ISO 27001ISO 27001驗證說明會驗證說明會標準檢驗局之驗證程序介紹標準檢驗局之驗證程序介紹

報告人：經濟部標準檢驗局經濟部標準檢驗局

一張證書，全球通行一張證書，全球通行

((One certificate, accepted everywhere)One certificate, accepted everywhere)

標準檢驗局標準檢驗局證書追溯證書追溯TAFTAF及及IAFIAF–– TAF(TAF(財團法人全國認證基金會財團法人全國認證基金會) ,) ,IAF(IAF(國際認證論壇組織國際認證論壇組織))

標準檢驗局各類管理系統認可登錄標誌標準檢驗局各類管理系統認可登錄標誌

QMS 010

EMS 010

QC 002 EC 002 OC 001 FC 005IC 007

BSMI--證書樣本

ISO 27001ISO 27001標準之由來標準之由來

ISO 27001ISO 27001標準係由標準係由[[國際標準化組織國際標準化組織](](ISO)ISO)於於20052005年年1010月制定之「資訊安全管理系統」月制定之「資訊安全管理系統」

驗證標準。驗證標準。

我國於我國於20062006年年66月轉訂為國家標準月轉訂為國家標準CNS 27001CNS 27001。。

ISO 27000ISO 27000系列系列

ISO 27001ISO 27001----ISMSISMS驗證標準驗證標準

ISO 27002ISO 27002----ISMSISMS指導綱要指導綱要

ISO 27003ISO 27003----實施實施ISMSISMS之指引之指引

ISO 27004ISO 27004----ISMS ISMS 量測與尺規指引量測與尺規指引

ISO 27005ISO 27005----ISMS ISMS 風險管理指引風險管理指引

ISO 27006ISO 27006----認認證機構對證機構對ISMSISMS驗證機構之認證驗證機構之認證

規範。規範。

ISO 27007ISO 27007——ISMSISMS稽稽核之指引。核之指引。

ISO/IEC TR 27008 ISO/IEC TR 27008 ——ISMSISMS控制措施之控制措施之稽稽核員核員

指引。指引。

ISO 27001ISO 27001與與ISO 27002ISO 27002之關係之關係

ISO 27001ISO 27001資訊安全資訊安全管理系統之要求管理系統之要求

–– 可應用於組織內部、或為驗證、契約之目的可應用於組織內部、或為驗證、契約之目的

–– 著重在著重在ISMSISMS能符合能符合CIALCIAL之有效性之有效性

ISO 27002ISO 27002資訊安全資訊安全管理之指引管理之指引

–– 可作為組織建立、維持及改善其可作為組織建立、維持及改善其ISMSISMS的指導綱要及一般原則，特的指導綱要及一般原則，特

別是發展別是發展組織的安全標準與有效的安全管理實務組織的安全標準與有效的安全管理實務，較，較ISO 27001ISO 27001更更為廣泛。為廣泛。

–– 可作為超越可作為超越ISO 27001ISO 27001要求，追求績效的持續改進之一項指引要求，追求績效的持續改進之一項指引

–– 不可作為驗證或契約之目的不可作為驗證或契約之目的

C:機密性I:完整性A:可用性L:適法性

ISO 27001ISO 27001標準之目的標準之目的

要求組織應在其整體營運活動與其所面臨要求組織應在其整體營運活動與其所面臨風風險的狀況險的狀況下，下，

建立、實施、維持及持續改進建立、實施、維持及持續改進一文件化一文件化ISMSISMS，，

確保符合確保符合由風險評鑑、適用法規及其他要求由風險評鑑、適用法規及其他要求所決定之資安要求所決定之資安要求，，

確保確保選擇適切的及相稱的安全控制措施選擇適切的及相稱的安全控制措施，，

保護資訊資產保護資訊資產並提高利害相關者信心。並提高利害相關者信心。

ISO 27001之內部效益

1.提高員工資安意識，增進知識累積與經驗傳承，進而提升企業資訊安全管理能力。

2.降低資安風險，減少損失。

3.強化資安控制，減少客戶抱怨。

4.可為企業找到落實標準化、制度化之捷徑，減少作業偏差。

ISO 27001登錄之外部效益

1.增加採購商、客戶及消費者之信心，有效提升競爭力，進而拓展行銷市場。

2.減少不同客戶對公司之重複資安稽核，避免人力、物力...浪費。

3.可經由完整而客觀之外部評鑑，評估公司ISMS運作方向是否符合國際標準規定。

4.符合國家政策要求。

ISO 27001ISO 27001驗證之意義驗證之意義

ISO 27001ISO 27001係一般性之係一般性之ISMSISMS標準，適用於任標準，適用於任何產業、組織或機構，不限使用於某特定之何產業、組織或機構，不限使用於某特定之行業。行業。

經由公正獨立的第三者驗證機構對廠商之經由公正獨立的第三者驗證機構對廠商之ISMSISMS，，依據依據ISO 27001ISO 27001標準予以評鑑之整個標準予以評鑑之整個過程。過程。

標檢局標檢局ISO 27001ISO 27001驗證作業－申請流程驗證作業－申請流程提出申請提出申請

文件初審文件初審

正式受理正式受理

派遣主導評審員派遣主導評審員

資安手冊審查資安手冊審查

赴廠訪談赴廠訪談((最多最多22次次))派遣評審員派遣評審員

確定評鑑計畫確定評鑑計畫

繳交申請費及評鑑作業人天費繳交申請費及評鑑作業人天費

現場實地評鑑現場實地評鑑

評鑑報告審核評鑑報告審核

無主要缺點無主要缺點 有主要缺點有主要缺點

繳交年費及證書費繳交年費及證書費 未認可登錄未認可登錄

登錄及發證登錄及發證 複評或重新申請複評或重新申請

納入追查納入追查

一、每年例行追查一、每年例行追查11次次(1) (1) ISMSISMS追查頻率每年追查頻率每年11次，特殊情況得增加次，特殊情況得增加((例：例：

配合組織要求額外辦理增列配合組織要求額外辦理增列) ) 。。(2) (2) 每每33年重新評鑑年重新評鑑((Reassessment)1Reassessment)1次。次。

重新評鑑以重新評鑑以全項追查全項追查方式進行。方式進行。

原登錄為原登錄為9595年，重新評鑑年，重新評鑑：：9898年、年、101101年、年、104104年年......每三年之重新評鑑，組織每三年之重新評鑑，組織不須重提申請書不須重提申請書。。

二、本局不提供輔導二、本局不提供輔導

行政管理議題行政管理議題

審查費：每件審查費：每件 NT$NT$ 10,00010,000元元 證書費：每件證書費：每件NT$NT$ 2,0002,000元元 登記費：每年登記費登記費：每年登記費NT$NT$ 12,00012,000，，第第11年以當年以當年度剩餘登錄月份年度剩餘登錄月份，，按比例計收。按比例計收。

評鑑費：每人天評鑑費：每人天NT$NT$ 8,0008,000元元

標檢局標檢局ISO 27001ISO 27001驗證作業驗證作業——收費收費

導入導入ISO 27001ISO 27001之模式之模式——建制之各階段建制之各階段

1.1.導入準備階段導入準備階段

2.2.推行規劃階段推行規劃階段

3.3.教育推廣階段教育推廣階段

4.4.系統建立階段系統建立階段

5.5.運作實施階段運作實施階段

6.6.申請驗證階段申請驗證階段

7.7.落實維持階段落實維持階段

ISO 27001ISO 27001建制之推行步驟建制之推行步驟（（11））

1.1.宣示推行決心和承諾宣示推行決心和承諾

2.2.成立推行組織及編組成立推行組織及編組

3.3.管理系統診斷管理系統診斷

4.4.培訓種子人員培訓種子人員

5.5.訂頒推行計畫訂頒推行計畫

6.6.文件製作分工文件製作分工

7.7.加強內部宣導加強內部宣導

8.8.全員教育訓練全員教育訓練

9.9.文件製作訓練文件製作訓練

10.10.特殊作業人員訓練特殊作業人員訓練

11.11.種子人員輔導推行種子人員輔導推行

12.12.現行作業文件與流程檢討現行作業文件與流程檢討

13.13.修訂作業規範修訂作業規範

14.14.撰寫文件撰寫文件

ISO 27001ISO 27001——建制之推行步驟建制之推行步驟（（22））

15.15.管理系統全面實施管理系統全面實施

16.16.實施內部稽核實施內部稽核

17.17.實施管理審查實施管理審查18.18.管理系統之修正管理系統之修正19.19.模擬評鑑（視需要）模擬評鑑（視需要）20.20.申請驗證申請驗證21.21.文件審查與初訪（訪談）文件審查與初訪（訪談）

ISO 27001ISO 27001——建制之推行步驟建制之推行步驟（（33））

ISO 27001ISO 27001——建制之推行步驟（建制之推行步驟（44））

22.22.管理系統再修正管理系統再修正23.23.現場評鑑現場評鑑24.24.發證發證

25.25.管理系統落實運作管理系統落實運作

26.26.定期追查定期追查