2021/7/13 上午 10:26:01
ISO 27001:2013資訊安全管理系統
本次資訊安全管理系統標準的改版,旨在使其能夠與其他的ISO標準做結合,因此採用了高階架構(High Level Structure,簡稱HLS)作撰寫,並沿用PDCA流程(Plan-Do-Check-Act,規劃-實施-檢查-改善)


什麼是ISO 27001:2013?

ISO/IEC 27001由國際標準化組織(International Organization for Standardization)所制定,是一套全球性的資訊安全管理系統標準(Information security management systems,簡稱ISMS)。其現行版本為2013版,提供了資訊技術、安全技術、資訊安全管理系統三者的整體概念。將可以協助各種不同類型之組織了解如何改善保護他們的資訊資產的基本原則、原理與觀念。企業或組織可以依照自己的需求範圍建立管理制度,並委託驗證機構進行稽核。


ISO 27001改版歷程

  • 1995年:英國標準學會BSI(British Standards Institute)制定BS7799。
  • 1998年:經國際標準化組織ISO採納為ISO/IEC 17799:2002。
  • 2005年:修訂BS7799,改版為ISO/IEC 27001:2005。
  • 2013年:釋出ISO/IEC 27001:2013。


ISO 27001:2013 特色

  • 有系統性地檢驗組織的資訊安全風險。
  • 有系統性地考慮外部威脅與內部弱點以及其他影響。
  • 透過驗證稽核、內部稽核及預防措施,建置完整資訊安全管理機制。
  • 強化資安保護、保護資訊資產,提高客戶對於資訊安全的信心與信任。
  • 遵循法令法規,更加符合政府招標資格。


ISO 27001:2013 輔導流程


詳細輔導流程:ISO 輔導課程流程

競爭力輔導特色

  • 顧問師皆擁有豐富經歷,專職專責
  • 課程皆以企業行業別、規模、人數進行規劃出一套最適合企業的課程
  • 用企業最能接受的方法,讓條例與後續維護輕鬆容易
  • 傾聽、發覺企業需求,提供適當的建議與協助解決
  • 輔導結束,持續追蹤與聯繫,讓企業擁有更完善的服務
  • 我們不只是建構、輔導,我們更注重於協助企業精進與改善



ISO 27001:2013條文架構

本次資訊安全管理系統標準的改版,旨在使其能夠與其他的ISO標準做結合,因此採用了高階架構(High Level Structure,簡稱HLS)作撰寫,並沿用PDCA流程(Plan-Do-Check-Act,規劃-實施-檢查-改善):
  1. 適用範圍(Scope)
  2. 引用標準(Normative references)
  3. 名詞與定義(Terms and definitions)
  4. 組織處境(Context of the organization)
    4.1 了解組織及其處境(Understanding the organization and its context)
    4.2 了解利害關係者的需求與期望(Understanding the needs and expectations of interested parties)
    4.3 決定資訊安全管理系統的範圍(Determining the scope of the information security management system)
    4.4 資訊安全管理系統(Information security management system)
  5. 領導(Leadership)
    5.1 領導與承諾(Leadership and commitment)
    5.2 政策(Policy)
    5.3 組織的角色,職責和權限(Organizational roles, responsibilities and authorities)
  6. 規劃(Planning)
    6.1 對應風險和機會的措施(Actions to address risks and opportunities)
    6.2 資訊安全目標和規劃的實現(Information security objectives and planning to achieve them)
    6.3 變更規劃(Planning of changes)
  7. 支援(Support)
    7.1 資源(Resources)
    7.2 能力(Competence)
    7.3 認知(Awareness)
    7.4 溝通(Communication)
    7.5 文件化資訊(Documented information)
  8. 營運(Operation)
    8.1 作業規劃與管制(Operational planning and control)
    8.2 資訊安全風險評鑑
    8.3 資訊安全風險處理
  9. 績效評估(Performance evaluation)
    9.1 監控、量測、分析與評估(Monitoring, measurement, analysis and evaluation)
    9.2 內部稽核(Internal audit)
    9.3 管理審查(Management review)
  10. 改善(Improvement)
    10.1 概述(General)
    10.2 不符合事項及矯正措施(Nonconformity and corrective action)
    10.3 持續改善(Continual improvement)


經由系統化的資訊安全管制措施,來降低資訊安全風險,達成下列三項目標:

  • 機密性(Confidentiality):確保只有被授權的用戶,可以依權限存取資料。
  • 完整性(Integrity):確保資料是完整的,沒有被竊取或不當修改。
  • 可用性(Availability):確保被授權的用戶,在需要資料時,能順利獲得資料。


競爭力企管顧問

|全台免付費專線:0800-800 248
|北區:02-2243 1201
|中區:04-2473 9012
|南區:07-380 3113
|service@compet.com.tw
|LINE 線上諮商:@why4800g

什麼是ISO 27001:2013?

ISO/IEC 27001由國際標準化組織(International Organization for Standardization)所制定,是一套全球性的資訊安全管理系統標準(Information security management systems,簡稱ISMS)。其現行版本為2013版,提供了資訊技術、安全技術、資訊安全管理系統三者的整體概念。將可以協助各種不同類型之組織了解如何改善保護他們的資訊資產的基本原則、原理與觀念。企業或組織可以依照自己的需求範圍建立管理制度,並委託驗證機構進行稽核。


ISO 27001改版歷程

  • 1995年:英國標準學會BSI(British Standards Institute)制定BS7799。
  • 1998年:經國際標準化組織ISO採納為ISO/IEC 17799:2002。
  • 2005年:修訂BS7799,改版為ISO/IEC 27001:2005。
  • 2013年:釋出ISO/IEC 27001:2013。


ISO 27001:2013 特色

  • 有系統性地檢驗組織的資訊安全風險。
  • 有系統性地考慮外部威脅與內部弱點以及其他影響。
  • 透過驗證稽核、內部稽核及預防措施,建置完整資訊安全管理機制。
  • 強化資安保護、保護資訊資產,提高客戶對於資訊安全的信心與信任。
  • 遵循法令法規,更加符合政府招標資格。


ISO 27001:2013 輔導流程


詳細輔導流程:ISO 輔導課程流程

競爭力輔導特色

  • 顧問師皆擁有豐富經歷,專職專責
  • 課程皆以企業行業別、規模、人數進行規劃出一套最適合企業的課程
  • 用企業最能接受的方法,讓條例與後續維護輕鬆容易
  • 傾聽、發覺企業需求,提供適當的建議與協助解決
  • 輔導結束,持續追蹤與聯繫,讓企業擁有更完善的服務
  • 我們不只是建構、輔導,我們更注重於協助企業精進與改善



ISO 27001:2013條文架構

本次資訊安全管理系統標準的改版,旨在使其能夠與其他的ISO標準做結合,因此採用了高階架構(High Level Structure,簡稱HLS)作撰寫,並沿用PDCA流程(Plan-Do-Check-Act,規劃-實施-檢查-改善):
  1. 適用範圍(Scope)
  2. 引用標準(Normative references)
  3. 名詞與定義(Terms and definitions)
  4. 組織處境(Context of the organization)
    4.1 了解組織及其處境(Understanding the organization and its context)
    4.2 了解利害關係者的需求與期望(Understanding the needs and expectations of interested parties)
    4.3 決定資訊安全管理系統的範圍(Determining the scope of the information security management system)
    4.4 資訊安全管理系統(Information security management system)
  5. 領導(Leadership)
    5.1 領導與承諾(Leadership and commitment)
    5.2 政策(Policy)
    5.3 組織的角色,職責和權限(Organizational roles, responsibilities and authorities)
  6. 規劃(Planning)
    6.1 對應風險和機會的措施(Actions to address risks and opportunities)
    6.2 資訊安全目標和規劃的實現(Information security objectives and planning to achieve them)
    6.3 變更規劃(Planning of changes)
  7. 支援(Support)
    7.1 資源(Resources)
    7.2 能力(Competence)
    7.3 認知(Awareness)
    7.4 溝通(Communication)
    7.5 文件化資訊(Documented information)
  8. 營運(Operation)
    8.1 作業規劃與管制(Operational planning and control)
    8.2 資訊安全風險評鑑
    8.3 資訊安全風險處理
  9. 績效評估(Performance evaluation)
    9.1 監控、量測、分析與評估(Monitoring, measurement, analysis and evaluation)
    9.2 內部稽核(Internal audit)
    9.3 管理審查(Management review)
  10. 改善(Improvement)
    10.1 概述(General)
    10.2 不符合事項及矯正措施(Nonconformity and corrective action)
    10.3 持續改善(Continual improvement)


經由系統化的資訊安全管制措施,來降低資訊安全風險,達成下列三項目標:

  • 機密性(Confidentiality):確保只有被授權的用戶,可以依權限存取資料。
  • 完整性(Integrity):確保資料是完整的,沒有被竊取或不當修改。
  • 可用性(Availability):確保被授權的用戶,在需要資料時,能順利獲得資料。


競爭力企管顧問

|全台免付費專線:0800-800 248
|北區:02-2243 1201
|中區:04-2473 9012
|南區:07-380 3113
|service@compet.com.tw
|LINE 線上諮商:@why4800g

  • 競爭力企業管理顧問有限公司
  • service@compet.com.tw
  • 【北區】

    新北市中和區復興路274巷20號4樓

    (02)2243-1201

  • 【中區】

    台中市南屯區文心路一段521號

    (04)2473-9012

  • 【南區】

    80761 高雄市三民區民族一路80號33樓之1

    0800-800248

TOP