資訊安全管理新趨勢-ISO 27001管理系統簡介
21世紀企業隨著企業經營環境的變化,對於資訊依賴之重要度提高。資訊(Information),已成為現今企業重要的無形資產,也是企業成功的基礎與命脈。如何確保企業資訊的機密性、完整性及可用性是當今最重要的課題之一,在今日許多組織均處於高度連網(內部網路與網際網路)的環境下,更顯示出其重要性。資訊安全管理系統(Information Security Management Systems 簡稱ISMS)因此孕育而生,由英國工業貿易部倡導,正在全球普遍推行當中;2005年國際標準組織(ISO)已正式頒布ISO 27000:2005資訊安全管理系統標準,且我中華民國也依此制定國家資訊安全標準,編號為CNS 27001。
根據行政院資通安全會報規定,資訊安全等級列A、B級之政府單位必須於96、97年建置完成資訊安全管理系統(ISMS),並取得第三方認證通過。在政府帶動及民間企業也體認ISMS的重要,許多大型電信業者或金融、資訊服務業,為取信於客戶,紛紛推動ISMS的建置。因此,在法規要求以及客戶期望下,這波ISMS建置熱潮帶動下,推行ISO 27001管理系統已成為企業永續經營之必要工作。
ISO 27001條文要求如下:
4.資訊安全管理系統 5.管理責任
4.1一般要求 5.1管理者承諾
4.2建立和管理ISMS 5.2資源管理
4.2.1建立ISMS 5.2.1資源的供應
4.2.2實施和運作ISMS 5.2.2訓練、認知及能力
4.2.3監控和審查ISMS 6.ISMS內部稽核
4.2.4維護和改善ISMS 7.管理審查
4.3文件要求 7.1概述
4.3.1概述 7.2審查輸入
4.3.2文件管制 7.3審查輸出
4.3.3紀錄管制 8.改善ISMS
8.1持續改善
8.2矯正措施
8.3預防措施
ISO 27001推行效益:
1. 提升企業整体競爭力及形象。
2. 確保業務資訊之機密性、完整性與可用性。
(1)機密性:確保被授權之人員才可使用資訊。
(2)完整性:確保使用之資訊正確無誤、未遭竄改。
(3)可用性:確保被授權之人員能取得所需資訊。
3. 鑑別資訊安全管制點,包括組織員工、客戶、供應商與股東。
4. 消除與日俱增之資訊安全威脅,如:營業機密(研發成果)、欺詐、間諜、破壞、毀損、天災、電腦病毒、駭客入侵等。
5. 建立資訊硬體設施及軟體之管理機制,以統籌分配、運用全公司資源。
6. 實施資訊安全教育訓練,宣導資訊安全政策及相關實施規定。
7. 建立適切之管理程序流程,確保資訊安全。
8. 明確規範資訊系統及網路服務之使用權限,防止未經授權之存取動作。
9. 訂定資訊作業安全災變回復計畫並實際演練,確保業務持續運作。
10. 強化風險管理。