ISO 27001

【資訊安全】ISO 27001是什麼？資訊安全管理國際標準介紹｜天矽科技

資訊安全

目錄
➤ ISO/IEC 27001
➤ 什麼產業需要ISO 27001
➤ ISO 27001重要性
➤ ISO 27001新版和舊版差異
➤ ISO 27001導入過程

ISO/IEC 27001資訊科技-安全技術-資訊安全管理系統-要求，它是一套完整的資訊安全管理國際標準，可協助企業機構建立起資訊安全管理系統的機密性、完整性與可用性，以確保資訊資產的安全、降低未來資料外洩的損失。

ISO/IEC 27001

ISO/IEC 27001 全名 Information technology - Security techniques - Information security management systems - Requirements 資訊科技-安全技術-資訊安全管理系統-要求。

它是一套完整的資訊安全管理國際標準，此標準一開始是由國際標準化組織(ISO)與國際電工委員會(IEC)在2005年聯合發布，其中列出了有關於資訊安全管理系統(information security management system, ISMS) 的架構、實施、維護，以及持續改善上的要求，目的是要幫助企業組織在保管資訊資產時能更加的安全。

而此標準也是目前國際上最廣泛使用，且最為完整的ISMS資安管理系統標準，簡單來說，ISO/IEC 27001可協助企業機構建立起資訊安全管理系統的機密性、完整性與可用性，以確保資訊資產的安全、降低未來資料外洩的損失。

ISO 27001三大要素

　ISO 27001有三大要素，分別是機密性、完整性與可用性，如下:

機密性(Confidentiality)：
保障企業所有資訊只有「取得授權者」可獲取，維護企業與用戶資訊的保密和機密性。

完整性(Integrity)：
保障資訊不被未經授權的方式修改或竄寫，確保資訊準確度與完整性。

可用性(Availability)：
保障資訊的流暢性，讓資訊可被授權者隨時取用，不因任何因素而中斷。

ISO 27001三大要素

隨著網路的快速發展，數位轉型、線上化、雲端化…等愈來愈普及，全球的資安事件和威脅層出不窮，美國第三大消費者信用報告業者Equifax在2017年被駭客入侵，導致1億多位消費者的個資外洩，而此事件是因Equifax內部系統出現安全漏洞，但Equifax卻未修補並釀災。近年來，政府與台灣許多企業和公部門，都已將資訊安全列為強制性的要求與標準，讓科技快速發展的同時也能降低資安所帶來的衝擊和威脅。

因此ISO 27001這套國際標準，對所有產業的資訊安全管理系統都非常適合！國際標準組織(ISO)於2022年公告第三版ISO 27001:2022資訊管理系統，相較於上一個版本ISO 27001:2013，此版本著重於網路安全與隱私保護並新增相關條款，主要為了應對當前網路攻擊的手法與型態。

ISO 27001重要性

從上面的介紹中我們可以知道，這套標準可使資訊資產更加安全，不過實際的效益是什麼呢？實際的效益可能會有這些:

遵守法律規定(如：臺灣《個資法》):

在許多行業都需遵守對於資訊安全相關法律和條款，ISO 27001提供企業一個指引和框架，能夠導入企業並保護資訊安全

使客戶感受到自身資料受到保護，增加企業信任度與形象:

ISO 27001的導入有助於降低資訊安全風險和資料的外洩，通過風險分析和報告，讓企業能夠提早對於資安漏洞和資訊安全有保護，提高顧客對企業的信任度和形象。

落實善盡管理責任，降低資安風險:

ISO 27001讓企業的各個部門將資安層層把關，讓資料外洩或者資安網路攻擊的風險能降到最低，保護公司資產。

提高市場經爭力:

ISO 27001的導入讓資安受到重視的時代中，成為企業在市場中很大的競爭優勢之一。

ISO 27001:2022新版和舊版差異

新版本 ISO 27001:2022的重大變動:

控制措施增加11項

相較於ISO 27001:2013版本，ISO 27001:2022多了11項控制措施，主要針對於當前的網路攻擊手法，以面對新型態的網路資安攻擊，主要的措施包含對軟體開發應採用安全編碼原則，因而減少軟體中遣在資訊安全漏洞，除此之外，也根據對組織造成安全威脅情資作分析，例如TWCERT和CVE等，以降低資安風險。
ISO 27001:2022新版根據雲端資訊安全有更多規定和限制，包含雲端服務作業委外的程序和管控都必須更完整。除此之外，也對資料刪除、資料遮蔽和預防資料洩漏有更多的規範，當需要保護敏感資料(例如個人識別資訊PII)，應使用資料遮蔽或匿名化等方式，以避免暴露敏感資訊。並且對於不需要的資料，應刪除原本儲存於資訊系統和裝置中，其中對於機密性的資料，應以電子覆寫或加密抹除等方式刪除，避免洩漏。

新增的11項依序為:

5.7 威脅情資:
提前分析可能的駭客攻擊的手法，例如是釣魚手法(phishing)，或者是漏洞攻擊，分散式阻斷攻擊，透過提早分析駭客攻擊的手法，讓組織能夠提早思考解決的方案。而會對企業造成威脅的情資，須和企業安全服務或者運用情境相關。
5.23使用雲端服務之資訊安全:
現在雲端的使用也日趨普遍，因此雲端也可能成為駭客攻擊的目標，包括雲端內都會儲存企業或者客戶的資訊，因此保護雲端的資料不洩漏，或者保障使用雲端的人能夠正常的使用，都成為這個項目最重要的規範。若是雲端為企業外包服務，也要確認雲端廠商能夠提供使用雲服務的存取控制，和機密資料儲存的國家和場域，也包含萬一不再使用雲端服務時，如何退場。除此之外，使用雲端服務可能造成的資訊安全風險，也都必須一併考慮在其中，提前做風險評估，做出資安分析模型和如何處理流程。
5.30為營運持續性做好資通技術(ICT)的準備:
確保資訊和通訊系統的可用性和安全性，可用性為當公司的人要運用到該軟體或者資訊系統時，能夠順利地使用，而會影響可用性包含軟硬體故障，天災人禍等等，都會導致公司的人要使用時，無法及時使用，因此要讓公司各個資訊和通訊系統能夠正常的營運，也成為此項重要的目標。
7.4實體安全監控:
說到資訊安全，人們最常想到的主機，伺服器或者網站或者軟體安全，但若一個企業內部有實體的資訊系統相關廠域時，稱為實體的敏感區域(例如放置主機的場所等)，都應該只讓職權相關的人員能進入，確保未經授權的人，不能進入和接觸到實體的敏感區域，若未經授權的人進入，有可能對實體的敏感區域造成危害，也可以啟用安全監控(例如警衛和監視系統)，讓萬一有可疑人士進入，能夠第一時間通報並且處理。
8.9組態管理:
確保職權相關的人才能使用特定軟體，資訊系統，若未經授權的人要接觸到特定軟體，確保有提高他的權限，使之能使用，避免未授權的人可以更改，如果有未授權的人能夠接觸到資料庫，軟體或者是主機，都有可能造成資料洩漏，或者資料竄改等。除此之外，公司的各個系統，軟硬體都需符合企業資訊安全政策的要求和標準，也要定期的做版本更新，避免資安攻擊。而各個組態也必須有相對應的負責人和管理人。
8.10資料刪除:
很多時候當資訊不再需要時，刪除時也要特別注意，若關係到敏感資訊，或者個資法相關資料，可使用電子覆寫或加密刪除等方式，避免個資洩漏。
8.11資料遮蔽:
當資料屬於敏感資料，可使用加密方式，或者隨機化(用隨機的值取代敏感資料)，減少個資洩漏的風險。
8.12預防資料洩漏:
使用各種措施防止資料外洩，萬一不幸發生，也能有第一時間應對的方式讓風險降到最低。
8.16活動監控:
當系統有異常活動時，例如網路流量異常，能夠在第一時間識別並且處理。
8.22網頁過濾:
管理使用者和用戶訪問哪些網站，避免組織受到惡意程式攻擊，或者查詢到不法資料。
8.28安全編碼:
用安全的程式編碼原則編寫網站和軟體，避免軟體開發過程中有資安的風險。

控制類別整合

原有控制類別的數量由14類整合成4大類:

ISO 27001:2013控制類別的14大類依序為:
A.5：資訊安全政策
A.6：資訊安全組織
A.7：人力資源安全
A.8：資產管理
A.9：存取控管
A.10：加密
A.11：物理性及環境的安全
A.12：運作安全
A.13：通訊安全
A.14：系統購置，開發和維護
A.15：供應商關係
A.16：資訊安全事件管理
A.17：業務連續性計劃的資訊安全層面
A.18：合規，有關內部(e.g.:政策) 要求及外部(e.g.:法令)要求

ISO27001：2022將上述的14類整合成為4大類:
A5:資訊安全政策
A6:人員控制
A7:實體控制
A8:技術控制