在台灣多數是由IT部門主導來導入ISO 27001, 然而ISO 27001只適用在IT部門嗎?
其實不是這樣的, 因為在ISO 27001的適用範圍就明言.
本國際標準涵蓋所有類型的組織(例如,商業企業、政府機構、非營利組織)。
本國際標準敘述之要求為一般性的,且適用所有組織,與其類型、規模大小及業務性質無關。
所以如果一個企業如果沒有電腦機房, 只有PC, NB及資料要進行資訊安全管理是否可行, 答案絕對是肯定的, 所以如果企業以個人資料管理當做ISMS範圍也是可行的, 畢竟對許多企業而言, 個資法正式施行後, 個資管理變成是企業最大的資訊安全風險了.
以下就談談, 個人資料保護法施行細則第12條的11事項與ISO 27001條文的對應性.
一、配置管理之人員及相當資源。
ISO 27001 Clause 5, 7, A.6
二、界定個人資料之範圍。
ISO 27001 Clause 4.2.1, A.5, A.7, A.15
三、個人資料之風險評估及管理機制。
ISO 27001 Clause 4.2.1~4.2.4
四、事故之預防、通報及應變機制。
ISO 27001 Clause A.13
五、個人資料蒐集、處理及利用之內部管理程序。
ISO 27001 Clause A.7, A.11, A.12, A.15
六、資料安全管理及人員管理。
ISO 27001 Clause 4.3, 5.2, A.7, A.8, A.9, A.10, A.11, A.12
七、認知宣導及教育訓練。
ISO 27001 Clause 5.2.2, A.8.2.2
八、設備安全管理。
ISO 27001 Clause A.9, A.10
九、資料安全稽核機制。
ISO 27001 Clause 4.2.3, 6, A.15
十、使用紀錄、軌跡資料及證據保存。
ISO 27001 Clause 4.3.3, A.10, A.12, A.13
十一、個人資料安全維護之整體持續改善。
ISO 27001 Clause 4.2.4, 8