資訊安全管理系統

Information Security

ISO 27001 介紹

ISO 27001 是什麼?

資訊安全管理系統(Information Security Management System 簡稱ISMS)是由英國工業貿易部倡導,於2005年由國際標準組織(ISO)及國際電工委員會(IEC) 聯合發佈,通用於資訊安全管理工具和制度之標準,是一套以營運風險導向為基礎,建立系統性分析和管理的方法論。

例如,每位員工使用資訊系統的密碼規定至少六碼(含)以上,或者所有應用服務系統上線提供服務前,都必須通過弱點掃瞄安全檢測…等等,這一系列資料保護的相關規定就是ISMS。

ISO 27001 的目的

為重要資料制定一套保護規定以加強組織的資訊安全,透過控制及風險評估把資料被竊取、篡改或盜用…等資訊安全事件所帶來的威脅和衝擊降至可接受的範圍,保障組織免於不可承受的風險所帶來負面的影響。

其管理範圍涵蓋企業資訊交換的所有活動,對各類型組織(如:商業企業、政府機構和非營利組織…)都適用,無論是組織公開的活動,機密文件(如:財務信息,知識產權、人員資料、第三方財產…)的保存,乃至於天災人禍發生…等等都有適用的管理基準。

ISO 27001 該如何應用?

組織的ISMS是否周全想必是許多組織普遍存在的疑慮。

參照ISO27001的內容作為組織應該考量的資安規定項目,所編寫而成的ISMS標準,可避免建立系統過程有所遺漏,造成顯見的資安漏洞。

確保資訊安全的三要素:

  1. 資料的機密性 (Confidentiality):確保只有被授權的用戶,可以依權限存取資料。
  2. 資料的完整性 (Integrity):確保資料是正確與完整的,沒有被竊取或不當修改。
  3. 資料的可取用性(Availability):確保被授權的用戶,在需要資料時,能順利獲得資料。

組織接受ISO 27001輔導並取得證書的益處:

  • 快速獲得ISMS建置之具體步驟及方法,加速完成系統建置
  • 與專業顧問協力選擇最適合組織之控制措施及對應之控制目標
  • 加速取得ISO 27001證書,由第三方協助確認組織的資訊安全管理有效性
  • 加強客戶對組織的信心,提昇公司社會責任及向永續經營目標邁進的形象。