ISO 27001 認證是什麼？最新 2022 改版、如何保護企業個資

什麼是 ISO 27001 驗證？

ISO 27001 是一個由國際標準化組織（ISO）和國際電工委員會（IEC）於 2005 年聯合發布的國際標準，專注於保障個人資料安全。

此標準經歷了 2013 年和 2022 年的改版，是目前國際上廣泛使用的資訊安全管理系統 (Information Security Management System, ISMS) 標準，涵蓋 ISMS 之建立、實施、維護。

ISO 27001 強調持續改進的原則，鼓勵企業藉由定期監控和審查，提高其資訊安全管理能力，有效識別、評估和處理資安風險，確保其機密性、完整性及可用性。

此標準的另一項特色，在於其架構性十分靈活，不僅適用於大規模企業，也適用於中小企業。

ISO 27001 三大要素

ISO 27001 的核心是 CIA 三要素：機密性（Confidentiality）、完整性（Integrity）和可用性（Availability）。

• 機密性：保障企業所有資訊只有取得授權者可獲取，維護企業與用戶資訊的保密和機密性。這涉及設立資訊存取控制、使用加密技術及其他保護措施來確保資料不會被未經授權的個人或系統獲取。
• 完整性：保障資訊不被未經授權的方式修改或竄寫，確保資訊準確度與完整性。這意味著企業需設立機制以防止資料的未經授權變更，並確保資訊在傳輸和儲存過程中保持原狀。
• 可用性：保障資訊的流暢性，讓資訊可被授權者隨時取用，不因任何因素而中斷。這包括確保系統運行穩定，並有足夠的備份和災難恢復計劃，以應對潛在的系統故障或攻擊。

上述三大要素相互牽制，若其中任一項受損，將會影響整體資訊安全防護的強度。

ISO 27001 為什麼重要？

隨著數位轉型不斷推進，全球的資安事件和威脅層出不窮——例如美國第三大消費者調查機構 Equifax 在 2017 年遭到駭客入侵，導致上億筆消費者個資外洩。調查發現，問題源自於 Equifax 未及時修補系統漏洞——故近年來，各國政府陸續為公私部門制定相關規範，以加強資安防禦，如台灣《資通安全管理法》規定，公務和特定非公務機關須在 2 年內取得 CNS 27001 或 ISO 27001 資安認證。

其中 ISO 27001 適用於各產業、各規模的組織，例如金融機構、醫療機構、政府組織、科技產業和製造業等；取得 ISO 27001 認證，企業能有效管理和降低資訊安全風險，提升市場競爭力、產業權威性與信譽：

• 遵循資安法規如 GDPR、台灣《個人資料保護法》等
• 落實管理責任，降低資安風險
• 保護公司資產與顧客資料
• 提高企業信任度與形象
• 符合供應鏈廠商稽核要點
• 提高客戶和合作夥伴信心

2022 ISO 27001 改版重點

相較於 ISO 27001:2013 版本，ISO 27001:2022 多了 11 項控制措施，以應對新型態的網路資安攻擊，確保企業能防範並強化自身資安控管，調整細節包含：

• 將 14 個控制領域調整為 4 個主題：組織控制、人員控制、實體控制、技術控制。
• 將 114 個控制措施調整為 93 個：其中包括 11 個新增、24 個整併和 58 個更新的控制措施。

新增的 11 項控制措施如下：

1. 威脅情資：利用威脅情報來識別和應對潛在的安全威脅。
2. 使用雲端服務之資訊安全：針對雲端服務提供的安全控制，確保雲端環境的安全性。
3. 為營運持續性做好資通技術 (ICT) 的準備：確保企業 ICT 系統在緊急情況下能夠持續運行。
4. 實體安全監控：加強對實體設施的安全監控，防止未經授權的實體存取。
5. 組態管理：強調對系統和設備組態的管理，以確保其安全性。
6. 資料刪除：規範資料的安全刪除方法，確保不需要的資料不會洩漏。
7. 資料遮蔽：在顯示敏感資料時進行遮蔽，保護個人識別信息（PII）。
8. 預防資料洩漏：防止敏感資料的非授權洩漏。
9. 活動監控：持續監控和記錄系統活動，以便及時發現和應對安全事件。
10. 網頁過濾：控制和過濾不必要或惡意的網頁內容。
11. 安全編碼：在軟體開發過程中採用安全編碼原則，減少安全漏洞。

為應對不斷升級的資安威脅，過去申請 ISO 27001:2013 版本認證的組織，必須在 2025 年 10 月 31 日前完成轉換。

如何取得 ISO 27001 認證？

取得 ISO 27001 認證前，企業會歷經以下四個階段：

1. 風險評估和處理：識別和應對風險。企業需進行全面的風險評估，識別哪些數位資產面臨潛在風險，並提前制定應對措施。
2. ISMS 的實施：制定資訊安全政策、建立安全控制措施，並確保所有員工都了解並遵守這些規範。
3. 內部審核：企業需定期進行內部審核，持續檢查 ISMS 的有效性和合規性。
4. 認證審核：透過認證機構進行外部審核以驗證合規性，包含第一階段的 ISMS 文檔審查，以及第二階段的業務流程和控制審查。

實際取得 ISO 27001 認證的過程，大致可分為以下步驟：

1. 高層決策支持：企業成功實施 ISO 27001 的關鍵在於高層管理者的支持和資源投入。
2. 指定負責人與組建專案小組：指派專員負責 ISMS，並成立專案小組來推動和管理實施工作。
3. 確認範圍：確定哪些資產、流程和系統將納入 ISMS 的範圍。
4. 制定安全標準：根據風險評估結果，制定資訊安全政策、流程和相關文件。
5. 進行風險評估：識別、評估和處理可能影響資訊安全的風險和漏洞。
6. 選擇控制措施：根據風險評估結果，選擇適當的控制措施來降低風險。
7. 建立文件化流程：將所有 ISMS 相關活動形成文件化流程。
8. 實施、運營與監控：實施 ISMS，並持續運行和監控以確保其有效性。
9. 內部稽核：定期進行內部審核，檢查 ISMS 的符合性和有效性。
10. 外部審核與認證：選擇認證機構進行外部審核，通過後即可取得 ISO 27001 認證。

Authme 數位身分解決方案符合 ISO 認證

Authme 的解決方案遵循國際認可的標準，涵蓋 ISO 27701 和 ISO 27001。ISO 27701 的規範重點在於隱私資訊管理，保障個資安全；ISO 27001 則作為資安管理系統的框架，確保敏感資訊獲得妥善處理。欲瞭解更多相關資訊，請聯繫 Authme 專業團隊。