ISO/IEC 27001:2022 資訊安全管理系統 Information Security Management System , ISMS
ISO 27001:2022 資訊安全管理系統(Information Security Management System,ISMS),共包含2份標準:
- ISO 27001: 2022《資訊安全管理系統:要求》(Information security,cybersecurity and privacy protection- Information security management systems- Requirements)
- ISO 27002: 2022《資訊安全管理系統:指南、一般原則》(Information security,cybersecurity and privacy protection- information security controls)
ISO 27001: 2022 是一套國際通用的資訊安全管理工具和制度。以呼應全球對於資訊安全風險之因應措施,以及控制並降低資訊安全事件所帶來的威脅和衝擊。因此,ISO 27001:2013 也提供所有類型的組織,包含商業企業、政府機構和非營利組織,都能建立資訊安全管理系統。將全名拆解來看,可分為三部份逐一解讀:
- ISO:指的是國際標準組織(International Organization for Standardization)。
- 27001:至今已成立65年的ISO,歷年來已針對不同業產業製定不同者的品質標準,並為不同的品質系統命名。因此,「27001」並無數字上的特殊意義。
- 2022:代表這套系統是由 ISO 在 2022 年公佈的新版條文。上一個版本為 2013 年發佈。
圖解 ISO 27001 核心概念
實施 ISO 27001 之益處
ISO 27001 是資訊安全領域的管理系統標準,能夠有效保護企業的資訊資源安全,保護資訊化進程健康、有序、可持續發展。當企業通過了ISO 27001 的認證,就代表企業的資訊安全管理已經建立了一套科學有效的管理體系作為保障。而企業ISO 27001 認證的好處包括:
- 通過 ISO 27001 驗證,能保證和證明組織內對資訊安全的承諾。導入資訊安全管理系統就可以透過資安風險評估及 ISO 27002 要求建立組織所需資訊管理制度。
- 提升資安管理技術及增強資安管理制度。
- 通過 ISO 27001 驗證,可改善企業業績、消除客戶不信任感。ISO 27001 資訊安全管理系統驗證可以增進企業間電子電子商務往來的信用度,建立起網站和貿易夥伴之間的互相信任,隨著企業間的電子交流的增加通過資訊安全管理的記錄可以看到資訊安全管理明顯的利益,並為廣大用戶和服務提供商提供一個基礎的設備管理。同時,把企業的干擾因素降到最小,創造更大收益。
- 通過 ISO 27001 驗證,能夠向政府證明企業對相關法律法規的符合性。在台灣,《個資法》亦呼應此說法。《個資法》第29條規定:「非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。」。有保存有個人資料檔案者的組織,導入 ISO 27001 更有必要性。
ISO 輔導
資訊安全 (Information Security)3大 "CIA"要素
資訊安全之3大要素,業界慣用"CIA"稱之,包括機密性 (Confidentiality)、完整性(Integrity)與可用性(Availability);更應增加諸如鑑別性、可歸責性、不可否認性與可靠性。
成功導入 ISO 27001之前,要了解什麼事?
資訊安全(Information Security)管什麼?資訊可透過網路來互通共享,部份資訊可公開,但部份資訊屬機密,不可公開且不可篡改,必須作保密的管制以防使用者有意或無意的讀取或更改,而有關資訊保護之研究的總合稱為資訊安全。
在資訊安全中所討論的資訊,一般而言,指的是企業或組織在營運時所收集,產生,或運用的資料,它可以存在於任何形式,不論是有形或無形的,它可以是存在於電腦中的資料,列印或書寫在紙張上的資訊,甚至是存在於通訊中。
這些資訊對企業或組織而言都是有價的,對企業或組織的營運有相當的影響。 因此,需要賦予適當的保護,降低其風險,避免遭受內在或外來的威脅。ISO 輔導
ISO 27001:2022 條款章節
第一章:範圍(Scope)
第二章:規範性引用文件(Normative references)
第三章:術語和定義(Terms and definitions)
第四章:組織的背景(Context of the organization)
第五章:領導(Leadership)
第六章:規劃(Planning)
第七章:支持(Support)
第八章:運行(Operation)
第九章:績效評估(Performance evaluation)
第十章:改善(Improvement)
ISO 27001:2022 資訊安全管理系統 條文大綱
|
0. 簡介 |
0. 一般 0.2 與其他管理系統標準之相容性 |
|
1. 適用範圍 |
|
|
2. 引用標準 |
|
|
3. 用語及定義 |
|
|
4. 組織全景 |
4.1 瞭解組織及其全景 4.2 瞭解關注方之需要及期望 4.3 決定資訊安全管理系統之範圍 4.4 資訊安全管理系統 |
|
5. 領導作為 |
5.1 領導力及承諾 5.2 政策 5.3 組織角色、責任及權限 |
|
6. 規劃 |
6.1 因應風險及機會之行動 6.1-1 一般要求 6.1-2 資訊安全風險評鑑 6.1-3 資訊安全風險處理 6.3 規劃變更 |
|
7. 支援 |
7.1 資源 7.2 能力 7.3 認知 7.4 溝通或傳達 7.5-1 一般要求 7.5-2 制訂及更新 7.5-3 文件化資訊之控制 |
|
8. 運作 |
8.1 運作之規劃及控制 8.2 資訊安全風險評鑑 8.3 資訊安全風險處理 |
|
9. 績效評估 |
9.1 監督、量測、分析及評估 9.2 內部稽核 9.3 管理審查 |
|
10. 改善 |
10.1 持續改善 10.2 不符合項目及矯正行動 |
申辦 ISO/IEC 27001:2022 交給領導力企管
領導力企管擁有眾多資訊安全系統輔導成功案例,並提供 ISO/IEC 27001:2022 最佳解決方案,包括教育訓練(Training)、文件與管理流程建置(Implementing)、 驗證(Certification)、維護(Maintaining)。
- Step 1 確認驗證範圍
- 從組織資安風險及投入時間角度評估資安驗證範圍導入。
- Step1-1:企業可以先從資安部門及機房技術先做資訊安全盤點之第一步,盤查後台資安風險、建構完善資料儲存機制,機房及防火牆之完整設立可以保存資安資訊之完整性、機密性及可用性,
- Step1-2:先以資訊部門及機房作為資安管理驗證的第一步,作為穩固組織資安文化的前置步驟。
- Step1-3:逐步跨大部門盤點資安風險,建立組織全面之資安管理系統。
- Step 2:管理人員教育訓練
- 公司高層和管理人員必須熟悉 ISO 27001 核心觀念,包括資安風險盤點、資安驗證範圍確認、PDCA持續改善以及熟悉條文。
- Step 3:維護
- 依據 Step1.盤點資安風險 ;Step2.ISO 27001 條文要求; Step3.ISO 27002 附錄A要求,建立管理制度,明文管制公司內部之資安制度,如敏感資料未經允許不得攜出公司外、公司內部不得使用未經允許的熱點連結上網,個人電腦密碼每3-6個月強制更新。
- Step 4:驗證
- 透過領導力企管或自行找到適合組織的驗證機構,目前國內經過TAF認可的驗證機構有:SGS、Afnor/環亞貝爾、BSI、TUV Nord、TCIC。
- Step 5:維持
- 持續內部宣導管理制度並落實,每年定期內稽、弱點掃描、管理審查,也可以委託領導力企管協助弱點偵測/掃描、內部稽核訓練。
▲ 風險管理流程圖,現行多數管理系統與 ISO 標準都必須從風險角度切入,方決定後續所需採取的行動措施,資案風險管理也適用此一框架
歡迎 立即與我們聯繫。ISO 輔導