ISO 27001 是什麼？

ISO 27001 的正式全名為 ISO/IEC 27001，是目前國際上最廣泛被接受和應用的資訊安全管理系統（Information Security Management System, ISMS） 國際標準。

ISO 27001核心定義與目標

1. 建立管理系統（ISMS）：
   它要求組織建立、導入、維運、監控、審查、維持及持續改善一個文件化的「資訊安全管理系統」。這套系統涵蓋了政策、程序、人員、技術與流程，是一個全面性的管理方法。

2. 保護三大資安特性：
   其最終目標是保護組織的資訊資產，確保資訊的：

   • 機密性 (Confidentiality)：確保只有被授權的人員才能存取資訊。
   • 完整性 (Integrity)：保護資訊與處理方法的準確性與完整性，防止被未經授權的竄改。
   • 可用性 (Availability)：確保被授權的使用者在需要時，能夠順利地存取資訊與使用相關資產。

3. 採用風險管理方法：
   ISO 27001 強調風險導向（Risk-based approach）。它要求組織必須先識別出自身面臨哪些資訊安全風險（例如：駭客入侵、資料外洩、員工疏失、系統故障等），接著評估這些風險的嚴重性，並根據風險等級採取適當的控制措施來降低或消除風險。

4. PDCA 持續改善循環：
   整個管理系統的運作是基於一個稱為 PDCA 的循環模式，以確保資安管理能與時俱進：

   • Plan (規劃)：定義資安政策、目標、流程與程序。
   • Do (執行)：導入並運作已規劃的政策、控制措施與程序。
   • Check (檢查)：監控與審查資安績效，並與政策目標進行比對，產出報告。
   • Act (行動)：根據檢查結果，採取修正與預防措施，以持續改善 ISMS。

ISO 27001 內部稽核稽核目的皆遵循「凡事走流程、務必有授權、留下可追蹤紀錄」的核心原則。其中公司內部設定的ERP更是重點之重

第一部分：ERP 與 AD 權限管理稽核

針對企業資源規劃（ERP）系統與目錄服務（Active Directory, AD）的帳號與權限管理，稽核重點如下：

1. 權限申請與變更流程管理 (A.9.2.3)

• 流程標準化：稽核將驗證所有 ERP 與 AD 的帳號申請、權限變更（新增、修改、移除）或停用，是否皆透過正式的電子或紙本表單（如：「帳號/權限異動申請單」）提出。
• 授權與簽核：
  • 申請人：由需求單位員工或其主管提出申請。
  • 權責主管：申請單必須由該員工的直屬主管簽核，以確認其業務需求的必要性。
  • 資訊部門：由資訊部門主管或權責人員進行技術審核與簽署，確保權限設定符合最小權限原則（Principle of Least Privilege），僅授予執行業務所需之最小權限。
  • 紀錄存檔：所有經過完整簽核的申請單皆需妥善存檔，作為稽核軌跡。

2. 定期權限審查 (A.9.2.5)

• 所有權人制度：稽核會確認 ERP 各模組與 AD 各組織單位（OU）是否已指派「系統所有權人」或「資料所有權人」（通常是部門主管）。
• 定期審查報告：資訊部門需定期（例如：每半年或每年）產出 ERP 與 AD 的使用者權限清單。
• 所有權人覆核：將權限清單交付給對應的權責主管進行覆核，確認其部門底下員工的權限是否仍然適切且必要。若有員工離職、轉調或業務內容變更，應立即提出權限調整申請。
• 審查紀錄：所有經過主管簽名確認的覆核紀錄皆需存檔備查，以證明已善盡審查之責。

3. 離職/轉調人員權限處理 (A.9.2.6)

• 即時通報：稽核將抽查近期離職或轉調的員工，驗證人力資源部門是否在人員異動生效日或之前，已正式通知資訊部門。
• 權限移除：資訊部門在收到通知後，應在規定的時間內（例如：24 小時內）停用或移除該員工在 ERP、AD 及其他系統的所有存取權限。相關處理紀錄應被保留。

第二部分：資訊安全定期報告與審查

為確保管理階層能充分了解公司資訊安全狀況，並作出適當決策，定期性的報告與審查是不可或缺的一環。

1. 資訊安全績效報告

• 報告頻率：依據公司規定（例如：每季或每半年），由資訊部門或資安專責人員匯總資訊安全相關數據與事件。
• 報告內容：
  • 事件與事故：資安事件（如：病毒攻擊、帳號異常登入嘗試、網路入侵）的數量、類型、處理狀況與改善措施。
  • 系統狀態：重要系統（ERP、AD）的可用性、備份成功率、弱點掃描結果等。
  • 使用者活動：特權帳號的活動監控報告、存取失敗紀錄分析。
  • 內/外部稽核發現：上次稽核發現的缺失項及其改善進度。
• 報告流程：報告需提交給直屬主管，並依序呈報至高階管理層（如：資訊長、總經理）。

2. 管理階層審查會議 (A.9.3)

• 會議召集：定期（至少每年一次）召開資訊安全管理審查會議，由高階管理階層主持。
• 會議議程：
  • 審查前次會議決議事項的執行情形。
  • 報告內部與外部稽核的結果。
  • 檢視資訊安全政策與目標的適用性。
  • 評估資訊安全風險，並確認風險處理計畫的有效性。
  • 討論重大的資安事件及其教訓。
• 會議記錄：會議中所有的討論、決策與待辦事項皆需作成正式紀錄，並追蹤其完成情況。此紀錄是證明管理階層已投入並審查資安管理系統（ISMS）運作的關鍵證據。

「凡事走流程、務必有授權、留下可追蹤紀錄」 的核心原則。為了通過稽核，請確保每一個步驟都符合內部控制與 ISO 27001 的標準。