ISO 27001:2013 資訊安全管理系統 輔導費用及申請取證流程

什麼是ISO27001:2013資訊安全管理系統?

【ISO27001費用怎麼算?】放心,橙言絕對為企業降低開銷成本,逐步拆析取得認證的報架結構,給予企業最合理的報價

【ISO27001怎麼申請?】如果要申請時文件一大堆,常常搞不懂,而不知道如何選擇最好的顧問替企業導入27001資訊安全認證?

ISO27001輔導專業顧問公司協助企業導入 iso27001 資訊安全系統,打造最整你的資訊安全管理! 橙言 ISO 27001 輔導顧問給您最完善的解決方案

ISO27001 系統歷史起源

資訊安全管理系統 (Information Security Management System, 簡稱:ISMS)。 起初,由英國工業貿易部發起,並開始於全世界推行,英國更於1995年提出BS-7799 Part1,使其成為第一個資訊安全管理系統-ISMS標準。

國際正式發佈

至今,資訊安全管理系統-ISMS由國際標準化組織(International Organization for Standardization,簡稱:ISO)及國際電工協會(International Electrotechnical Commission,簡稱:IEC)於在2005年聯合發布,並在2013年正式發布新的標準,即為ISO27001:2013資訊安全管理系統Information Security Management System(ISMS),是資訊安全管理的國際標準。

ISO27001 系統名稱意義

  • ISO27001:2013 資訊安全管理系統Information Security Management System(ISMS)
  • ISO:國際標準化組織International Organization for Standardization,簡稱:ISO。
  • ISO27001中文意義:資訊科技—安全技術—資訊安全管理系統—要求。
  • ISO27001英文意義:Information technology — Security techniques — Information security management systems — Requirements。
  • 2013:代表系統公佈新版條文的年份為2013年。

為什麼要導入ISO27001:2013資訊安全管理系統?

1. 國際認證:最廣泛、最完整、全球通用

ISO27001:2013資訊安全管理系統,自從國際標準化組織(International Organization for Standardization,簡稱:ISO)及國際電工協會(International Electrotechnical Commission,簡稱:IEC)聯合發布後,便已成為國際上使用最廣泛、且是最完整的一套國際通用資訊安全管理工具和制度。

2. 降低風險:安全維護、保護資產、提升信任

呼應全球對於資訊安全維護與風險而發展出來的因應措施標準,用以免受未經授權的進出、檢視、揭露、修改、紀錄、控制、銷毀並降低資訊安全事件所帶來的威脅和衝突,提供對於組織或顧客資訊安全的承諾,更提升其對於企業與內部、產品的信任,進而保護所有關鍵資訊和重要資產。

  • 案例一
    機敏文件被公開,在共用資料夾輕易取得?

    系統規範-透過權限控制措施,對機敏文件只設定授權文件使用權限與期間相關程序。

  • 案例二
    電子文件存取紀如何進行追蹤?

    系統規範-透過事件紀錄控制措施,存檔即刻加密,詳實記錄登錄LOG文件使用軌跡。

  • 案例三
    企業發現電腦如果中勒索病毒怎麼辦?

    系統規範-透過備份控制措施,立即將原有儲存設備隔離刪除,啟動定期備份檔案還原。

3. 合法認證:滿足我國法令法規要求、爭取業務機會

台灣於民國107年06月06日,頒布「資通安全管理法」,已對各公家機關及非特定公家機關要求委外廠商,需通過ISO27001:2013資訊安全管理系統第三方驗證或有完整資安管理系統防護措施,因此委外廠商通過ISO27001:2013資訊安全管理系統,將會是公司爭取標案案件的門票。

4. 優化組織:運行效益、提升效率、降低成本

擁有更加明確的目標設定、量測指標,可有效的強調績效展現與承諾,進而減少因錯誤或所延伸的額外成本。

ISO27001:2013資訊安全管理系統的資訊安全定義為何?

主要資訊安全的核心三要素,稱為C.I.A.

  • 機密性

    機密性

    意指在於保障企業、組織、機關內部訊息,不會被其他不應該未取得授權者獲得,並保障所有的訊息,會在對的時間、對的對象、對的裝置和對的地點裡被正確的存取,進而維護企業/組織/機關用戶資訊的保密性。

  • 完整性

    完整性(Integrity)

    意指在資訊的傳輸、儲存位址或各項資料的過程中,企業/組織/機關用戶資訊或資料,不會被其他不應該未取得授權者的未授權修改或竄改。

  • 可用性

    可用性

    意指所有企業/組織/機關用戶,在資訊的使用上擁有一定的流暢度,讓授權者使用系統能隨時處於可以及時取得的工作狀態,不會因為任何因素而中斷/停止該資訊服務。

哪些產業需要導入ISO27001:2013資訊安全管理系統?

基本上,ISO27001:2013資訊安全管理系統,適合所有類型的組織建置,包含商業企業、政府機構和非營利組織都能建立。

  • 1.各公家機關及特定非公務機關

    在民國107年06月06日已頒布「資通安全管理法」,已對各公家機關及特定非公機關進行資通安全責任等級分辦來分級,因此各單位將須依照資安等級規定來執行資安要求,並建置ISMS,在資通安全責任等級分級辦法中,A、B級單位更須通過ISO27001:2013資訊安全管理系統,但三方驗證得ISO27001:2013資訊安全管理系統證書,能夠向政府證明企業對相關法律法規的符合性。

  • 2.政府核心業務、標案廠商

    在民國107年06月06日已頒布「資通安全管理法」後在資通法中資通安全管理法施細則中,第四條:各機關依本法第九條規定委外辦理資通系統之建置、維運或資通服務提供(以下簡稱受託業務),選任及監督受託者時,應注意下列事項: 受託者辦理受託業務之相關程序及環境,應具備完善之資通安全管理措施或通過第三方驗證。 更須通過ISO27001:2013資訊安全管理系統證書但三方驗證得ISO27001:2013資訊安全管理系統證書,能夠向政府證明企業對相關法律法規的符合性。 因此不論是在政府機關或特定非公務機關在資訊服務、資訊機房維護、系統開發與維運、網設等各資訊關服務時,皆已要求廠商須通過ISO27001:2013資訊安全管理系統證書。 換言而之,現在爭取標案或政府合作的機會,ISO27001:2013資訊安全管理系統證書已是最重要的入場卷之一。

  • 3.電子發票加值中心廠商

    在民國108年01月09日公布「電子發票實施作要點」其中第四章加值服務中心內第五點: 電子發票系統之資訊安全管理制度符合CNS27001國家標準或ISO27001國際標準之證明文件。 因此電子發票加值中心廠商,須在規定的時間內取得ISO27001國際書,以符合此法規才能持續維持加值中心服務廠商的資格。

  • 4.電信業者

    在民國109年7月9日 公布「電信事業資通安全管理辦法」其中第四條,電信事業應於提供電信服務之日起二年內,通過下列資通安全管理驗證並維持其有效性: 一、CNS27001國家標準或 ISO/IEC27001國際標準。 二、主管機關公告之電信事業資通安全管理手冊ISO/IEC27011增項稽核表。 因此電信業者須在規定的時間內取得ISO27001國際證書,以符合此法規才能持續維持加值中心服務廠商的資格。

  • 5.保險業者

    在金融監督管理委員會(下稱金管會)於109年6月30日發布修正「保險業辦理電子商務應注意事項」、「保險業保險代理人保險經紀人與異業合作推廣附屬性保險商品業務應注意事項」及「保險業申請業務試辦作業要點」: 一、「保險業辦理電子商務應注意事項」部分 (二)為提升資訊安全效能及保障消費者權益,增訂試辦業務項目之保險業及委外合作廠商倘涉及蒐集、處理、利用個人資料,應取得資訊安全管理系統國際標準認證(ISO27001)之認證。(修正條文第5點) 因此在保險業辦理電子商務業者,須在規定的時間內取得ISO27001國際證書,才以符合此法規及資格。

導入ISO27001:2013資訊安全管理系統步驟為何?

橙言ISO顧問團隊將透過10大驟,讓組織順利通過ISO27001。

  1. Step1 確認組織背景及建置範圍
  2. Step2 成立資訊安全組織
  3. Step3 擬定資安政策與目標
  4. Step4 資訊資產鑑別
  5. Step5 風險評鑑與風險處理
  6. Step6 選擇控制目標與因應措施
  7. Step7 建立程序文件
  8. Step8 系統實施、運作與監控
  9. Step9 稽核、管理審查與持續改善
  10. Step10 ISMS驗證

導入ISO27001:2013資訊安全管理系統的階段為何?

  • 第一階段:準備與訓練

    1. 輔導初期準備
    2. 執行現況分析
    3. 規劃教育訓練
  • 第二階段:建立制度

    1. 執行風險評鑑作業
    2. 制度文件討論修訂
    3. 完成制度文件發行
  • 第三階段:實施與改善

    1. 完成教育訓練
    2. 記錄填寫與修正度
    3. 內部稽核與招開館審會議
  • 第四階段:接受驗證

    1. 外部稽核驗證前準備
    2. 辦理正式驗證稽核
    3. 持續改善與技術轉移

常見問題

  • Q1: 本公司對於ISO27001:2013資訊安全管理系統Information Security Management System(ISMS)完全不了解,該如何開始?

    橙言ISO顧問團隊會透過初訪來迅速評估、介紹、規劃,並從從前期規劃到外部稽核單缺失矯回覆,橙言ISO顧問團隊將都會全程協助,讓組織能有率運行系統,提供最佳的ISO27001:2013資訊安全管理系統解決方案。

  • Q2: 想要建立ISO27001:2013資訊安全管理系統Information Security Management System(ISMS),預算大概是多少呢?

     

    橙言ISO顧問團隊從初訪,就能為組織立即規劃從輔導到驗證的費用。 10人以内的民營企業,初次導入系統到驗證費用,可預估抓30~35萬來規劃(不包含任何軟體檢測費用、也不包含軟體授權費用)。 細節我們會親自來報告,拜訪完畢後,會有更清楚的報價內容。

  • Q3: 建立ISO27001:2013資訊安全管理系統Information Security Management System(ISMS)以後,組織內部如何維護呢?

     

    建立ISO27001:2013資訊安全管理系統Information Security Management System(ISMS)以後,組織內部如何維護呢? A3:後續各企業、單位、組織,對於資訊安全管理系統Information Security Management System(ISMS)的導入使用,可以規劃(Plan)、執行(Do)、檢查(Check)、行動(Action)四個步驟(簡稱:PDCA),持續循環進行,歡迎詢問橙言ISO顧問團隊。

LINE@橙言ISO顧問諮詢 LINE諮詢ISO顧問