資訊安全與系統
可證明的資料和資訊安全
資訊安全作為企業文化的一部分
有效實施風險管理流程
持續提高貴公司資訊安全等級
什麼是 ISO 27001?
訊息無所不在,是每個流程的一部分。有時它可能是無關緊要的,但往往是關鍵和機密的。為了讓 貴組織對此做出重要區分,有必要對訊息進行分類。分類的保護措施是由 ISO/IEC 27001,資訊安全管理系統(ISMS)為依據。
ISMS 建立保護營運數據及其機密性的框架。同時,全球公認的標準確保了企業流程中 IT 系統的可用性。在這種情況下,ISO 27001 驗證向市場發出了一個強烈的信號:以獨立的外部評估和確認貴公司ISMS 的有效性。
ISO/IEC 27001 的第二版可以追溯到 2013 年。現在,國際公認的 ISMS 標準已於 2022 年 10 月 25 日在其第三版中更新並重新發佈為 ISO/IEC 27001:2022。 ISO/IEC 27002, 作為 ISO 27001 附件 A 的實施指南,於 2022 年 2 月全面修訂並發佈。
現有 ISO 27001 證書的過渡期為三年,從新 ISO/IEC 27001:2022 發佈月份的最後一天起算。這意味著所有符合 ISO/IEC 27001:2013 的證書在 2025 年 10 月 31 日之前必須轉換為 ISO 27001 的 2022 更新版本,您可以在我們的文章中了解「新的ISO/IEC 27001:2022 - 主要變更」
ISO 27001 驗證適用哪些人?
例如,在德國,屬於關鍵基礎設施部門(KRITIS)並超過門檻的公司必須提供證據證明他們如何確保資訊安全。KRITIS 產業包括能源、水、衛生、金融和保險、食品、運輸和交通、資訊技術和電信。相應的實施證明可以通過安全稽核、測試或驗證來提供。為此,可將公認的標準,例如 ISO 27001,或德國聯邦資訊安全局 (BSI) 認可的特定產業安全標準作為稽核的基礎。
為什麼 ISO 27001 標準對您的企業有用?
ISO 27001 的附錄 A 將根據公司特定的風險分析與第 6.1.3 節結合使用,在實施中特別有價值。 附件 A 中列出的資訊安全控制直接源自當前 ISO 27002 第 5 至第 8 節中列出的措施並與之保持一致。
此前,ISO/IEC 27001:2013 的附錄 A 共包含 114 項應對資訊安全風險的控制措施,細分為 14 個部分和 35 個控制目標。 在新的 ISO/IEC 27001:2022-10 中,附件 A 現在包含有關安全方面的 93 項控制,分配給 4 個主題領域。
事實證明,將公司流程與 ISO 27001 保持一致會帶來很多好處。
- 持續提升安全等級
- 降低現有風險
- 遵守合規要求
- 提高員工意識
- 提高客戶滿意度
有高階管理人員參與的內部稽核和管理審查是實現這一目標的內部槓桿。
其他的積極面是監督機構、保險公司、銀行、合作夥伴等利益相關方對 貴公司建立了更高的信任。這是因為經過驗證的管理系統表明 貴公司以結構化的方式處理風險,並認同持續改善(CIP),使其更能抵抗有害的影響。
國際標準 ISO/IEC 27001 也可以獨立於其他管理系統,如 ISO 9001 (品質管理)或 ISO 14001(環境管理)來實施、運行和驗證。
誰可以提供 ISO 27001 驗證?
此外,ISO/IEC 27006 定義了驗證機構必須遵守的嚴格要求,以便根據 ISO 27001 驗證 ISMS。
這些要求包括
- 特定稽核工作的證據
- 稽核員資格的要求。
DQS 已獲得德國國家認證機構 DakkS(Deutsche Akkreditierungsstelle GmbH)的認可,據此授權依照 ISO 27001 進行稽核和驗證。
無論您的公司在哪個產業營運,都可以信賴 DQS 稽核員的獨特專業知識,我們擁有多年的各產業資訊安全管理系統的評估經驗。
如何進行 ISO 27001 驗證?
一旦實施了 ISO 27001 所有要求, 您的公司的管理系統就能進行驗證。在 DQS 做稽核,您的公司將經歷一個多階段的驗證流程。如果您的公司曾經驗證過管理系統,那麼此次的驗證流程就可以縮短。
在第一步,我們討論您的公司的管理系統和 ISO 27001 驗證的目標。在此基礎上,貴公司將收到一份針對個別需求規劃的詳細報價。
驗證稽核從對 貴公司的 ISMS 進行系統分析和評估開始(稽核第一階段)。在此,稽核員會確定貴公司的管理系統是否已經充分發展並準備好進行驗證。在下一步(系統稽核第二階段),稽核員應用 ISO 27001 標準,評估現場所有管理流程的有效性。稽核結果將在最終會議上提出,如有必要,將商定行動計畫。
驗證稽核結束後,將由 DQS 的獨立驗證委員會對稽核結果進行審查。如果都符合了所有標準的要求,貴公司將獲得 ISO 27001 證書。
成功驗證後,貴公司 ISMS 的關鍵部分每年至少在現場重新稽核一次,以確保持續改善。
ISO 27001 證書的有效期最長為三年。重新認證在到期前適時進行,以確保持續符合適用的標準要求。一旦符合要求,將頒發新的證書。
ISO 27001 驗證費用是多少?
ISO 27001 驗證費用是依照以下四個標準訂定的,其中包括。
1.資訊安全管理系統的複雜性。
考慮到 貴公司的關鍵價值(例如專利、個人數據、設施、流程)。驗證費用主要取決於資訊安全要求以及訊息的機密性、完整性和可用性(VIV)受到影響的程度。
2.在 ISMS 範圍內的核心業務
在這一點上,尤其是與 貴公司的業務流程相關的風險,在確定所需的稽核工作中有著重要作用。法律要求以及複雜的、個別的客戶要求都被考慮在內。
3.ISMS 中使用的主要技術和組件
在稽核中,將檢查貴公司的 ISMS 技術以及各個組件。包括 IT 平台、伺服器、資料庫、應用程式以及區域網路。基本規則是,標準系統的比例越高,IT 的複雜性越低,工作量就越少。ISO 27001驗證的成本也取決於此。
4 ISMS 中內部開發的比例
如果沒有內部開發,並且主要使用標準化的軟體平台,那麼評估工作量就會降低。如果貴公司的 ISMS 的特點是大量使用自主開發的軟體,並且該軟體是用於核心業務領域,那麼驗證工作量會更多。
為了讓我們能夠提供 ISMS 驗證費用的概況,我們需要事先獲得有關您的公司的業務模式和應用領域的精準資訊。藉此就可以為您提供量身規劃的報價。
對DQS的期待
新的 ISO/IEC 27001:2022 -- 主要變更
在這篇 DQS 部落格文章中,將找到有關修訂後的 ISO 27001:2022 標準的關鍵變更和新增的重要資訊。