管理系統與國際標準

ISO 27001 - 資訊安全管理系統

ISO 27001 資訊安全管理系統的介紹

ISO 27001 資訊安全管理系統(ISMS)是一套完整的國際標準，而 ISO 27001 最後一次更新的時間是 2013 年，網路世界與威脅對該標準已有進化，ISO/IEC 27001:2022 於 2022 年 10 月 25 日正式發行，名稱為：資訊安全、網宇安全與隱私保護 – 資訊安全管理系統 – 要求，此名稱亦與 ISO/IEC 27002:2022 之新名稱相同。協助企業持續進化，全面性架構起企業組織的資訊安全管理系統機密性、完整性及可用性，從事前預防、事中監控、事後應變等不同面向的管理規劃，並在持續強化資訊安全管理時，也得以掌握風險管理的有效性。

ISO 27001 資訊安全管理系統必要性

企業若缺少可靠與完善的資訊管理機制，可能會造成企業組織內外部的營運風險與危害，如：外部攻擊者的惡意入侵威脅、網路攻擊，或是內部的非授權存取、系統漏洞等，將使企業關鍵營運系統停擺、機密資料外洩，甚至是財務損失、商譽動搖，因此獲取 ISO 27001 驗證得以解決、預防上述問題。
雖然 ISO/IEC 27001:2022 的更新將使得文件與指引更加重要，也增加了更多的責任，但每個控制都有更清楚與詳細的解釋。
如果您的組織已經符合 ISO 27001，不需要改變技術，只需要更新文件。您可能需要根據新的子條款與修改後的要求而修訂內部政策，您的風險評估結果和風險處理計劃應被審查並更新適用性聲明書 (SoA)。

ISO 27001 CIA 三大要素說明

• 機密性（Confidentiality）：保障企業所有資訊不被未取得授權者取得，確保所有資訊都能在對的時間、對的裝置和對的地點上被對的人存取，用以維護企業/用戶資訊的保密性
• 完整性（Integrity）：確保所有企業/用戶資訊不會被未經授權的方式修改或竄改
• 可用性（Availability）：確保所有企業/用戶資訊在使用上的流暢性，讓已取得授權的使用者能及時取得，不因任何因素而中斷

ISO 27001 PDCA 基礎架構說明

所謂的 PDCA 是指的一套完整過程，為了確保資訊安全管理系統能長久運作，ISO 27001 要求企業/組織要在所有活動下建立規劃、執行、檢測和行動的系統，設立一個已經系統化的管理制度。

ISO/IEC 27001:2022 與 2013 版 關鍵差異說明

• 條文標號
  – 引入了新的子條款以進一步協調文件的架構，使其與其他的管理系統標準架構一致，例如：ISO 9001 與 ISO 22301。
  – 2 個子條款順序對調 – 10.1 與 10.2 的順序互換，10.1 是持續改善，10.2 是不符合項目及矯正措施，而他們的要求並沒有改變。
• 新增條文內容
  雖然添加了新的文字並重新排列了一些內容，但這些更改僅闡明了要求，並未在標準中添加新的要求。
• 附錄 A
  現在附錄 A 的名稱是資訊安全控制項參考，調整成 4 大控制主題 / 93 項控制措施，因此對於欲導入 ISO/IEC 27001:2022 之組織，應參引實作指引標準，以對資訊安全控制措施更為了解。
• 轉版期會有多長?
  轉版期是從 ISO 27001:2022 正式發布後起算 3 年，自新版標準發佈的第一時間，SGS 就準備好協助您轉版，因此，您應該有足夠的時間來符合，在此期限結束之前，您的 ISO/IEC 27001 證書仍然有效。

SGS 可協助您轉版

我們可以幫助您順利轉版，並已建立了一套服務和素材，包括了轉版訓練和指導文件。
我們可以確保您在轉版期間內調整了文件，因此，無須安排新的稽核，因為這將在您的定期稽核期間進行。
此外，評估成功轉版所需的額外時間將依據國際認證論壇 (IAF) 的 MD26:2022 文件。不過，當您在轉版期進行您的重新驗證時，您可以使用新的控制以避免將它遺留到最後一刻。如需更多資訊，請與 SGS 聯繫。
下載 ISO/IEC 27001:2022 轉版步驟流程圖
ISO/IEC 27001:2022 版與 2013 版關鍵差異說明

SGS ISO 27001 課程特色與優勢

由於 SGS 是全球知名的驗證服務領導者，我們的客戶遍及各行各業。SGS 也針對 ISO 27001 提供標準且完善的課程，包括：資安系統的風險評鑑、建置管理實務、稽核管理實務等訓練課程，且稽核員的相關訓練課程內容，除了一般授課，還包括了演練、角色扮演等等。

ISO 27001 適用產業？

由於資訊時代快速發展，ISO 27001 不僅適用於現在，在未來也會持續發展，ISO 27001是目前各種類型、規模與性質的產業皆合適的資訊安全管理系統，作為風險管理的一環，無論是政府機關、企業都有越來越多組織實施資訊安全管理系統(ISMS)，甚至在不少政府部門、電子商務公司，資訊安全已成為強制性的要求。

ISO 27001 驗證有何效益？

• 凸顯資安公信力，讓客戶確信自身資料受到保護
• 遵守法規、確保營運持續
• 降低個資的外洩風險
• 提升品牌形象
• 證明善盡管理責任
• 展現最佳實務
• 強化競爭優勢

SGS ISO 27001 課程特色與優勢

由於 SGS 是全球知名的驗證服務領導者，我們的客戶遍及各行各業。SGS 也針對 ISO 27001 提供標準且完善的課程，包括：資安系統的風險評鑑、建置管理實務、稽核管理實務等訓練課程，且稽核員的相關訓練課程內容，除了一般授課，還包括了演練、角色扮演等等。

課程名稱

CQI IRCA ISO 27001:2022 資訊安全管理系統主導稽核員訓練課程(編號2549 – PR 373)

ISO/IEC 27001:2022 主導稽核員轉版訓練課程

ISO 27001 資訊安全管理系統風險評鑑課程

ISO 27001:2022 資訊安全管理系統內部稽核員訓練課程

ISO 27799:2016 健康醫療照護產業資訊安全管理主導稽核員

ISO/IEC 27001:2022 資訊安全管理系統核心概念與條文要點解析訓練課程

資通系統防護基準實務課程

ISO 27001:2022 資訊安全管理系統主導稽核員訓練課程(IRCA編號： 17279-PR320)【遠距視訊課程】

IEC 62443-2-1資通安全管理系統（CSMS）主導稽核師

IEC 62443-2-1資通安全管理系統（CSMS）主導稽核師 轉版課程