管理系統與國際標準
ISO 27001 - 資訊安全管理系統
ISO 27001 資訊安全管理系統的介紹
ISO 27001 資訊安全管理系統(ISMS)是一套完整的國際標準,而 ISO 27001 最後一次更新的時間是 2013 年,網路世界與威脅對該標準已有進化,ISO/IEC 27001:2022 於 2022 年 10 月 25 日正式發行,名稱為:資訊安全、網宇安全與隱私保護 – 資訊安全管理系統 – 要求,此名稱亦與 ISO/IEC 27002:2022 之新名稱相同。協助企業持續進化,全面性架構起企業組織的資訊安全管理系統機密性、完整性及可用性,從事前預防、事中監控、事後應變等不同面向的管理規劃,並在持續強化資訊安全管理時,也得以掌握風險管理的有效性。
ISO 27001 資訊安全管理系統必要性
企業若缺少可靠與完善的資訊管理機制,可能會造成企業組織內外部的營運風險與危害,如:外部攻擊者的惡意入侵威脅、網路攻擊,或是內部的非授權存取、系統漏洞等,將使企業關鍵營運系統停擺、機密資料外洩,甚至是財務損失、商譽動搖,因此獲取 ISO 27001 驗證得以解決、預防上述問題。
雖然 ISO/IEC 27001:2022 的更新將使得文件與指引更加重要,也增加了更多的責任,但每個控制都有更清楚與詳細的解釋。
如果您的組織已經符合 ISO 27001,不需要改變技術,只需要更新文件。您可能需要根據新的子條款與修改後的要求而修訂內部政策,您的風險評估結果和風險處理計劃應被審查並更新適用性聲明書 (SoA)。
ISO 27001 CIA 三大要素說明
- 機密性(Confidentiality):保障企業所有資訊不被未取得授權者取得,確保所有資訊都能在對的時間、對的裝置和對的地點上被對的人存取,用以維護企業/用戶資訊的保密性
- 完整性(Integrity):確保所有企業/用戶資訊不會被未經授權的方式修改或竄改
- 可用性(Availability):確保所有企業/用戶資訊在使用上的流暢性,讓已取得授權的使用者能及時取得,不因任何因素而中斷
ISO 27001 PDCA 基礎架構說明
所謂的 PDCA 是指的一套完整過程,為了確保資訊安全管理系統能長久運作,ISO 27001 要求企業/組織要在所有活動下建立規劃、執行、檢測和行動的系統,設立一個已經系統化的管理制度。
ISO/IEC 27001:2022 與 2013 版 關鍵差異說明
- 條文標號
– 引入了新的子條款以進一步協調文件的架構,使其與其他的管理系統標準架構一致,例如:ISO 9001 與 ISO 22301。
– 2 個子條款順序對調 – 10.1 與 10.2 的順序互換,10.1 是持續改善,10.2 是不符合項目及矯正措施,而他們的要求並沒有改變。
- 新增條文內容
雖然添加了新的文字並重新排列了一些內容,但這些更改僅闡明了要求,並未在標準中添加新的要求。
- 附錄 A
現在附錄 A 的名稱是資訊安全控制項參考,調整成 4 大控制主題 / 93 項控制措施,因此對於欲導入 ISO/IEC 27001:2022 之組織,應參引實作指引標準,以對資訊安全控制措施更為了解。
- 轉版期會有多長?
轉版期是從 ISO 27001:2022 正式發布後起算 3 年,自新版標準發佈的第一時間,SGS 就準備好協助您轉版,因此,您應該有足夠的時間來符合,在此期限結束之前,您的 ISO/IEC 27001 證書仍然有效。
ISO 27001:2022 新版解決方案
SGS 掌握全球最新趨勢,並建立了一套服務和素材,包括了轉版訓練和說明文件,可提供給您初步的轉版指南。如果您是SGS 客戶,請於轉版期間依據新版的標準進行文件調整,這樣能夠幫助您更順利完成轉版切換。如需更多資訊,請與 SGS 聯繫。
下載 ISO/IEC 27001:2022 轉版步驟流程圖
ISO/IEC 27001:2022 版與 2013 版關鍵差異說明
SGS ISO 27001 課程特色與優勢
由於 SGS 是全球知名的驗證服務領導者,我們的客戶遍及各行各業。SGS 也針對 ISO 27001 提供標準且完善的課程,包括:資安系統的風險評鑑、建置管理實務、稽核管理實務等訓練課程,且稽核員的相關訓練課程內容,除了一般授課,還包括了演練、角色扮演等等。
ISO 27001 適用產業?
由於資訊時代快速發展,ISO 27001 不僅適用於現在,在未來也會持續發展,ISO 27001是目前各種類型、規模與性質的產業皆合適的資訊安全管理系統,作為風險管理的一環,無論是政府機關、企業都有越來越多組織實施資訊安全管理系統(ISMS),甚至在不少政府部門、電子商務公司,資訊安全已成為強制性的要求。
ISO 27001 驗證有何效益?
- 凸顯資安公信力,讓客戶確信自身資料受到保護
- 遵守法規、確保營運持續
- 降低個資的外洩風險
- 提升品牌形象
- 證明善盡管理責任
- 展現最佳實務
- 強化競爭優勢
SGS ISO 27001 課程特色與優勢
由於 SGS 是全球知名的驗證服務領導者,我們的客戶遍及各行各業。SGS 也針對 ISO 27001 提供標準且完善的課程,包括:資安系統的風險評鑑、建置管理實務、稽核管理實務等訓練課程,且稽核員的相關訓練課程內容,除了一般授課,還包括了演練、角色扮演等等。
課程名稱