電郵與檔案稽核管理，ISO27001 新版對預防資料洩漏的要求

雲端服務策略處 張世鋒 (ISO27001 LA)

隨著 ISO27001 標準從 2013 年條文版本轉移至 2022 的條文版本，而 2013 年版將於 2025 到期失去有效性，信箱有取得 ISO27001 認證的企業或組織，需要在 2025 年10月前完成轉版驗證。這次轉版的資安要求，企業面臨對於資訊安全合規及風險管理有更高的挑戰。其中在「資料外洩安全」強調機敏資料的導護與管控措施。與資料外洩安全的控制項包含「A.8.12 資料洩露預防」、「A.8.11 資料遮蔽」這兩項互有關聯性，需要同時納入規劃。條文明確要求組織要有洩漏預防措施，以及敏感資料要有對應的加密機制避免直接揭露的風險。

企業對外電子郵件的溝通，多數是透過電郵件伺服器直接地送到公司外，因此電郵是組織資料洩漏最主要來源之一。而洩漏防護應該包括技術和管理層面的多重防禦，來保護機密資料和公司利益。