今天來講講ISO 27001
ISO 27001 是目前國際上使用最廣泛,且最完整的檢驗資訊安全管理系統 (Information Security Management System, ISMS) 標準。在台灣《資通安全管理法》規定,不論是 A 級、B 級和 C 級的公務或是特定非公務機關,都必須要在 2 年內取得臺版 CNS 27001 或是 ISO 27001 的資安認證。
ISO 27001 資訊安全管理系統(ISMS)是利用 PDCA 循環的概念來持續管理資訊安全。
PDCA 包含 Plan(計畫)、Do(執行)、Check(檢查)和 Action(調整)。
「Plan」是制定資訊安全規範,這些計畫是組織管理資訊安全的準則。
「Do」是指實際執行計畫。
「Check」則是評估資訊安全管理的成效是否符合計畫。由於計畫與實際執行可能存在差異
「Action」透過行動來填補計畫與實際執行之間的差異。
ISO 27001 要求組織確立一個完整的 ISMS,包括政策、程序、風險評估和管理計劃等組件。這有助於確保信息安全在整個組織中得到統一管理。
組織必須識別和評估其信息資產所面臨的風險。這包括評估潛在的威脅、弱點和影響。風險評估的結果將用於確定適當的安全控制措施。
ISO 27001 要求組織實施一系列安全控制措施,以減輕或消除已識別的風險。這些控制措施可以包括物理安全、技術安全和操作安全措施。
ISO 27001 要求組織不斷監控和評估其ISMS的效能,並進行持續改進。這包括定期的內部審核和管理審查,以確保ISMS的有效性和適應性。
組織必須確保其ISMS符合適用的法規和法律要求。這包括保護個人數據、金融信息和其他敏感信息的合規性。
ISO 27001 要求組織提供適當的培訓和教育,以確保員工了解信息安全政策和程序,並能夠履行其信息安全職責。
織應確保信息安全政策和程序得到有效的內部和外部溝通。這有助於確保所有利益相關者都了解其信息安全責任。
ISO 27001 鼓勵組織建立應急計劃和事件管理程序,以應對信息安全事件,如數據洩露或系統故障。