ISO 27001資訊安全管理系統的導入與建置實務
目錄
壹、ISO 27001-1分鐘懶人包、什麼叫資訊安全?
什麼是ISO 27001?
二、什麼叫資訊安全?
貳、現在的資安問題有多嚴峻?
一、每秒1.5萬次網路攻擊,台灣慘當亞太之冠!
二、遭公開勒索的家數翻倍增加,製造業、零售業分居冠亞軍。
三、台灣平均每週遭2930次網路攻擊,遠高於全球平均
參、ISO 27001為什麼很重要?
一、商業機會
二、符合法規
三、增強的資料安全性
四、提升管理效率、降低營運成本
肆、什麼產業需要ISO 27001
一、政府組織
二、上市櫃公司
三、中小企業
伍、ISO 27001的三大核心要素
一、機密性 (Confidentiality)
二、完整性 (Integrity)
三、可用性 (Availability)
陸、ISO 27001:2022條文與四階文件
一、 ISO 27001:2022條文
二、ISO 27001的四階文件
柒、ISO 27001:2022轉版倒計時
捌、ISO 27001的導入流程與重點
壹、ISO 27001-1分鐘懶人包、什麼叫資訊安全?
一、 什麼是ISO 27001?
ISO 27001,正式名稱為 ISO/IEC 27001,是資訊安全管理系統(Information Security Management Systems,統稱ISMS)的國際「標準及規範」。它提供了一種系統方法規範了包括人員、流程和 IT 系統等維度的執行與實踐,並透過應用風險管理流程來管理敏感的公司資訊,確保公司資訊的安全。現行版本為ISO27001:2013,且於2025年改版為:2022。而上述提及的「標準及規範」兩部分,即是「主條款與附錄A」:
- 主條款(標準):
強調應決定可接受的資安風險並以此建立完整的管理週期 - 附錄 A(規範):
提供 93項控制措施,對組織、技術、實體與人員四面向進行詳細的風險控制規範。
【ISO 27001 – 1分鐘懶人包】
目的 | ISO 27001旨在透過實施和維護強大的ISMS,幫助組織建立資訊安全管理系統的機密性、完整性與可用性,保護其資訊資產並確保資料安全。 |
要求 | 規定了建立、實施、維護和持續改進 ISMS 的要求。它還包括根據組織的需求評估和處理資訊安全風險的要求。 |
認證 | ISO 27001 認證在全球範圍內得到認可,可以證明組織的資訊安全管理符合最佳實踐及實務。 |
符合 ISO/IEC 27001 意味著組織(或企業)已建立一個系統,來管理與應對資料安全相關的風險,並且該系統尊重國際標準中的規定。27001認證後,企業每年都需進行複評。因此,ISO 27001 是投資人、國際企業和政府等對於資訊安全保護等級的重要參考指標之一,擁有極高的公信力。
二、 什麼叫資訊安全?
資訊安全(Information Security)管什麼?資訊可透過網路來互通共享,部份資訊可公開,但部份資訊屬機密,不可公開且不可篡改,必須作保密的管制以防使用者有意或無意的讀取、更改、洩露和損毀,而有關資訊保護之研究的總合,稱之為資訊安全。
在資訊安全中所討論的「資訊」,一般而言,指的是企業或組織在營運時所收集,產生,或運用的資料,它可以存在於任何形式。而這些資訊對企業或組織而言都是有價的,對企業或組織的營運有相當的影響。 因此,需要賦予適當的保護,降低其風險,避免遭受內在或外來的威脅。所以,有三個重點我們必須先理解:
- 資訊的機密性和保護:
資訊安全涉及對資訊的保護,特別是機密資訊的保密管制,防止未經授權的讀取或更改,確保資訊不被洩漏、篡改和損毀。 - 資訊的形式與存在方式:
討論的資訊包括企業或組織在營運中收集、產生或使用的資料,這些資料可以是電子形式的,也可以是紙本或通訊中的資訊。 - 資訊對企業的價值與風險管理:
這些資訊對企業有重大價值,影響其營運,因此必須賦予適當的保護措施,以降低風險,避免來自內外部的威脅。
貳、 現在的資安問題有多嚴峻?
隨著網路的快速發展,數位轉型、線上化、雲端化…等愈來愈普及,全球的資安事件和威脅層出不窮,近年來,政府與台灣許多企業和公部門,都已將資訊安全列為強制性的要求與標準,讓科技快速發展的同時也能降低資安所帶來的衝擊和威脅。2024年上半年,也發生了多次的駭客攻擊導致多家科技廠商的資料外洩,顯示出台灣在資安防護上的脆弱性和迫切需要加強防護措施的現實。
另外,資安業者趨勢科技指出,對比2023年上市櫃公司重訊發布數量來看,企業資安遭駭的數量成長幅度,其實並沒有特別高,但事件總量確實有稍微提升,原因在於2023年有更多攻擊是針對防禦較弱的中小企業而來。
一、每秒1.5萬次網路攻擊,台灣慘當亞太之冠!
網路資安大廠Fortinet旗下的FortiGuard Labs威脅情資中心在2023年8月公布《2023上半年全球資安威脅報告》。報告顯示,台灣2023年上半年的惡意威脅(指網路遭外部攻擊,導致資料在未經許可的情況下被盜、遺失或更改)數量急遽成長,與2022年同期相比增加超過8成,且每秒就有將近1.5萬次攻擊發生,高居亞太地區之冠。
二、遭公開勒索的家數翻倍增加,製造業、零售業分居冠亞軍。
透過檢視2023年的網路局勢,Check Point《2024 年網路安全報告》指出,遭勒索軟體公開的受害者增加 90%,遭公開勒索的家數翻倍增加,製造業、零售業分居冠亞軍。Check Point更發現,將近一半的攻擊事件涉及勒索軟體,遭公開勒索的受害者飆升至約 5,000 位,較前一年增加一倍。
三、台灣平均每週遭2930次網路攻擊,遠高於全球平均。
資安業者Check Point Software2024年3月公布2024年網路安全報告,據統計至2024年1月資料,過去6個月台灣各組織平均每週遭2930次網路攻擊,遠高於全球平均1089次;研究發現,國家級資安威脅升溫,與地緣政治衝突相關的網路攻擊顯著提升。
資料來源:https://www.cna.com.tw/news/ait/202403070147.aspx
參、ISO 27001為什麼很重要?
一、商業機會
獲得 ISO 27001 認證可以在全球範圍內、於同業中取得市場競爭的優勢,爭取更有利的合約和商業機會(例:政府標案、重大客戶的要求、產業供應鏈的資安標準)。通過 ISO 27001 認證,代表企業內部已建立一套有效的資安管理體系,加強企業組織的體質,有效應對資安風險並提出應對措施,增加商業往來的可信度以及顧客對企業的信任感。
二、符合法規
世界各國對於資訊安全越來越重視,從而資安相關法令也逐漸增加,其中不乏要求相關機構需通過 ISO 27001 認證以符合法規的實例。在台灣,《資通安全管理法》當中就明確規範了「A、B、C 級機構」需於期限內通過 ISO 27001 認證,並應於驗證範圍中確保、其服務/產品均受資安保護範圍內。因此,取得ISO 27001認證,將能確保組織遵守與資訊安全相關的法律和法規要求。
三、增強的資料安全性
ISO 27001 透過識別安全漏洞、實施最佳實踐以及維護資訊的機密性、完整性和可用性以及PDCA 流程,來幫助組織不斷地對資安系統進行檢視、保護其資訊資產,並降低了資料外洩、竄改和損毀的風險,從而及時發現資安系統的缺陷與不足並做出修補,讓企業資安系統的安全性獲得提升。
四、提升管理效率、降低營運成本
透過清楚的標準能夠使組織內部規範資訊安全管理的相關負責人與各自權責,面臨事件時更能即時找到對的人進行處理。ISO 27001事前的評估資安風險,以降低危機爆發後續營運損失,等同於降低了營運成本。
肆、什麼產業需要ISO 27001?
事實上,真正對企業帶來極大影響的,是廠商之間合約中的罰款規則,以及可能因此失去訂單的風險。例如,一旦企業洩露了合作夥伴的重要機密資料,所承受的壓力將遠高於來自主管機關的規範要求。換句話說,企業面臨的更大壓力在於如何滿足客戶對資安的要求和期待。為因應駭客組織進行無差別全面攻擊,無論是上市公司、大型組織還是中小企業,都需要遵循ISO 27001標準。以下是五種適用於此標準的產業:
一、政府組織
政府組織面臨大量敏感數據和機密資訊,必須確保資訊安全以防範潛在的安全威脅。導入ISO 27001能夠建立一個系統化的資訊安全管理體系,提升資訊保護水平,遵循法規要求,並加強對公眾和合作夥伴的信任。此外,ISO 27001有助於確保資訊在處理過程中的完整性和機密性,有效降低資料洩露和網絡攻擊的風險
二、上市櫃公司
上市櫃公司須公開交易,且面臨嚴格的法規和投資者監督。ISO 27001認證能提升公司資訊安全管理水平,降低資料洩露風險,保障投資者利益,並符合法規要求,提升公司形象和信譽。而其中,更有三個產業,實務上更需要導入ISO 27001:
- 科技與資訊產業:
科技公司和資訊服務提供商處理大量敏感數據和個人資料,因此需要ISO 27001來保護這些信息,防止網路攻擊和數據洩露。 - 金融業:
銀行、保險公司和其他金融機構需要ISO 27001來保障客戶資金和個人信息的安全,並遵守監管要求。 - 製造業:
隨著智慧製造的推動,製造業公司需要ISO 27001來保護工控系統和機密的設計、製造數據,防範駭客攻擊和商業間諜活動。
三、 中小企業
中小企業在資源有限的情況下,面臨嚴重的資安威脅。ISO 27001認證有助於中小企業建立系統化的資訊安全管理體系,提升市場競爭力及爭取合約、商業機會(例:標案要求…等),並提高客戶和合作夥伴的信任,最終支持企業的長期發展。
伍、ISO 27001的三大核心要素
ISO 27001的「機密性、完整性與可用性」,可以說是整個系統的三大核心,這三大要素業界慣以合稱為「CIA」,可說是資訊安全的鐵三角,只要有任一項被違反,都會降低資安的保護力,潛在威脅風險就會提升。
這CIA三要素的關係為互相牽制,例如說當機密性超高,有可能造成資料可用性降低,因此如何在有限資源下,保持鐵三角的平衡就是需要組織思考之處。以下茲以「醫療機構的電子健康紀錄系統」為情境舉出實例分述如下:
一、 機密性(Confidentiality)
確保資訊僅對經授權的用戶可用,防止未經授權的訪問或洩露。例如,使用加密技術保護敏感數據,如客戶的個人信息或財務報告,防止黑客攻擊或內部洩漏。
情境實例:
醫療機構需要確保病人的電子健康紀錄(EHR)只能被授權的醫護人員訪問,防止未經授權的個人或外部人員獲取敏感的病人資料。例如,實施雙重認證(2FA)以確保只有授權醫護人員能夠訪問病人的病歷。
二、 完整性(Integrity)
保證資訊的準確性和完整性,防止資料在儲存、處理或傳輸過程中被未經授權地修改或破壞。例如,文件版本控制系統確保只有正確的文檔版本可被使用,並跟蹤所有更改歷史。
情境實例:
醫療機構必須確保病人的健康紀錄在傳輸和存儲過程中不被修改或損壞。這意味著在系統中需要使用數字簽名和校驗碼來確保數據的完整性,以防止未經授權的修改。例如,病人的檢查結果在錄入系統時會被加密和簽名,確保數據的準確和完整。
三、 可用性(Availability)
確保資訊在需要時能夠被授權用戶及時訪問。例如,實施冗餘備份系統來保證在伺服器故障時,數據不會丟失且系統能夠快速恢復。
情境實例:
醫療機構必須確保病人的健康紀錄在需要時能夠被及時訪問,以便醫護人員能夠在緊急情況下迅速獲取病人的病歷和治療歷史。例如,醫療機構可以使用冗餘伺服器和定期備份來保證系統在遭受攻擊或故障時仍然能夠正常運作。
組織必須能持續運用「PDCA 循環」的實踐根架,利用此循環不斷的審查與優化資安管理系統,將資訊安全風險降至可接受的範圍,以保護組織資訊的C/I/A三大核心要素。
【PDCA循環】
計畫 ( Plan ):制定目標以管理資安風險,並制定相關政策和控制措施改進資安系統。
執行 ( Do ):執行規劃好的政策與控制措施。
查核 ( Check ):檢視實際執行與目標的差異。
行動 ( Act ):針對查核到的差異做出改變行動,進一步改善。
陸、ISO 27001:2022條文與四階文件
一、 ISO 27001:2022條款章節
ISO 27001:2022資訊安全管理系統(ISMS)標準包含了十章,每章節的主題及內容重點,請見下表所列:
章節 | 主題 | 內容重點 |
第一章 | 範圍(Scope) | 定義了標準的適用範圍和目標,旨在幫助組織保護其資訊資產,確保機密性、完整性和可用性。 |
第二章 | 規範性引用文件(Normative references) | 列出了標準中提及的其他文件,這些文件對理解和實施標準是必不可少的。 |
第三章 | 術語和定義(Terms and definitions) | 提供了標準中使用的重要術語和定義,確保一致性和清晰的理解。 |
第四章 | 組織的背景(Context of the organization) | 描述了理解組織及其背景的重要性,確定資訊安全管理系統的範疇和範圍。 |
第五章 | 領導(Leadership) | 強調高層管理在建立和維護ISMS中的角色和責任,包括資訊安全方針的制定和溝通。 |
第六章 | 規劃(Planning) | 涉及識別和評估資訊安全風險,並制定適當的風險應對計劃,以達到資訊安全目標。 |
第七章 | 支持(Support) | 涵蓋管理系統運行所需的資源,包括人員培訓、意識提升、文件管理和通訊。 |
第八章 | 運行(Operation) | 描述了執行和控制ISMS所需的運作過程,以管理已識別的資訊安全風險。 |
第九章 | 績效評估(Performance evaluation) | 涉及監控、測量、分析和評價ISMS的績效,以確保其有效性和持續改進。 |
第十章 | 改善(Improvement) | 強調糾正措施和持續改進的重要性,以應對資訊安全事件和不符合項,並改進ISMS的整體績效。 |
事實上,ISO27001的章節編排跟ISO9001是相同,一樣採用PCDA的戴明循環來編排:先計畫(Plan)並制定資安規範,再執行(Do)該計畫,中間需檢查(Check)執行成果是否與計畫一致,最後針對計畫與實際落差的部分,進行行動(Act)改善。
二、 ISO 27001的四階文件
ISO 27001的10個章節,將由ISO 27001顧問輔導建置ISO四階文件;而在建置之前,組織必須理解,ISO 27001要求高層制定「資訊安全政策」,確定資訊安全目標,並分配必要的資源,與品質手冊中的政策目標一致。ISO 27001的四階文件及內容重點分述如下表:
階別 | 文件 | 內容重點 |
一階 | 品質手冊 | ISO 27001需要一個資訊安全管理手冊,說明ISMS(資訊安全管理系統)的範疇、政策和程序,類似於品質手冊的功能。 |
二階 | 程序書 | ISO 27001涵蓋多個程序,如風險評估、控制措施實施等,這些程序需要文件化並與其他管理系統程序整合。 |
三階 | 作業規範 | ISO 27001要求詳細的操作規範,以確保所有資訊安全措施的執行與維護,這與品質管理中的作業規範相似。 |
四階 | 作業表單 | ISO 27001要求使用各種表單來記錄風險評估結果、控制措施等,以便監控和改進資訊安全管理,這與品質管理中的作業表單需求一致。 |
上述的四階文件,不僅有助於組織在實施ISO 27001時可保持一致性,還能確保所有資訊安全措施的有效性和合規性。
柒、ISO 27001:2022轉版倒計時
2021年4月,ISO組織提出了ISO 27001:2013的修訂作業,在該次修訂中,附錄A將以「ISO 27002:2022新的控制要項」取代。其中,2013年版的控制要項有114個,而2022年版的控制要項有93個(其中新增11個),將原本舊版的控項進行「合併、重排及更名」(因此原本的114個控項仍然是需要的)。
目前ISO 27001:2022已於2022/10/25發佈,在新版的 ISO/IEC 27001 規範中,條款上面的變動不大,多屬於增強舊版精準度,及調和整體架構。若組織原本已導入 ISO/IEC 27001 在面對新版規範,應重新檢視組織治理政策,與相關程序書,並更新適用性說明。
要特別留意的是「證照的轉版期限」,轉版期限計算是從 ISO/IEC 27001:2022 正式發布後起算 3 年,故已取27001證書的組織(或企業)最晚應於 2025/10/24完成轉版;屆時組織未事先轉換為新版證書者,將被視為「重新執行ISO 27001之初正評作業」。
捌、ISO 27001的導入流程與重點
成立43年,華宇企管擁有豐富的「ISO 27001資訊安全系統-成功導入案例」,ISO 27001專業顧問將依據ISO規範提供完整及合規的導入方案,包括教育訓練(Training)、文件與管理流程建置(Implementing)、內外部驗證模整(Certification)及建置後系統維護(Maintaining)等服務。
ISO 27001資訊安全管理系統的導入流程及重點,如下表所述:
No. | 導入流程 | 導入重點 |
1 | 確認組織現有狀況,確定導入範圍 | 從組織資安風險及投入時間角度評估資安驗證範圍導入。 |
2 | 人員訓練 | 公司高層和管理人員必須熟悉 ISO 27001之資訊安全核心觀念,並向全公司同仁宣導應有的資安意識和規範。 |
3 | 建構資安管理制度 | 依ISO 27001附錄A要求,建立管理制度。 |
4 | 技術面風險評估 | 依ISO 27001附錄A要求,進行技術面的風險評估。 |
5 | 系統實施 | 發佈「ISO 27001四階文件」,並進行為期三個月的實踐和運作,確保運作程序順利進行。 |
6 | 內稽與管理審查 | 協助組織培訓內部稽核員,成立稽核小組,訂定稽核計畫,確保資安系統運作的持續和有效性,並進行管理審查會議。 |
7 | 第三方稽核 | 協助安排符合認可的國內驗證機構,進行第三方蒞場稽核。 |
8 | 取得證書 | 完成第三方稽核後,由驗證公司頒發ISO 27001證書。 |
9 | 系統維護 | 持續內部宣導管理制度並落實,每年定期內稽、弱點掃描、管理審查,也可以委託華宇企管協助行「弱點偵測/掃描、內部稽核訓練」。 |