簡介

今天開始來介紹國際標準，相信很多人聽過的就是 ISO/IEC 27001，但 27001 其實只是 27000 系列中最基礎的一項標準，在 27000 系列中，目前共有 63 項標準，比較常聽到的有：

• 27000：概述與詞彙，主要在簡介 ISMS 以及針對各種詞彙進行定義。
• 27001：全稱為「資訊安全管理系統—要求項目」，即為最基礎的要求。
• 27002：控制項目，類似一個目錄，將可能可以使用的控制項列出。
• 27003：實做指引。
• 27011：以 27002 為基礎訂定的電信業者 ISMS 管理指引。
• 27017：以 27002 為基礎訂定的雲端服務資安控制項準則。
• 27033-1～6：網路安全。
• 27034-1～7：應用程式安全。
• 27035-1～4：資安事件管理。
• 27037：數位鑑識證據識別、蒐集、獲得、儲存的標準。
• 27040：儲存空間安全。
• 27043：事件調查。
• 27701：個人資料管理系統，第一版為 2019 年發布，大致上參考了 BS 10012、GDPR 的規範進行訂定。
• 27799：針對醫療、保健產業的控制項目。

ISO 27001 簡介

現行的 27001 為 2013 年版本，預計這個月會發布新版本；27002 也已經發布新版本，從 14 個類別改為 4 個類別、控制項目則從 114 個減到 93 個、更新了 58 個、多個合併成 24 個、新增 11 個。
CNS 27001 為台灣的對等標準，目前為 2014 版，基本上就是照抄 ISO，因此明後年 CNS 也應該會進行改版。

明天將會介紹 ISO 27001 的條文，但因為 ISO 標準是有版權的，因此不會逐條解釋，僅會針對類別進行簡介。