ISO 27001 是資訊安全管理系統(ISMS)的國際標準,其中包含許多重要術語,協助組織有效管理和保護資訊安全。以下是一些關鍵的 ISO 27001 術語及其通俗解釋:
資訊資產(Information Assets)
簡單來說,就是有價值的資訊和相關支援系統,例如文件、資料庫、軟體、硬體設備等,這些都是組織需要保護的重要資產。
風險評估(Risk Assessment)
就是找出哪些資訊資產可能會遇到安全威脅,然後評估這些威脅可能對組織造成多大的影響。這有點像是為資訊安全做一次健康檢查。
風險處理(Risk Treatment)
這是組織在評估風險後所採取的行動,目的在降低風險的影響或發生的機會。這些行動包括避免風險、轉移風險、減輕風險,或在某些情況下接受風險。
資訊安全政策(Information Security Policy)
這是一份由組織高層制定並批准的文件,主要說明組織在資訊安全方面的目標、責任和要求。可以理解為組織在資訊安全方面的「規則手冊」,告訴大家什麼該做、什麼不該做。