我們專業提供ISO27001顧問服務,幫助組織實現信息安全管理體系標準,保護機密資訊。

甚麼是ISO27001?

ISO 27001 其名稱是《資訊科技 – 安全技術 – 資訊安全管理系統 – 要求》(Information technology — Security techniques — Information security management systems — Requirements),是於2005年由ISO(國際標準化組織)和IEC(國際電工委員會)共同發布的資訊安全國際標準,最近一次改版是在2022年。這項標準能協助企業透過風險評估找出對重要資訊之機密性、完整性及可用性造成危害的潛在問題,並採取預防措施,以有效保護企業的資訊資產與降低資訊上所面臨的各種威脅與風險。


為什麼要導入ISO27001?

(1). 降低企業資安風險:藉由ISMS的建置過程,經一套全面且具良好結構的方法,以辨識、評估及處置企業可能面臨的風險,策略性擘劃資訊安全解決方案部署優先順序與方向,將著眼於企業資安需求,全面檢查既有的資安政策及規範,強化現有資安控管及環境。
(2). 建立資安管理標準:提供跨部門、跨功能的資安的遵循標準,將ISMS中所述之最佳實務具體化,可建立統一的專業用語,讓資安議題得以被有效的討論、分析及處理,進而體檢各資訊系統技術環境,改善並強化整體資訊技術,讓公司同仁資安警覺性提昇,降低資安事件發生率,提昇組織運作能。
(3). 達成企業合規要求: ISO27001內容足以建立起一定資安制度,確保企業蒐集、使用、保存資料時符合法律規範。金管會在公司治理評鑑中2.24指標就提到為鼓勵公司強化資通安全之風險管理,並訂定相關政策與具體因應方案,爰訂定本指標。【符合評鑑指標基本得分要件者於本構面計分;若導入ISO27001、CNS27001等資訊安全管理系統標準,或其他具有同等或以上效果之系統或標準,並取得第三方驗證,則總分另加一分。】
(4). 提升企業信譽與競爭力:藉由ISO27001是全球知名的資安標準,並持續納入新興議題(如BYOD),並與國際接軌。提升資安事件之應變處理能力,以維護組織之聲譽,可展現企業提升資訊安全的決心,得以取得客戶、商業夥伴或其它利害關係人的信賴。


在ISO27001架構中強化營業秘密管理

由於近年營業秘密洩漏事件頻傳,連政府都將企業營業祕密洩漏之境外視為國安級別的風險,強化監管法規並不斷推動企業要做好營業秘密保護管理工作。

不論是資策會所發布的「營業秘密保護管理規範」或是由智慧財產局所發布的「營業秘密保護實務教戰手冊」內容都提及最高管理階層應有明確的政策聲明與支持、盤點機密資訊,分級分類與標示等建議措施,雖然上述營業秘密管理的規範或是教戰手則並沒有明確的驗證標準,但由於其架構與ISO標準的 PDCA 架構相近,並且,在ISO 27001條文與附錄中均有相近之規定及控制措施。如果用 ISO27001 做為強化營業秘密管理的架構,將導入 ISO27001的範圍擴及全公司的營業秘密,對於營業秘密管理制度在公司內部推行與長期運作將更有幫助。

此外,有些機密管理工作要求也與TIPS智慧財產管理制度的檢視事項中高度相關,除了可搭配ISO27001一起成為營業秘密管理工作的依據之外。同時取得 ISO27001和TIPS的認證,不但可以做為企業對營業秘密有做到合理保護的依據,同時也可以讓公司治理評鑑總分加分。


導入ISO27001資訊安全管理系統步驟