ISO27001改版轉版 | 27001:2022 轉版輔導費用及顧問申請流程, iso 27001 2022改版

ISO27001改版轉版 | 27001:2022 轉版輔導費用及顧問申請流程, iso 27001 2022改版 輔導費用及申請取證流程

睽違9年,ISO 27001:2013迎向改版/轉版的新階段-ISO27001:2022

ISO27001:2022改版轉版費用怎麼算?】放心,橙言絕對為企業降低開銷成本,逐步拆析取得ISO27001改版輔導認證的報價結構,給予企業最合理的報價

【ISO27001怎麼申請改版?新版ISO/IEC 27001:2022標準為何?】如果要申請改版/轉版時時文件一大堆,常常搞不懂,而不知道如何選擇最好的顧問替企業導入ISO27001資訊安全認證?

ISO27001輔導專業顧問公司協助企業改版轉版 ISO27001:2022 資訊安全系統,打造最整你的資訊安全管理! 橙言ISO27001:2022輔導顧問給您最完善的解決方案

ISO 27001:2013/轉版改版更名及時間表說明

發布日期:2022年2月15日

新版全名:ISO/IEC 27002:2022

Information security, cybersecurity and privacy protection-Information security controls「資訊安全.網路安全與隱私保護-資訊安全控制措施」

新版全名:ISO/IEC 27001:2022

發布日期:2022年10月25日

Information security, cybersecurity and privacy protection-Information security management systems-Requirements「資訊安全.網路安全與隱私保護-資訊安全管理系統-要求」

ISO 27001:2013與新版ISO 27001:2022差異及改版重點

ISO27001:2013上一次更新在2013年,當時已經採用SL高階架構,這是讓多個管理系統能夠有效地兼容(也就是採用現行大部分管理系統條文中的10個章節作為條文架構),因此近幾年其他系統的改版,主要也是將原有條文排列調整成SL高階架構。既然SL高階架構在2013年已經被採用,也可以間接說明此次2022年改版重點將落在附錄A相關的ISO27002,而非ISO27001條款的變動。

標準名稱修訂,除原先的資訊安全要求外,在2022版更強調網路安全及隱私保護.

原ISO27001:2013
  • 中文:資訊科技—安全技術—資訊安全管理系統—要求。
  • 英文:Information technology — Security techniques — Information security management systems — Requirements。
新版ISO 27001:2022
  • 中文:資訊安全—網路安全與隱私保護—資訊安全管理系統—要求。
  • 英文:Information security, — cybersecurity and privacy protection— Information security management systems-Requirements。

ISO27001 : 2022新版將原ISO/IEC 27001:2013 包含 114 項控制措施,分為 14 章節,在2022年版本中修訂為包含93項控制措施,分為4個章節。這四個章節分別為

  • 組織(37個控制措施)v
  • 人(8個控制措施)
  • 實體(14個控制措施)
  • 技術(34個控制措施)

(更新ISO 27001 附錄A和ISO 27002 中列出的安全控制措施)

ISO27001 : 2022引入11個新控制措施(合併為82+新增11=目前93),但沒有刪除任何控制措施,而是將許多控制措施合併在一起,從而減少了總數。

  • ISO27001 : 2022引入11個新控制措施(合併為82+新增11=目前93),但沒有刪除任何控制措施,而是將許多控制措施合併在一起,從而減少了總數。
  1. 7 威脅情報
  2. 23 使用雲服務的信息安全
  3. 30 ICT 為業務連續性做好準備
  4. 4 物理安全監控
  5. 9 配置管理
  6. 10 信息刪除
  7. 11 數據屏蔽
  8. 12 數據洩露預防
  9. 16 監控活動
  10. 23 網頁過濾
  11. 28 安全編碼
  • 拆分了一個控件;控制3 技術合規審查分為:
  1. 6 – 遵守信息安全政策、規則和標準;
  2. 8 – 技術漏洞管理
  • 控制措施新增了屬性標籤(Attributes),每一個控制措施皆會對應到5種不同的屬性值:
  1. 控制類別Control Types
  2. 資安特性Information Security Properties
  3. 網路安全概念Cybersecurity Concepts
  4. 執行能力Operation Capabilities
  5. 安全領域Security Domains

ISO27001:2013資訊安全管理系統的資訊安全定義為何?

主要資訊安全的核心三要素,稱為C.I.A.

  • 機密性

    機密性

    意指在於保障企業、組織、機關內部訊息,不會被其他不應該未取得授權者獲得,並保障所有的訊息,會在對的時間、對的對象、對的裝置和對的地點裡被正確的存取,進而維護企業/組織/機關用戶資訊的保密性。

  • 完整性

    完整性(Integrity)

    意指在資訊的傳輸、儲存位址或各項資料的過程中,企業/組織/機關用戶資訊或資料,不會被其他不應該未取得授權者的未授權修改或竄改。

  • 可用性

    可用性

    意指所有企業/組織/機關用戶,在資訊的使用上擁有一定的流暢度,讓授權者使用系統能隨時處於可以及時取得的工作狀態,不會因為任何因素而中斷/停止該資訊服務。

導入ISO27001:2022資訊安全管理系統步驟為何?

橙言ISO顧問團隊將透過10大驟,讓組織順利通過ISO27001:2013改版

  1. Step1 確認組織背景及建置範圍
  2. Step2 成立資訊安全組織
  3. Step3 擬定資安政策與目標
  4. Step4 資訊資產鑑別
  5. Step5 風險評鑑與風險處理
  6. Step6 選擇控制目標與因應措施
  7. Step7 建立程序文件
  8. Step8 系統實施、運作與監控
  9. Step9 稽核、管理審查與持續改善
  10. Step10 ISMS驗證

導入ISO27001:2013及改版的步驟階段為何?

  • 第一階段:準備與訓練

    1. 輔導初期準備
    2. 執行現況分析
    3. 規劃教育訓練

  • 第二階段:建立制度

    1. 執行風險評鑑作業
    2. 制度文件討論修訂
    3. 完成制度文件發行

  • 第三階段:實施與改善

    1. 完成教育訓練
    2. 記錄填寫與修正度
    3. 內部稽核與招開館審會議

  • 第四階段:接受驗證

    1. 外部稽核驗證前準備
    2. 辦理正式驗證稽核
    3. 持續改善與技術轉移

哪些產業需要導入ISO27001:2013資訊安全管理系統?

基本上,ISO27001:2013資訊安全管理系統,適合所有類型的組織建置,包含商業企業、政府機構和非營利組織都能建立。

  • 1.各公家機關及特定非公務機關

    在民國107年06月06日已頒布「資通安全管理法」,已對各公家機關及特定非公機關進行資通安全責任等級分辦來分級,因此各單位將須依照資安等級規定來執行資安要求,並建置ISMS,在資通安全責任等級分級辦法中,A、B級單位更須通過ISO27001:2013資訊安全管理系統,但三方驗證得ISO27001:2013資訊安全管理系統證書,能夠向政府證明企業對相關法律法規的符合性。

  • 2.政府核心業務、標案廠商

    在民國107年06月06日已頒布「資通安全管理法」後在資通法中資通安全管理法施細則中,第四條:各機關依本法第九條規定委外辦理資通系統之建置、維運或資通服務提供(以下簡稱受託業務),選任及監督受託者時,應注意下列事項: 受託者辦理受託業務之相關程序及環境,應具備完善之資通安全管理措施或通過第三方驗證。 更須通過ISO27001:2013資訊安全管理系統證書但三方驗證得ISO27001:2013資訊安全管理系統證書,能夠向政府證明企業對相關法律法規的符合性。 因此不論是在政府機關或特定非公務機關在資訊服務、資訊機房維護、系統開發與維運、網設等各資訊關服務時,皆已要求廠商須通過ISO27001:2013資訊安全管理系統證書。 換言而之,現在爭取標案或政府合作的機會,ISO27001:2013資訊安全管理系統證書已是最重要的入場卷之一。

  • 3.電子發票加值中心廠商

    在民國108年01月09日公布「電子發票實施作要點」其中第四章加值服務中心內第五點: 電子發票系統之資訊安全管理制度符合CNS27001國家標準或ISO27001國際標準之證明文件。 因此電子發票加值中心廠商,須在規定的時間內取得ISO27001國際書,以符合此法規才能持續維持加值中心服務廠商的資格。

  • 4.電信業者

    在民國109年7月9日 公布「電信事業資通安全管理辦法」其中第四條,電信事業應於提供電信服務之日起二年內,通過下列資通安全管理驗證並維持其有效性: 一、CNS27001國家標準或 ISO/IEC27001國際標準。 二、主管機關公告之電信事業資通安全管理手冊ISO/IEC27011增項稽核表。 因此電信業者須在規定的時間內取得ISO27001國際證書,以符合此法規才能持續維持加值中心服務廠商的資格。

  • 5.保險業者

    在金融監督管理委員會(下稱金管會)於109年6月30日發布修正「保險業辦理電子商務應注意事項」、「保險業保險代理人保險經紀人與異業合作推廣附屬性保險商品業務應注意事項」及「保險業申請業務試辦作業要點」: 一、「保險業辦理電子商務應注意事項」部分 (二)為提升資訊安全效能及保障消費者權益,增訂試辦業務項目之保險業及委外合作廠商倘涉及蒐集、處理、利用個人資料,應取得資訊安全管理系統國際標準認證(ISO27001)之認證。(修正條文第5點) 因此在保險業辦理電子商務業者,須在規定的時間內取得ISO27001國際證書,才以符合此法規及資格。

ISO 27001改版 常見問題

  • Q1:請問組織該如何進行ISO27001 : 2022新版轉換或申請?

    適用對象:

    1. 已通過舊版資訊安全管理系統(ISO 27001:2013)驗證之組織
    2. 計畫及申請新版資訊安全管理系統(ISO 27001:2022)驗證之組織

    系統轉換建議步驟:

    Step1:進行人員認知與能力之教育訓練,了解新版內容以利系統調整及升級
    Step2:進行新舊版差異分析並重新鑑別組織背景並決定資訊安全系統適用範圍
    Step3:適度調整文件化資訊並落實管理

  • Q2: 請問ISO27001 : 2013改版的相關時間規定為何?

     

    系統轉換時程規定:

    1. ISO 27001:2022版本已於2022年10月公布, ISO 27001:2013證書於2025年10月31日(含)起不再有效,屆時尚未轉版之客戶須以初正評開始申請ISO 27001:2022驗證
    2. 轉換期間為自ISO 27001:2022公佈後之三年內執行
    3. 驗證公司自2023年10月起可開始提供新版驗證,2023年11月起不再接受ISO 27001:2013 初次驗證申請

  • Q3: 目前公司原本ISO27001:2013系統,進行ISO27001:2022改版時候,文件上是否需要進行大變動?

     

    這部分組織可以放心,我們橙言顧問會協助文件架構進行調整成新版架構,以及對實際作業面進行新版控制措施的需求進行調整,如:雲端管理、威脅情資等等

  • Q4: 橙言會如何協助我們將現有ISO27001:2013版本過渡到ISO27001 : 2022新版呢?

     

    橙言將使現有執行ISO27001:2013客戶都能夠簡單輕鬆的過渡,我們已經準備新版相關文件與對應方式。另外,我們也提供ISO27001:2022新版條文教育訓練、內部稽核教育訓練與相關培訓來幫助客戶更快完成新版。

  • Q5: 想要建立ISO27001:2022資訊安全管理系統Information Security Management System(ISMS),預算大概是多少呢?

     

    橙言ISO顧問團隊從初訪,就能為組織立即規劃從輔導到驗證的費用。 評估要素會從組織人數、廠區、輔導範圍與驗證公司選定等等,這些都將會是成本的關鍵因素, 我們ISO顧問團隊會詳細的跟貴公司討論分析,提供合理及透明的報價資訊,來讓組織評估協助順利完成取證. 10人以内的民營企業,初次導入系統到驗證費用,可預估抓25~35萬來規劃(不包含任何軟體檢測費用、也不包含軟體授權費用)。 細節我們會親自來報告,拜訪完畢後,會有更清楚的報價內容。

LINE@橙言ISO顧問諮詢 LINE諮詢ISO顧問