ISO 27001 資訊安全管理系統

ISO 27000 系列主要為提供組織建置資訊安全管理系統(ISMS，

Information Security Management System)制定之標準，最早稱為 BS 7799 由英國標準協會(BSI，British Standards Institute)所制定，分為二大部份：

第一部份：ISO 27001：前身為 BS 7799，為驗證標準。

第二部份：ISO 27002：前身為 BS 17799，為導入參考文件。

企業導入資訊安全管理系統除需參考 ISO 27001 及 ISO 27002 外，

尚有 ISO 27003~ ISO 27006，使用功能如列表 6：

11

表 6：ISO 27000 系列相關標準

標準 內容

ISO 27000 principles and vocabulary (in development) ISO 27001 ISMS requirements (BS7799)

ISO 27002 ISO/ IEC 17799:2005 (BS17799)

ISO 27003 ISMS Implementation guidelines (due 2007) ISO 27004 ISMS Metrics and measurement (due 2007) ISO 27005 ISMS Risk Management

ISO 27006 27010 – allocation for future use

參考資料來源：本研究整理

資料來源：查士朝 ISO17799/ISO27001 資訊安全管理制度介紹與 導入實務

Users Code of Practice

BS17799:1 1987. UK Department

of Trade and Industry‘s (DTI) Commercial Computer Security Centre (CCSC) 成立

12

(1) 資訊資產

針對資訊安全管理建立的管理系統，為組織管理系統的一部份。

資訊(Information)在資訊安全領域，被視為一項資產，如同組織營運 資料一樣的重要，需要加以妥善的保護，以避免因意外造成資訊的損 害，影響組織的正常運作，在資訊安全領域定義的資產，概分為以下 類別：

表 7：資訊資產類別

項次 類別 內容

一 資訊資產 資料庫、資料檔案、系統文件、用戶手冊、訓練教材、

備援計畫、各類法規及辦法等

二 軟體資產 應用程式、系統軟體、開發工具及工具程式等 三 實體資產 電腦設備、通訊設備、媒體、辦公設備、機房等 四 輕資產 人、公司聲譽、專利、智財權等

參考資料來源：ISO 27002 本研究整理 (2) 資訊安全的特性

資訊安全係要確保資訊資產符合；機密性（Confidentiality）、完 整性（Integrity）、可用性（Availability），一般簡稱為 CIA，其特性 如下：

a.機密性（Confidentiality）：只有經過授權的人，才能存取資訊。

b.完整性（Integrity）：保證資訊及其處理方法的正確與完整，例 如：資料備份。

c.可用性（Availability）：確保經過授權的使用者，可以存取資訊 並使用相關資訊資產。

13

(3) 脆弱點與威脅

就資訊資產來說，本身即有脆弱點(Vulnerabilities)，並且會面臨到外 在的威脅(Threat) ，當威脅利用到這些脆弱點時，就會發生資安事件，而 造成衝擊(Impact)。例如：納莉颱風造成台北市大淹水，捷運系統機房設 在地下室(脆弱點)，納莉颱風的雨災(威脅)，其機房設備嚴重損害，捷運 無法正常運作，造成社會大眾的不方便。

圖 5：脆弱點與威脅

參考資料來源：查士朝 ISO17799/ISO27001 資訊安全管理制度介 紹與導入實務

捷運系 統機房 脆弱點：地點設在 地下室

威脅：納莉颱風

衝擊：

納莉颱風的雨災，造成 機房設備嚴重損害

14

(4) 風險評鑑與管理

為避免資訊資產的保護太過與不及，並把資源用在需要保護的資訊資 產上，資訊安全管理系統會先對資訊資產做風險評鑑，風險評鑑結果可採 用以下的方式處理： a.接受風險：當風險發生時，其損害程度是組織可接 受，所以接受它。b.轉嫁風險：例如投保保險。c.控制風險：建立資訊安全 管控措施，使重要的資訊資產有完善的管理與保護。一般組織以 ISO 27000 系列之規範，管理資訊，確保安全，並依 ISO 27001 條文規定，建立組織內 之資訊安全管理體系，並申請國際驗證。

圖 6：風險評鑑與管理流程

參考資料來源：ISO 27001:2005 Standard 本研究整理

Communicate and Consult

Establish Context

Identify the Risks

Analysis the Risks

Evaluate the Risks

Control the Risks Assess Risks

Monitor and Review

採用適切的 控制措施

接受風險

ISO 27001 在協助企 業採用適切的控制措 施，作好資訊安全的 管理工作

轉移風險

15

(5) ISO 27001 標準介紹

ISO 27001 係以風險的角度建立企業資訊安全管理系統(ISMS，

Information Security Management System)，計有安全政策、安全組織、

資產管理、人力資源、實體環境、通訊與作業、存取控制、系統開發、

安全事件管理、業務永續、符合性等 11 個領域，39 項控制目標，133 項資訊安全管控措施。

ISO 27001 以 PDCA(Plan、Do、Check、Act)管理循環觀念設計，

為組織申請驗證的標準。內容包括：

a.建立 ISMS（規劃）

b.實作與運作 ISMS（執行）

c.監視與審查 ISMS（檢查）

d.維持與改進 ISMS（行動）

圖 7：應用於 ISMS 過程的 PDCA 模式 參考資料來源：ISO 27001:2005 Standard

建立 ISMS

維護和改善 ISMS 實施與操作

ISMS

監控和審查 ISMS

Plan

Do Act

Check 風險 評鑑

16

17 織建立「資訊技術服務管理系統」(Information Technology Service Management System)的國際標準，任何運用資訊技術提升產品/服務的