ISO27001(ISMS)是什麼?
December 10, 2021
什麼是 ISO 27001?
ISO/IEC 27001 是「資訊安全管理系統(Information Security Management System,ISMS)」的國際標準。該標準訂定了在公司應當如何管理資訊以達到安全的標準。
如今,世界上存在著許多惡意軟體和勒索病毒攻擊事件。此外,也有許多未經授權的存取企圖竊取我們的身份資訊。另外,由於人們現在能夠將行動裝置隨身攜帶至任何地方,如何確保這些行動裝置上的資訊安全也成了一大課題。
ISO 27001 認證是在確保公司擁有一套安全穩固的資訊管理系統來保護公司內部重要的資訊財產。
ISMS 的好處
建構資訊安全管理系統(Information Security Management System,ISMS)最重要的好處在於公司將擁有一套安全且具系統性的方法來保護資訊安全。如果創建了 ISMS,公司就必須制定如何處理資訊的相關規範。由於 ISMS 是一套長久性的系統,因此公司應持續地定期評估這套系統否存在任何資安風險。科技將每年不停地推陳出新,而我們也將不斷採用這些新技術來提高工作效率。然而在採用新技術的同時也將會有新的資安風險,因此定期評估資安風險是非常重要的。
除了能夠擁有一套完整的系統來確保資訊財產的安全之外,取得 ISMS 的認證也能增加企業或組織的可信度,並且為公司帶來正面的影響及信任。
ISMS 的基本概念
ISMS 利用 PDCA 循環的概念來持續地管理資訊安全。PDCA 分別代表著 Plan、Do、Check 以及 Action(或 Adjust)。制定資安規範屬於「Plan」的一部份。規範是組織計劃如何管理資訊安全的一套準則。「Do」是實際執行該計劃。而「Check」則是指評估資安管理的成果是否如計畫的一致。通常計畫與實際操作起來都會有一些出入,因此在循環的最後會有「Action」(或 Adjust),也就是利用行動去填補計畫與實行中間未能吻合的差異。
基本上,ISMS 對於公司而言並非一個一次性的施行流程。由於 ISMS 是一套系統,因此公司必須持續地改善它,而這樣不斷改進的過程便是 ISMS 的真諦。
這也是為什麼公司每年都會被要求進行認證的稽核。一旦公司停止改善其保管資訊的方式,則將無法保住這樣的認證。
制定規範是一個起始點
ISO 27001 的文件當中註明了許多公司必須達到的標準以有效地維護資訊的安全,而公司也相對應該制定相關的規範來滿足這些標準。當然,根據不同的產業及業務,公司也可以選擇不將特定的要求納入範疇。
在多數的情況下,制定符合標準的相關規範是公司取得 ISO 27001 認證的第一步。而這些標準也包含了存取控制、裝置控管等章節。
HENNGE One 如何協助取得 ISO 27001認證
取得 ISO 27001 認證的第一步就是要制定符合標準的相關規範。但僅有規範的約束在其他風險之下還是脆弱的。由於人們難免會犯錯,光是要求員工照著規定走是無法有效防止資安事件發生的。而若不隨時改善資安管理系統,公司就無法持續被認證。因此,公司需要採用一套系統來降低資安事件發生的風險。
這就是 HENNGE One 能夠派上用場的地方。事實上,HENNGE One 的許多資安功能都是在我們更新 ISO 27001 認證時所開發出來的,因此 HENNGE One 的許多功能都可以用來確保達到 ISO 27001 的要求。
想了解更多嗎?歡迎透過以下表單聯繫我們。
喜歡這篇文章嗎?歡迎分享出去!