ISO27001有14大控制項目，這些你都知道嗎？

由於資訊安全的涵蓋範圍廣泛，控制措施也會因企業規模、流程而有所差異，所以ISO27001的附錄A中，有列出不同的管控項目，提供企業參考，其中A.5-A.18這14項為最常被提及的控制項目。

ISO27001 14項資安管控項目：

• 資訊安全政策：建立資安政策，並實際管理和定期審查資訊安全措施。
• 資訊安全組織：描述資安組織、部門與相關人員權責。
• 人力資源安全：確保員工入職、離職和更換職位時，清楚了解資安威脅、安全責任與相關事宜。
• 資產管理：建立資產所涉及的流程與保管、使用策略，以確保資訊完整性。
• 存取控制：建立員工資安權限管理策略，並讓員工了解其職責與義務。
• 密碼：使用加密的密碼，保護資訊的機密性、完整性、可用性。
• 物理性及環境安全：描述如何保護資產所在地、設備與建築物的安全，需防止未經授權的外人貿然來訪。
• 作業安全：提供如何正確且安全蒐集、儲存資訊的指導。
• 通訊安全：涵蓋所有網路傳輸的安全性、可用性，需做好資訊備份與網路安全管理。
• 系統存取、開發和維護：詳細說明系統存取、開發及維護中的安全措施流程。
• 供應商關係：說明組織如何在確保資訊安全之下，與外部單位互動。
• 資訊安全事件管理：描述如何處理可能造成資安受損之事件的最佳方法。
• 可持續營運的資訊安全層面：涵蓋當業務中斷（例如故障、天災）應該如何處理並及時恢復，減少業務中斷影響。
• 符合規範：確保資安政策、操作與管理過程，都要符合組織所隸屬之國家法律規範。

(三) 關於ISO27001改版

由於ISO組織每5年會重新檢核並小幅更新各項ISO標準，每8年可能進行大幅度改版，以確認該守則是否仍滿足當時社會需求，所以按照ISO27001的版本更迭來看，從2013年至今8年未更改，因此ISO 27001 2021年起就有不少改版傳聞。

目前已知ISO 27001的附錄ISO 27002，已在2022年2月15日推出新版本，按照這種情況來看，ISO 27001 2022年也有極大可能會出現重大改版，詳細可以參考這篇說明：一篇看懂所有關於ISO27001:2022 與ISO27002:2022 改版資訊問與答。

（補充：ISO 27001說明了資訊安全管理系統的規範，而ISO27002則是實踐ISO27001的指導手冊，幫助企業更好應用與落實。）

三、ISO27001課程推薦，就找輔導顧問驪鑫Lixin！

(一) ISO 27001輔導：驪鑫怎麼幫助你？

從前述ISO 27001的介紹中，相信你也意識到其實ISO27001導入並不是只有IT、工程部門需要注重的事情，而是組織內部全體員工都需要建立起對資訊安全的意識。

因此在組織提出申請前，組織內部有對此熟悉且專責的人持續監督，才能夠順利通過ISO27001主導稽核員的嚴格檢核。

那麼該怎麼讓同事之間相互支持與監督？這正是我們驪鑫出場的時刻！

在ISO27001監督的過程中，主導稽核員通常是驗證公司聘用的專業人員，對相關系統意識和知識儲備要求高，訓練時間較長，費用也較高。

但企業一般不需要強求員工一定得花ISO27001考試費用，只需要短短幾天的培訓，就讓員工取得內部稽核員的資格，這已經足以協助組織系統正常運作，找出改善及提升的機會。而如果員工想要再精進自己，則可以另外再選擇是否要考主導稽核員。

💡驪鑫內部稽核課程，可以幫助學員了解ISO27001的條文要求以及建立資訊安全管理系統的過程、方法、風險鑑別和評估等等，課程中以講師授課、課程討論、現場模擬、實際案例討論等多種方法交互進行，以確保最佳學習效果。

💡驪鑫主導稽核員課程，則是結合課前問卷、專案研討、小組討論、課後考試等參與式學習，培養學員深入研討ISMS的稽核方式與技巧。

(二) 最佳ISO 27001課程與顧問輔導請找驪鑫Lixin！

驪鑫的顧問師與講師團隊具備專業且豐富的實戰經驗，服務超過400家企業，教學過的學員破1,000人，稽核通過率100%，能全方位滿足企業客製化需求，在有限時間內協助您取得證書，完善企業體制並順利延續訂單！

驪鑫ISO27001課程特色為：

• 永續服務：一次輔導，永久諮詢，每年提醒驗證準備清單。
• 客製化服務：完全依照公司實際狀況建立制度，優化企業執行結果，降低導入不適狀況。
• 整合服務：與全國各大驗證公司皆有合作，可以直接為企業詢價，企業不必重複諮詢。

驪鑫可承接客製化ISO27001課程輔導方案，保證企業一定通過ISO27001認證，如果有相關需求，或是想知道詳細ISO27001輔導費用，歡迎跟我們聯繫。

(三) ISO27001課程適用的產業及對象

透過學習ISO27001課程，你將理解ISO27001的目的和內容，進一步了解資訊安全管理系統建置的建立、執行、運作監督、檢視及持續改善管理系統之流程，並能夠熟悉稽核員的工作內容和稽核過程應注意事項，成為可以勝任資訊安全管理系統稽核工作的主導稽核員。

ISO27001適合對象：

• 資訊技術 （IT） 、內部稽核、電腦稽核相關人員
• 欲從事ISO 27001諮詢、顧問之人員
• 風險管理、財務稽核部門相關人員
• 公司治理、政策制定經理人
• 欲建立一套符合 ISO 27001 標準之資訊安全管理系統的企業

最後，對於ISO 27001的導入或驗證，若還有其他疑問，歡迎透過下方按鈕與我們聯繫，將由專人為您服務！