ISO27001認證是什麼?
ISO 27001是一套國際通用的資訊安全管理工具和制度。以呼應全球對於資訊安全風險之因應措施,以及控制並降低資訊安全事件所帶來的威脅和衝擊。因此,ISO 27001也提供所有類型的組織,包含商業企業、政府機構和非營利組織,都能建立資訊安全管理系統。
企業為什麼要導入ISO27001?
賦予企業資訊及客戶受託業務資源之安全,保護資訊化進程完善、有序、可持續發展,避免遭受內在或外來的威脅。當企業通過了ISO 27001 的認證,就代表企業的資訊安全管理已經建立了一套科學有效的管理體系作為保障。
滿足政府機關資通系統或服務委外業務之適法性要求
資通安全管理法施行細則第九條規定
- 受託者辦理受託業務之相關程序及環境,應具備完善之資通安全管理措施或通過第三方驗證。
- 受託者應配置充足且經適當之資格訓練、擁有資通安全專業證照或具有類似業務經驗之資通安全專業人員。
- 受託者業務得複委託之範圍與對象,應具備之資通安全維護措施。
個人資料保護法
企業通過ISO27001有什麼好處?
- 通過 ISO 27001 驗證,能夠向政府機構證明企業對相關法律法規的符合性。
- 資通安全管理法
- 個人資料保護法
- 增加政府機構標案取得的機會,提升資訊委外作業競爭優勢。
- 輕鬆應對政府機關資通安全委外實地查核作業。
- 改善企業業績、消除客戶不信任感,增進企業間電子商務往來的信用度,通過資訊安全管理的記錄可以看到資訊安全管理明顯的利益,並為廣大用戶和服務提供商提供一個基礎的設備管理。同時,把企業的干擾因素降到最小,創造更大收益。
ISO27001簡介與含導入流程
ISO 27001是一套國際通用的資訊安全管理工具和制度。以呼應全球對於資訊安全風險之因應措施,以及控制並降低資訊安全事件所帶來的威脅和衝擊。因此,ISO 27001也提供所有類型的組織,包含商業企業、政府機構和非營利組織,都能建立資訊安全管理系統。
ISO 27001 資訊安全管理系統(Information Security Management System,ISMS),共包含2份標準:
- ISO 27001《資訊安全管理系統:要求》(Information technology-Security techniques- Information security management systems- Requirements)
- ISO 27002《資訊安全管理系統:指南、一般原則》(Information technology-Security techniques -- Code of practice for information security controls)
ISO27001建置及導入協助組織符合法規要求
|
管控作業、 |
A.5組織 (共37項指標) |
A.6人員 (共8項指標) |
A.7實體 (共14項指標) |
A.8技術 (共34項指標) |
符合有效 |
|---|---|---|---|---|---|
|
4大控制領域、 |
|||||
ISO27001建制及導入流程
|
1 |
召開專案 起始會議 |
|
|---|---|---|
|
2 |
瞭解與完成現況 需求分析 |
|
|
3 |
制訂資訊安全管理制度(ISMS)四階文件 |
|
|
4 |
資訊安全教育訓練 |
|
|
5 |
資產盤點與風險評鑑 作業輔導 |
|
|
6 |
業務衝擊分析與 營運持續演練輔導 |
|
|
7 |
資訊安全執行記錄查檢作業 |
|
|
8 |
利害關係者稽核&內部稽核 (非第三方稽核) 缺失改善、管理審查會議 |
|
|
9 |
第三方驗證稽核陪審作業 |
|
|
Stage1 準備訓練階段 |
|
|---|---|
|
Stage2 制度修訂階段 |
|
|
Stage3 制度實施階段 |
|
|
Stage4 合理性稽查暨改善階段 |
|