ISO/IEC 27001：2013資訊安全管理系統輔導

service

WINNING AT THE STARTING LINE.

資訊安全管理系統輔導

ISO/IEC 27001：2013是一套由ISO於2013年改版發行、國際通用的資訊安全管理制度。以「基於風險的考量」為出發點，呼應全球對於資訊安全風險之因應措施，以及控制並降低資訊安全事件所帶來的威脅和衝擊。

2013資訊安全管理系統

ISO/IEC 27001：2013是一套由ISO於2013年改版發行、國際通用的資訊安全管理制度。以「基於風險的考量」為出發點，呼應全球對於資訊安全風險之因應措施，以及控制並降低資訊安全事件所帶來的威脅和衝擊。

所有類型的組織，包含企業、政府機構和非營利組織，都能依此標準建立資訊安全管理系統，以達成保護資訊安全之C.I.A. 三大要素，包括Confidentiality(機密性)、Integrity(完整性)與Availability(可用性)；更應增加諸如Authentication and Authorization(可鑑別性)、Accountability(可歸責性) 與Non-repudiation(不可否認性)。

ISO/IEC 27001：2013共包含2份標準：

ISO/IEC 27001:2013 Information technology-Security techniques- Information security management systems- Requirements (資訊安全管理系統：要求)

依循「高階管理架構」(high-level structure) 共分為10個章節與附錄A。

ISO 27002:2013 Information technology-Security techniques — Code of practice for information security controls (資訊安全管理系統：資訊安全控制措施指南、一般原則)

針對附錄A中114控制措施，提供實作指引。

ISO/IEC 27001：2013的導入和實施，不單只是資訊部門的責任而已，而是要求了組織：

應系統性地檢驗組織的資訊安全風險，考慮其威脅、弱點以及影響；
應設計、實現連貫而且全面的資訊安全控管措施，並且/或者規劃實施其他的風險管理方案（例如風險避免或風險轉移）來處理無法接受的風險；
以總體管理的流程，在現有的基礎上，確認資訊安全的各控制措施可以持續、且有效地符合組織的資訊安全需求。

ISO/IEC 27001：2013可以針對個別部門的認證，也可以針對全公司的認證。管理階層為了認證的考量，可以決定資訊安全管理系統的範圍，例如限制在單一的事業單位或是單一地區。

為什麼要導入ISO/IEC 27001

組織通過資訊安全管理系統認證的好處包括、但不限於：

保證和證明組織內對資訊安全的承諾；
提升資安管理技術及增強資安管理制度；
可改善並增加客戶信任感；
證明組織對相關法律法規的符合性；
證明組織對於資訊安全保護、與長期投入企業社會責任(CSR)的決心。

佳典管理顧問基於十數年的品質管理系統輔導與風險管理經驗，結合專業的資訊系統安全顧問支持，同時依循ISO「高階管理架構」(high-level structure) 所改版的管理系統精神，也就是「基於風險的考量」，我們會依循以下方針，快速有效地協助貴公司規劃、導入並實施資訊安全管理系統：

評估並定義資訊安全系統的範圍；
制定策略與政策；
針對制定的策略與政策，收集內外部議題與利害關係人之需求與期望；
導入風險評估框架，並針對已收集之內外部議題與利害關係人之需求與期望，進行風險評估；
規劃對應機會的行動與針對威脅的控制措施；
同時針對資訊資產的生命週期與產品開發的過程 (自主或外包)，在不同階段加入風險評估過程、制訂對資訊安全的要求，並在過程中評估達成資訊安全要求對策的有效性；
規劃資訊資產盤點、分類、保護的方式；
規劃持續營運與資安事故的管理方式；
制定符合資訊安全系統要求的文件與表單。

如貴公司為雲端軟體服務供應者，我們可以同時協助您，基於ISMS框架，評估導入ISO/IEC 27017：2015雲端服務的資訊安全控制措施，與ISO/IEC 27018：2019公有雲端服務作為PII處理者對於個人可識別資訊(PII)保護的資訊安全控制措施的可行性。

請與我們聯繫：佳典管理顧問 02-77289341 張小姐，或0936123874陳先生。

我們將提供：

專業顧問師蒞臨公司診斷及負責輔導作業之進行；
專業顧問師依輔導計畫書洽談各流程有關人員；
提供工作進度、檢討方式與企業配合人員之工作情形，追蹤工作實際成效。

回到列表