一、了解 ISO27001證照及其核心價值
ISO27001證照就是所謂的資訊安全管理系統,這個由 ISO 組織建立起來的條文,在現今的資訊發達社會中,儼然是一個大家奉為圭臬的準則。
ISO27001的規定能讓企業組織知道如何確保資訊安全、去制定相關政策,透過指引,企業會知道要建立相關管理程序書;當企業符合所有ISO27001條文的要求,就達到了ISO27001認證標準,這時候驗證單位(第三方機構)就會檢查這些條文的合規性、審查組織架構是否完整等等,符合條文中的每一項準則時,就可以獲得ISO27001證照。
不少國家也都因應這樣的架構去配合國家政策,透過宣導或是強硬的規定企業組織必須要獲得ISO27001證照。
二、取得ISO27001證照前,先了解資訊安全管理系統的核心原則
ISO27001資訊安全對於組織來說,也被視為一種資產。儘管他是無形的,卻像其他有價值且可能對組織運作帶來影響的資產一樣,都需要得到妥善的保護。這是因為資訊可以以多種形式存在,例如:
- 資訊: 包括資料庫、數據檔案、合約、協議等。
- 軟體資產: 涵蓋應用軟體、系統、開發工具、函式庫等。
- 硬體資產: 包括電腦設備、通信設備、可移動媒體等。
- 服務: 涉及電腦、通訊服務、一般共用資源等。
- 人: 包括具備專業資格、技術和經驗的人員。
- 無形資產: 如商譽和形象。
因此,建立資訊安全管理系統是環繞這些形式的資產相關安全性,需要被有效的計畫、運作、領導和控制。
簡單地説,ISO27001證照所取得的資訊安全管理的目標主要在於保障資訊的三個重要面向:
- 機密性(Confidentiality): 防止資訊外洩。
- 完整性(Integrity): 防止資訊被篡改。
- 可用性(Availability): 確保資訊在需要時隨時可用。
這些原則組成了所謂的 CIA 三位一體,它們在資訊安全管理中扮演著重要的核心角色。同時,資訊安全也需要遵守相關法規,特別是對於公務機關而言。
為了達到這些目標,組織需要建立ISO27001資訊安全管理系統。這個系統涵蓋了從建立、實施、運作、監測、審查、維護到持續改進等一系列的步驟。目標是確保組織能夠適應不同的資訊安全風險,同時也為組織的整體治理工作提供了基礎。
三、ISO27001 的管理循環和架構
ISO27001 的章節依循著高階管理架構,也像是 PDCA(Plan、Do、Check、Action)
循環一樣的架構;這個循環就像是不斷重複的回圈,會不斷地在資訊安全管理系統中循環跟改進,ISO27001 從第四章和第五章探討內外部關係人和議題,到第六章的風險管控,第七章的人員訓練和文件管理,以及第八、九、十章的內部稽核、管理審查和改善。
這個循環就像是一個不斷反覆的過程,每一個步驟都相互關聯,確保資訊安全的持續型和不斷的提升。
四、內外部議題與風險管理
ISO27001:2013 的第四章節在談的是組織經營環境,其中的「內外部議題」又值得深入去探討。
- 內外部議題的識別與分析:
內部議題是指組織內部的人和事情,外部議題則是關乎組織外部人或事物的需求、期望或需要被討論的事項。最簡單的例子可能是股東想要賺錢,員工想要學習等等。 - 內外部議題的處理與應對:
內外部議題需要列成一個清單,並且根據它們的影響和風險程度做出決策。這些議題的處理是 ISO 27001 的要求之一。特別是針對風險較高的議題,需要考慮應對方案,並且在資訊安全管理系統中加以實行。內外部議題反映了組織所處的環境狀況,只有了解了這些,才能制定適合公司運作的策略方針。 - 風險管理的審查和處理:
在過濾了內外部議題後,一些議題可能會成為風險管理中的威脅。在這種情況下,需要定期檢討和審查這些議題。
同時,需要建立一個包含利害關係人和他們需求列表的文件,其中包括法律法規的明確具體要求,並在資訊安全管理系統中得到實施。 - 確定資訊安全管理系統的範圍:
內外部議題、利害關係人的要求,以及產品和服務,來確定資訊安全管理系統的範圍。 - 風險分析和系統文件的建立:
建立風險分析表,透過分析內外部議題來確定風險;以及建立系統文件,這些文件有四個階層(或三個階層),同時保留執行表單的紀錄。 - 資訊安全管理政策的建立:
最後,我們要建立一個資訊安全管理政策。這個政策就像是一個最高的指導方針,其中包括了建立ISMS相關的規則、相關的管理流程、風險評估的操作、訂定資訊安全目標、實施風險處理計畫中所選的控制措施,以及稽核和管理審查的規範。
一站式解決方案提供者