21世紀企業隨著企業經營環境的變化,對於資訊依賴之重要度提高。資訊(Information),已成為現今企業重要的無形資產,也是企業成功的基礎與命脈。如何確保企業資訊的機密性、完整性及可用性是當今最重要的課題之一,在今日許多組織均處於高度連網(內部網路與網際網路)的環境下,更顯示出其重要性。資訊安全管理系統(Information Security Management Systems 簡稱ISMS)因此孕育而生,由英國工業貿易部倡導,正在全球普遍推行當中;2005年國際標準組織(ISO)已正式頒布ISO 27000:2005資訊安全管理系統標準,且我中華民國也依此制定國家資訊安全標準,編號為CNS 27001。
根據行政院資通安全會報規定,資訊安全等級列A、B級之政府單位必須於96、97年建置完成資訊安全管理系統(ISMS),並取得第三方認證通過。在政府帶動及民間企業也體認ISMS的重要,許多大型電信業者或金融、資訊服務業,為取信於客戶,紛紛推動ISMS的建置。因此,在法規要求以及客戶期望下,這波ISMS建置熱潮帶動下,推行ISO 27001管理系統已成為企業永續經營之必要工作。
ISO 27001條文
4.資訊安全管理系統
4.1一般要求
4.2建立和管理ISMS
4.2.1建立ISMS
4.2.2實施和運作ISMS
4.2.3監控和審查ISMS
4.2.4維護和改善ISMS
4.3文件要求
4.3.1概述
4.3.2文件管制
4.3.3紀錄管制
5.管理責任
5.1管理者承諾
5.2資源管理
5.2.1資源的供應
5.2.2訓練、認知及能力
6.ISMS內部稽核
7.管理審查
7.1概述
7.2審查輸入
7.3審查輸出
8.改善ISMS
8.1持續改善
8.2矯正措施
8.3預防措施
ISO/IEC 20000
ISO20000是國際資訊技術服務管理(IT Service Management)領域的重要標準。
ISO20000, 共分兩部份 :
ISO20000-1:標準規範,對IT服務管理提出了要求,也是驗證的依據。
ISO20000-2:實施守則,對標準的第一部份的內容進行瞭解釋和應用指導。
在ISO20000中的資訊安全管理部份, 以ISO 27001為參考規範.在企業組織ISO20000的實施範圍不大於ISO27001實施的範圍的情況下, 若該企業組織已通過ISO27001驗證,則該企業組織的ISO20000中資訊安全管理部份也將符合標準。
ISO20000的內容分成 5大流程組, 13個管理流程。
13個管理流程包括 :
Incident & Service Request Management (事件與問題請求管理)
Problem Management ( 問題管理 )
Configuration Management (配置管理)
Change Management (變更管理)
Release & Deployment Management (發布與部署管理)
Service Level Management (服務級別管理)
Service Reporting (服務報告)
Availability Management (可用性管理)
Continuity Management (持續性管理)
Capacity Management (能力管理)
Business Relationship Management(業務關係管理)
Supplier Management (供應商管理)
Budgeting & Accounting for Services (財務管理)