ISO/IEC 27001:2022 - 資訊科技-安全技術-資訊安全管理系統
ISO/IEC 27001:2022 是國際公認的信息安全管理系統(ISMS)標準,旨在幫助組織建立、實施、維護和持續改進信息安全管理體系。該標準由國際標準化組織(ISO)和國際電工委員會(IEC)聯合發布,確保組織能夠有效識別、評估和處理信息安全風險。
ISO/IEC 27001:2022的核心要素
- 風險管理
標準強調基於風險的方法,要求組織識別信息安全風險,並採取適當的控制措施來降低風險至可接受的水準。
- 管理層的承諾
高層管理者需參與信息安全管理,確保信息安全策略與組織的業務目標一致,並提供必要的資源。
- 持續改進
透過內部審核、管理評審和持續監測,確保信息安全管理體系不斷優化,以適應內外部環境的變化。
- 適用性聲明(SoA)
組織需根據ISO/IEC 27001附錄A中的控制措施,選擇適用的安全控制,並解釋其適用性和理由。
- 符合性要求
企業需要遵守適用的法律、法規及合約義務,確保信息資產的機密性、完整性和可用性(CIA原則)。
ISO/IEC 27001:2022的主要變更
與2013版相比,2022版的主要變更包括:
- 安全控制的重組與精簡:由原先的114項控制措施,整合為93項,並分為4個主題(組織、人員、物理及技術)。
- 新增現代安全概念:如威脅情報、雲端安全、數據遮罩、Web 過濾、多因素認證等。風險管理的強化:更加強調基於業務環境的風險管理與評估。