ISACA Journal
Volume 1, 2,016 

Translated Articles 

PCI DSS 與ISO/IEC 27001 資安標準之比 

Tolga Mataracioglu, CISA, CISM, COBIT Foundation, CCNA, CEH, ISO 27001 LA, BS 25999 LA, MCP, MCTS, VCP 

支付卡資料安全標準(PCI DSS)為處理各大信用卡交易的支付卡組織所適用的資訊安全標準,所涵蓋的組織有: Visa, MasterCard, 美國運通 (American Express), Discover, 以及 JCB。PCI DSS 「建立的目的在於提昇持卡人資料的相關控制以降低因為資訊外洩所導致的信用卡詐欺」。1 相對而言,「ISO/IEC 27001則是資訊安全管理體系的規範標準,由國際標準組織(ISO)與國際電工委員會(IEC)所共同組成的聯合委員會所制定」。2

雖然這兩項標準都是資安標準, ISO/IEC 27001適用於各種不同類型的組織,PCI DSS則較適用於處理電子商務的機構。

但這兩大標準可否合併採用?是否可行呢?兩者之間又有何不同?

本文將討論及檢視PCI DSS 3.1與 ISO/IEC 27001:2013之間的共同執行概況(interoperability)。並且進一步比較和對照兩者的優缺點等特性。

PCI DSS

PCI DSS是由Visa、MasterCard、美國運通(American Express) 、 Discover,以及JCB所共同組成的委員會,目的在於保護支付卡及持卡人的敏感資訊。3 在標準中制訂了6項目標以及12個需求項目。 (圖 1).

這12項需求可以被包涵於由ISO與IEC所共同制訂的ISO/IEC 27001:2013標準高階需求目標之中。

圖2列出了PCI DSS這12項需求與ISO/IEC 27001:2013版條文的對映關係。

受查公司必須定期由PCI Council4 所授權的合格安全評估機構(QSA)進行稽核以及合格安全檢測廠商(ASV)定期檢查。國際自動化協會(ISA)也要求依據商家的規模及層級使用自我評估問卷 (SAQs)進行評量。

圖3 中舉例說明了PCI DSS依據不同交易數量及類型所區分的4種不同層級及遵循要求。圖4則是列舉了JCB的遵循要求。圖5則是美國運通的遵循規範。由這些圖表可以瞭解組織在年度不同交易數量下所應提供的資訊安全稽核訊息。依據這些圖表資訊,資安長(CISOs)很容易即可判斷需要進行自我評估、安全檢測或是現場查核等不同資安稽核要求的適用情境。


ISO/IEC 27001 標準

該標準中包涵了Annex SL範疇中的七大主題,分別為:組織、領導、規劃、支援、運作、績效評量及改善。5 Annex SL是新制定的管理體系架構,目的在於使得新標準的建置以及單一組織內同時推行多項標準時能夠更為順暢且易於實施。它是由ISO技術管理委員會(TMB)所屬的聯合 技術協調小組(JTCG)所共同制定。6 透過Annex SL共同定義的主題,將有助於組織可以透過單一的管理體系去符合多種不同管理體系標準的需求。雖然ISO/IEC 27001並未建議採用Plan-Do-Check-Act(PDCA)循環,這七大主題仍可對應至該循環當中,如圖6所示。

圖7所示,ISO/IEC 27001包含了14個控制領域,以及114項控制。

不同標準間的比較

InformationShield制定了一項表格,其中提供了PCI DSS與ISO/IEC 27001資安規範的高層次比較。7

建議如果組織能夠整合PCI DSS與ISO/IEC 27001這兩種資安標準,將可以提供更好的作法。ISO/IEC 27001的彈性比PCI DSS要大多許多,因為所有的控制項目都是以較抽象的方式表達。

「組織在建立資訊安全管理體系範疇時,必須確認其適用的界限與適用層次」。8 相較於兩大標準的適用範圍,ISO/IEC 27001可由組織自行選擇及決定適用範疇;然而,PCI DSS則是明確訂定為支付卡資訊的處理流程。

雖然,ISO/IEC 27001的控制項為建議項目,但是值得注意的是PCI DSS的控制項則是強制性的。

既然ISO/IEC 27001要比PCI DSS來得有彈性,使得要遵守ISO/IEC 27001也相對較為容易。

在建置成本方面,建立典型的資訊安全管理體系(ISMS)並且完成PDCA的改善循環,對一般組織而言,通常要花費15萬美金。在PDCA循環中常見的成本項目包括了:9

  • 資安事故所導致的成本。
  • 管理資訊安全的成本。
  • 資訊安全衡量的所需的成本。
  • 因為資訊安全風險考量所增加的資本支出。

然而,遵循PCI DSS的成本花費則是介於12 萬與70萬美金之間,會因所遵循的等級不同而異。

另外稽核方面的要求呢?ISO/IEC 27001要求每三年執行一次再驗證,每年則是進行小範圍的查核;同時也要求每年至少一次自行查核。相對而言,PCI DSS則是在四個層次中自行針對所屬單位進行審查,Level 1則是必須進行現場查核。

PCI制定了遵循標準用以衡量組織的成熟度;ISO/IEC 27001則是並沒有明確的遵循標準。

PCI DSS 與ISO/IEC 27001的對應關係如圖8 所示。

結論

PCI DSS是涵蓋支付卡所有人資訊的資訊安全標準,ISO/IEC 27001則是資訊安全體系認證的規格標準。PCI DSS 與ISO/IEC 27001之間的對映關係,對於負起遵循這些標準的組織主管而言,是很重要的訊息。建議將這兩者合併採用以提供更好的資訊安全推行方法。

Endnotes

1 CDS, PCI Security Standards Council, cdsus.com/default/PCICompliance.php?url=PCICompliance&PHPSESSID=bdd07f210c2e5109832eee383d0b1656
2 International Organization for Standardization, Technical Commitees, www.iso.org/iso/home/standards_development/list_of_iso_technical_committees.htm
3 PCI Security Standards Council, What Is the PCI Security Standards Council?, www.pcisecuritystandards.org/security_standards/role_of_pci_council.php
4 PCI Security Standards Council, Payment Card Industry Data Security Standard Approved Scanning Vendors, May 2013, https://www.pcisecuritystandards.org/documents/ASV_Program_Guide_v2.pdf
5 Tangen, S.; A. Warris; “Management Makeover - New Format for Future ISO Management System Standards,” International Organization for Standardization, 18 July 2012, www.iso.org/iso/news.htm?refid=Ref1621
6 The 9000 Store, ISO 9001:2015 in Detail: What is the New Annex SL Platform?, www.the9000store.com/iso-9001-2015-annex-sl.aspx
7 InformationShield, PCI-DSS Policy Mapping Table, www.informationshield.com/papers/ISO27002%20PCI-DSS%20V3%20Policy%20Map.pdf
8 International Organization for Standardization, ISO/IEC 27001 Information Technology—Security Techniques—Information Security Management Systems—Requirements, www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=42103
9 Brecht, M.; T. Nowey; A Closer Look at Information Security Costs, working paper, The Workshop on the Economics of Information Security, www.econinfosec.org/archive/weis2012/papers/Brecht_WEIS2012.pdf

作者: Tolga Mataracioglu, CISA, CISM, COBIT Foundation, CCNA, CEH, ISO 27001 LA, BS 25999 LA, MCP, MCTS, VCP, is chief researcher at TUBITAK BILGEM Cyber Security Institute in Turkey. He is the author of many papers about information security published nationally and internationally. His areas of specialization are system design and security, operating systems security, information security management systems, business continuity, COBIT, and social engineering.

譯者:孫嘉明, CISA, ACDA, CHFI, CEAP 雲林科技大學會計系副教授

Quality Statement:
This Work is translated into Chinese Traditional from the English language version of Volume 1, 2016of the ISACA Journal articles by the Taiwan Chapter of the Information Systems Audit and Control Association (ISACA) with the permission of the ISACA. The Taiwan Chapter assumes sole responsibility for the accuracy and faithfulness of the translation.

品質聲明:
ISACA臺灣分會在ISACA總會的授權之下,摘錄ISACA Journal 2016,Volume 1中的文章進行翻譯。譯文的準確度及與原文的差異性則由臺灣分會獨立負責。

Copyright
© 2016 of Information Systems Audit and Control Association (“ISACA”). All rights reserved. No part of this article may be used, copied, reproduced, modified, distributed, displayed, stored in a retrieval system, or transmitted in any form by any means (electronic, mechanical, photocopying, recording or otherwise), without the prior written authorization of ISACA.

版權聲明:
© 2016 of Information Systems Audit and Control Association (“ISACA”). 版權所有,非經ISACA書面授權,不得以任何形式使用、影印、重製、修改、散布、展示、儲存於檢索系統、或以任何方式(電子、機械、影印、或錄影等方式)發送。

Disclaimer:
The ISACA Journal is published by ISACA. Membership in the association, a voluntary organization serving IT governance professionals, entitles one to receive an annual subscription to the ISACA Journal.

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and/or the IT Governance Institute and their committees, and from opinions endorsed by authors’ employers, or the editors of this Journal. ISACA Journal does not attest to the originality of authors’ content.

Instructors are permitted to photocopy isolated articles for noncommercial classroom use without fee. For other copying, reprint or republication, permission must be obtained in writing from the association. Where necessary, permission is granted by the copyright owners for those registered with the Copyright Clearance Center (CCC), 27 Congress St., Salem, MA 01970, to photocopy articles owned by ISACA, for a flat fee of US $2.50 per article plus 25¢ per page. Send payment to the CCC stating the ISSN (1526-7407), date, volume, and first and last page number of each article. Copying for other than personal use or internal reference, or of articles or columns not owned by the association without express permission of the association or the copyright owner is expressly prohibited.

免責聲明:
ISACA Journal係由ISACA出版。ISACA 為一服務資訊科技專業人士的自願性組織,其會員則有權獲得每年出版的ISACA Journal。

ISACA Journal收錄的文章及刊物僅代表作者與廣告商的意見,其意見可能與ISACA以及資訊科技治理機構與相關委員會之政策和官方聲明相左,也可能與作者的雇主或本刊編輯有所不同。ISACA Journal 則無法保證內容的原創性。

若為非商業用途之課堂教學,則允許教師免費複印單篇文章。若為其他用途之複製,重印或再版,則必須獲得ISACA的書面許可。如有需要,欲複印ISACA Journal 者需向Copyright Clearance Center(版權批准中心,地址:27 Congress St., Salem, MA 01970) 付費,每篇文章收取2.50元美金固定費用,每頁收取 0.25美金。欲複印文章者則需支付CCC上述費用,並說明ISACA Journal 之ISSN 編碼(1526-7407)、文章之出版日期、卷號、起訖頁碼。除了個人使用或內部參考之外,其他未經ISACA或版權所有者許可之複製行為則嚴明禁止。

 

Add Comments

Recent Comments

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and from opinions endorsed by authors’ employers or the editors of the Journal. The ISACA Journal does not attest to the originality of authors’ content.