一、前言：

隨著資訊科技的快速發展和普及，政府機關和企業所發現的資訊安全弱點與威脅不斷增加，相對的風險評估也更加的困難。為了保障政府機關和企業的資訊安全，政府通過了《資通安全法》，要求政府機關和相關企業必須建立資訊安全管理制度，採取適當的技術和管理措施，保護資訊安全。

在全球各國越來越重視資訊安全的大環境影響之下，也讓越來越多的企業選擇導入 ISO 27001 (ISMS) 架構，來建立有效的資訊安全管理系統，以面對日益嚴峻的資訊安全威脅和風險。然而，對於許多企業而言，導入 ISO 27001 (ISMS) 架構並非一蹴可幾之事，需要有系統地進行規劃、實施和驗證。

二、遵循台灣資通安全法的急迫性與必需性：

台灣資通安全法是於2018年5月1日正式實施，目的是在提升我國對資通安全的保護力度，以及預防資通安全事件的發生。該法規定各業務機構及相關單位應落實資通安全管理責任，以建立有效的資訊安全管理系統。同時，要求業務機構持續進行資安風險評估與改進，並提交報告以供監督。

依資通安全管理法第七條第一項規定訂定的資通安全責任等級分級辦法，要求適用各機關應依其資通安全責任等級，執行相關應辦事項，以下為A級之公務機關應辦理之事項，依照管理面、技術面、認知與訓練面三大類做區分 （如下圖，參考自資通安全法採購懶人包）。

雖然目前資通安全法的適用對象目前還是侷限在政府機關和相關企業，但是資通安全法要求之資通安全維護計畫或應辦事項，例如上述提及的：導入資訊安全管理系統(ISMS)、採行資訊安全防護措施、提升人員認知等事項，都是因應資安威脅或建置管理制度的重要項目，可提供企業評估資訊安全管理系統之範圍與發展、調整商業策略時參考。

三、ISO 27001 資訊安全管理系統(ISMS)簡介：

ISO 27001 是一個定義了資訊安全管理系統（ISMS）要求的國際標準。

資訊安全管理系統（ISMS） 是一個組織用來保護其資訊資產的框架。它有助於確保組織的數據和資訊受到適當的保護，並減少潛在的風險。

ISO 27001 資訊安全管理系統(ISMS)是利用 PDCA 循環的概念來持續管理資訊安全。PDCA 包含 Plan（計畫）、Do（執行）、Check（檢查）和 Action（調整）。

ISO 27001 提供了一個結構，幫助組織建立、實施、運營、監控、審核、審查和改進其資訊安全管理系統。它涵蓋了各種方面，包括組織的政策、流程、技術和人員。

通過實施 ISO 27001，組織可以：

• 識別和評估資訊資產的風險。
• 制定和實施適當的控制措施，以減輕這些風險。
• 確保資訊安全政策得到遵守。
• 建立一個持續改進的框架，以應對不斷變化的威脅。

四、ISO 27001改版內容：

ISO/IEC 27001：2022 是 ISO/IEC 27001：2013 的最新版本，它對資訊安全管理系統（ISMS）的要求進行了一些變更。以下是 ISO/IEC 27001：2022 與 ISO/IEC 27001：2013 之間的主要差異：

文件名稱：

• ISO/IEC 27001：2013：文件中使用了“國際標準”一詞。
• ISO/IEC 27001：2022：文件中將“國際標準”替換為“文件”。

引用文件：

• ISO/IEC 27001：2013：文件中列舉了一些必要的引用文件。
• ISO/IEC 27001：2022：文件中提到了一些文件，其中部分或全部內容構成了該文件的要求。

新需求：

ISO/IEC 27001：2022 在第4-10條款中增加了一些新的需求，並對某些條款進行了重新排列或重新編寫。重要的變化包括：

• 第4.4條款：增加了建立、實施、維護和持續改進流程及其互動的要求。
• 第5.1條款：增加了關於“業務”一詞的說明。
• 第6.3條款：增加了關於“變更計劃”的新部分。

控制項變化：

ISO/IEC 27001：2022 現在共有93個控制項，而 ISO/IEC 27001：2013 則有114個控制項。

新版本中新增了11個控制項，並將2013版本中的56個控制項合併為24個。許多控制項在2022版本中的文本方面都有一些變化。這93個控制項分為4個主題：組織、人員、實體和技術。

總之，ISO/IEC 27001：2022 在 ISO/IEC 27001：2013 的基礎上進一步發展，考慮了數位領域中的新威脅和挑戰，並強調了風險為基礎的方法和持續改進。

新增的11個控制項：

• A5.7 威脅情資Threat Intelligence
• A5.23 雲服務的資訊安全Information Security For use of Cloud Services
• A5.30 資通訊技術營運持續整備ICT Readiness For Business Continuity
• A7.4 實體安全監控Physical Security Monitoring
• A8.9 組態管理Configuration Management
• A8.10 資訊刪除Information Deletion
• A8.11 資料遮罩Date Masking
• A8.12 資料外洩防護Data Leakage Prevention
• A8.16 監視活動Monitoring Activities
• A8.22 網站過濾Web Filtering
• A8.22 安全程式碼撰寫Secure Coding

舊版ISO/IEC 27001：2013須在 2025 年 10 月 31 日前完成轉換為ISO/IEC 27001：2022。此外，在 2023 年 11 月 1 日之後，新申請之驗證就不可再使用 ISO/IEC 27001：2013 版本稽核。

總之，ISO 27001標準的更新和轉版，為組織提供了更為嚴格和詳細的資訊安全要求，同時也為組織保障資訊安全提供了更好的框架和指引。組織應該密切關注新版本的變化和更新，及時進行相應的調整和改進，以確保資訊安全的有效保護。

華測服務：

• ISO 27001：2022輔導
• IT整合顧問