標準編號 | 名稱 | 主要內容與應用重點 |
---|---|---|
ISO/IEC 27001 | 資訊安全管理系統(ISMS) | 建立、實施、維運及持續改進資訊安全管理系統。是最核心的資安管理標準,可做為企業導入資安制度與認證基礎。 |
ISO/IEC 27002 | 資訊安全控制措施實務守則 | 為 27001 的補充,提供實作面建議(如存取控制、加密、物理安全等),用於選擇與實施控制措施。 |
ISO/IEC 27701 | 隱私資訊管理系統(PIMS) | 延伸自 27001 與 27002,專注於個人資料保護與隱私管理,協助組織符合 GDPR 等隱私法規。 |
ISO/IEC 27017 | 雲端服務資訊安全指引 | 提供雲端服務提供者與使用者的資安控制建議,是針對雲端的補充指引。 |
ISO/IEC 27018 | 公有雲個人資料保護行為準則 | 特別針對公有雲中處理個人識別資訊(PII)的保護措施。 |
ISO 22301 | 業務持續管理系統(BCMS) | 強調在災難發生時維持關鍵業務運作,與 27001 搭配提升組織韌性。 |
名稱 | 全名 | 應用範疇與特色 |
---|---|---|
BS 10012 | 個人資訊管理系統標準(PIMS)) | 英國標準協會制定的隱私保護標準,對應 GDPR,適用於建立個資管理制度。 |
GDPR | 歐盟《一般資料保護規則》 | 歐盟資料保護法,要求組織在處理個人資料時須取得同意、具備可攜性與被遺忘權等。 |
CSA STAR | 雲端安全聯盟 STAR 認證 | 雲端安全評估與認證架構(Security, Trust & Assurance Registry),由 Cloud Security Alliance 推出,常與 ISO 27001 串接使用。 |
標準編號 | 名稱 | 主要內容與應用重點 |
---|---|---|
IEC 62443 | 工業自動化與控制系統資訊安全標準 | 針對 OT(Operational Technology)與 ICS(工業控制系統)的資安標準,適用於工廠、電力、關鍵基礎設施等領域,分為多個部分,涵蓋資產擁有者、系統整合商與供應商。 |
分類 | 標準/法規 | 適用對象 |
---|---|---|
資訊安全管理 | ISO 27001、27002、27017、27018 | 所有類型組織 |
隱私/個資保護 | ISO 27701、BS 10012、GDPR | 涉及個人資料處理的企業 |
雲端資安 | CSA STAR、ISO 27017、27018 | 雲端服務供應商、用戶 |
業務持續/災難應變 | ISO 22301 | 金融、政府、關鍵基礎設施等 |
工控系統 | IEC 62443 | 工業控制領域、智慧製造、能源等 |