一、了解ISO27001证照及其核心价值
ISO27001证照就是所谓的资讯安全管理系统,这个由 ISO 组织建立起来的条文,在现今的资讯发达社会中,俨然是一个大家奉为圭臬的准则。
ISO27001的规定能让企业组织知道如何确保资讯安全、去制定相关政策,透过指引,企业会知道要建立相关管理程序书;当企业符合所有ISO27001条文的要求,就达到了ISO27001认证标准,这时候验证单位(第三方机构)就会检查这些条文的合规性、审查组织架构是否完整等等,符合条文中的每一项准则时,就可以获得ISO27001证照。
不少国家也都因应这样的架构去配合国家政策,透过宣导或是强硬的规定企业组织必须要获得ISO27001证照。
二、取得ISO27001证照前,先了解资讯安全管理系统的核心原则
ISO27001资讯安全对于组织来说,也被视为一种资产。尽管他是无形的,却像其他有价值且可能对组织运作带来影响的资产一样,都需要得到妥善的保护。这是因为资讯可以以多种形式存在,例如:
- 资讯: 包括资料库、数据档案、合约、协议等。
- 软体资产: 涵盖应用软体、系统、开发工具、函式库等。
- 硬体资产: 包括电脑设备、通信设备、可移动媒体等。
- 服务: 涉及电脑、通讯服务、一般共用资源等。
- 人: 包括具备专业资格、技术和经验的人员。
- 无形资产: 如商誉和形象。
因此,建立资讯安全管理系统是环绕这些形式的资产相关安全性,需要被有效的计画、运作、领导和控制。
简单地说,ISO27001证照所取得的资讯安全管理的目标主要在于保障资讯的三个重要面向:
- 机密性(Confidentiality): 防止资讯外泄。
- 完整性(Integrity): 防止资讯被篡改。
- 可用性(Availability): 确保资讯在需要时随时可用。
这些原则组成了所谓的 CIA 三位一体,它们在资讯安全管理中扮演着重要的核心角色。同时,资讯安全也需要遵守相关法规,特别是对于公务机关而言。
为了达到这些目标,组织需要建立ISO27001资讯安全管理系统。这个系统涵盖了从建立、实施、运作、监测、审查、维护到持续改进等一系列的步骤。目标是确保组织能够适应不同的资讯安全风险,同时也为组织的整体治理工作提供了基础。
三、ISO27001 的管理循环和架构
ISO27001 的章节依循着高阶管理架构,也像是 PDCA(Plan、Do、Check、Action)
循环一样的架构;这个循环就像是不断重复的回圈,会不断地在资讯安全管理系统中循环跟改进,ISO27001 从第四章和第五章探讨内外部关系人和议题,到第六章的风险管控,第七章的人员训练和文件管理,以及第八、九、十章的内部稽核、管理审查和改善。
这个循环就像是一个不断反覆的过程,每一个步骤都相互关联,确保资讯安全的持续型和不断的提升。
四、内外部议题与风险管理
ISO27001:2013 的第四章节在谈的是组织经营环境,其中的「内外部议题」又值得深入去探讨。
- 内外部议题的识别与分析:
内部议题是指组织内部的人和事情,外部议题则是关乎组织外部人或事物的需求、期望或需要被讨论的事项。最简单的例子可能是股东想要赚钱,员工想要学习等等。 - 内外部议题的处理与应对:
内外部议题需要列成一个清单,并且根据它们的影响和风险程度做出决策。这些议题的处理是 ISO 27001 的要求之一。特别是针对风险较高的议题,需要考虑应对方案,并且在资讯安全管理系统中加以实行。内外部议题反映了组织所处的环境状况,只有了解了这些,才能制定适合公司运作的策略方针。 - 风险管理的审查和处理:
在过滤了内外部议题后,一些议题可能会成为风险管理中的威胁。在这种情况下,需要定期检讨和审查这些议题。
同时,需要建立一个包含利害关系人和他们需求列表的文件,其中包括法律法规的明确具体要求,并在资讯安全管理系统中得到实施。 - 确定资讯安全管理系统的范围:
内外部议题、利害关系人的要求,以及产品和服务,来确定资讯安全管理系统的范围。 - 风险分析和系统文件的建立:
建立风险分析表,透过分析内外部议题来确定风险;以及建立系统文件,这些文件有四个阶层(或三个阶层),同时保留执行表单的纪录。 - 资讯安全管理政策的建立:
最后,我们要建立一个资讯安全管理政策。这个政策就像是一个最高的指导方针,其中包括了建立ISMS相关的规则、相关的管理流程、风险评估的操作、订定资讯安全目标、实施风险处理计画中所选的控制措施,以及稽核和管理审查的规范。
一站式解决方案提供者