ISO 27001是什麼:一套資訊安全管理標準流程

在資訊科技蓬勃發展下,資訊安全問題也隨之衍生而出。回顧2020年幾起重大臺灣資安事件:中油、台塑等2大石化公司受到勒索軟體攻擊;臺銀海外分行遭遇商業電郵詐騙…,諸如上述的網路攻擊行為,在未來只會更加氾濫。為此,越來越多企業開始導入ISO 27001,以防範網路資安事件所帶來的危害。本文將一一說明ISO 27001認證標準、架構與效益,幫助企業主了解如何通過ISO 27001認證,順利建設高強度安全網絡管理,杜絕資安危機,讓企業客戶營運不中斷,達到永續經營。

 

ISO 27001簡介|認識ISO 27001定義與用途

ISO 27001為一套經國際認證且通用的「資訊安全管理」標準流程,由國際標準化組織(ISO)及國際電工委員會(IEC)所發布,透過列出有關資訊安全管理系統(information security management system、ISMS)的基本高階架構、實施方式與標準,幫助企業持續改善組織資訊系統、防範內部資訊安全可能出現的漏洞。導入ISO 27001,不僅可協助企業做到提前預防、持續監控、緊急應變等面向之管理規劃,更能讓企業在持續強化資訊安全管理過程中,也得以有效評估及管控風險。

由於ISO認證條件嚴謹,更是受全球認可的指標性驗證標準,因此當企業成功導入ISO 27001,即代表該公司於資訊安全層面上,具備合格的控管能力,可依循國際規範,以符合規劃、有組織的管理與維護措施,調整內部資安政策。

以下列舉企業導入ISO 27001認證可具備的4大效益,提供給想引進該制度的企業主們參考:

  1. 提升企業信任感:當企業能完善管理客戶個資、商業機密等資料,即能增加人們對企業的信任度,提升企業公信力。
  2. 增加公司競爭力:擁有被國際認可的標準制度,做好超前部屬,不論在國內還是海外,都能讓貿易過程更加順利、提升競爭力。
  3. 維持組織穩定運作:藉由井然有序的資安政策運行,做好過程的有效控管,可確保組織內部不受駭客或有心人士干擾,讓企業能維繫穩定運作。
  4. 避免違法情事:通過驗證的企業,也能藉此證明企業符合相關法律規範,確保組織不會觸犯違法情事。
  5. 降低重要資料外洩:執行此資安管理系統的企業,表示有足夠應變能力與管控方法,妥善保存企業內部資料,避免外洩商業機密或顧客個資。

了解ISO 27001的定義與用途之後,接著讓我們進一步認識其架構,掌握ISO 27001的規範內容。

 

ISO 27001架構介紹|掌握10大主條文與細則,理解規範內容

ISO 27001最早發布於2005年,在2013時進行改版更新,以下列出最新版本ISO 27001(全文為ISO 27001:2013 資訊安全管理系統)的主條文與相關細則,提供給您參考。

ISO 27001 主條文 ISO 27001細則
第一章:範圍(Scope)  
第二章:規範性引用文件(Normative references)  
第三章:術語和定義(Terms and definitions)   
第四章:組織背景(Context of the organization) 4.1 理解組織背景及其環境

4.2 理解相關方需求和期望

4.3 確定資訊安全管理系統的範圍

4.4 資訊安全管理系統

第五章:領導(Leadership) 5.1 領導和承諾

5.2 政策

5.3 組織角色、職權和許可權

第六章:策劃(Planning) 6.1 對應風險和機會因應措施

6.2 資訊安全目標和規劃實現

第七章:支持(Support) 7.1 資源

7.2 能力

7.3 意識

7.4 溝通

7.5 文件記錄資訊

第八章:運行(Operation) 8.1 運作規劃和控制

8.2 資訊安全風險評估

8.3 資訊安全風險處置

第九章:績效評估(Performance evaluation) 9.1 監視、測量、分析和評價

9.2 內部稽核

9.3 管理審查

第十章:改善(Improvement) 10.1 不符合和矯正措施

10.2 持續改進

 

上表的10項階段,即是完成ISO 27001制度的一套基本架構,不過,想要通過認證,更必須全盤了解資訊安全的內容,以採取完善的因應措施。

*補充說明:由於ISO 27001標準為參考ISO組織的高階架構,與其他管理系統相同。因此導入ISO 27001資訊安全管理系統的企業,也更容易同時結合如 ISO 9001品質管理、ISO 14001環境管理…等系統,加強企業的管控效能。

 

ISO 27001標準有哪些?認識14群管控項目與查檢表

ISO 27001標準項目介紹

資訊安全的涵蓋範圍相當廣泛,控制措施也因企業營運組織大小、流程複雜程度不同。而根據國際標準化組織所訂定的規範,約可分為以下摘錄的14群管控項目:

A.5:資訊安全政策

A.6:資訊安全組織

A.7:人力資源安全

A.8:資產管理

A.9:存取控制

A.10:密碼

A.11:物理性及環境安全

A.12:作業安全

A.13:通訊安全

A.14:系統存取、開發和維護

A.15:供應商關係

A.16:資訊安全事件管理

A.17:可持續營運的資訊安全層面

A.18:符合規範

(上文條目的A是ISO 27001內文的附錄A,為提供企業於控管資安風險上的參考方針。有關ISO 27001詳細條文內容,可至經濟部標準檢驗局網站購入中文版資料參考。)

 

ISO 27001查檢表範例

以下以行政院資通安全服務團的查檢項目為例,提供給企業主參考。

查核項目 自我評審 查核員評量
1.資訊安全管理系統(管理階層、資訊安全組織)    
1.1 是否確保文件之保護、分發、傳送、儲存以及作廢,均依據所適用的分類程序處理? □是  □否
□不適用
□非常 □尚屬
□不盡 □不適用
1.2 是否已規劃並定義出符合組織需要之資訊安全管理系統之適用範圍?及自組織範圍排除之理由。 □是  □否
□不適用
□非常 □尚屬
□不盡 □不適用

 

(以上查核項目與形式可能會因版本更新而有所差異,僅此提供參閱。)

由此可知,一間企業要能通過ISO 27001認證,除了軟硬體裝置與作業流程須符合系統規範、組織人員具備資安能力和基本概念,以及內部高階長官和組織的風險評估,還須與時俱進了解各樣資訊管控的因應措施,才能有效地因應層出不窮的資安攻擊事件。

 

想通過ISO 27001證照?「達寬服務」是您的絕佳選擇

想於企業內部導入ISO 27001,卻又覺得流程繁瑣、內容艱澀難懂嗎?達寬服務商業有限公司可有效替您解決上述困擾。我們除了在全球擁有近40個服務據點,更與國際標準組織(ISO)認可的培訓單位IQCS/JLB合作,致力提供各產業第一手的優質服務課程。而ISO 27001資訊安全管理系統課程,不論是重視企業資安問題的領導人,還是組織內部資訊相關人員,皆可透過完整詳盡的訓練或客製化的輔導服務,掌握資訊安全管控的因應策略,順利通過ISO 27001認證,強化企業抵禦資安攻擊的能力。

想了解更多ISO系列課程內容,歡迎與我們聯繫,或參考教育訓練課程頁面獲取更多資訊。

 

 

延伸閱讀:

ISO 27001是什麼?一篇掌握通過認證的6大好處與認證費用

行政院擬修正資通安全法,已於2021年第2季預告修正草案