ISO

ISO27001

一張含有 螢幕擷取畫面, 文字, 光線 的圖片 自動產生的描述

什麼是ISO 27001

ISO 27001,全名為國際標準組織資訊安全管理系統標準(Information Security Management System,簡稱ISMS),是一套通用於資訊安全管理工具和制度的標準。ISO 27001標準由英國工業貿易部倡導,於2005年由國際標準組織(ISO)和國際電工委員會(IEC)聯合發佈。

ISO 27001的目的在於為重要資料制定一套保護規定,以加強組織的資訊安全。透過控制和風險評估,它將資料被竊取、篡改或盜用等資訊安全事件所帶來的威脅和衝擊降至可接受的範圍,保障組織免於不可承受的風險所帶來的負面影響。

ISO 27001的管理範圍涵蓋企業資訊交換的所有活動,適用於各類型組織,包括商業企業、政府機構和非營利組織。無論是組織公開的活動,機密文件(如財務信息、知識產權、人員資料、第三方財產)的保存,乃至於天災人禍發生,都有適用的管理基準。

ISO 27001的應用方法包括:

參照標準內容,作為組織應該考量的資安規定項目,以避免建立系統過程中的遺漏,造成明顯的資安漏洞。

一張含有 文字, 電子產品, 電子裝置, 螢幕擷取畫面 的圖片 自動產生的描述

確保資訊安全的三要素:

資料的機密性(Confidentiality):確保只有被授權的用戶可以依權限存取資料。

資料的完整性(Integrity):確保資料是正確且完整的,沒有被竊取或不當修改。

資料的可取用性(Availability):確保被授權的使用者在需要資料時能順利獲得資料。

如何設定ISO 27001的應用範圍

適當地定義 ISO 27001資訊安全管理系統(Information Security Management System,簡稱ISMS)的適用範圍和界線,將有助於組織有效地運行及監控資訊安全管理系統。理想情況下,資訊安全管理系統的範圍應包括組織的資訊數據相關活動、重要介面,並排除不會對機密資訊造成風險的部門。

具體而言,ISO 27001的應用範圍有以下幾個方面:

內部和外部問題:在定義範圍時,需考慮內部和外部問題,這些問題在標準的第4.1條款中有詳細說明。

利益相關方的需求和期望:應考慮標準第4.2條款中定義的所有利益相關方的需求和期望。

ISMS範圍內部和外部之間的介面和依賴、支援:需考慮ISMS範圍內部和外部之間的相互作用。

此外,您的ISO 27001 ISMS範圍文件可以對組織位置及設施描述與定義,例如使用用平面圖的方式來描述實體範圍,以及用組織圖來定義相關部門、人員。

一張含有 文字, 螢幕擷取畫面, 人的臉孔, 人員 的圖片 自動產生的描述

ISO 27001的要求有哪些?

以下整理出ISO 27001標準對組織的要求。

  • 資訊安全策略:
     ISO 27001 要求組織定義其資訊安全策略,作為整個資訊安全管理系統的基礎。資訊安全管理系統策略為組織內如何處理資訊安全定下了基礎。
  • 風險評估與管理:
     此標準要求採用系統化流程來識別、評估和減輕資訊安全風險,有助於組織主動保護敏感資訊,並避免受到威脅。
  • 安全目標與規劃:
     ISO 27001標準要求組織建立安全目標並制定實現這些目標的計畫。確保安全措施與組織的業務目標一致。
  • 資產管理:
     ISMS標準強調識別和管理資訊資產 (包括數據、硬體和軟體)的重要性。可以透過對資產進行分類、定義所有權並確保其受到保護。
  • 存取控制:
     ISO 27001 概述了控制資訊系統和資料存取的要求。 這涉及定義使用者角色和職責、實施身份驗證和授權機制以及監控存取。
  • 加密措施:
     鼓勵組織使用加密技術來保護敏感資訊,確保資料的機密性、完整性和真實性。
  • 實體與環境安全:
     ISO 27001 涉及資訊和基礎設施的實體保護,包括保護資料中心、設施和設備的措施。
  • 安全意識和訓練:
     人員在資訊安全中發揮著至關重要的作用。ISO 27001標準要求組織提供安全意識和相關主題的訓練,以確保員工理解並遵守安全政策和程序。
  • 事件回應與管理:
     ISO 27001 要求制定事件回應計劃,以有效處理安全事件並最大程度地減少其影響。
  • 持續改善:
     組織必須持續監控和審查其資訊安全管理系統,識別改進機會。包括定期進行安全審查和評估。
  • 法律和法規合規性:
     遵守與資訊安全相關的相關法律法規是 ISO 27001 的重要基本要求。組織必須及時並持續地瞭解最新的法律、法規要求,並相應地調整資訊安全管理系統。
  • 供應商關係 (供應商管理):
     ISO 27001標準還考慮與外部供應商和合作夥伴共享資訊的安全性。組織必須評估第三方的安全實踐並建立安全的通訊、溝通管道。
  • 文件和記錄:
     ISO 27001標準要求完整的資訊安全管理系統文件化程序及記錄,這些文件化資訊有助於我們評估及審核資訊安全管理系統的有效性。

一張含有 文字, 螢幕擷取畫面 的圖片 自動產生的描述

組織接受ISO 27001輔導並取得證書的益處包括:

  • 快速獲得ISMS建置之具體步驟和方法,加速完成系統建置。
  • 與專業顧問協力選擇最適合組織之控制措施及對應之控制目標。
  • 加速取得ISO 27001證書,由第三方協助確認組織的資訊安全管理有效性。
  • 加強客戶對組織的信心,提昇公司社會責任,並邁向永續經營目標的形象。

本公司擁有專業且具有豐富經驗的輔導團隊,並可透過即時監控等先進軟體的輔助,協助 貴公司有效、並有效率地導入ISO 27001資訊安全管理系統並取得驗證,或公司人員需要ISO 27001主任稽核員、內部稽核員等訓練的需求,都歡迎與我們聯繫。

參考資訊:

  1. https://www.iso.org
  2. https://iso-docs.com/