SGS 合作,獲得優化流程、改善體系、
提升技能的最佳解決方案

管理系統與國際標準

ISO 27001 - 資訊安全管理系統


ISO 27001 資訊安全管理系統的介紹

ISO 27001 資訊安全管理系統(ISMS)是一套完整的國際標準,而 ISO 27001 最後一次更新的時間是 2013 年,網路世界與威脅對該標準已有進化,ISO/IEC 27001:2022 於 2022 年 10 月 25 日正式發行,名稱為:資訊安全、網宇安全與隱私保護 – 資訊安全管理系統 – 要求,此名稱亦與 ISO/IEC 27002:2022 之新名稱相同。協助企業持續進化,全面性架構起企業組織的資訊安全管理系統機密性、完整性及可用性,從事前預防、事中監控、事後應變等不同面向的管理規劃,並在持續強化資訊安全管理時,也得以掌握風險管理的有效性。

ISO 27001 資訊安全管理系統必要性

企業若缺少可靠與完善的資訊管理機制,可能會造成企業組織內外部的營運風險與危害,如:外部攻擊者的惡意入侵威脅、網路攻擊,或是內部的非授權存取、系統漏洞等,將使企業關鍵營運系統停擺、機密資料外洩,甚至是財務損失、商譽動搖,因此獲取 ISO 27001 驗證得以解決、預防上述問題。
雖然 ISO/IEC 27001:2022 的更新將使得文件與指引更加重要,也增加了更多的責任,但每個控制都有更清楚與詳細的解釋。
如果您的組織已經符合 ISO 27001,不需要改變技術,只需要更新文件。您可能需要根據新的子條款與修改後的要求而修訂內部政策,您的風險評估結果和風險處理計劃應被審查並更新適用性聲明書 (SoA)。

ISO 27001 CIA 三大要素說明

ISO 27001 CIA 三大要素
  • 機密性(Confidentiality):保障企業所有資訊不被未取得授權者取得,確保所有資訊都能在對的時間、對的裝置和對的地點上被對的人存取,用以維護企業/用戶資訊的保密性
  • 完整性(Integrity):確保所有企業/用戶資訊不會被未經授權的方式修改或竄改
  • 可用性(Availability):確保所有企業/用戶資訊在使用上的流暢性,讓已取得授權的使用者能及時取得,不因任何因素而中斷

ISO 27001 PDCA 基礎架構說明

所謂的 PDCA 是指的一套完整過程,為了確保資訊安全管理系統能長久運作,ISO 27001 要求企業/組織要在所有活動下建立規劃、執行、檢測和行動的系統,設立一個已經系統化的管理制度。


ISO 27001 PDCA 基礎架構

ISO/IEC 27001:2022 與 2013 版 關鍵差異說明

  • 條文標號
    – 引入了新的子條款以進一步協調文件的架構,使其與其他的管理系統標準架構一致,例如:ISO 9001ISO 22301
    – 2 個子條款順序對調 – 10.1 與 10.2 的順序互換,10.1 是持續改善,10.2 是不符合項目及矯正措施,而他們的要求並沒有改變。
  • 新增條文內容
    雖然添加了新的文字並重新排列了一些內容,但這些更改僅闡明了要求,並未在標準中添加新的要求。
  • 附錄 A
    現在附錄 A 的名稱是資訊安全控制項參考,調整成 4 大控制主題 / 93 項控制措施,因此對於欲導入 ISO/IEC 27001:2022 之組織,應參引實作指引標準,以對資訊安全控制措施更為了解。
  • 轉版期會有多長?
    轉版期是從 ISO 27001:2022 正式發布後起算 3 年,自新版標準發佈的第一時間,SGS 就準備好協助您轉版,因此,您應該有足夠的時間來符合,在此期限結束之前,您的 ISO/IEC 27001 證書仍然有效。

SGS 可協助您轉版

我們可以幫助您順利轉版,並已建立了一套服務和素材,包括了轉版訓練和指導文件。
我們可以確保您在轉版期間內調整了文件,因此,無須安排新的稽核,因為這將在您的定期稽核期間進行。
此外,評估成功轉版所需的額外時間將依據國際認證論壇 (IAF) 的 MD26:2022 文件。不過,當您在轉版期進行您的重新驗證時,您可以使用新的控制以避免將它遺留到最後一刻。如需更多資訊,請與 SGS 聯繫。
下載 ISO/IEC 27001:2022 轉版步驟流程圖
ISO/IEC 27001:2022 版與 2013 版關鍵差異說明

SGS ISO 27001 課程特色與優勢

由於 SGS 是全球知名的驗證服務領導者,我們的客戶遍及各行各業。SGS 也針對 ISO 27001 提供標準且完善的課程,包括:資安系統的風險評鑑、建置管理實務、稽核管理實務等訓練課程,且稽核員的相關訓練課程內容,除了一般授課,還包括了演練、角色扮演等等。

ISO 27001 適用產業?

由於資訊時代快速發展,ISO 27001 不僅適用於現在,在未來也會持續發展,ISO 27001是目前各種類型、規模與性質的產業皆合適的資訊安全管理系統,作為風險管理的一環,無論是政府機關、企業都有越來越多組織實施資訊安全管理系統(ISMS),甚至在不少政府部門、電子商務公司,資訊安全已成為強制性的要求。

ISO 27001 驗證有何效益?

  • 凸顯資安公信力,讓客戶確信自身資料受到保護
  • 遵守法規、確保營運持續
  • 降低個資的外洩風險
  • 提升品牌形象
  • 證明善盡管理責任
  • 展現最佳實務
  • 強化競爭優勢

SGS ISO 27001 課程特色與優勢

由於 SGS 是全球知名的驗證服務領導者,我們的客戶遍及各行各業。SGS 也針對 ISO 27001 提供標準且完善的課程,包括:資安系統的風險評鑑、建置管理實務、稽核管理實務等訓練課程,且稽核員的相關訓練課程內容,除了一般授課,還包括了演練、角色扮演等等。

課程名稱

CQI IRCA ISO 27001:2022 資訊安全管理系統主導稽核員訓練課程(編號2549 – PR 373)
ISO/IEC 27001:2022 主導稽核員轉版訓練課程
ISO 27001 資訊安全管理系統風險評鑑課程
ISO 27001:2022 資訊安全管理系統內部稽核員訓練課程
ISO 27799:2016 健康醫療照護產業資訊安全管理主導稽核員
ISO/IEC 27001:2022 資訊安全管理系統核心概念與條文要點解析訓練課程
資通系統防護基準實務課程
ISO 27001:2022 資訊安全管理系統主導稽核員訓練課程(IRCA編號: 17279-PR320)【遠距視訊課程】
IEC 62443-2-1資通安全管理系統(CSMS)主導稽核師
IEC 62443-2-1資通安全管理系統(CSMS)主導稽核師 轉版課程