ISO27001:2022資訊安全管理系統認證：輔助企業導入/取得證書

協助企業盤點資安守備防護網

什麼是資訊安全？

「資訊」對企業組織來說，也被視為一種資產，包括企業機密資訊、客戶隱私資訊等等。如同其他有價值並可能對營運產生衝擊的資產一樣，都需要被保護。資訊安全，主要保障資訊的三個「CIA 特性」：

機密性Confidentiality – 確保資訊只有通過被授權的程序、人員才能取用，不外洩
完整性Integrity – 確保資訊的準確度與完全性，不被竄改
可用性Availability – 確保資訊在需要時隨時可被存取使用

ISO27001:2022資訊安全管理系統是什麼？

ISO 27001:2022資訊安全管理系統(ISMS)是一套完整的國際標準，為目前世界主流的資安系統標準，提供符合國際規範的資訊安全管理工具和制度，保護企業的資訊安全，控制並降低資安事件所帶來的威脅和衝擊。

導入ISO27001:2022資訊安全管理系統對企業有甚麼好處？降低了什麼資安風險？

一個系統性的資訊安全管理，可以在資安風險管理過程中，保持資訊機密性、完整性跟可用性，提升客戶以及消費者信心及認可。配合ISO27001:2022資訊安全管理系統的運作，可以有效進行資安風險管控，提升資安防護。然而需要理解的是，ISO 27001:2022資訊安全管理系統並非萬能，無法保證從此不會有任何資安問題。ISO27001:2022資訊安全管理系統提供一個管理架構，依照此架構來管理資安，將來若遇到資安事件或發生問題，可依循PDCA的循環或自我內稽的機制，協助將損失降到最低。

ISO27001:2022資訊安全管理系統導入須要花多久時間？

視企業需求而定，根據不同範圍、人數，ISO27001:2022資訊安全管理系統導入時程會有所不同，大約6~9個月完成（視企業狀況）。

ISO27001:2022資訊安全管理系統證書的有效期？

ISO27001:2022資訊安全管理系統的證書有效期為三年，每年須定期審查。

ISO27001:2022資訊安全管理系統導入需要多少費用？

根據組織的規模以及大小而定，因取決於輔導人天以及稽核人天的計算。舉例：一個中、小型的企業，人數範圍約五個人，需求包括輔導建置，如文件模板的提供、培訓課程的實施，以及協助媒合驗證單位進行第一次審核。實際費用：大約需要6~10人次，一次約3~6個小時，估計約25~50萬左右。提醒：實際費用還是依照實際面談訪視後為主。

什麼產業需要ISO27001:2022資訊安全管理系統認證？

在現今的社會當中，結合資訊系統的各行各業比比皆是，如何有效降低資安漏洞的危害，是每個產業的課題。以下舉幾個產業的案例說明，如果您的產業恰好不在以下列表，但基本上只要您的企業或組織有結合資訊系統，就可能有ISO27001:2022資訊安全管理系統認證的需要，也歡迎與我們聯繫。

▎電商品牌

常見的「解除分期付款」購物詐騙，是許多購物型電商品牌網站的資安漏洞，通過ISO27001:2022資訊安全管理系統認證，讓客戶購物更安心

▎金融財務

金融業或會計事務所等協助管理客戶財務的產業，客戶的資產都是高度機密，也需要高度資安的防護，通過ISO27001:2022資訊安全管理系統認證，嚴格控管客戶隱私。

▎製造產業

如半導體等電子製造業，若遭網路駭客攻擊等資安風險，一不小心就可能造成產業中斷，須面臨高達數十億高額營業損失；而汽車製造產業的資安漏洞，也會造成營收的下滑跟消費者的不信任感。國際級大廠陸續要求通過ISO27001:2022資訊安全管理系統認證，中小型製造業更需建立資安意識！

▎醫療產業

越來越多醫療儀器能夠連網、傳輸數據，雖然便利，卻也成為資安隱憂，未來醫療院所在購買醫療儀器時，需要一套流程檢驗採購的資安防護評估，ISO27001:2022資訊安全管理系統即是提供一套檢驗的標準方法；醫療器材廠商也將會被查驗是否符合資安認證。

▎政府機構與特定非公務機關

在參考世界先進國家的資安法令後，台灣於民國108年元旦正式實施《資通安全管理法》，要求A、B級等機關在期限內完成ISO27001:2022資訊安全管理系統認證。

通過ISO27001:2022資訊安全管理系統認證的輔導驗證流程

第一階段：現況診斷

顧問師全面了解公司內部的資訊安全現況，以及與高階主管訪談公司相關的資安策略、政策

第二階段：差異分析

協助分析組織與ISO27001條文規範的差距，並且培訓組織相關人員了解規範

第三階段：執行風險評鑑作業 (ISMS)

評估公司相關的資安風險，選擇適合的工具跟方案補足這些破口，讓組織達到系統的標準或是能夠承受的風險

第四階段：四階文件建置

將已經制定的政策、鑑別好的資安風險以及相關的措施，按照計畫開始執行，展開企業全面性的意識培訓及相關ISO27001文件的建置。

第五階段：營運持續演練及內部資安稽核

演練相關的政策以及內部的相關稽核、管理評審

第六階段：正式審查驗證

經國際認可的認證單位審查驗證，並獲得ISO27001:2022資訊安全管理系統證書

ISO 27001:2022:資訊安全管理系統輔導培訓規劃（範例）

1. 培訓規劃：
1-1. 培訓課程初步安排下表：

#	內容說明	場次/預計時間
A	專案啟動與教育訓練
(1)	資訊安全認知課程	與組織協定
(2)	內部稽核人員訓練，含ISO 27001:2022/ISO 27002:2022條文解說	與組織協定
B	現況了解、差異分析、ISMS文件架構確認、內外部議題、利害關係人之期望與要求、資訊安全政策之訂定與風險評估（含風險管理框架、BCM/BIA/IM），資訊安全目標訂定
(1)	1. 現況了解與差異分析、內外部議題、利害關係人之期望與要求 2. ISMS文件架構確認、文件與表單範本格式確認、文件管理程序文件制定 3. 風險管理框架 4. 資訊安全目標制定計畫 5. 建立組織邊界範圍	與組織協定
(2)	1. 完成內外部利害關係人之期望與要求清單 2. 確認ISMS需要的文件與表單 3. 完成資訊安全組織與資訊安全政策制定 4. 資訊資產盤點（資訊資產清冊建立） 5. 資產價值確立與制定	與組織協定
(3)	1. 風險清單（包含風險處置之規劃） 2. 完成風險清單 3. 風險評鑑制定與建立 4. BCM/BIA/IM說明 5. BCM/BIA/IM實作	與組織協定
(4)	1. 資訊安全目標之規畫說明，依照風險清單與BIA結果，制定資訊安全目標 2. 適用性聲明 3. ISMS文件修訂	與組織協定
C	ISMS文件修訂（1~4階文件）	與組織協定
D	內部稽核與管理審查	與組織協定
E	正式評鑑（文審+正評）	與組織協定
F	獲證

協助企業降低資安漏洞損害，事前預防潛在風險對企業的危害，強化顧客的忠誠與信心！