ISO 27001
【資訊安全】ISO 27001是什麼?資訊安全管理國際標準介紹|天矽科技
目錄
➤ ISO/IEC 27001
➤ 什麼產業需要ISO 27001
➤ ISO 27001有什麼用
➤ ISO 27001條文大綱
ISO/IEC 27001
ISO/IEC 27001 全名 Information technology - Security techniques - Information security management systems - Requirements 資訊科技-安全技術-資訊安全管理系統-要求。
它是一套完整的資訊安全管理國際標準,此標準一開始是由國際標準化組織(ISO)與國際電工委員會(IEC)在2005年聯合發布,其中列出了有關於資訊安全管理系統(information security management system, ISMS) 的架構、實施、維護,以及持續改善上的要求,目的是要幫助企業組織在保管資訊資產時能更加的安全。
而此標準也是目前國際上最廣泛使用,且最為完整的ISMS資安管理系統標準!(目前的版本為ISO/IEC 27001:2013,近年可以期待它的再次更新!)
簡單來說,ISO/IEC 27001可協助企業機構建立起資訊安全管理系統的機密性、完整性與可用性,以確保資訊資產的安全、降低未來資料外洩的損失。
ISO 27001三大要素
ISO 27001有三大要素,分別是機密性、完整性與可用性,如下。
- 機密性(Confidentiality):
保障企業所有資訊只有「取得授權者」可獲取,維護企業與用戶資訊的保密和機密性。 - 完整性(Integrity):
保障資訊不被未經授權的方式修改或竄寫,確保資訊準確度與完整性。 - 可用性(Availability):
保障資訊的流暢性,讓資訊可被授權者隨時取用,不因任何因素而中斷。
什麼產業需要ISO 27001
隨著網路的快速發展,數位轉型、線上化、雲端化…等愈來愈普及,各家企業應更加重視資訊安全的風險管理,並且也有愈來愈多政府機關、企業部門、電子商務…等,都已將資訊安全列為強制性的要求與標準。
因此ISO 27001這套國際標準,對所有產業的資訊安全管理系統都非常適合!
ISO 27001有什麼用
從上面的介紹中我們可以知道,這套標準可使資訊資產更加安全,不過實際的效益是什麼呢?實際的效益可能會有這些…
- 落實善盡管理責任
- 遵守法律規定(如:臺灣《個資法》)
- 降低資料外洩而提升的營運成本
- 降低資產外洩情形,增加品牌信任度與形象
- 使客戶感受到自身資料受到保護、增加信賴度
- 提升利害關係人(股東)與客戶的信任
- 提升企業信譽與競爭力
ISO 27001條文大綱
目前版本的 ISO27001:2013 共有10個章節,但只有前3章可免費閱讀,若有需要可向ISO官方平台購買,它的目錄章節包含了以下:
- 範圍Scope
- 規範性參考Normative references
- 術語和定義Terms and definition
- 組織背景Context of the organization
- 領導力Leadership
- 規劃Planning
- 支援Support
- 操作Operation
- 績效評估Performance evaluation
- 改進Improvement
- 附錄A參考控制目標和控制 Annex A Reference control objectives and controls
資料來源:ISO27001:2013
控制項目
由於資安涵蓋的範圍廣泛,因此措施會因企業規模與流程而有所不同,我們可以在上方的條文大綱之目錄章節中,看到最後一項附錄A,其中內容則列出了不同的控制項目以提供參考,不過此附錄並沒有強求一定要使用附錄方式控管風險,項目如下。
A.5:資訊安全政策
A.6:資訊安全組織
A.7:人力資源安全
A.8:資產管理
A.9:存取控管
A.10:加密
A.11:物理性及環境的安全
A.12:運作安全
A.13:通訊安全
A.14:系統購置,開發和維護
A.15:供應商關係
A.16:資訊安全事件管理
A.17:業務連續性計劃的資訊安全層面
A.18:合規,有關內部(e.g.:政策) 要求及外部(e.g.:法令)要求
資料來源與參考:
➜ 維基百科|ISO/IEC 27001
➜ 驪鑫有限公司|ISO27001認證是什麼?專家顧問教你掌握14項要點、保護資安!
➜ SGS|ISO 27001 - 資訊安全管理系統
