verified_user
Standardful
首頁chevron_right標準chevron_rightISO/IEC 27001:2022
現行有效國際標準update 標準更新:2022年10月fact_check 事實核查:2026年6月28日

ISO/IEC 27001:2022

資訊安全管理系統 要求

apartment發布組織:國際標準化組織 (ISO)

標準簡介

ISO/IEC 27001 是全球最知名的資訊安全管理系統(ISMS)標準。由國際標準化組織(ISO)和國際電工委員會(IEC)發布,它定義了資訊安全管理系統必須滿足的要求,以保護敏感資訊。

採用此標準表明組織承諾有效管理資訊安全風險。它有助於保護資產、確保符合法律義務,並在全球範圍內建立與利害關係人和客戶的信任。

security

附錄 A 控制措施

提供 93 項參考控制措施,涵蓋組織、人員、實體與科技 4 大主題,系統性降低資訊安全風險。

manage_search

風險評鑑

強制要求正式的風險評鑑流程,用以識別威脅、脆弱性與衝擊,繼而選擇相稱的控制措施。

verified_user

持續監控

要求透過內部稽核與管理審查對 ISMS 的績效進行持續量測、分析與評估。

list_alt 主要控制主題

  • 組織控制(政策、角色、資產管理)
  • 人員控制(背景審查、認知宣導、訓練)
  • 實體控制(邊界、設備、媒介)
  • 科技控制(存取、密碼學、日誌紀錄)
  • 風險評鑑與處理方法論
  • 適用性聲明書(SoA)
  • 事件管理與營運持續

誰需要合規?

groups

任何處理敏感資訊的組織,不論規模大小——尤其是科技公司、金融服務機構、醫療服務提供者與政府承包商。

關鍵要求

1

資訊安全政策

建立並維持經最高管理階層核准的資訊安全政策,向所有員工傳達,並提供予利害關係人。

2

風險評鑑與處理

實施可重複的風險評鑑流程。產出風險處理計畫與適用性聲明書,將所選附錄 A 控制措施對應至已識別的風險。

3

存取控制

確保僅已授權的使用者能夠存取資訊與系統。實施與業務需求一致的身分管理、驗證與存取權限配發。

4

事件回應

建立偵測、通報、評估與回應資訊安全事件的程序。從事件中汲取教訓以防止再度發生。

5

內部稽核計畫

依規劃的時間間隔執行內部稽核,以驗證 ISMS 符合要求並經有效實施與維持。

實施路線圖

1
Phase 1schedule 預計週期: 2-4 週

準備工作、界定範圍並取得領導層承諾

取得高層管理者的支持並任命 ISMS 負責人,隨後透過識別涉及的業務部門、場所、資訊資產以及法律或合約義務來界定 ISMS 範圍。制定資訊安全方針、目標以及運行該專案所需的資源。

2
Phase 2schedule 預計週期: 4-8 週

進行風險評估與處置並編制 SoA

選擇一套文件化的風險方法,識別並評價對機密性、完整性和可用性的風險,然後選擇處置方案以及用於緩解風險的 Annex A 控制措施。編制適用性聲明(SoA),說明為何納入或排除 93 項控制措施中的每一項,並記錄風險處置計畫。

3
Phase 3schedule 預計週期: 3-6 個月

實施控制措施與 ISMS 文件

落實所選的組織、人員、實體和技術控制措施,並編寫標準所要求的相關方針、程序和記錄。開展意識訓練,使員工理解其職責,讓 ISMS 在實務中開始運行。

4
Phase 4schedule 預計週期: 3-5 週

進行內部稽核與管理審查

對照 ISO 27001 要求以及自身控制措施進行內部稽核以發現不符合項,隨後記錄矯正措施。召開正式的管理審查,讓領導層在外部評估之前評價 ISMS 績效、資源和改進機會。

5
Phase 5schedule 預計週期: 6-12 週並持續進行

完成 Stage 1 與 Stage 2 認證並維持監督

由獲得認可的認證機構先進行 Stage 1 文件審查,隨後進行 Stage 2 現場評估以查核 ISMS 的有效性,在主要不符合項清除後即可獲得認證。透過每年一次的監督稽核以及每三年一次的完整再認證來維持證書。

合規檢查清單

0 / 22

checklist Organizational controls

checklist People controls

checklist Physical controls

checklist Technological controls

ISO 27001 與 SOC 2 對比

兩者都能向客戶證明強健的資訊安全,但在形式、治理和地域涵蓋方面有所不同。

AspectISO 27001SOC 2
類型針對正式標準的認證針對控制措施的鑑證報告
管理機構ISO 及獲得認可的認證機構AICPA,由持牌 CPA 事務所出具
地域涵蓋全球公認以北美為中心,在美國客戶中廣泛使用
範圍涵蓋風險管理和 Annex A 控制措施的完整 ISMS由組織選擇的 Trust Services Criteria
有效性三年週期並每年進行監督稽核時點型(Type I)或時段型(Type II)報告
最適合希望獲得全球認可證書和結構化 ISMS 的組織主要向美國企業客戶提供保證的 SaaS 與服務提供商
如何重疊控制措施高度對應,共享證據可同時支援兩者許多 SOC 2 準則與 Annex A 控制措施及 ISMS 實務相一致

常見誤區

cancel
誤區

獲得 ISO 27001 認證意味著我們的系統永遠不會被攻破。

check_circle
事實

認證表明你擁有以風險為基礎的管理系統和已就位的控制措施,而非免疫的保證。該標準旨在將風險管理到可接受的水準並持續改進,因此事件仍可能發生,並必須透過你的 ISMS 加以處理。

cancel
誤區

ISO 27001 純粹是由安全團隊負責的 IT 專案。

check_circle
事實

ISO 27001 是一套管理系統,需要領導層承諾、業務背景和全組織參與。有關領導、資源和意識的條款清楚表明,人力資源、法務、後勤和高層管理都有各自明確的角色。

cancel
誤區

必須實施 Annex A 中的每一項控制措施才能獲得認證。

check_circle
事實

Annex A 是一個參考集,控制措施依據你的風險評估進行選擇並記錄在 SoA 中。無關的控制措施可在給出理由後排除,因此認證反映的是你的風險,而非固定的清單。

cancel
誤區

一旦認證,三年內就無需再做任何工作。

check_circle
事實

認證是一個持續循環的開始,而非終點。每年的監督稽核、持續改進以及第三年的再認證都要求 ISMS 持續運行並隨新風險不斷演進。

處罰與執行

warning

未通過認證不會帶來直接法律處罰。但許多採購流程與法規(如 GDPR、NIS2)實際上要求 ISO 27001 或同等控制措施。失去認證可能使組織喪失合約資格。

常見問題解答

什麼是 Annex A,93 項控制措施在 2022 版中如何分組?

expand_more

Annex A 是組織在處置風險時可參考的資訊安全控制措施集合。2022 版修訂將 Annex A 重構為 93 項控制措施,歸入四大主題:組織(37)、人員(8)、實體(14)和技術(34)。這取代了 2013 版中使用的 14 個控制領域,並對彼此重疊的控制措施進行了整合。

什麼是適用性聲明(SoA),其中應包含哪些內容?

expand_more

SoA 是一份強制性文件,列出所有 Annex A 控制措施,並說明每一項是否適用,同時給出納入或排除的理由。對於適用的控制措施,它記錄其實施狀態,並將其與風險處置計畫關聯起來。稽核員將 SoA 視為 ISMS 的核心地圖,並在認證過程中對其進行細緻審查。

我應採用哪種風險評估方法:以資產為基礎還是以情境為基礎?

expand_more

ISO 27001 並未規定特定方法,只要求該方法文件化、一致且可重複。以資產為基礎的方法列舉資產及針對每項資產的威脅,適合擁有清晰清冊的組織;而以情境為基礎的方法對可能的風險事件進行建模,可以更快且更貼近業務。許多組織將兩者結合,只要結果能隨時間進行比較,二者皆可接受。

與 2013 版相比,2022 版修訂有哪些變化?

expand_more

2022 版修訂將 Annex A 從 14 個領域中的 114 項控制措施重構為 4 大主題下的 93 項控制措施,並新增了 11 項控制措施。新控制措施包括威脅情報、雲端服務的資訊安全、資料外洩防護和安全編碼,反映了現代雲端與威脅現狀。控制措施還增加了屬性以便標記和篩選,不過核心條款 4 至 10 僅有細微改動。

認證需要多長時間,大致成本如何?

expand_more

對許多中小型組織而言,從啟動到獲得認證大約需要六到十二個月,具體取決於範圍、成熟度和資源投入。成本因組織規模和地區差異很大,通常包括內部投入、可選的顧問諮詢以及認證機構的稽核費用。範圍更大或更複雜會延長週期,並增加稽核人日和成本。

ISO 27001 與 ISO 27002 有何區別?

expand_more

ISO 27001 是可認證的標準,規定了 ISMS 的要求,包括風險管理和強制性條款。ISO 27002 是一份指引文件,為 Annex A 控制措施提供詳細的實施建議,但其本身不可認證。實務中,你依據 ISO 27001 獲得認證,並將 ISO 27002 作為控制措施的操作參考。

我需要實施全部 93 項控制措施嗎?

expand_more

不需要。Annex A 是一個參考集,你所採用的控制措施由風險評估和處置決策驅動。你可以排除與範圍和風險無關的控制措施,但需在 SoA 中為每一項排除給出理由。你不能做的是忽視相關風險,稽核員會對留下真實風險未處置的排除提出質疑。

Stage 1 和 Stage 2 稽核是什麼?

expand_more

Stage 1 是就緒性或文件審查,認證機構檢查你的 ISMS 文件、範圍和 SoA 是否到位以及是否已準備好繼續。Stage 2 是主要評估,稽核員透過證據和訪談評價控制措施是否已實施並有效運行。在清除任何主要不符合項後通過這兩個階段,即可獲得認證。

監督稽核和再認證稽核多久進行一次?

expand_more

ISO 27001 認證以三年為一個週期運行。認證機構每年進行監督稽核,通常在第一年和第二年進行,以確認 ISMS 持續有效。在證書於三年期末到期之前,會進行一次完整的再認證稽核。

小公司能獲得認證嗎?

expand_more

可以。ISO 27001 是可擴充的,新創公司和小團隊經常成功獲得認證,因為要求會按組織的規模、複雜度和風險相稱地適用。小公司可以界定一個精簡的範圍,實施一套精簡且相關的控制措施,並務實地記錄其 ISMS。工作量較小,但相同的條款和稽核階段依然適用。

ISO 27001 與 SOC 2、GDPR 和 NIS2 有何關係?

expand_more

ISO 27001 是國際公認的 ISMS 認證,而 SOC 2 是北美針對 Trust Services Criteria 的鑑證報告;兩者有大量重疊,控制措施可以相互對應以減少重複工作。GDPR 是資料保護法律,NIS2 是網路安全指令,而運行良好的 ISMS 能提供它們所期望的大量治理和控制證據。不過,ISO 27001 認證本身並不能證明對 GDPR 或 NIS2 的法律合規。

什麼是 ISMS 範圍?

expand_more

ISMS 範圍界定了管理系統所涵蓋的邊界,包括納入其中的業務流程、場所、資產、人員和技術。它透過考量內外部議題、關注方以及與其他組織的介面來確定。清晰且界限明確的範圍能使專案保持可管理,並直接決定稽核員將評估的內容。

官方文件

查看全部

相關分類