ISO 27001資訊安全管理系統為目前國際上最廣泛採用之資訊安全管理制度標準規範,為建立完善之資訊安全管理制度提供一個良好的起點及系統化的方法。 資訊安全管理制度標準規範中,絕大部份著重的 是在於管理面的要求,其次才是技術面的專業知識。 此制度標準規範提醒在建構及管理整個制度面時, 所須留意且不可忽略的層面,並藉由審查機制、 事件的回饋及內部稽核,以預防資訊安全事件的或是降低損失的風險。
共有11 個管理領域、 39 個控制目標、 133 個控制要點。
資訊安全政策-定義高階管理對資訊安全之期許與要求,並將其文件化,以利組織內資訊安全之推行。
資訊安全的組織-成立資訊安全組織,並定義其組織架構、運作流程與責任歸屬。
資產管理-依照資訊資產之運作流程與資產價值,將資訊資產作分類,並規劃各不同等級資產所需之保護措施。
人力資源安全-降低人為疏失發生機率,並減少人為之惡意侵害行為。
實體與環境安全-規範有形資產之保護措施、安全裝備、與一般控管原則。
通訊與作業管理-確保通訊、資訊設備的作業處理之安全性。
存取控制-使用者權限之設定應依使用者工作職權而給予, 以降低未經授權存取系統資源之風險。
資訊系統獲取、開發及維護-規劃組織內系統開發與維護過程,將資訊安全控 管列入流程範圍。
資訊安全事故管理-確保資訊安全事件能以適當方式在組織內傳遞, 並得以及時採取適當應變方案。
營運持續管理-針對各種可能的意外災害,研擬適當應變方案, 以確保業務得以持續運作。
遵循性-各種法規,如電子簽章法、個人資料保護法…等 相關法規及組織資訊安全政策之遵循。
資訊安全管理制度趨勢-在政府帶動下,許多電信 、金融 、教育單位與資 訊服務,為能取得客戶信任、保護重要資訊資產, 紛紛推動ISMS的建置ISMS (Iformation security management system)。
在法規要求以及客戶期望下,推行資訊安全管理 制度已成為組織永續經營之必要工作。
