ISO/IEC 27001 是國際公認的資訊安全管理系統(Information Security Management System,ISMS)標準,能幫助組織/企業建立系統化的資訊安全管理,降低風險並提升信任度。對組織/企業通過驗證ISO/IEC 27001而言是一個重要的里程碑,代表資訊安全管理達到國際標準。
在申請驗證ISO/IEC 27001前,有幾個組織可以先瞭解一下:
- ISO:制定標準(例如 ISO/IEC 27001)。
- IAF(國際認證論壇):制定全球認證規範,確保各國認證體系互認。
- AB(認證機構):各國或地區的認證機構,負責認可驗證機構(CB)。
例如:
台灣:TAF(財團法人台灣認證基金會)
美國:ANAB(ANSI National Accreditation Board)
日本:TAD (The Japan Accreditation Board for Conformity Assessment)
德國:DAkkS(Deutsche Akkreditierungsstelle)
英國:UKAS(United Kingdom Accreditation Service)
法國:COFRAC(Comité Français d’Accréditation) - CB(驗證機構):經 AB 認證後,才能執行 ISO 27001 稽核並頒發證書。
例如:SGS 、 A‑LIGN、BSI 、TÜV、JQA
AB(認證機構,Accreditation Body)與 ISO/IEC 27001 的關係在於 確保驗證機構(Certification Body, CB)具備公信力與國際認可,但它本身不直接頒發證書。
簡單的說: ISO 制定標準 → IAF 制定認證規範 → AB 認證 CB → CB 驗證→ 組織/企業獲得 ISO 27001 證書
至於要驗證ISO/IEC 27001 要先大概瞭解一下ISO條文、程序文件、實作的關係:
ISO 27001 標準條文主要分為兩部分:
- 管理系統要求(Clauses 4–10)
- 4. 組織環境:界定範圍、利害關係人、ISMS 的範圍。
- 5. 領導責任:高層承諾、資訊安全政策。
- 6. 規劃:風險評估、風險處理計畫。
- 7. 支援:資源、人員能力、文件化資訊。
- 8. 運作:執行風險處理措施。
- 9. 績效評估:監測、內部稽核、管理審查。
- 10. 改進:持續改善、矯正措施。
- 附錄 A 控制措施(Annex A)
- 共 93 項控制措施(2022 版),涵蓋:
- 資訊安全政策
- 人力資源安全
- 資產管理
- 存取控制
- 密碼學
- 供應鏈安全
- 事件管理
- 業務持續性
- 法規遵循
- 共 93 項控制措施(2022 版),涵蓋:
準備的文件概述如下:
- ISMS 範圍文件
- 資訊安全政策
- 風險評估報告
- 風險處理計畫
- 適用性聲明(SoA):列出適用或排除的控制措施。
- 程序文件:如存取控制、備份、事件管理。
- 紀錄:如內部稽核報告、管理審查會議紀錄、執行各項程序紀錄。
實作的概念如下:
- 風險管理:識別資產、威脅、弱點,並制定控制措施。
- 技術控制:防火牆、加密、存取權限。
- 組織控制:員工訓練、角色與責任。
- 持續改善:定期稽核與矯正措施。
簡單的說:ISO/IEC 27001條文規範 → 組織/企業制定相對應程序文件 → 依程序文件執行業務並留存紀錄
(說、寫、做 一致)
這時可能有些人會提到,那是否一定要制定四階文件 ?
在 ISO/IEC 27001 中,並沒有明文規定必須採用「四階文件」結構(政策、程序、作業指導書、紀錄),四階文件不是強制要求,但組織/企業通常會採用類似結構,因為它有助於管理與稽核。
如果你的組織規模較大,採用四階文件會更清晰;小型企業則可以簡化,只要能證明符合標準即可。
「在技術與心靈的交匯處探索,是一場孤獨但值得的旅程。如果你覺得這篇文章為你帶來了一絲清晰與啟發,歡迎請我喝杯咖啡,支持我繼續這份深度的文字創作。」
[ ☕ 請我喝杯咖啡 ]
