資訊安全管理國際標準ISO27001

ISO27001

信息技術-安全技術-信息安全管理體系要求

(Information technology-Security techniques-Informationsecurity management systems requirements)。

隨著資訊科技日益普及，人們對於資訊系統的仰賴與日遽增，然而近年來不時發生各式病毒攻擊、駭客入侵、資料竊取等事件，在使得資訊安全的重要性逐漸成為各方關注的議題。

推動資訊安全工作，主要涵蓋的層面包括人員、作業流程和資訊技術，要如何將此三者串連起來，最好的方式就是建置一套適合組織的資訊安全管理制度。目前，實務上最好的參考指引就是國際資訊安全管理標準ISO 27000系列的規範，接下來的文章，將會說明如何協助組織導入符合標準要求的資訊安全管理制。

一談到資訊安全，大多數人的直覺反應就是在抵擋駭客入侵，但事實上，這只是其中的一小部分而已。過去，許多企業組織對於資訊安全的投入，主要都是著重在技術面的資安基礎建設，例如建置網路防火牆、防毒軟體和入侵偵測系統等，希望藉由安裝資安軟、硬體設備來加強網路安全，以抵擋來自企業外部的各種資訊安全威脅。

ISO 27001要求組織應該要在整體業務活動與其所面臨的風險之下建立、實施、運作、監控、審查，並且維持和改進一個已經有文件化的管理制度，如果要確保它可長可久，就必須要運用PDCA。

圖3-1 ISO27001架構圖

ISO 27001共有11個項目、39個控制項， 以及 133 個控制要點。

所謂的 11 個項目分別為

1.資訊安全政策訂定與評估

2.資訊安全組織

3.資訊資產分類與管制

4.人員安全管理與教育訓練

5.實體與環境安全

6.通訊與作業安全

7.存取控制安全

8.系統開發與維護之安全

9.資訊安全事件之反應及處理

10.業務永續運作管理

11.相關法規與施行單位政策之符合性  

這11個資訊安全範圍 39 個控制目標是 11 個項目下再細分

133 個控制要點則是  39 個控制項 目標下再去細分的。

由此可見，ISO 27001 對於資訊安全的定義與分類是非常完整與詳細

ISO27001:2005版與2013版標準差異表

ISO27001:2005版與2013版標準差異
27001:2005版本條款	27001:2013版本條款
01.Introduction 介紹
02.Scope 範圍
03.Normative references 引用標準
04.Terms and definitions 用語釋義
05.ISMS 資訊安全管理系統	05.Context of the organization 組織環境
06.Management responsibility 管理階層責任	06.Leadership 領導
07.Internal ISMS audits 資安管理內部稽核	07.Planning 規劃
08.Management review of ISMS 資安管審會	08.Support 支援
09.SMS improvement ISMS之改進	09.Operation 營運
	10.Performance evaluation 績效評估
	11.Improvement 改善

 PDCA

PDCA（Plan-Do-Check-Act的簡稱）

循環是品質管理循環，針對品質工作按規劃、執行、查核與行動來進行活動，以確保可靠度目標之達成，並進而促使品質持續改善。由美國學者愛德華茲•戴明提出。這個四部的循環一般用來提高產品品質和改善產品生產過程。

這個過程循環也被人熟知為：

Plan-Do-Study-Act（PDSA）

戴明圓環（Deming cicle/cycle/wheel）或者休哈特圓環。

另一個不同的版本是OPDCA，加入了O（observation觀察），有些說法是說獲得當前的狀況。

PDCA的含義

什麼是PDCA？此非新創名詞，而是企業界早已普遍運用的一套「目標管理」流程，透過規劃（Plan）、執行（Do）、查核（Check）、行動（Act）四階段，確保每次的目標都能達成。

規劃（Plan）：產品可靠度目標預測與訂定、可靠度計畫研擬與確定、可靠度組織與分工。建立一個明確的目標，並制定相關的計劃和確定必要的程序。通過這樣的方式可以在今後的過程中更好的衡量實現的結果和目標的差距以便更好的進一步修正。

執行（Do）：可靠度作業激勵、命令與實施。執行上一步所指定的計劃和程序，收集必要的信息來為下一步進行修正和改善提供依據。

查核（Check）：產品可靠度評定與評估、可靠度作業管制與稽核。研究上一步收集到的信息，和預期設計進行比較（於計劃階段的目標進行對比）。並提出修改方案，包括執行後的改善和計劃的完善使得計劃的可執行性提高。用列表和數據圖可以很好的顯示出來執行結果和預計結果的差距，這些差別是下一步行動中的必要數據。

行動（Act）：各種可靠度工作之作業單位間協調、可靠度改善對策訂定、改善行動執行與跟催。這一步是尋找相當的方法來縮減計劃目標和執行的過程中的結果的差距。並且使得下一次計劃變得更加完美。

ISO 27001的特點在於定義了包括風險評估、風險處理和管理決策的風險管理方法持續改進的模型，有效性的衡量以及內部和外部可審計的規範。

　

ISO 27001定義了“6步過程”並使用了“PDCA方法”

其中的6步過程為：

　　(1)定義信息安全策略；

　　(2)定義信息安全管理體系的範圍；

　　(3)進行信息安全風險評估；

　　(4)管理標識出的風險；

　　(5)選擇控制措施以供實施和應用；

　　(6)準備-份適用性聲明。

PDCA方法就是Plan-Do-Check-Act迴圈．源自20世紀50年代的W．Edwards Deming．故又稱做“戴明環”。它說明應將業務過程看作連續的反饋迴圈，以便管理者能夠標識和變更過程那些需要改進的部分--過程．或對過程的改進，首先應計劃．然後實施並衡量效果，然後應根據計劃的具體細節檢查衡量結果並標識和向管理者報告所有偏離和潛在的需改進點．以使管理者可以做出採取什麼行動的決策。