資訊安全管理國際標準ISO27001
ISO27001 信息技術 - 安全技術 - 信息安全管理體系要求 (Information technology-Security techniques-Informationsecurity management systems requirements) 。 隨著資訊科技日益普及,人們對於資訊系統的仰賴與日遽增,然而近年來不時發生各式病毒攻擊、駭客入侵、資料竊取等事件,在使得資訊安全的重要性逐漸成為各方關注的議題。 推動資訊安全工作,主要涵蓋的層面包括人員、作業流程和資訊技術,要如何將此三者串連起來,最好的方式就是建置一套適合組織的資訊安全管理制度。目前,實務上最好的參考指引就是國際資訊安全管理標準 ISO 27000 系列的規範,接下來的文章,將會說明如何協助組織導入符合標準要求的資訊安全管理制。 一談到資訊安全,大多數人的直覺反應就是在抵擋駭客入侵,但事實上,這只是其中的一小部分而已。過去,許多企業組織對於資訊安全的投入,主要都是著重在技術面的資安基礎建設,例如建置網路防火牆、防毒軟體和入侵偵測系統等,希望藉由安裝資安軟、硬體設備來加強網路安全,以抵擋來自企業外部的各種資訊安全威脅。 ISO 27001 要求組織應該要在整體業務活動與其所面臨的風險之下建立、實施、運作、監控、審查,並且維持和改進一個已經有文件化的管理制度,如果要確保它可長可久,就必須要運用 PDCA 。 圖 3-1 ISO27001 架構圖 ISO 27001 共有 11 個項目、 39 個控制項, 以及 133 個控制要點。 所謂的 11 個項目分別為 1. 資訊安全政策訂定與評估 2. 資訊安全組織 3. 資訊資產分類與管制 4. 人員安全管理與教育訓練 5. 實體與環境安全 6. 通訊與作業安全 7. 存取控制安全 8. 系統開發與維護之安全 9. 資訊安全事件之反應及處理 10. 業務永續運作管理 11. 相關法規與施行單位政策之符合性 這 11 個資訊安全範圍 39 個控制目標是 11 個項目下再細分 133 個控制要點則是 39 個控制項 目標下再去細分的
留言
張貼留言