建立典型的資訊安全管理體系 (ISMS) 並且完成 PDCA 的改善循環, 對一般組織而言, 通常要花費 15 萬美金 在 PDCA 循環中常見的成本項目包括了 : 9 資安事故所導致的成本 管理資訊安全的成本 資訊安全衡量的所需的成本 因為資訊安全風險考量所增加的資本支出 結論 PCI DSS 是涵蓋支付卡所有人資訊的資訊安全標準,ISO/IEC 27001 則是資訊安全體系認證的規格標準 PCI DSS 與 ISO/IEC 27001 之間的對映關係, 對於負起遵循這些標準的組織主管而言, 是很重要的訊息 建議將這兩者合併採用以提供更好的資訊安全推行方法 然而, 遵循 PCI DSS 的成本花費則是介於 12 萬與 70 萬美金之間, 會因所遵循的等級不同而異 另外稽核方面的要求呢?ISO/IEC 27001 要求每三年執行一次再驗證, 每年則是進行小範圍的查核 ; 同時也要求每年至少一次自行查核 相對而言,PCI DSS 則是在四個層次中自行針對所屬單位進行審查,Level 1 則是必須進行現場查核 PCI 制定了遵循標準用以衡量組織的成熟度 ;ISO/IEC 27001 則是並沒有明確的遵循標準 PCI DSS 與 ISO/IEC 27001 的對應關係如圖 8 所示 ISACA JOURNAL 摘譯文章 18
END NOTES 1 CDS, PCI Security Standards Council, cdsus.com/default/pcicompliance.php?url=pcico mpliance&phpsessid=bdd07f210c2e5109832eee3 83d0b1656 2 International Organization for Standardization, Technical Commitees, www.iso.org/iso/home/standards_development/list_o f_iso_technical_committees.htm 3 PCI Security Standards Council, What Is the PCI Security Standards Council?, www.pcisecuritystandards.org/security_standards/ro le_of_pci_council.php 4 PCI Security Standards Council, Payment Card Industry Data Security Standard Approved Scanning Vendors, May 2013, https://www.pcisecuritystandards.org/documents/as V_Program_Guide_v2.pdf 5 Tangen, S.; A. Warris; Management Makeover New Format for Future ISO Management System Standards, International Organization for Standardization, 18 July 2012, www.iso.org/iso/news.htm?refid=ref1621 6 The 9000 Store, ISO 9001:2015 in Detail: What is the New Annex SL Platform?, the9000store.com/iso- 9001-2015-annex-sl.aspx 7 InformationShield, PCI-DSS Policy Mapping Table,www.informationshield.com/papers/ISO27002 %20PCIDSS%20V3%20Policy%20Map.pdf 8 International Organization for Standardization,ISO/IEC 27001 Information Technology Security Techniques Information Security Management Systems Requirements, www.iso.org/iso/iso_catalogue/catalogue_tc/catalog ue_detail.htm?csnumber=42103 9 Brecht, M.; T. Nowey; A Closer Look at Information Security Costs, working paper, The Workshop on the Economics of Information Security, www.econinfosec.org/archive/weis2012/papers/brec ht_weis2012.pdf ISACA JOURNAL 摘譯文章 19
Quality Statement: This Work is translated into Chinese Traditional from the English language version of Volume 1, 2016of the ISACA Journal articles by the Taiwan Chapter of the Information Systems Audit and Control Association (ISACA) with the permission of the ISACA. The Taiwan Chapter assumes sole responsibility for the accuracy and faithfulness of the translation. 品質聲明 : ISACA 臺灣分會在 ISACA 總會的授權之下, 摘錄 ISACA Journal 2016,Volume 1 中的文章進行翻譯 譯文的準確度及與原文的差異性則由臺灣分會獨立負責 Copyright 2016 of Information Systems Audit and Control Association ( ISACA ). All rights reserved. No part of this article may be used, copied, reproduced, modified, distributed, displayed, stored in a retrieval system, or transmitted in any form by any means (electronic, mechanical, photocopying, recording or otherwise), without the prior written authorization of ISACA. 版權聲明 : 2016 of Information Systems Audit and Control Association ( ISACA ). 版權所有, 非經 ISACA 書面授權, 不得以任何形式使用 影印 重製 修改 散布 展示 儲存於檢索系統 或以任何方式 ( 電子 機械 影印 或錄影等方式 ) 發送 Disclaimer: The ISACA Journal is published by ISACA. Membership in the association, a voluntary organization serving IT governance professionals, entitles one to receive an annual subscription to the ISACA Journal. Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and/or the IT Governance Institute and their committees, and from opinions endorsed by authors employers, or the editors of this Journal. ISACA Journal does not attest to the originality of authors content. Instructors are permitted to photocopy isolated articles for noncommercial classroom use without fee. For other copying, reprint or republication, permission must be obtained in writing from the association. Where necessary, permission is granted by the copyright owners for those registered with the Copyright Clearance Center (CCC), 27 Congress St., Salem, MA 01970, to photocopy articles owned by ISACA, for a flat fee of US $2.50 per article plus 25 per page. Send payment to the CCC stating the ISSN (1526-7407), date, volume, and first and last page number of each article. Copying for other than personal use or internal reference, or of articles or columns not owned by the association without express permission of the association or the copyright owner is expressly prohibited. 免責聲明 : ISACA Journal 係由 ISACA 出版 ISACA 為一服務資訊科技專業人士的自願性組織, 其會員則有權獲得每年出版的 ISACA Journal ISACA JOURNAL 摘譯文章 20
ISACA Journal 收錄的文章及刊物僅代表作者與廣告商的意見, 其意見可能與 ISACA 以及資訊科技治理機構與相關委員會之政策和官方聲明相左, 也可能與作者的雇主或本刊編輯有所不同 ISACA Journal 則無法保證內容的原創性 若為非商業用途之課堂教學, 則允許教師免費複印單篇文章 若為其他用途之複製, 重印或再版, 則必須獲得 ISACA 的書面許可 如有需要, 欲複印 ISACA Journal 者需向 Copyright Clearance Center( 版權批准中心, 地址 :27 Congress St., Salem, MA 01970) 付費, 每篇文章收取 2.50 元美金固定費用, 每頁收取 0.25 美金 欲複印文章者則需支付 CCC 上述費用, 並說明 ISACA Journal 之 ISSN 編碼 (1526-7407) 文章之出版日期 卷號 起訖頁碼 除了個人使用或內部參考之外, 其他未經 ISACA 或版權所有者許可之複製行為則嚴明禁止 ISACA JOURNAL 摘譯文章 21