各大企業機構競相爭取認證！ISO 27001究竟是什麼？

 

ISO 27001 是什麼？

現今資訊科技愈來愈發達，人們在生活中的各種體驗及商業活動上也隨之逐步轉向數位化，伴隨著數位技術的進步與推展，也使的「資訊安全」的需求及重要性日漸增加，小至個人基本資料，大到企業、政府單位的機密文件與數據保存，皆有可能成為駭客或有心人士下手的目標，一旦資訊安全被侵害，不但有可能造成財務上的損失，更會導致用戶信心動搖，對機構的傷害甚鉅。因此有越來越多的企業及政府單位逐步加強對資訊安全的管理並導入ISO27001國際認證，希望幫助用戶在資安方面築起防線，以帶給用戶更安心的使用體驗。

 

而資訊安全，究竟要用什麼方式，才能確保系統有足夠的保護力來防範駭客的入侵呢？「ISO 27001」簡單說就是一套經過國際認證且流通最為廣泛的資訊安全管理系統（Information Security Management System／簡稱：ISMS）標準，由國際標準組織（ISO）與國際電工委員會（IEC）聯合發布，因此也有人寫作ISO／IEC 27001，指的都是同一套標準。

 

ISO 27001資安管理三大要素(C.I.A)

資訊安全3大要素，在業界慣以CIA縮寫表示，分別代表機密性(Confidentiality)、完整性(Integrity)及可用性(Availability)，除了此三大要素之外，更可細分如鑑別性、可歸責性、不可否認性與可靠性，以下簡單基本三要素的定義。

 

1. 機密性 (Confidentiality)

指在於保障企業、機構內部訊息，不為其他未授權者傳輸、使用、存取及改動，並保障所有內部訊息，會在正確的時間、對象及裝置上被存取，進而維護企業、機構用戶資訊的保密性。避免遭受外來的攻擊與破壞，常見如竊取網路封包、偷取檔案及密鑰或私自掃描機密文檔，都是破壞機密性的攻擊行為。

 

2. 完整性(Integrity)

指企業組織、機構單位的資料在傳輸或儲存過程中，維持完整一致與正確性，除了避免資料被未授權者擅自更動與竄改，也要同時確保資料不會因錯誤指令、意外刪除或病毒感染等因素喪失其完整性。

 

3. 可用性(Availability)

指企業組織、機構單位的資料擁有隨時可存取之與使用的特性，並在資訊的使用過程中擁有一定的流暢度，讓使用者的系統能隨時處於可以及時取得的工作狀態，不會因為任何因素而中斷或停止該資訊服務。

 

以上三種特性在操作過程中須相互配合並連帶考量，方能在符合安全標準的前提下流暢的使用資料。若三者無法達成密切整合並同步規劃，則有可能為系統帶來負面使用體驗甚至是安全上的疑慮。

通過ISO 27001認證能帶來什麼幫助？

對於機構及企業來說，通過ISO 27001認證，不但可證明其在資訊安全管理上的技術與能力，確保資安系統能有持續的發展能力，更可為客戶提供有效的辨識，證明他們能為客戶帶來更好的資訊安全管理品質。關於通過ISO 27001所帶來的幫助，可閱讀以下幾點整理及分析：

 

1. 客戶信任：通過ISO 27001代表企業以建立一套有效且符合國際認證的資訊安全管理系統，具有抵抗某種程度以上的資安風險的能力，也讓客戶有足夠的依據，能夠安心的將資訊交付給機構。
2. 法律規範：隨著世界各地對資安訊息的要求越來越嚴格，相關法規也在逐步增加及調整，有不少機關被要求通過ISO 27001認證以符合規範。例如在台灣《資通安全管理法》規定下，不論是A級、B級和C級的公務或是特定非公務機關，都必須要在2年內取得臺版CNS 27001或是ISO 27001的資安認證。
3. 資安保障：藉由通過ISO 27001認證並利用PDCA流程，讓企業及機構得以持續對系統更新進行自我檢測，通過及時發現系統漏洞進行校正，並制定相關維護流程，以確保資安管理品質都能維持在一定標準之上。

 

稽核輔導選擇橙言ISO顧問公司，帶領企業打通ISO認證之路。

與我們聯絡：