ISO/IEC 27001

ISO/IEC 27001，其名稱是《資訊科技—安全技術—資訊安全管理系統—要求》（Information technology — Security techniques — Information security management systems — Requirements）是資訊安全管理的國際標準。此標準一開始是由國際標準化組織（ISO）及國際電工委員會（IEC）在2005年聯合發佈^[1]，曾在2013年改版^[2]，最近一次改版是在2022年^[3]。其中有列出有關資訊安全管理系統（information security management system、ISMS）架構、實施、維護以及持續改善上的要求，目的是幫助組織可以使其保管的資訊資產更加安全^[4]。2017年時，歐洲有更新此標準，並且出版^[5]。組織若要符合此標準的要求，在成功完成一次內部審計後，可申請由合格的認證單位進行認證。

ISO/IEC 27001設計包括的範例不只是IT部門而已， ISO/IEC 27001會要求進行以下的管理：

• 系統性地檢驗組織的資訊安全風險，考慮其威脅、弱點以及影響。
• 設計、實現連貫而且全面的資訊安全控管套件，並且／或者其他的風險管理方案（例如風險避免或風險轉移）來處理無法接受的風險。
• 用總體管理的流程，在現有的基礎上，確認資訊安全管理控管可以持續的符合組織的資訊安全需求。

管理層為了認證的考量，會決定資訊安全管理系統（ISMS）的範圍，例如限制在單一的事業單位或是單一地區。ISO/IEC 27001可以針對個別部門的認證，也可以針對全公司的認證^[6][7]。

ISO/IEC 27000系列中的標準中可以提供設計、實現資訊安全管理系統以及其運作相關的指引，例如在有關資訊安全風險管理的ISO/IEC 27005（英語：ISO/IEC 27005）。

標準歷史

ISO/IEC 27001中有許多內容是源自英國標準BS 7799（英語：BS 7799）。

BS 7799是由BSI集團提出的標準^[8]。由英國貿易和工業部（英語：Department of Trade and Industry (United Kingdom)）在1995年時改寫，分為幾個部份。

BS7799的第一部份包括資訊安全管理的最佳實務，在1998年修訂。各國的標準機構針對其內容進行長期的討論，最後由ISO在2000年修訂為ISO/IEC 17799《資訊科技—資訊安全管理實務準則》（Information Technology - Code of practice for information security management）。在2005年6月再次修訂，最後在2007年7月整合在ISO 27000的系列標準中（ISO/IEC 27002）。

BS7799的第二部份最早是由BSI在1999年發佈，稱為BS 7799第二部《資訊安全管理系統—規範及使用指引》（Information Security Management Systems - Specification with guidance for use）。BS 7799-2注重如何實現資訊安全管理系統（ISMS），在BS 7799-2中稱為資訊管理結構及控制。這部份後來成為ISO/IEC 27001:2005。BS 7799第二部份後來在2005年11月被ISO修改為ISO/IEC 27001。

BS 7799第三部份是在2005年後發佈，包括了風險分析及管理，後來變成ISO/IEC 27001:2005。

BS標準中，很少內容有參照ISO/IEC 27001。

認證

許多認可註冊商（英語：Accredited Registrar）可以認證資訊安全管理系統是否符合ISO/IEC 27001^[9]。若是針對ISO/IEC 27001各國版本（例如日本的JIS Q 27001）的認證，在功能上等效於針對ISO/IEC 27001的認證。

有些國家會將認證管理系統的組織稱為「認證機構」（certification bodies），有些則稱為「登記機構」（registration bodies）、「評估及登記機構」（assessment and registration bodies）、「認證／登記機構」（certification/ registration bodies）等。

相關條目

• ISO JTC 1/SC 27（英語：ISO JTC 1/SC 27）：資訊技術安全技術
• ISO/IEC 27000系列
• ISO 9000
• BS 7799（英語：BS 7799）
• 網路安全標準
• 國際標準化組織
• ISO標準列表（英語：List of ISO standards）
• 數據安全
• 可信資訊安全評估交換

參考資料

1. ISO/IEC 27001 International Information Security Standard published. bsigroup.com. BSI. [21 August 2020]. （原始內容存檔於2022-01-29）.
2. Bird, Katie. NEW VERSION OF ISO/IEC 27001 TO BETTER TACKLE IT SECURITY RISKS. iso.org. ISO. [21 August 2020]. （原始內容存檔於2019-09-20）.
3. ISO/IEC. ISO/IEC 27001:2022. ISO.org. [2022-11-29]. （原始內容存檔於2024-05-27） （英語）.
4. ISO/IEC 27001:2013. ISO. ISO. [9 July 2020]. （原始內容存檔於2020-11-15）.
5. BS EN ISO/IEC 27001:2017 – what has changed?. www.bsigroup.com. BSI Group. [29 March 2018]. （原始內容存檔於2019-12-22）.
6. 臺灣第四個全公司通過ISO 27001認證案例出爐. [2020-12-07]. （原始內容存檔於2022-01-24）.
7. 台灣興起全民資安運動. [2020-12-07]. （原始內容存檔於2022-01-24）.
8. Facts and figures. bsigroup.com. [2020-12-06]. （原始內容存檔於2012-10-20）.
9. Ferreira, Lindemberg Naffah; da Silva Constante, Silvana Maria; de Moraes Zebral, Alessandro Marcio; Braga, Rogerio Zupo; Alvarenga, Helenice; Ferreira, Soraya Naffah. ISO 27001 certification process of Electronic Invoice in the State of Minas Gerais. 2013 47th International Carnahan Conference on Security Technology (ICCST) (Medellin: IEEE). October 2013: 1–4 [2020-12-06]. ISBN 978-1-4799-0889-9. doi:10.1109/CCST.2013.6922072. （原始內容存檔於2020-03-27）.

外部連結

• ISO website（頁面存檔備份，存於網際網路檔案館）