《ISO27001是什麼?》

November 26,2021

什麼是 ISO 27001?


ISO 27001 是資訊安全管理系統 (Information Security Management System, ISMS) 標準。台灣《資通安全管理法》規定公務或是特定機關,都必須取得 CNS 27001 或是 ISO 27001 的資安認證,也是現今國際大廠稽核要點之一。

近年來,由於國際上興起一股「營業秘密與個資保護」的潮流,愈來愈多的買方企業對於「簽訂採購契約時,也一併針對營業秘密、資訊安全、廉潔交易、社會責任要求等,設計進去採購契約之中」,而營業秘密涉及領域相當廣泛,除了技術性也包含商業性,台灣企業以代工及服務為主,有時候不小心拿到技術性文檔,稍不小心就會涉入對客戶個資或營業秘密的侵犯。
雖說ISO 27001只是資安管制的一種手段,但也是最基本的手段,企業導入ISO 27001資安管控措施為保護個資與營業秘密的起點,通過ISO 27001資安認證的企業架構可採取「防火牆保護其客戶個資、營業秘密與資訊資產」。
本輔導架構是針對ISO 27001的管理重點要項進行規畫,以協助企業有效導入ISO27001系統輔導與驗證。
現今市場競爭已升高到「資安層級」,我們無法不是面對這些競爭與市場的遊戲規則改變,過去我們中小企業常說:「如果要簽約那就不要做」,然而未來想成為某些客戶的供應鏈合格供應商將無法只靠通過ISO 9001認證,就算擁有優質服務與報價優勢,仍然得面對ISO 27001管理系統認證才能建立合作關係。
我們都要習慣這些規則的改變,以建立三位(個資保密、資訊資產保護、資通安全管控)一體(ISO介面)的管理系統,這將讓企業可以先滿足資訊安全工作的要求,有了制度規範,接下來就是最重要的落實執行這些管制措施。
「資訊安全管理沒有捷徑,但持續走下去,自然會走出來一條明顯的路。」
今天就跟著本文的介紹,從ISO 27001的內容開始瞭解起,為企業的資訊安全,築起堅固防線。


導入ISO27001目的
要求組織應在其整體營運活動與其所面臨風險的狀況下,建立及持續改進資安系統,確保符合由風險評鑑、適用法規及其他要求,保護資訊資產並提高利害相關者信心

  1. 提高員工資安意識,增進知識累積與經驗傳承,進而提升企業資訊安全管理能力
  2. 降低資安風險,減少損失
  3. 強化資安控制,減少客戶抱怨
  4. 落實標準化、制度化減少作業偏差
  5. 增加採購商、客戶及消費者之信心有效提升競爭力
  6. 減少不同公司對資安重覆稽核避免資源浪費
  7. 符合國家政策要求

導入ISO27001的步驟

訂定資安政策及範圍►展開組織架構►資訊資產盤點►風險評估與降低風險計畫/弱點掃描與修補/緊急應變及持續營運管理/實體環境安全管制►資訊資產管制/客戶資產管制/文件管制/載具管理/承攬契約管理►定期稽核►持續改善►年度目標訂定
導入  ISO27001 並建立「資料安全防護」的概念,健峰與您攜手做好資安管理,有資料需求或服務需求歡迎電洽





 
TOP