Man and a woman with a laptop in a server room

ISO 27001驗證

諮詢我們


資訊安全與系統

在數位化轉型的過程中,"資訊安全 "這個話題對企業來說變得越來越迫切。如果沒有足夠的安全預防措施,就會有資訊遺失和駭客竊取資料,網路攻擊或濫用資料導致業務中斷的風險。系統化的方法之一是選擇根據ISO 27001建立的資訊安全管理系統(ISMS)。

可證明的資料和資訊安全

資訊安全作為企業文化的一部分

有效實施風險管理流程

持續提高 貴公司安全等級

Business10.png

什麼是ISO 27001?

ISO/IEC 27001是實施資訊安全管理系統的領先國際標準。它著重於鑑別、評估和管理訊息處理流程中的風險。強調機密訊息的安全性是重要的戰略要素。

訊息無所不在,是每個流程的一部分。有時它可能是無關緊要的,但往往是關鍵和機密的。為了讓 貴組織對此做出重要區分,有必要對訊息進行分類。分類的保護措施是由ISO/IEC 27001,資訊安全管理系統(ISMS)為依據。

ISMS建立保護營運數據及其機密性的框架。同時,全球公認的標準確保了企業流程中IT系統的可用性。在這種情況下,ISO 27001驗證向市場發出了一個強烈的信號:以獨立的外部評估和確認 貴公司ISMS的有效性。

ISO/IEC 27001 的第二版可以追溯到 2013 年。現在,國際公認的 ISMS 標準已於 2022 年 10 月 25 日在其第三版中更新並重新發佈為 ISO/IEC 27001:2022。 ISO/IEC 27002, 作為 ISO 27001 附件 A 的實施指南,於 2022 年 2 月全面修訂並發佈。

現有 ISO 27001 證書的過渡期為三年,從新 ISO/IEC 27001:2022 發佈月份的最後一天起算。這意味著所有符合 ISO/IEC 27001:2013 的證書在2025 年 10 月 31 日之前必須轉換為ISO 27001 的 2022 更新版本,您可以在我們的文章中了解 "新的ISO/IEC 27001:2022 - 主要變更". 

顯示更多
較少顯示
SEO19.png

ISO 27001驗證適用哪些人?

ISMS標準ISO 27001適用於全世界。它為各種規模和產業的公司提供了一個規劃、實施和監控其資訊安全的框架。這些要求是適合且可應用於私人和上市公司以及非營利組織。

例如,在德國,屬於關鍵基礎設施部門(KRITIS)並超過門檻的公司必須提供證據證明他們如何確保資訊安全。KRITIS產業包括能源、水、衛生、金融和保險、食品、運輸和交通、資訊技術和電信。相應的實施證明可以通過安全稽核、測試或驗證來提供。為此,可將公認的標準,例如 ISO 27001,或德國聯邦資訊安全局(BSI)認可的特定產業安全標準作為稽核的基礎。

顯示更多
較少顯示
Business11.png

為什麼ISO 27001標準對我的公司有用?

導入符合ISO/IEC 27001的ISMS是 貴公司的戰略決策。執行在標準裡特意點出的一般要求必須反映公司的實際情況。在公司的實施取決於需求和目標、安全要求和組織流程,以及公司的規模和結構。

ISO 27001 的附錄 A 將根據公司特定的風險分析與第 6.1.3 節結合使用,在實施中特別有價值。 附件 A 中列出的資訊安全控制直接源自當前 ISO 27002 第 5 至第 8 節中列出的措施並與之保持一致。

此前,ISO/IEC 27001:2013 的附錄 A 共包含 114 項應對資訊安全風險的控制措施,細分為 14 個部分和 35 個控制目標。 在新的 ISO/IEC 27001:2022-10 中,附件 A 現在包含有關安全方面的 93 項控制,分配給 4 個主題領域。

事實證明,將公司流程與ISO 27001保持一致會帶來很多好處。

  • 持續提升安全等級
  • 降低現有風險
  • 遵守合規要求
  • 提高員工意識
  • 提高客戶滿意度

有高階管理人員參與的內部稽核和管理審查是實現這一目標的內部槓桿。

其他的積極面是監督機構、保險公司、銀行、合作夥伴等利益相關方對 貴公司建立了更高的信任。這是因為經過驗證的管理系統表明 貴公司以結構化的方式處理風險,並認同持續改善(CIP),使其更能抵抗有害的影響。

國際標準ISO/IEC 27001也可以獨立於其他管理系統,如 ISO 9001 (品質管理)或 ISO 14001(環境管理)來實施、運行和驗證。

 

顯示更多
較少顯示
Business36.png

誰可以提供ISO 27001 驗證?

為了驗證資訊安全管理系統,相關的驗證機構本身必須獲得ISO/IEC 17021和ISO/IEC 27006的認可。ISO/IEC 17021規定了與符合性評估有關的主題,特別是對稽核和驗證管理系統的檢查機構的要求。

此外,ISO/IEC 27006定義了驗證機構必須遵守的嚴格要求,以便根據ISO 27001驗證ISMS。

這些要求包括

  • 特定稽核工作的證據
  • 稽核員資格的要求。

DQS已獲得德國國家認證機構DakkS(Deutsche Akkreditierungsstelle GmbH)的認可,據此授權依照ISO 27001進行稽核和驗證。

無論 貴公司在哪個產業營運,都可以信賴DQS稽核員的獨特專業知識,擁有多年的各產業資訊安全管理系統的評估經驗。

顯示更多
較少顯示
Business28.png

如何進行ISO 27001驗證?

一旦實施了ISO 27001所有要求, 貴公司的管理系統就能進行驗證。在DQS, 貴公司將經歷一個多階段的驗證流程。如果 貴公司曾經驗證過管理系統,那麼此次的驗證流程就可以縮短。

在第一步,我們討論 貴公司的管理系統和ISO 27001驗證的目標。在此基礎上,貴公司將收到一份為 貴公司個別需求規劃的詳細報價。

驗證項目規劃對於大型方案來說是非常有用的,例如,為了更好地協調多個地點或部門的時程安排和執行稽核。預先評審讓 貴公司有機會提前確定管理系統的優勢和改善潛力。這兩項服務都是可依照客戶意願去選擇是否要執行。

驗證稽核從對 貴公司的ISMS進行系統分析和評估開始(稽核第一階段)。在此,稽核員會確定 貴公司的管理系統是否已經充分發展並準備好進行驗證。在下一步(系統稽核第二階段),稽核員應用ISO 27001標準,評估現場所有管理流程的有效性。稽核結果將在最終會議上提出。如有必要,將商定行動計畫。

驗證稽核結束後,將由DQS的獨立驗證委員會對稽核結果進行審查。如果都符合了所有標準的要求,貴公司將獲得ISO 27001證書。

成功驗證後,貴公司ISMS的關鍵部分每年至少在現場重新稽核一次,以確保持續改善。

ISO 27001證書的有效期最長為三年。重新認證在到期前適時進行,以確保持續符合適用的標準要求。一旦符合要求,將頒發新的證書。

Banking13.png

ISO 27001驗證費用是多少?

四個評估標準

儘管ISO 27001稽核是按照結構化的規範執行的,但費用取決於各種因素,如 貴公司的複雜性。因此,對於任何特定的公司來說,無法有通用的報價。

ISO 27001驗證費用是依照以下四個標準訂定的,其中包括。

1.資訊安全管理系統的複雜性。

考慮到 貴公司的關鍵價值(例如專利、個人數據、設施、流程)。驗證費用主要取決於資訊安全要求以及訊息的機密性、完整性和可用性(VIV)受到影響的程度。

2.在ISMS範圍內的核心業務

在這一點上,尤其是與 貴公司的業務流程相關的風險,在確定所需的稽核工作中有著重要作用。法律要求以及複雜的、個別的客戶要求都被考慮在內。

3.ISMS中使用的主要技術和組件

在稽核中,將檢查 貴公司的ISMS技術以及各個組件。包括IT平台、伺服器、資料庫、應用程式以及區域網路。基本規則是。標準系統的比例越高,IT的複雜性越低,工作量就越少。ISO 27001驗證的成本也取決於此。

4 ISMS中內部開發的比例

如果沒有內部開發,並且主要使用標準化的軟體平台,那麼評估工作量就會降低。如果 貴公司的ISMS的特點是大量使用自主開發的軟體,並且該軟體是用於核心業務領域,那麼驗證工作量會更多。

為了讓我們能夠提供ISMS驗證費用的概況,我們需要事先獲得有關 貴公司的業務模式和應用領域的準確訊息。藉此就可以為 貴公司提供量身規劃的報價。

顯示更多
較少顯示
Business2.png

對DQS的期待

  • 超過35年的管理系統和流程驗證經驗
  • 具有豐富技術知識和產業經驗的稽核員和專家
  • 對 貴公司有增值的洞察力
  • 具有國際認可的證書
  • 所有相關標準的專業知識和認證
  • 來自DQS的專家在區域、國內和國際上提供個人化、順利的支援
  • 有彈性的合約條款與沒有隱藏費用的個別報價
Contact-Asia-woman-shutterstock_1688965729.jpg

報價需求

DQS聯絡窗口

"我們很樂意為 貴公司的ISMS提供量身規劃的ISO 27001驗證報價" 

諮詢報價

新的ISO/IEC 27001:2022--主要變更

在這篇 DQS 部落格文章中,將找到有關修訂後的 ISO 27001:2022 標準的關鍵變更和新增的重要資訊。

閱讀Blog文章

有任何驗證相關問題?

我們歡迎您來信諮詢
聯絡我們