ISO/IEC 27001信息安全认证证书申请-标准分享-捡证网

ISO 27001:2013 资讯安全管理系统（Information Security Management System，ISMS），共包含2份标准：

• ISO 27001:2013《资讯安全管理系统：要求》(Information technology-Security techniques- Information security management systems- Requirements)

• ISO 27002:2013《资讯安全管理系统：指南、一般原则》(Information technology-Security techniques -- Code of practice for information security controls)

ISO 27001:2013是一套国际通用的资讯安全管理工具和制度。以呼应全球对于资讯安全风险之因应措施，以及控制并降低资讯安全事件所带来的威胁和冲击。因此，ISO 27001：2013也提供所有类型的组织，包含商业企业、政府机构和非营利组织，都能建立资讯安全管理系统。将全名拆解来看，可分为三部份逐一解读：

• ISO：指的是国际标准组织（International Organization for Standardization）。

• 27001：至今已成立65年的ISO，历年来已针对不同业产业制定不同者的品质标准，并为不同的品质系统命名。因此，「27001」并无数字上的特殊意义。

• 2013：代表这套系统是由 ISO 在2013年公布的新版条文。上一个版本为2005年发布。

图解 ISO 27001 核心概念

实施 ISO 27001 之益处

ISO 27001 是资讯安全领域的管理系统标准，能够有效保护企业的资讯资源安全，保护资讯化进程健康、有序、可持续发展。当企业通过了ISO 27001 的认证，就代表企业的资讯安全管理已经建立了一套科学有效的管理体系作为保障。而企业ISO 27001 认证的好处包括：

1. 通过 ISO 27001 验证，能保证和证明组织内对资讯安全的承诺。导入资讯安全管理系统就可以透过资安风险评估及 ISO 27002 要求建立组织所需资讯管理制度。

2. 提升资安管理技术及增强资安管理制度。

3. 通过 ISO 27001 验证，可改善企业业绩、消除客户不信任感。 ISO 27001 资讯安全管理系统验证可以增进企业间电子电子商务往来的信用度，建立起网站和贸易伙伴之间的互相信任，随着企业间的电子交流的增加通过资讯安全管理的记录可以看到资讯安全管理明显的利益，并为广大用户和服务提供商提供一个基础的设备管理。同时，把企业的干扰因素降到最小，创造更大收益。

4. 通过 ISO 27001 验证，能够向政府证明企业对相关法律法规的符合性。在台湾，《个资法》亦呼应此说法。《个资法》第29条规定：「非公务机关违反本法规定，致个人资料遭不法搜集、处理、利用或其他侵害当事人权利者，负损害赔偿责任。但能证明其无故意或过失者，不在此限。」。有保存有个人资料档案者的组织，导入 ISO 27001 更有必要性。

资讯安全 (Information Security)3大 "CIA"要素

资讯安全之3大要素，业界惯用"CIA"称之，包括机密性(Confidentiality)、完整性(Integrity)与可用性(Availability)；更应增加诸如鉴别性、可归责性、不可否认性与可靠性。

1.机密性 (Confidentiality)

机密性是指采用适当的安全机制保护资料和资源以避免暴露于无权限人员或程式之下，而危害到资讯安全目标。换言之，机密性是为维护资料在传输、储存、与处理状态时，不被非授权人员之存取、使用、或窜改。许多攻击型态都是以破坏资讯的机密性为主，例如：网路抓取封包、偷取密码档案、利用监视软体、网路扫描等，都是破坏机密性的攻击行为。

2.完整性(Integrity)

指确保维持资料原来的状态，只允许有权限的使用者可以修改资料内容。在资料内部与外部均需维持资料的一致性，例如，传输资料时，在传输中的资料与接收、储存的资料，均需要保持一致而且是可以确认的。资料丧失完整性的原因，并非完全只是由于遭受外部攻击，许多事件都会使资料无法维护完整性，例如，意外删除档案、键入不正确资料、错误指令、病毒感染等。针对上述这些事件，可以采用方法加以对抗，例如：意外删除档案，可以用严格验证程序或存取控制，以减少意外发生；预防键入不正确资料，可以使用输出入查核程式加以过滤等。对资产之精确与完整安全保证的特性，尚须关注以下三特性：

(i) 可归责性 (Accountability)：确保实体之行为可唯一追溯到该实体的特性。

(ii) 鉴别性 (Authenticity)：确保一主体或资源之识别就是其所声明者的特性。鉴别性适用于如使用者、程序、系统与资讯等实体。

(iii) 不可否认性 (Non-repudiation)：对一已发生之行动或事件的证明，使该行动或事件往后不能被否认的能力。

3. 可用性(Availability)

已授权实体在需要时可存取与使用之特性。始终如一预期之行为与结果的特性。可用性是为了确保资讯与系统能够持续营运、正常使用，当合法使用者要求使用资讯系统时，例如，电子邮件、应用系统等，使用者均可以在适当的时间内获得回应，并获得所需服务。可用性需要与前述的机密性与完整性配合一起考虑，以符合既定的资讯安全目标。三者如无法整体考量密切配合，可能反而造成问题，例如：只考虑机密性，将网路资讯加密，或因记录稽核而影响系统回覆时间，甚或延缓系统服务效能，而违反可用性的原则。

成功导入 ISO 27001之前，要了解什么事？

资讯安全(Information Security)管什么？资讯可透过网路来互通共享，部份资讯可公开，但部份资讯属机密，不可公开且不可篡改，必须作保密的管制以防使用者有意或无意的读取或更改，而有关资讯保护之研究的总合称为资讯安全。

在资讯安全中所讨论的资讯，一般而言，指的是企业或组织在营运时所收集，产生，或运用的资料，它可以存在于任何形式，不论是有形或无形的，它可以是存在于电脑中的资料，列印或书写在纸张上的资讯，甚至是存在于通讯中。

这些资讯对企业或组织而言都是有价的，对企业或组织的营运有相当的影响。因此，需要赋予适当的保护，降低其风险，避免遭受内在或外来的威胁。

ISO 27001:2013 条款章节

第一章：范围（Scope）

第二章：规范性引用文件（Normative references）

第三章：术语和定义（Terms and definitions）

第四章：组织的背景（Context of the organization）

第五章：领导（Leadership）

第六章：规划（Planning）

第七章：支持（Support）

第八章：运行（Operation）

第九章：绩效评估（Performance evaluation）

第十章：改善（Improvement）

ISO 27001：2013资讯安全管理系统条文大纲

0. 简介 0. 一般

0.2 与其他管理系统标准之相容性

1. 适用范围

2. 引用标准

3. 用语及定义

4. 组织全景 4.1 了解组织及其全景

4.2 了解关注方之需要及期望

4.3 决定资讯安全管理系统之范围

4.4 资讯安全管理系统

5. 领导作为 5.1 管理者承诺

5.2 政策

5.3 组织角色、责任及权限

6. 规划 6.1 因应风险及机会之行动

6.1-1 一般要求

6.1-2 资讯安全风险评鉴

6.1-3 资讯安全风险处理

6.2 资讯安全目标及其达成之规划

7. 支援 7.1 资源

7.2 能力

7.3 认知

7.4 沟通或传达

7.5 文件化资讯

7.5-1 一般要求

7.5-2 制订及更新

7.5-3 文件化资讯之控制

8. 运作 8.1 运作之规划及控制

8.2 资讯安全风险评鉴

8.3 资讯安全风险处理

9. 绩效评估 9.1 监督、量测、分析及评估

9.2 内部稽核

9.3 管理审查

10. 改善 10.1 不符合项目及矫正措施

10.2 持续改善

申办 ISO/IEC 27001：2013 交给领导力企管

领导力企管拥有众多资讯安全系统辅导成功案例，并提供ISO/IEC 27001：2013 最佳解决方案，包括教育训练（Training）、文件与管理流程建置（Implementing）、验证（Certification）、维护（Maintaining ）。

• Step 1 确认验证范围

• 从组织资安风险及投入时间角度评估资安验证范围导入。

• Step1-1：企业可以先从资安部门及机房技术先做资讯安全盘点之第一步，盘查后台资安风险、建构完善资料储存机制，机房及防火墙之完整设立可以保存资安资讯之完整性、机密性及可用性，

• Step1-2：先以资讯部门及机房作为资安管理验证的第一步，作为稳固组织资安文化的前置步骤。

• Step1-3：逐步跨大部门盘点资安风险，建立组织全面之资安管理系统。

• Step 2：管理人员教育训练

• 公司高层和管理人员必须熟悉 ISO 27001 核心观念，包括资安风险盘点、资安验证范围确认、PDCA持续改善以及熟悉条文。

• Step 3：维护

• 依据Step1.盘点资安风险;Step2.ISO 27001 条文要求; Step3.ISO 27002 附录A要求，建立管理制度，明文管制公司内部之资安制度，如敏感资料未经允许不得携出公司外、公司内部不得使用未经允许的热点连结上网，个人电脑密码每3-6个月强制更新。

• Step 4：验证

• 透过领导力企管或自行找到适合组织的验证机构，目前国内经过TAF认可的验证机构有：SGS、Ａfnor/环亚贝尔、BSI、TUV Nord、TCIC，而国内通过ISO27001的组织有500多间。资料来源：TAF，搜集资料时间：2019年2月。

• Step 5：维持

• 持续内部宣导管理制度并落实，每年定期内稽、弱点扫描、管理审查，也可以委托领导力企管协助弱点侦测/扫描、内部稽核训练。

捡证网提供相关认证咨询服务，咨询电话：13636483412 QQ: 495226609 邮箱：yangda@jz-cert.com