ISO 27001 認證

(https://www.ithome.com.tw/news/149520
新版ISO 27002:2022出爐，資安控制措施正式修訂為4大類93項

距離2013年版相隔已8年，新版ISO 27002:2022將控制措施集中於組織層與技術層，
控制項目 數量則有進一步的綜合整理歸納，
並因應網路攻擊手法與樣態新增11項控制，
同時提供 屬性標籤 能讓控制項目更容易使用。

國際標準組織（ISO）在2022年2月15日正式發布ISO 27002:2022，
至於 ISO 27001:2022 已於 2022年 10 月 25 日 完成改版。
 https://www.isms.online/iso-27002/
https://ictinstitute.nl/iso27002-2022-explained-1/

資訊安全管理系統架構 :

6. 資安制度建立前須蒐集的資料

導入 ISO 27001 規劃

ISO 27001認證規劃(啟案前簡報與常見問題)

ISO 27001輔導稽核自動化工具的推手 因謄安控　靠創意做別人沒做過的 (2007)

從根本認識 ISO 27001，各行各業都適用的資安架構介紹

通過 ISO 27001 認證需要準備什麼?

第一步：現況調查
全面審視公司內部的資訊安全管理現況，分析與 ISO 27001 標準條文的差距。並進行人員培訓使相關員工了解 ISO 27001 的規範。

第二步：風險評估
透過前一步獲得的資安概況，評估公司的資安系統風險，並選擇合適的方法、產品補足資安弱點，使系統達到能承受的風險。

第三步：管理規劃
根據已制定的資安政策，進行文件的編寫、全體員工的資安意識培訓，並實行 ISO 27001 附錄 A 中的控制措施。

第四步：驗證
當 ISMS 系統建立起來後，經過一段時間的試運行以確認其有效性與穩定性，即可準備向認證機關提請認證

1. 現況訪談與差異分析

https://ithelp.ithome.com.tw/articles/10260842


2.

導入ISO 27001 ISMS資訊安全管理系統之前置規畫

作者：張傑生 / 臺灣大學計算機及資訊網路中心作業管理組程式設計師兼副組長
https://www.cc.ntu.edu.tw/chinese/epaper/0007/20081220_7002.htm

---

當上網變成跟「你吃飽了沒」一樣重要時，資訊安全變成生活中重要的課題。基於此趨勢，計資中心將導入ISO 27001 ISMS(資訊安全管理系統)，全面提升校園資訊管理防護網。

前言
本中心預計於2009年正式導入ISO 27001，建置符合國際標準之資訊安全管理系統（ISMS）。在導入之前，我們將進行落差分析工作，檢視現有作業流程，並針對資訊系統進行弱點掃瞄，以瞭解現實狀況與日後欲達成之目標相差幾何。本文將分為兩部分，首先介紹ISO 27001與ISMS，其次說明本中心導入前置作業的工作規劃。

 

六個有效的資安政策範本

9. SMS 程序書1~4階著樣寫

（一）政策性（第一階文件）

說明ISMS目標、方向及執行原則。

文件:資安政策、資安組織

ISMS-01-01政策大綱：目的、範圍 目標、策略、審查
ISMS-01-02組織大綱：設置資安組織原由簡述(大約100字簡略說明)、
成立資訊安全管理委員會(以下簡稱管委會)、
指定資安長為○○○、執行秘書為○○○、管理代表為○○○、以及其它資安組織角色職掌與工作內容(企業或機構大多由職員兼任，屬於任務編組性質)、管委員召開頻率、主辦單位與權責。
 

（二）規範性（第二階文件）

說明ISMS目標達成所需之行政規則。

規範性文件名稱可命名為規範、要點、注意事項等。

文件:文件管理、資訊安全、風險評鑑、存取控制、網路安全、個資保護、系統開發與維護、委外作業

ISMS-02-01文件管理:指定權責單位、編碼規則、紀錄保存方法、資料生命週期、電子/紙本檔案衝突依循準則、資料內容安全等級與標示。
ISMS-02-02資訊安全:指定權責單位、說明為了符合安全作業要築起什麼牆、舉起什麼盾、要求什麼對象遵守什麼規範。
ISMS-02-03風險評鑑:指定權責單位、說明風險識別、分析、排序的過程
ISMS-02-04存取控制:指定權責單位、說明帳密(個人/特權管理)、網路、資訊、資料、通訊、設備(私人/公務)...存取規範
ISMS-02-05網路安全:指定權責單位、網路相關管制程序說明
ISMS-02-06個資保護:指定權責單位、資通訊系統程序之個資相關保護措施
ISMS-02-07系統開發與維護:指定權責單位、SSDLC、檢測、驗收、審核、技術評估
ISMS-02-08委外作業:指定權責單位、說明企業或機構委外規範，常見的內容有保密條款、驗收標準、爭議處理、資安相關條款(例如:禁用危害技術員、工程師...身心靈損害之實體或非科學領域OOXX)、委外廠商遵守事項...

（三）程序性（第三階文件）

針對規範性文件中之規定，敘述相關作業之辦理程序。

ISMS-03-01通訊安全:
ISMS-03-02內部稽核:
ISMS-03-03矯正改善:
ISMS-03-04教育訓練:
ISMS-03-05事件通報與處理:
ISMS-03-06內外部溝通:
ISMS-03-07供應商管理:
ISMS-03-08特權帳號管理:
ISMS-03-09資訊資產生命週期:
ISMS-03-10行動裝置安全規範:

（四）空白表單、紀錄及其他（第四階文件）

空白表單：ISMS作業所需使用之空白表單。

紀錄：ISMS作業已填寫資料之表單。

其他：ISMS作業所產生之文件、報告、計畫及相關參考資料。

ISMS-01-01-01資訊安全聲明書
ISMS-01-02-01資安組織名冊

ISMS-02-01-01文件管制清冊
ISMS-02-02-01 IT 需求申請單
ISMS-02-03-01資訊資產盤點表
ISMS-02-03-02資訊資產分級
ISMS-02-03-03資訊資產風險排序
ISMS-02-03-04風險評鑑計劃
ISMS-02-03-05風險評鑑報告
ISMS-02-03-06風險處理計劃
ISMS-02-04-01帳號申請表單
ISMS-02-05-01遠端連線申請單(VPN)
ISMS-02-06-01個資查閱申請單
ISMS-02-07-01SSDLC檢核表
ISMS-02-08-01保密同意書(NDA)/切結書

ISMS-03-01-01資訊機房巡檢表:
ISMS-03-01-02資訊機房設備/佈纜安全等級標示:紅(高)、黃(中)、藍(低)、白(非企業或機構資產)
ISMS-03-01-03機櫃設備一覽表
ISMS-03-01-04機房配備圖
ISMS-03-01-05網路架構圖
ISMS-03-01-06網路拓墣圖
ISMS-03-01-07網路佈線圖
ISMS-03-02-01內部稽核計劃:
ISMS-03-02-02內部稽核檢核表
ISMS-03-02-03內部稽核報告
ISMS-03-03-01矯正改善紀錄表:
ISMS-03-03-02矯正改善紀錄彙整表
ISMS-03-04-01教育訓練計劃
ISMS-03-04-02教育訓練簽到表
ISMS-03-04-03教育訓練報告
ISMS-03-05-01事件通報與處理表:
ISMS-03-06-01委外廠商聯絡表
ISMS-03-06-02委外廠商評核表
ISMS-03-06-03委外廠商彙整表
ISMS-03-06-04委外合約總表
ISMS-03-06-05拒絕往來廠商名冊
ISMS-03-07-01供應商資安等級評鑑表:
ISMS-03-07-02供應商資安事件通報單
ISMS-03-08-01存取權限審查表
ISMS-03-09-01資訊資產申請表:
ISMS-03-09-02資訊資產報廢表
ISMS-03-10-01行動裝置注意事項:
ISMS-03-10-02行動裝置借用/歸還紀錄表

傳說中的資訊安全全景圖

資訊安全全景圖 = 制度運行總檢表 ，
表列組織內外部風險來源與風險值，透過定期檢視、追蹤執行成果，確保組織整體安全及風險可控。

範例如下:

1. 資訊安全政策是否合宜?最近一次修訂程序書是什麼時侯?
2. 資安組織是否合宜，內容最近一次更新是什麼時侯?
3. 是否訂定可接受風險值，風險值是多少?
4. 是否落實存取權限審查
5. 資通訊系統清查並檢視安全性?
6. 是否定期審查憑證管理清冊?
7. 是否落實合法軟體盤點?
8. 是否定期盤點資訊資產?
9. 是否定期檢視開源軟體合法使用範圍/版本/變更內容?
10. 是否執行弱點掃瞄?內對內?外對內?
11. 是否執行滲透測試?
12. 是否執行弱點修補?
13. 是否委外開發軟體?
14. 委外開發軟體是否進行源碼檢測?
15. 防火牆規則是否定期審查?
16. 防火牆最近一次變更是什麼時侯?
17. 網路設備或資安設備最近一次無預警中止服務是什麼時侯?
18. 每月檢視並分析資安事件，最近一次損害組織權益的事故是什麼?影響範圍多大?是否通知利害相關方?
19. 是否定期進行災害復原?
20. 備份檔案有效性是否定期確認?
21. 重要資訊服務是否連接不斷電供應系統(UPS)
22. 資訊機房電力供應是否設置獨力迴路且限定專責人員或單位維護?
23. 電力是否設置雙供電來源，例如:太陽能供電、柴油供電、不同的變電所(南/北)...
24. Server與Client是否定期更新Patch?
25. 是否定期執行教育訓練?
26. (依企業或機構的資安範圍擴充審查的項目與頻率)

風險評鑑公式~~~

風險值 = 資訊資產價值 X (事件發生機率（等級）x 事件衝擊（等級）

資訊資產價值 = 機密性、完整性、可用性之相加數值

考取證照、通過ISO 27001費用介紹

費用的部分，以企業要通過ISO 27001認證來說，通常需要花費新台幣15～40萬元不等（不包含前置準備的成本），費用可能會因為公司的規模、驗證範圍（部門數量、員工數量、系統數量等），以及稽核時程等因素有所差異。

至於個人則可參加ISO 27001主任稽核員課程，考取國際認可的稽核員證照。
此證照不但可協助個人理解ISO 27001標準要求，更可從管理者角度評估系統是否符合要求，監督改善行動，執行有效的內部稽核。
主任稽核員 (LA)課程價格為 5萬元，企業包班或多人報名，都有優惠。

對 ISO/IEC 27002：2022 的基本理解

新版ISO/IEC FDIS27001和ISO/IEC27002:2022要点解析与应对

#2 Information Security Properties

§ 控制措施有助於保留哪些資訊特性（Characteristic）。

• #Confidentiality 機密性

• #Integrity 完整性

• #Availability 可用性

#3 Cybersecurity Concepts

§ 控制措施與ISO/IEC TS 27101 中描述的網路安全框架中

定義的網路安全概念的關聯。

• #Identify

• #Protect

• #Detect

• #Respond

• #Recover

 

 





















 

揭開ISO 27001輔導－驗證內幕

導入ISO27001:2013資訊安全管理系統步驟為何？

(橙言ISO顧問團隊)將透過10大步驟，讓組織順利通過ISO27001。

1. Step1 確認組織背景及建置範圍
2. Step2 成立資訊安全組織
3. Step3 擬定資安政策與目標
4. Step4 資訊資產鑑別
5. Step5 風險評鑑與風險處理
6. Step6 選擇控制目標與因應措施
7. Step7 建立程序文件
8. Step8 系統實施、運作與監控
9. Step9 稽核、管理審查與持續改善
10. Step10 ISMS驗證

網頁下方有 Sec. 1 的 Q&A

Sec. 2
新版ISO 27002:2022出爐，資安控制措施正式修訂為4大類93項

(參考資料：https://www.ithome.com.tw/news/149520)

新版管控項目將結構精簡，聚焦讓組織採用更容易

基本上，ISO 27002是資訊安全管理系統（ISMS）的實務指導文件，並作為ISO/IEC 27001國際標準附錄A的詳細參考資訊，提供控制措施選擇的具體參考。

這次ISO 27002改版計畫，從2018年開始啟動，直到去年草案版本發布，開始受到各界關注，畢竟距離上一版本的推出相隔8年，如今ISO 27002:2022版修訂完成，正式發布。

關於新版的變化，BSI表示，首先，標準名稱改為「資訊安全、網路安全及隱私保護－資訊安全控制措施」，以更符合現代的資安管理需求。

其次，在內容的修訂上，ISO 27002:2022的修訂目標，聚焦於讓組織更容易採用，並確保必要控制措施不會忽略。

簡單來說，新版簡化控制措施架構，從原有的14條款類別，重新調整為4大類別，分別是組織控制、人員控制、實體控制與技術控制，而整體控制項目則從114個減到93個，藉此強化資安管控有效性，並將不適合當前環境的內容刪除，當中更新58個控制項目，並將多個控制項目併為24個控制項目，並新增11個控制項目。

這些新增項目，主要是為對應當前的網路攻擊手法與樣態，
控制項目包含了威脅情資、
雲端服務使用的資安、
資通訊技術營運持續整備、
實體安全監控、
組態管理、
資訊刪除、
資料遮罩、
資料外洩防護、
活動檢視、
網站過濾
與安全程式碼撰寫，
以確保組織能持續具有能力，控制自身的資訊安全。

新版現在也增加屬性標籤，
包括控制類型（預防、偵測與矯正）、
資安特性（機密性、完整性、可用性，CIA）、
網路安全概念（識別、保護、偵測、回應、復原，NIST CSF）、
執行能力，
以及安全領域。
讓企業組織可從不同角度，快速過濾相關控制措施，以及執行排序呈現，讓組織更方便找出相關控制要求。

目前看來，新版正式發布內容與草案版本大致相當，不過我們發現，在這93項控制措施中，8.22 Segregation in networks，與8.23 Web filtering，兩者的順序對調，與草案版本不同。BSI表示，其實在最終草案版本時，條文順序就已變動。

ps 1. Segmentation divides a computer network into smaller parts.
The purpose is to improve network performance and security. Other terms that often mean the same thing are network segregation, network partitioning, and network isolation.

ps. 2 
(Sources: https://www.ithome.com.tw/tech/28713)

(In 2003)「2002~2007年全球安全內容管理市場預測更新與競爭廠商佔有率」報告，IDC報告所定義的安全內容管理（Secure Content Management，SCM）包括：
防毒、網頁過濾與訊息安全等項目，
其中防毒占81%的安全內容管理市場中，
不過大部分的企業都已建置防毒系統，所以該次的主題是內容過濾（Content Filter，包含前述的網頁過濾與訊息安全）。
內容過濾也稱為EIM（Employee Internet Management，員工上網管理），
可以分成網頁過濾（Web Filter）、電子郵件過濾（Email Filter）及即時傳訊過濾（IM Filter）等3類。

(1) Web Filter提高企業資訊安全與員工生產力

但企業定義的不良網站就簡單的多，只要與生產無關的都是不良網站，所以要從100 MB以上的資料庫中，比對幾百萬筆網址，倒不如依工作性質設定網址白名單，只允許員工上特定網站，會比設定網址黑名單來的簡單、實在。

目前網頁資料庫還面臨URL轉向、多主機位址及未註冊網站等挑戰，很容易就失去有效性。為了彌補資料庫的不足，有些產品能掃描網頁內容，分析HTML所包含的文字，並採用關鍵字加權計分，如果網頁加權數值超過容許值就予以過濾。

(2) Email Filter保護企業商業機密

從著名半導體公司洩密案、電子郵件濫用，以致於病毒與垃圾郵件滿天飛，只要員工有使用電子郵件，企業就要擔心機密洩露、成本損失、頻寬浪費及衍生的法律問題。要解決上述的問題，最好的方法是建置電子郵件稽核（監控及過濾）系統。

電子郵件稽核主要有Sniffer與Mail Relay兩種類型，
Sniffer主要用來「紀錄與警示」，適合企業管理階層使用，優點是即插即用，不需調整與改變網路架構，缺點是無法攔截，僅能記錄郵件內容，若封包遺失則無法記錄該封電子郵件；
Mail Relay則是「過濾與攔截」，適合IT主管和MIS使用，能夠即時攔截，避免資訊外洩，但過濾政策繁雜，必須調整網路與郵件伺服器設定。

關鍵字加權計分與檔案過濾是電子郵件稽核的核心技術。關鍵字加權計分與前述相同，當電子郵件的加權分數超過臨界值，就攔阻該封電子郵件。電子郵件的附件檔可以夾帶任何的資料，不論是文件、圖檔或壓縮檔，只要是能夠傳送，電子郵件都能帶著走，但隨之而來的是大量的風險。傳統是以副檔名判斷檔案格式，但副檔名卻很容易加以變更，所以產品必須能判斷附件檔的原始格式，而不是副檔名。

判斷出副檔名只是第一步，再來就是檢查其內容，包括壓縮檔的檔案檢索及文字檔的全文檢索，都需要更複雜的過濾技術，目前能完整支援的產品並不多。有產品能檢查壓縮5次的檔案，也有的能檢查壓縮50次的檔案，但相對需要更強大的硬體配備，檢查時間也會拉長，如果壓縮的內容是文字檔，又要再檢查其內容是否違反安全政策。

垃圾郵件是企業另一個頭痛問題，刪除一封垃圾郵件約須花費1美元，包括刪除訊息的時間、購置大型郵件伺服器和儲存系統，以及垃圾郵件造成網路癱瘓所導致的故障排除成本等，全球企業一年將要投資90億美元。可惜目前沒有效果顯著的垃圾郵件阻擋方法，除了政府正在制定相關法令，廠商也在研發新技術，希望能判斷出垃圾郵件的特徵，直接從垃圾郵件的源頭著手。

(3) IM Filter終結即時傳訊

即時傳訊有一定的方便性與實用性，卻也有相當的風險性。不少公司只開啟防火牆特定的埠，藉以禁止員工使用該類軟體，但軟體開發商也不是省油的燈，程式會自動尋找開啟的通訊埠，並自動測試連線，尋找最佳的連線方式。

魔高一尺，道高一丈，雖然ICQ、MSN Messenger及Yahoo Instant Messenger等軟體都使用不同的通訊協定，但每個封包都有一定的特徵，不論使用那個通訊埠或傳訊軟體，一般的IM Filter都能夠加以辦識並阻擋。

IM Filter是剛起步的技術，所以仍有可以改進的地方，許多產品只能關閉該服務，少數能做到關鍵字過濾和即時內容監視，如果能進一步使用關鍵字加權計分，那就更完美。

(4) 整合式解決方案，全方位資訊防護

未來或許會出現三合一的內容過濾產品，甚至多合一的產品，包括防毒、行為分析與內容過濾等功能，形成全方位的防禦體系。只是我們觀察到的建置模式卻是各取所需，企業分別建置防毒、電子郵件稽核、入侵偵測及網頁過濾系統，如果品牌相同，或多或少可以進行整合，但狀況仍不理想。另外，別忘了考慮是否能整合目錄和儲存系統，及對網路架構的影響。

談完技術和產品，免不了要談談穩私權的問題。企業以保護公司機密為由，監控員工的電子郵件或上網行為，這樣的做法是否合法呢？美國有電子通訊隱私法，英國有電信通訊合法商業運用通訊監察規則，臺灣仍沒有制定相關的法律條文，所以建議企業善盡告知的義務，詳細告知員工哪些事情可以做、哪些不能做，並使用自動化監控軟體，在一定的範圍內監控員工上網行為。

我們仍要強調「沒有百分百準確」的過濾軟體，當管理者的要求高，比對的政策便越多，得到的不會是更準確，而是更高的誤判。

另一個標準ISO 27001改版時程終於明朗

至於各界關注的ISO 27001改版時程，BSI表示，目前獲知的時間在2022年第三季到第四季，可能與後續投票時程有關，若有進展會再更新。

至於ISO 27001預估將修訂的內容，主要依據ISO/IEC 27002:2022修訂部分，反映於ISO/IEC 27001的附件A，也將涵蓋2014年與2015年發布的2個小勘誤。

由於ISO 27002:2022已經發布，新版ISO 27001也預期會在今年修訂完成，對於已取得ISO 27001驗證的企業組織而言，除了可準備轉版認證審查，確保企業驗證範圍的控制措施與資訊安全管理系統符合新版的標準，也應朝向全公司驗證範圍目標邁進；
而正在導入實施ISMS或進行ISO/IEC 27001驗證的企業，現在也可選擇參考ISO/IEC 27002:2022。

BSI表示，由於每個標準改版的幅度不同，根據過往經驗，新標準正式公布後，企業組織都會有2到3年的時間來進行改版；
若組織能力與預算可行，先以新版ISO 27002:2022的指引來著手接下來的資安工作，是可以這麼做。

的改變

As expected, Annex A is revised to align with the information security controls in

ISO/IEC 27002:2022. This is also the most significant change of ISO/IEC FDIS 27001.

The changes in clauses 4-10 are minor editorial changes to further harmonize the

structure with other management system standards.

To transition to the new edition, moderate efforts might be needed for those

organizations that are already certified to ISO/IEC 27001:2013.
These efforts may

include revising the internal policies in accordance with the new subclauses and the

modified requirements, as well as the risk assessment results and risk treatment

plan in accordance with ISO/IEC FDIS 27001 Annex A.



Sec. 99
AD

1.

https://www.udemy.com/course/iso-27001-2013/

您會學到

• 了解資安管理最基礎的管理系統標準
• 了解ISO 27001:2013 所有條文要求
• 了解ISO 27001:2013 實際內部稽核手法
• 了解ISO 27001:2013 附錄A詳細要求

頂級公司為他們的員工提供這門課程本課程已選入最受好評的課程收藏，並且受到全球企業信賴。 瞭解更多

要求

• 無任何要求，零基礎的學員亦可學習

說明

這一堂課將用淺顯易懂、全中文的方式：

- 解釋ISO 27001:2013的所有條文要求(What)

- 說明ISO 27001:2013標準為什麼這樣要求(Why)

- 提供資訊安全管理系統的實際稽核案例(How)

- 提供如何稽核資訊安全管理系統的各項要求的方法(How)

- 提供課後思考題有助於學員反思每一講所學習的知識(Review and Check)

 

在學習完本課程的17講之後，你將對ISO 27001:20153「所有條文要求」有完整的了解、能夠導入、運作、稽核資訊安全管理系統。

 

這一堂課的架構包含三個部分：

1. ISO 27001介紹：講述ISO 27001家族關係、附錄A、條文架構、本文、以及資安管理核心概念（CIA原則、風險管理原則）。

2. ISO 27001附錄A所有要求：依循標準的架構，我們將用14講詳細說明管理系統的14項控制目標與118條控制措施，以及實際稽核過程的稽核手法。

3. ISO 27001改版方向：此管理系統將於2022年下半年進行改版，我們將說明改版方向，提供企業因應方向。

 

本課程絕對不是單純讀ISO 27001：2013的條文要求給你聽，我們將市場上最完整的「品質管理系統主導稽核員課程」，從原本的5天密集課程，濃縮拆解成2個小時、17講，除了能夠依照您的時間彈性學習，還能隨時複習，甚至有滿滿實戰經驗的稽核員為你解答課程問題。

 

無論你是在日常工作中會接觸到ISO 27001資安管理系統標準，或者想了解資訊安全、資安管理、並且在您所處的組織運用這一套行遍全球的資安管理標準，那麼本課程絕對是入門首選。

此課程適合哪些人：

• 企業內部負責資安管理任務，欲提升知識及稽核技巧者
• 欲瞭解或從事資安管理系統標準要求及其運用者
• 欲提升職場力、工作要求、增加個人資歷者
• 對資安管理有興趣的人
• 想踏入資訊安全風險管理顧問圈的人

2.
ISO/IEC 27001:2013 主導稽核員 (ISMS, 資訊安全管理系統) 培訓課程

https://www.bccs.com.tw/index.asp?module=product&action=ShowContext&BID=55&ID=2&SubMenu=2

3.

小型企業ISMS
輕鬆導入工具

咨安資訊
https://ingsafe.tw/iso27001smallbusinesses


4.

引進自動化工具來協助，才得以讓專案如質、如期地完成。

陳光楷進一步說明，若是在銀行業導入新的認證標準，專案期間平均大約得花費12個月，反觀新光醫院6個月即可取得驗證相當不容易。「企業導入ISO 20000，問題往往是制度層面的標準化程序尚未達到足以自動化機制協同作業。這次輔導新光醫院在導入初期就開始運用Ansible方式撰寫劇本（Playbook）實作自動化以及監控運行狀態，派工系統更是基於開源陣營的iTop所建置，
https://www.netadmin.com.tw/netadmin/zh-tw/market/4BF92892CF3E49DD8787C2E8918CFE26

5.

ISO 27001資訊安全管理系統主導稽核員訓練課程

i


https://dtu.cisa.tw/course.php?id=34











 

全部共 0則留言
留言...
登入帳號密碼代表遵守學術網路規範