ISO 27001 資訊安全管理系統(ISMS)是什麼

對於一般企業初步建構資訊安全制度，可從國際認證標準ISO 27001導入資訊安全管理系統(ISMS)制度開始，ISO 27001整合了國際諸多標準要求項目，例如：美國國家標準與技術研究所(NIST)的安全框架(Cybersecurity Framework, CSF)，因此非常適合企業導入，並可與全方位的角度於管理面、技術面、認知與訓練面，來鞏固企業資訊安全。

ISO 27001的國際標準，它規定了一套資訊安全管理系統(ISMS)的最佳實踐，幫助企業建立、實施、維護和不斷改進資訊安全管理體系。ISO 27001標準關注資訊安全管理的全方位，包括資訊的機密性、完整性和可用性。該標準提供了一個全面性和系統性的方法來管理和保護企業的資訊資產，從而減少資訊安全事故的風險，提高組織的資訊安全水平。

簡單來說，ISO 27001 資訊安全管理系統(ISMS)是利用 PDCA 循環的概念來持續管理資訊安全。PDCA 包含 Plan（計畫）、Do（執行）、Check（檢查）和 Action（調整）。其中，制定資訊安全規範是「Plan」的一部分，這些規範是組織管理資訊安全的準則。接著，「Do」是指實際執行計畫。而「Check」則是評估資訊安全管理的成效是否符合計畫。由於計畫與實際執行可能存在差異，因此在循環的最後一步是「Action」（或 Adjust），透過行動來填補計畫與實際執行之間的差異。

整體面來看，ISO 27001 資訊安全管理系統(ISMS)提供了以下幾點好處：

• 增強企業資訊安全能力：導入ISMS能夠協助企業建立完善的資訊安全管理機制，包括資訊安全政策、風險管理、資訊安全控制、安全事件管理等。這些措施能夠有效提升企業的資訊安全能力，降低遭受資安攻擊和資料外洩的風險。
• 提升企業信譽和競爭力：ISO 27001是全球公認的資訊安全管理標準，導入ISMS能夠提升企業的信譽度和公信力。同時，因為更多的企業和機構要求其供應商實施ISMS，導入ISMS也能夠提高企業在競爭市場中的競爭力。
• 保護企業的資產：企業的資訊資產是其最重要的資產之一，導入ISMS能夠有效保護企業的資訊資產。ISMS提供了全面性和系統性的方法來管理和保護企業的資訊資產，減少資訊外洩、損壞和損失的風險。
• 合規要求：許多國家和地區的法律法規都要求企業保護客戶和員工的敏感資訊。導入ISMS能夠幫助企業遵守相關的法律法規和合規要求，減少違反法規的風險和懲罰。

ISO 27001 資訊安全管理系統(ISMS)控制措施介紹與制度導入注意事項

ISO 27001資訊安全管理系統(ISMS)提供了完整性和系統性的方法來管理和保護企業的資訊資產，包括組織內部資訊安全政策、資產管理、存取控制、加密、物理和環境安全、通訊和作業安全、持續性和緊急情況管理以及監控、評估和改進等方面的資安控制措施。

以下是其中的一些常見的控制措施類型：

• 組織內部資訊安全政策與程序：制定和實施組織內部的資訊安全政策與程序，包括對資訊資產進行分類和保護，制定安全的使用政策等。
• 資產管理：制定和實施資產管理政策，包括盤點和分類資訊資產，確定資產擁有者，評估和管理風險等。
• 存取控制：確保只有授權人員才能夠存取和修改資訊資產，包括建立和維護存取控制政策和程序，實施身份驗證和授權等。
• 加密：將重要的資訊資產進行加密，以保護其機密性、完整性和可用性。
• 物理和環境安全：保護組織的資訊設施免受未經授權的存取、損壞、干擾和破壞，包括建立和維護設施和設備的安全控制和程序。
• 通訊和作業安全：確保安全的網路和作業程序，包括保護對公共網路的連接，實施適當的網路安全控制和程序等。
• 持續性和緊急情況管理：制定和實施緊急情況管理計劃，以應對資訊安全事件和災難。
• 監控、評估和改進：實施監控、評估和改進程序，以確保ISMS的有效性和持續性。

企業要開始準備並通過ISO 27001認證，可以透過以下步驟開始

• 確認組織的現有狀況：了解組織目前的資訊安全管理系統和相關流程、政策以及實施情況。這可以幫助您確定需要進行哪些調整和改進，以滿足 ISO 27001 標準的要求。
• 建立一個 ISO 27001 專案小組：成立一個專案小組，由內部員工負責計畫、實施和維護 ISO 27001 管理系統，並確保符合標準要求。
• 進行風險評估：依據 ISO 27001 標準的要求進行風險評估，以確定組織資訊安全面臨的風險，進而採取適當的風險處理措施。
• 制定資訊安全政策和程序：根據風險評估結果，制定和實施相應的資訊安全政策和程序，以符合 ISO 27001 的要求。
• 建立記錄和文件：建立文件和記錄，以證明組織已經符合 ISO 27001 的要求。
• 進行內部審核：對資訊安全管理系統進行內部審核，以確保組織已經符合 ISO 27001 的要求。
• 進行 ISO 27001 認證審核：通過聘請獨立的認證機構進行審核，以驗證組織已經符合 ISO 27001 的要求。
  ※台灣目前有若干家認證機構可以洽詢，可參考TAF認可驗證機構名錄

※在準備 ISO 27001 認證過程中，下列四項是核心要素，需要特別注意，可考慮聘請專業的稽核外部顧問協助：

• 全面了解 ISO 27001 標準的要求：確保您和您的團隊完全理解 ISO 27001 標準的要求。
• 建立完整的資訊安全管理系統：確保您的資訊安全管理系統完整且符合 ISO 27001 標準的要求。
• 確保資訊安全相關的政策、程序和指引得到充分的實施和執行。
• 建立完善的文件和記錄：建立文件和記錄，以證明組織已經符合 ISO 27001 的要求。

導入 ISO 27001 認證後，也需要注意以下事項，以確保資訊安全管理系統的制度維持和維護：

• 持續改進：ISO 27001 認證是一個持續改進的過程。您需要定期審核和評估資訊安全管理系統的有效性，以確保其符合標準要求和組織的實際需求。
• 管理文件控制：管理文件控制是確保文件和記錄有效性的關鍵因素。您需要確保所有文件和記錄的版本控制，並監控文件和記錄的修改和更新。
• 執行稽核活動：定期進行內外部稽核，以確保資訊安全管理系統符合 ISO 27001 的要求，並持續改進。
• 處理非符合事項：當發現資訊安全管理系統中存在不符合標準要求或組織實際需求的情況時，應立即進行調查和處理。
• 實施監控和控制：實施監控和控制措施，以確保資訊安全管理系統有效運作。這包括實施安全事件管理、漏洞管理、網絡安全監控等措施，以及定期執行風險評估和應急響應計畫。
• 建立預算和資源：為維持和維護資訊安全管理系統建立預算和資源，包括為執行內部審核、進行培訓、實施技術控制和安全監控等提供必要的資源和支援。
• 確保人員培訓：確保所有涉及到資訊安全的人員，包括管理人員、員工、供應商等，都接受必要的培訓和教育，以確保他們了解資訊安全政策和程序，並能夠有效實施相關措施。

ISO 27001: 2022轉版變化說明

ISO 27001:2022 已於 2022 年 10 月 25 日發布，將舊版ISO/IEC 27001:2013 附錄A原先的144個控制措施重新彙整，新版改為4大控制主題(組織、人員、實體、技術控制)、93項控制措施，其中新增11個控制措施、更新58個控制措施，並整併24個控制措施。

關鍵影響將是需要重新審視您的風險評估和適用性聲明，以確保適當有效地應用修訂後的控制措施，讓您的資訊安全管理系統（ISMS）更能因應數位轉型帶來的相關風險。

新版ISO/IEC 27001:2022也新增了屬性標籤(Attributes)，每一個控制措施皆會對應到5種不同的屬性值：

• 控制措施類別Control Types：控制措施何時/如何介入因應資安事故之風險結果。
• 資訊安全特性Information Security Properties：控制措施有助於保持哪些資訊特性（Characteristic）。
• 網宇安全概念Cybersecurity Concepts：網路安全概念的機密性、完整性和可用性之關聯性
• 運作能力Operation Capabilities：控制措施對應實作者的資訊安全能力。
• 安全領域Security Domains：控制措施對應所需要的資訊安全領域（Fields）、專業能力（Expertise）、服務或產品。

※以下為新增屬性標籤後的控制措施對應表 － 參考自CNS 27002:2023