標準簡介
ISO/IEC 27001 是全球最知名的資訊安全管理系統(ISMS)標準。由國際標準化組織(ISO)和國際電工委員會(IEC)發布,它定義了資訊安全管理系統必須滿足的要求,以保護敏感資訊。
採用此標準表明組織承諾有效管理資訊安全風險。它有助於保護資產、確保符合法律義務,並在全球範圍內建立與利害關係人和客戶的信任。
附錄 A 控制措施
提供 93 項參考控制措施,涵蓋組織、人員、實體與科技 4 大主題,系統性降低資訊安全風險。
風險評鑑
強制要求正式的風險評鑑流程,用以識別威脅、脆弱性與衝擊,繼而選擇相稱的控制措施。
持續監控
要求透過內部稽核與管理審查對 ISMS 的績效進行持續量測、分析與評估。
list_alt 主要控制主題
- 組織控制(政策、角色、資產管理)
- 人員控制(背景審查、認知宣導、訓練)
- 實體控制(邊界、設備、媒介)
- 科技控制(存取、密碼學、日誌紀錄)
- 風險評鑑與處理方法論
- 適用性聲明書(SoA)
- 事件管理與營運持續
誰需要合規?
任何處理敏感資訊的組織,不論規模大小——尤其是科技公司、金融服務機構、醫療服務提供者與政府承包商。
關鍵要求
資訊安全政策
建立並維持經最高管理階層核准的資訊安全政策,向所有員工傳達,並提供予利害關係人。
風險評鑑與處理
實施可重複的風險評鑑流程。產出風險處理計畫與適用性聲明書,將所選附錄 A 控制措施對應至已識別的風險。
存取控制
確保僅已授權的使用者能夠存取資訊與系統。實施與業務需求一致的身分管理、驗證與存取權限配發。
事件回應
建立偵測、通報、評估與回應資訊安全事件的程序。從事件中汲取教訓以防止再度發生。
內部稽核計畫
依規劃的時間間隔執行內部稽核,以驗證 ISMS 符合要求並經有效實施與維持。
實施路線圖
準備工作、界定範圍並取得領導層承諾
取得高層管理者的支持並任命 ISMS 負責人,隨後透過識別涉及的業務部門、場所、資訊資產以及法律或合約義務來界定 ISMS 範圍。制定資訊安全方針、目標以及運行該專案所需的資源。
進行風險評估與處置並編制 SoA
選擇一套文件化的風險方法,識別並評價對機密性、完整性和可用性的風險,然後選擇處置方案以及用於緩解風險的 Annex A 控制措施。編制適用性聲明(SoA),說明為何納入或排除 93 項控制措施中的每一項,並記錄風險處置計畫。
實施控制措施與 ISMS 文件
落實所選的組織、人員、實體和技術控制措施,並編寫標準所要求的相關方針、程序和記錄。開展意識訓練,使員工理解其職責,讓 ISMS 在實務中開始運行。
進行內部稽核與管理審查
對照 ISO 27001 要求以及自身控制措施進行內部稽核以發現不符合項,隨後記錄矯正措施。召開正式的管理審查,讓領導層在外部評估之前評價 ISMS 績效、資源和改進機會。
完成 Stage 1 與 Stage 2 認證並維持監督
由獲得認可的認證機構先進行 Stage 1 文件審查,隨後進行 Stage 2 現場評估以查核 ISMS 的有效性,在主要不符合項清除後即可獲得認證。透過每年一次的監督稽核以及每三年一次的完整再認證來維持證書。
合規檢查清單
checklist Organizational controls
checklist People controls
checklist Physical controls
checklist Technological controls
ISO 27001 與 SOC 2 對比
兩者都能向客戶證明強健的資訊安全,但在形式、治理和地域涵蓋方面有所不同。
| Aspect | ISO 27001 | SOC 2 |
|---|---|---|
| 類型 | 針對正式標準的認證 | 針對控制措施的鑑證報告 |
| 管理機構 | ISO 及獲得認可的認證機構 | AICPA,由持牌 CPA 事務所出具 |
| 地域涵蓋 | 全球公認 | 以北美為中心,在美國客戶中廣泛使用 |
| 範圍 | 涵蓋風險管理和 Annex A 控制措施的完整 ISMS | 由組織選擇的 Trust Services Criteria |
| 有效性 | 三年週期並每年進行監督稽核 | 時點型(Type I)或時段型(Type II)報告 |
| 最適合 | 希望獲得全球認可證書和結構化 ISMS 的組織 | 主要向美國企業客戶提供保證的 SaaS 與服務提供商 |
| 如何重疊 | 控制措施高度對應,共享證據可同時支援兩者 | 許多 SOC 2 準則與 Annex A 控制措施及 ISMS 實務相一致 |
常見誤區
獲得 ISO 27001 認證意味著我們的系統永遠不會被攻破。
認證表明你擁有以風險為基礎的管理系統和已就位的控制措施,而非免疫的保證。該標準旨在將風險管理到可接受的水準並持續改進,因此事件仍可能發生,並必須透過你的 ISMS 加以處理。
ISO 27001 純粹是由安全團隊負責的 IT 專案。
ISO 27001 是一套管理系統,需要領導層承諾、業務背景和全組織參與。有關領導、資源和意識的條款清楚表明,人力資源、法務、後勤和高層管理都有各自明確的角色。
必須實施 Annex A 中的每一項控制措施才能獲得認證。
Annex A 是一個參考集,控制措施依據你的風險評估進行選擇並記錄在 SoA 中。無關的控制措施可在給出理由後排除,因此認證反映的是你的風險,而非固定的清單。
一旦認證,三年內就無需再做任何工作。
認證是一個持續循環的開始,而非終點。每年的監督稽核、持續改進以及第三年的再認證都要求 ISMS 持續運行並隨新風險不斷演進。
處罰與執行
未通過認證不會帶來直接法律處罰。但許多採購流程與法規(如 GDPR、NIS2)實際上要求 ISO 27001 或同等控制措施。失去認證可能使組織喪失合約資格。
常見問題解答
什麼是 Annex A,93 項控制措施在 2022 版中如何分組?
expand_more
Annex A 是組織在處置風險時可參考的資訊安全控制措施集合。2022 版修訂將 Annex A 重構為 93 項控制措施,歸入四大主題:組織(37)、人員(8)、實體(14)和技術(34)。這取代了 2013 版中使用的 14 個控制領域,並對彼此重疊的控制措施進行了整合。
什麼是適用性聲明(SoA),其中應包含哪些內容?
expand_more
SoA 是一份強制性文件,列出所有 Annex A 控制措施,並說明每一項是否適用,同時給出納入或排除的理由。對於適用的控制措施,它記錄其實施狀態,並將其與風險處置計畫關聯起來。稽核員將 SoA 視為 ISMS 的核心地圖,並在認證過程中對其進行細緻審查。
我應採用哪種風險評估方法:以資產為基礎還是以情境為基礎?
expand_more
ISO 27001 並未規定特定方法,只要求該方法文件化、一致且可重複。以資產為基礎的方法列舉資產及針對每項資產的威脅,適合擁有清晰清冊的組織;而以情境為基礎的方法對可能的風險事件進行建模,可以更快且更貼近業務。許多組織將兩者結合,只要結果能隨時間進行比較,二者皆可接受。
與 2013 版相比,2022 版修訂有哪些變化?
expand_more
2022 版修訂將 Annex A 從 14 個領域中的 114 項控制措施重構為 4 大主題下的 93 項控制措施,並新增了 11 項控制措施。新控制措施包括威脅情報、雲端服務的資訊安全、資料外洩防護和安全編碼,反映了現代雲端與威脅現狀。控制措施還增加了屬性以便標記和篩選,不過核心條款 4 至 10 僅有細微改動。
認證需要多長時間,大致成本如何?
expand_more
對許多中小型組織而言,從啟動到獲得認證大約需要六到十二個月,具體取決於範圍、成熟度和資源投入。成本因組織規模和地區差異很大,通常包括內部投入、可選的顧問諮詢以及認證機構的稽核費用。範圍更大或更複雜會延長週期,並增加稽核人日和成本。
ISO 27001 與 ISO 27002 有何區別?
expand_more
ISO 27001 是可認證的標準,規定了 ISMS 的要求,包括風險管理和強制性條款。ISO 27002 是一份指引文件,為 Annex A 控制措施提供詳細的實施建議,但其本身不可認證。實務中,你依據 ISO 27001 獲得認證,並將 ISO 27002 作為控制措施的操作參考。
我需要實施全部 93 項控制措施嗎?
expand_more
不需要。Annex A 是一個參考集,你所採用的控制措施由風險評估和處置決策驅動。你可以排除與範圍和風險無關的控制措施,但需在 SoA 中為每一項排除給出理由。你不能做的是忽視相關風險,稽核員會對留下真實風險未處置的排除提出質疑。
Stage 1 和 Stage 2 稽核是什麼?
expand_more
Stage 1 是就緒性或文件審查,認證機構檢查你的 ISMS 文件、範圍和 SoA 是否到位以及是否已準備好繼續。Stage 2 是主要評估,稽核員透過證據和訪談評價控制措施是否已實施並有效運行。在清除任何主要不符合項後通過這兩個階段,即可獲得認證。
監督稽核和再認證稽核多久進行一次?
expand_more
ISO 27001 認證以三年為一個週期運行。認證機構每年進行監督稽核,通常在第一年和第二年進行,以確認 ISMS 持續有效。在證書於三年期末到期之前,會進行一次完整的再認證稽核。
小公司能獲得認證嗎?
expand_more
可以。ISO 27001 是可擴充的,新創公司和小團隊經常成功獲得認證,因為要求會按組織的規模、複雜度和風險相稱地適用。小公司可以界定一個精簡的範圍,實施一套精簡且相關的控制措施,並務實地記錄其 ISMS。工作量較小,但相同的條款和稽核階段依然適用。
ISO 27001 與 SOC 2、GDPR 和 NIS2 有何關係?
expand_more
ISO 27001 是國際公認的 ISMS 認證,而 SOC 2 是北美針對 Trust Services Criteria 的鑑證報告;兩者有大量重疊,控制措施可以相互對應以減少重複工作。GDPR 是資料保護法律,NIS2 是網路安全指令,而運行良好的 ISMS 能提供它們所期望的大量治理和控制證據。不過,ISO 27001 認證本身並不能證明對 GDPR 或 NIS2 的法律合規。
什麼是 ISMS 範圍?
expand_more
ISMS 範圍界定了管理系統所涵蓋的邊界,包括納入其中的業務流程、場所、資產、人員和技術。它透過考量內外部議題、關注方以及與其他組織的介面來確定。清晰且界限明確的範圍能使專案保持可管理,並直接決定稽核員將評估的內容。