BPI Consultants International Limited created with www.qlink.hk

ISO/IEC27001:2013

ISO/IEC27001:2005

ISO/IEC 27001:2013資訊安全管理系統要求。這不表示此標準只是IT (資訊科技)標準,而是遠超過IT範圍。標題當中「資訊科技 – 安全技術」的部份,為ISO組織(JTC 1/SC27)負責公告名稱。此標準主要的重點是著重於整體組織的資訊安全管理,及保障客戶、公司、供應商的資訊及避免資訊洩漏及黑客入侵。

​相比於舊版本,ISO/IEC 27001:2013的要求現有大控制項目、35個控制目標及114個控制措施,主要改變是配合Annex SL的高階架構模式,適合於組織藉此發展並實施全球管理資訊安全(如:財務資訊、通訊行業、保險業、智慧財產、員工資料等公司營運資訊),更可涵蓋客戶和公司的資訊,是唯一能協助組織真正獨立評估其資訊安全管理系統的國際標準。

​ISO/IEC 27001:2013已成為一個國際標準,其意義除了國際認可並接受英國標準外,組織更可藉此發展並實施一項全球架構的制度來管理資訊的安全;其中包含不論是公司本身的營運資訊,例如財務資訊、智慧財產、員工資料等等,或者是客戶或第三方委託給公司的資訊。事實上,此標準是組織可以獲得真正獨立評估其資訊安全管理系統(ISMS)的唯一國際標準。

​此國際標準ISO/IEC 27001:2013有些許更新,係就原英國標準BS 7799中的規定加以闡明並加強。更新的主要區域在風險評鑑、契約責任、範圍、管理決策,以及評量其所選擇控制措施之有效性。此標準對客戶的最大影響是在於要求其對所選擇之控制措施之有效性作評量。

​ISO/IEC 27001:2013要求控制措施

A.5 資訊安全政策

A.6 資訊安全的組織

A.7 人力資源安全

A.8 資產管理

A.9 存取控制

A.10 密碼

A.11 實體與環境安全

A.12 作業的安全

A.13 通訊安全

A.14 資訊系統獲取、開發及維護

A.15 供應商關係

A.16 資訊安全事故管理

A.17 營運持續管理的資訊安全層面

A.18 符合性