ISO 27001 管理系統

Vibe Prompt

「幫我建立 ISO 27001 的 ISMS 範圍文件與風險評估報告。」

ISMS 建立步驟

1. 定義範圍(哪些系統/部門納入)
2. 制定資安政策
3. 風險評估
4. 風險處理
5. 選擇控制措施(Annex A)
6. 內部稽核
7. 管理審查
8. 外部認證稽核

Annex A 控制措施(精選)

| 編號 | 控制措施 | |------|---------| | A.5 | 資安政策 | | A.6 | 組織分工 | | A.7 | 人力資源安全 | | A.8 | 資產管理 | | A.9 | 存取控制 | | A.10 | 密碼學 | | A.11 | 實體安全 | | A.12 | 作業安全 | | A.13 | 通訊安全 | | A.14 | 系統獲取與開發 | | A.15 | 供應商關係 | | A.16 | 資安事件管理 | | A.17 | 業務持續性管理 | | A.18 | 合規 |

風險評估矩陣

        影響
      低  中  高  極高
發生  ┌───────────────┐
低   │ 🟢 🟢 🟡 🟠 │
中   │ 🟢 🟡 🟠 🔴 │
高   │ 🟡 🟠 🔴 🔴 │
極高 │ 🟠 🔴 🔴 🔴 │
     └───────────────┘

🟢 接受  🟡 監控  🟠 處理  🔴 立即處理

關鍵要點

ISO 27001 認證流程

| 階段 | 內容 | 預估時間 | |:----:|------|:--------:| | 範圍界定 | 定義 ISMS 涵蓋範圍 | 1-2 週 | | 風險評鑑 | 識別資產、威脅、弱點 | 3-4 週 | | 風險處理 | 選擇控制措施 | 2-3 週 | | 文件建立 | 撰寫政策、程序、SOP | 4-6 週 | | 內部稽核 | 模擬外部稽核 | 1-2 週 | | 外部稽核 | 認證機構實地稽核 | 1 週 |

Annex A 核心控制措施

| 類別 | 控制項數 | 重點 | |------|:--------:|------| | A.5 資安政策 | 2 | 政策制定與定期審查 | | A.6 組織分工 | 8 | 角色與責任 | | A.8 資產管理 | 10 | 資產盤點與分類 | | A.9 存取控制 | 14 | 最小權限、帳號管理 | | A.12 作業安全 | 14 | 防惡意軟體、備份、日誌 | | A.16 資安事件 | 7 | 通報與回應 | | A.18 遵循性 | 8 | 法規遵循 |



ISO 27001:資訊安全管理系統

什麼是 ISO 27001?

ISO 27001 是國際標準組織制定的 ISMS(資訊安全管理系統)標準——全球最廣泛被採用的資訊安全標準。通過認證代表公司有一套完整的資訊安全管理流程。

ISMS 的核心要素

| 要素 | 說明 | 文件產出 | |:----|:----|:--------| | 範圍界定 | 哪些系統和業務納入認證 | 範圍文件 | | 風險評估 | 識別、分析、評估資訊安全風險 | 風險評估報告 | | 風險處理 | 選擇控制措施降低風險 | 風險處理計畫 | | 控制措施 | Annex A 的 93 個控制項 | 適用性聲明(SoA) | | 內部稽核 | 定期檢查是否遵循規範 | 內部稽核報告 | | 管理審查 | 高層檢討 ISMS 有效性 | 管理審查記錄 |

PDCA 循環

| 階段 | 活動 | |:----|:----| | Plan(規劃) | 制定資安政策、風險評估、選擇控制措施 | | Do(執行) | 實施控制措施、教育訓練 | | Check(檢查) | 內部稽核、監控、量測 | | Act(改善) | 矯正措施、持續改善 |

下一章預告:SOC 2

ISO 27001 是管理系統標準。下一章的 SOC 2 是服務控制驗證——適用到雲端服務和新創公司。

解鎖完整教學內容

本章為付費內容。加入專案即可解鎖超過 5000 字的深度解析,包含 10 個以上神級 Prompt 與真實 Source Code 範例!