資訊安全標準概述

資訊安全標準：ISO 2700X系列標準

ISO 2700x系列資訊安全標準涵蓋資訊安全領域的各種主題。例如，國際標準規定了… ISO 27001資訊安全管理系統（ISMS） ISO 27701資料保護管理系統ISO 27017 ISO 27005 為雲端運算的資訊安全措施提供指導，並為資訊安全風險管理提供指導方針。

各行各業的公司都能從這些資訊安全標準的系統化結構中獲益。它能夠保護機密資料免遭遺失和濫用，並有助於可靠地識別和降低（潛在）威脅。此方法有助於確保企業IT系統的可用性，從而優化業務流程、降低IT和流程成本，並最大限度地降低業務和責任風險。

認證是一項競爭優勢。

認證ISO 27001例如，DQS 的做法需要一定的準備和精力。然而，該公司提供了書面證明，證明其符合資訊安全要求，並採取措施保護敏感的公司資料。這無疑是一項競爭優勢。

你應該了解的十項資訊安全ISO標準

以下列表概述了資訊安全領域 ISO 2700x 系列標準的現狀。所有標準均可從以下管道購買： ISO網站。

ISO 27001 - 資訊安全管理系統的要求

在數據和資訊如同稀缺商品般交易的時代，保護它們至關重要。一個結構完善、符合標準的全面安全策略，是有效實施整體安全策略的最佳基礎。 ISO 27001這是國際公認的私人、公共或非營利組織資訊安全標準，它不僅涵蓋了資訊科技安全的內容。

一個ISO 27001資訊安全管理系統 (ISMS) 定義了組織中需要保護的資訊的安全要求、規則和方法。 ISO 標準提供了一個用於建立、實施、監控和改進資訊安全保護等級的模型。其目標是識別公司面臨的潛在風險，分析這些風險，並透過適當的措施使其可控。 ISO 27001制定此類要求管理系統這些都將作為外部審計的一部分接受審計。認證流程。

您可以使用以下標準實現這一點：

• 將敏感資訊的安全保障融入企業流程的各個環節。
• 預防性保障措施旨在實現資訊的保密性、可用性和完整性等保護目標。
• 透過持續改善安全等級來維持業務連續性
• 對員工進行安全意識培訓，並顯著提高公司各層級的安全意識。
• 與利害關係人建立信任
• 建立有效的風險管理流程

ISO 27019 - 能源供應資訊安全措施。

這ISO 27019資訊安全標準制定了針對能源產業領域的配套措施。

此標準可協助您保護用於控制和監控電能、天然氣、石油和熱能的生產、傳輸、儲存和分配以及控制相關支援流程的電子製程控制系統。

您可以利用該標準做什麼：

• 有系統地確保資訊的保密性、可用性和完整性等保護目標的實現。
• 持續提升安全等級和抵禦未經授權存取的能力
• 提高行動安全性和法律確定性，增強對相關合規要求的遵守情況
• 提高員工和管理階層的安全意識
• 在所有利害關係人中建立高度信任和忠誠度
• 向相關當局（例如德國聯邦網路管理局 (BNetzA)）出示公認的證據，證明您的安全措施有效。

ISO 27006 - 認證機構的要求

ISO 27006 標準針對像 DQS 這樣對資訊安全管理系統進行認證的機構。該標準描述了認證機構在評估客戶管理系統時必須遵循的要求。 ISO 27001用於認證。

例如，這包括對特定審計工作或資格規範的證明。審計員標準中概述的認證流程保證了這一點。 ISO 27001由認可的認證機構頒發的證書具有國際效力。

使用此標準您可以實現以下目標：

• 認證、監督和再認證審核程序的統一標準
• 確保有效性ISO 27001證書
• 確保滿足審核工作量和計算及執行認證程序人員資格的最低要求。

ISO 27002 - 資訊安全控制指南

依據 ISO 27001 標準的資訊安全管理系統 (ISMS) 包含規範性附錄 A：參考控制目標和控制措施。該附錄列出了與組織相關的、作為管理體系一部分需要實施的具體措施。 ISO 27002這是一份指導方針，其中包含對實施 ISO 27001 措施的建議。

該指南於 2022 年初進行了全面修訂和更新。新版本為資訊安全管理人員提供了精確的實施指導，以確保不會遺漏任何應對資訊安全風險的重要措施。

您可以利用此標準做什麼：

• 支援實施ISO 27001
• 落實附件A中關於控制措施的建議ISO 27001

ISO 27000 - 資訊安全管理系統概述與詞彙

ISO 27000 包含 ISO 2700X 系列標準中使用的術語和定義。 ISO 27000 概述了資訊安全管理系統以及 ISO 2700X 系列標準及其資訊安全標準。

在術語表中，（技術）術語會被明確、正式地定義。

您可以利用此標準做什麼：

• 術語表：涵蓋資訊安全領域 ISO2700x 系列標準中使用的大部分技術術語。
• 術語清晰度
• 評估人員之間對詞彙的清晰理解（「共同語言」）
• 資訊安全管理系統概述：資訊安全、風險與安全管理以及管理系統的介紹

ISO 27701 - 資料保護管理指南

資訊安全標準，特別是與資料隱私相關的標準ISO 27701指定一個資料保護管理系統基於ISO 27001符合 ISO 27002（資訊安全控制）和 ISO 29100（資料隱私架構）標準，能夠妥善處理個人資料處理和資訊安全問題。這適用於個人資料的控制者和處理者。

如何才能達到這一標準並取得成功：

• 更好地管理個人資料和資訊安全
• 將通用資訊風險管理原則更易於應用於個人數據
• 對齊並擴展控件ISO 27001以及相關的 ISO 27002

ISO 27017 - 雲端服務資訊安全措施指南

這ISO 27017該標準在資訊安全標準框架內，為雲端運算中的資訊安全措施提供了指導。

它推薦、支援並提供實施雲端特定資訊安全控制的額外措施。

使用此標準您可以實現以下目標：

• 了解雲端運算的資訊安全方面。
• 設計並實施雲端特定的資訊安全控制
• 對雲端運算資訊安全選擇、實施和管理選項的控制

ISO 27018 - 雲端服務資料保護指南。

這ISO 27018該標準提供指導，以確保雲端服務提供者提供適當的資訊安全控制措施，透過保護委託給他們的個人資料來保護其客戶的隱私。

該標準遵循以下原則： ISO 27017 （雲端服務中的資訊安全措施），涵蓋了雲端運算中除資料保護之外的其他資訊安全方面。

以下是使用該標準可以實現的功能：

• 選擇個人識別資訊 (PII) 保護控制措施，作為實施基於雲端運算的資訊安全管理系統的一部分。 ISO 27001 。
• 實施普遍認可的個人識別資訊保護控制措施。
• 深入了解該標準，因為它以 ISO 27002 為基礎，並在某些方面擴展了其一般性建議。
• 將經合組織隱私原則與多項資料保護法律法規連結起來

ISO 27005 - 資訊安全風險管理指南。

ISO 27005 標準為資訊安全風險管理提供指導，並支援本文所述的一般概念。 ISO 27001 。

ISO 27005 也旨在支援基於風險管理理念的資訊安全實施。

您可以使用標準方法做到這一點：

• 實施基於風險管理的資訊安全措施。
• 風險管理背景的定義
• 對相關資訊風險進行定量或定性評估（即識別、分析和評估）
• 持續監測和審查風險、風險應對措施、要求和標準
• 妥善處理風險
• 與所有利害關係人保持持續溝通

ISO 27007 - 資訊安全管理系統審核指南

ISO 27007 是進行審核的指南，適用於根據標準評估資訊安全管理系統 (ISMS) 的內部和外部審核員。 ISO/IEC 27001 。

本指南主要依據管理系統審核指南（ISO 19011），並提供資訊安全管理系統（ISMS）額外指引。

以下是如何透過標準獲得成功的方法：

• 專門針對以下方面的指導ISO 27001 ISMS審核
• 規劃和實施審核的指南，整合自 ISO 19011
• 關於資訊安全管理系統審核員能力的重要訊息
• 理解並執行資訊安全管理系統審核

DQS－我們能為您做什麼

DQS一直是該領域的領先專家認證的管理系統自 1985 年以來，該行業一直致力於相關流程。自那時起， DQS的歷史與歷史密切相關ISO 9001我們每年約有3萬個審核日，將我們遍布全球的專業知識和對標準的深刻理解帶給我們的客戶。這樣您就可以了解您的選擇。

信任和專業知識

我們的文本和白皮書均由我們的標準專家或資深審計師撰寫，資訊安全標準概述也是如此。如果您對文字內容或我們為作者提供的服務有任何疑問，請隨時與我們聯絡。

資訊安全標準：ISO 2700X 系列標準中的其他主題

ISO 27003－資訊安全管理系統的發展與實施指南

ISO/IEC 27003:2017

資訊科技 - 安全科技 - 資訊安全管理系統 - 指南。

ISO 27004－資訊安全管理測量方法指南

ISO/IEC 27004:2016

資訊科技 - 安全科技 - 資訊安全管理 - 監控、測量、分析和評估。

ISO 27008－資訊安全措施評估指南

ISO/IEC TS 27008:2019

資訊科技 - 安全科技 — 資訊安全控制評估指南

ISO 27009 - 資訊管理系統產業特定應用指南

ISO/IEC 27009:2020

資訊安全、網路安全和隱私保護—特定領域的應用ISO/IEC 27001 - 要求

ISO 27010－跨部門和跨組織通訊資訊安全管理指南

ISO/IEC 27010:2015

資訊科技 - 安全科技 — 跨部門和跨組織通訊的資訊安全管理

ISO 27011－電信業資訊安全管理指南

ISO/IEC 27011:2016

資訊科技 - 安全科技 — 基於 ISO/IEC 27002 的電信組織資訊安全控制實務規範

ISO 27013 - 資訊安全管理系統與IT服務管理整合實施指南

ISO/IEC 27013:2021

資訊安全、網路安全與隱私保護－綜合實施指南ISO/IEC 27001和ISO/IEC 20000-1

ISO 27014—資訊安全“治理”

ISO/IEC 27014:2020

資訊安全、網路安全與隱私保護－資訊安全治理

ISO 27016 - 資訊安全管理的經濟學

ISO/IEC TR 27016:2014

資訊科技—安全技術—資訊安全管理—組織經濟學

ISO 27021 - 資訊安全管理系統專業人員能力要求

ISO/IEC 27021:2017/AMD 1:2021

技術－資訊安全管理系統專業人員的能力需求－修訂1：新增ISO/IEC 27001:2013能力要求條款或子條款

ISO 27031－業務連續性指南

ISO/IEC 27031:2011

資訊科技—安全技術—資訊與通訊科技業務連續性準備指南

提示：閱讀我們關於業務連續性管理的部落格文章，以了解其內容。 ISO 22301該標準旨在確保公司在特殊情況下能夠繼續生存。

ISO 27032 - 網路安全指南

ISO/IEC 27032:2012

資訊科技—安全科技—網路安全指南

ISO 27033 - 網路安全指南

ISO/IEC 27033

資訊科技 - 安全科技 - 網路安全
第一部分：概述與概念；第二部分：網路安全設計與實施指南；第三部分：參考網路場景－威脅、設計技術與控制問題；第四部分：使用安全閘道保護網路間通訊；第五部分：使用虛擬專用網路 (VPN) 保護跨網路通訊；第六部分：保護無線 IP 網路存取。

ISO 27034 - 應用安全指南

ISO/IEC 27034

資訊科技 - 安全科技 - 應用安全
第一部分：概述與概念；第二部分：組織規範架構；第三部分：應用安全管理流程；第四部分：驗證與確認；第五部分：協定與應用安全控制資料結構；第六部分：個案分析；第七部分：保障預測架構

ISO 27035 - 資訊安全事件管理指南

ISO/IEC 27035

資訊科技 - IT 安全實務 - 資訊安全事件管理
第一部分：事件管理基礎；第二部分：事件回應計畫與準備指南；第三部分：資訊與通訊科技事件回應指南（草案）

ISO 27036 - 供應商關係指南

ISO/IEC 27036

資訊科技 - 安全科技 - 供應商關係的資訊安全
第一部分：概述與概念；第二部分：要求；第三部分：資訊與通訊技術供應鏈安全指南；第四部分：雲端服務安全指南

ISO 27037 - 數位證據處理指南。

ISO/IEC 27037:2012

資訊科技—安全科技—數位證據的識別、收集、取得和保存指南

ISO 27038 - 數位編輯規範

ISO/IEC 27038:2014

資訊科技 - 安全科技 - 數位編輯規範

ISO 27039 - 入侵偵測系統 (IDPS) 指南

ISO/IEC 27039:2015

資訊科技 - 安全技術 — 入侵偵測和防禦系統 (IDPS) 的選擇、部署和運行

ISO 27040 - 儲存安全指南

ISO/IEC 27040:2015

資訊科技 - 安全科技 - 儲存安全

ISO 27041 - 事故調查方法指南

ISO/IEC 27041:2015

資訊科技 - 安全科技 — 確保事件調查方法的適用性和充分性的指南

ISO 27042 - 數位證據分析與解釋指南。

ISO/IEC 27042:2015

資訊科技—安全科技—數位證據分析與解讀指南

ISO 27043 - 事故調查流程指南。

ISO/IEC 27043:2015

資訊科技 - 安全科技 — 事件調查原則與流程

ISO 27050 - 電子偵測指南

ISO/IEC 27050

資訊科技—電子取證
第一部分：概述與概念；第二部分：電子取證治理與管理指引；第三部分：電子取證實務準則

ISO 27102 - 網路保險指南

ISO/IEC 27102:2019

資訊安全管理—網路保險指南

ISO 27103 - 網路安全和 ISO/IEC 標準指南

ISO/IEC TR 27103:2018

資訊科技 - 安全技術 - 網路安全以及 ISO 和 IEC 標準

ISO 27550 - 系統生命週期流程的隱私工程

ISO/IEC TR 27550:2019-09

資訊科技 - 安全科技 — 系統生命週期流程的隱私工程

ISO 27799 - 醫療保健產業的資訊安全管理

ISO 27799:2016

健康資訊學—基於 ISO/IEC 27002 的健康資訊安全管理