ISO/IEC 27001
ISO/IEC 27001,其名稱是《資訊科技—安全技術—資訊安全管理系統—要求》(Information technology — Security techniques — Information security management systems — Requirements)是資訊安全管理的國際標準。此標準一開始是由國際標準化組織(ISO)及国际电工委员会(IEC)在2005年聯合發佈[1],曾在2013年改版[2],最近一次改版是在2022年[3]。其中有列出有關資訊安全管理系統(information security management system、ISMS)架構、實施、維護以及持續改善上的要求,目的是幫助組織可以使其保管的資訊資產更加安全[4]。2017年時,歐洲有更新此標準,並且出版[5]。組織若要符合此標準的要求,在成功完成一次內部審計後,可申請由合格的認證單位進行認證。 ISO/IEC 27001設計包括的範例不只是IT部門而已, ISO/IEC 27001會要求進行以下的管理:
管理層為了認證的考量,會決定資訊安全管理系統(ISMS)的範圍,例如限制在單一的事業單位或是單一地區。ISO/IEC 27001可以針對個別部門的認證,也可以針對全公司的認證[6][7]。 ISO/IEC 27000系列中的標準中可以提供設計、實現資訊安全管理系統以及其運作相關的指引,例如在有關資訊安全風險管理的ISO/IEC 27005。 標準歷史ISO/IEC 27001中有許多內容是源自英國標準BS 7799。 BS 7799是由BSI集團提出的標準[8]。由英國貿易和工業部在1995年時改寫,分為幾個部份。 BS7799的第一部份包括資訊安全管理的最佳實務,在1998年修訂。各國的標準機構針對其內容進行長期的討論,最後由ISO在2000年修訂為ISO/IEC 17799《資訊科技—資訊安全管理實務準則》(Information Technology - Code of practice for information security management)。在2005年6月再次修訂,最後在2007年7月整合在ISO 27000的系列標準中(ISO/IEC 27002)。 BS7799的第二部份最早是由BSI在1999年發佈,稱為BS 7799第二部《資訊安全管理系統—規範及使用指引》(Information Security Management Systems - Specification with guidance for use)。BS 7799-2注重如何實現資訊安全管理系統(ISMS),在BS 7799-2中稱為資訊管理結構及控制。這部份後來成為ISO/IEC 27001:2005。BS 7799第二部份後來在2005年11月被ISO修改為ISO/IEC 27001。 BS 7799第三部份是在2005年後發佈,包括了風險分析及管理,後來變成ISO/IEC 27001:2005。 BS標準中,很少內容有引用ISO/IEC 27001。 認證許多認可註冊商可以認證資訊安全管理系統是否符合ISO/IEC 27001[9]。若是針對ISO/IEC 27001各國版本(例如日本的JIS Q 27001)的認證,在功能上等效於針對ISO/IEC 27001的認證。 有些國家會將認證管理系統的組織稱為「認證機構」(certification bodies),有些則稱為「登記機構」(registration bodies)、「評估及登記機構」(assessment and registration bodies)、「認證/登記機構」(certification/ registration bodies)等。 相關條目參考資料
外部連結 |