什麼是 ISO 27001？

ISO 27001 是資訊安全管理系統 (Information Security Management System, ISMS) 標準。台灣《資通安全管理法》規定公務或是特定機關，都必須取得 CNS 27001 或是 ISO 27001 的資安認證,也是現今國際大廠稽核要點之一。

近年來，由於國際上興起一股「營業秘密與個資保護」的潮流，愈來愈多的買方企業對於「簽訂採購契約時，也一併針對營業秘密、資訊安全、廉潔交易、社會責任要求等，設計進去採購契約之中」，而營業秘密涉及領域相當廣泛，除了技術性也包含商業性，台灣企業以代工及服務為主，有時候不小心拿到技術性文檔，稍不小心就會涉入對客戶個資或營業秘密的侵犯。
雖說ISO 27001只是資安管制的一種手段，但也是最基本的手段，企業導入ISO 27001資安管控措施為保護個資與營業秘密的起點，通過ISO 27001資安認證的企業架構可採取「防火牆保護其客戶個資、營業秘密與資訊資產」。
本輔導架構是針對ISO 27001的管理重點要項進行規畫，以協助企業有效導入ISO27001系統輔導與驗證。
現今市場競爭已升高到「資安層級」，我們無法不是面對這些競爭與市場的遊戲規則改變，過去我們中小企業常說：「如果要簽約那就不要做」，然而未來想成為某些客戶的供應鏈合格供應商將無法只靠通過ISO 9001認證，就算擁有優質服務與報價優勢，仍然得面對ISO 27001管理系統認證才能建立合作關係。
我們都要習慣這些規則的改變，以建立三位(個資保密、資訊資產保護、資通安全管控)一體(ISO介面)的管理系統，這將讓企業可以先滿足資訊安全工作的要求，有了制度規範，接下來就是最重要的落實執行這些管制措施。
「資訊安全管理沒有捷徑，但持續走下去，自然會走出來一條明顯的路。」
今天就跟著本文的介紹，從ISO 27001的內容開始瞭解起，為企業的資訊安全，築起堅固防線。

導入ISO27001目的
要求組織應在其整體營運活動與其所面臨風險的狀況下，建立及持續改進資安系統，確保符合由風險評鑑、適用法規及其他要求，保護資訊資產並提高利害相關者信心

1. 提高員工資安意識,增進知識累積與經驗傳承,進而提升企業資訊安全管理能力
2. 降低資安風險,減少損失
3. 強化資安控制,減少客戶抱怨
4. 落實標準化、制度化減少作業偏差
5. 增加採購商、客戶及消費者之信心有效提升競爭力
6. 減少不同公司對資安重覆稽核避免資源浪費
7. 符合國家政策要求

導入ISO27001的步驟