ISO 27001 資訊安全管理系統

資訊對組織而言就是一種資產,和其他重要的營運資產一樣有價值,因此需要持續給予妥善保護。資訊安全可保護資訊不受各種威脅,確保持續營運、將營運損失降到最低、得到最豐厚的投資報酬率及商機。

資訊存在的方式有許多種,可以列印或書面表示、可以用電子方式儲存、可以用郵寄或是電子郵件傳送、也可以用影片播放或以口頭說明。然而,無論資訊的形式為何,何種方式與他人共享或儲存,都應以適當的方式加以保護。

資訊安全之目的為達成:
a.機密性(Confidentiality) ,確保只有經授權的人才能存取資訊;
b完整性(Integrity ) ,保護資訊與處理方法的正確性與完整性;
c 可用性(Availability ) ,確保經授權的使用者在需要時可以取得資訊及相關資產。

要達到資訊安全就必須實施適當的控制措施,譬如資訊安全政策、實務規範、程序、組織架構及軟體功能,為了達成營運既定的安全目標,就必須建立這些控制措施。

通過資訊安全管理的驗證等同於公開宣告組織對資訊控管的能力,但卻不必擔心洩漏內部的相關程序。並以ISO 27001資訊安全管理系統的架構,建立起資訊安全標準的通用基準強化資訊安全管理的運用增進組織內部運作的互信與自信。

*ISO 27001系統的內涵

資訊安全管理系統主要是依據ISO 27001來建置「資訊安全管理系統」,為達到安全性管理目標,管理的工作可區分為下面三個控制層面:管理層面控制、技術層面控制、實體與環境面控制,其系統功能架構包括管理架構(例如:流程,政策程序,人員及組織)、技術應用(例如:防毒、防駭及弱點評估服務等系統) 與實體與環境安全等三個領域,可減少人力資源負擔與降低時程壓力,以切合實際需求。

資訊安全管理系統11大控制目標:

資訊安全管理實施架構圖:

應用於資訊安全管理系統(ISMS)過程的PDCA模式:

資訊安全管理系統架構圖:

系統功能說明如下:
*安全政策-為資訊安全提供管理指導和支援。
*安全組織-在企業內管理資訊安全。
*資訊資產管理-對企業內的資訊資產採取適當的保護措施。
*人員安全-減少人為錯誤、偷竊、詐欺或濫用資訊及處理設施的風險。
*實體和環境安全-防止對營運場所及資訊未經授權的存取、損壞及干擾。
*通訊與作業管理-確保資訊處理設施正確和安全運行。
*存取控制-管理對資訊的存取行為。
*系統開發和維護-確保資訊系統已建置安全機制。
*營運持續管理-防治營運活動的中斷,保護中要營運過程不受重大故障或災害的影響。
*符合性-避免違反所有刑、民法、行政命令、管理規定或合約義務及所有安全要求。

ISO 27001資訊安全管理文件的架構:

*導入ISO 27001資訊安全管理系統的益處

1、提升內部資訊安全的保護等級。
2、對安全政策的要求與承諾。
3、加強員工對企業內資訊安全的認同與參與感。
4、客戶滿意度的提升與安全保證,提高企業競爭優勢。

台中顧問公司、彰化顧問公司
桃園顧問公司、新竹顧問公司
台南顧問公司、雲林顧問公司
高雄顧問公司、苗栗顧問公司
嘉義顧問公司
南投顧問公司、宜蘭顧問公司
屏東顧問公司
iso9001、iso14001、iso26000、iso22000
5S、CNS、HACCP、iso13485
iso16949、iso27001、OHSAS18001、QC0800000
食品業GMP、綠建材標章認證輔導、環保標章認證輔導、醫療器材GMP認證
BLC、教育訓練、顧問輔導、企業顧問
Share and Enjoy: These icons link to social bookmarking sites where readers can share and discover new web pages.
  • Digg
  • Facebook
  • Google
  • funp
  • Funp
  • Live
  • MyShare
  • Plurk
  • TwitThis
  • udn

發表迴響

您的電子郵件位址並不會被公開。 必要欄位標記為 *

*

您可以使用這些 HTML 標籤與屬性: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>