ISO 27001
ISO 27001 · Information Security Management
ISO 27001
ISO 27001
資訊安全管理系統
輔導認證
全球最廣泛採用的資訊安全管理系統(ISMS)國際標準, 透過系統化風險評估與 93 項控制措施, 保護企業資訊資產的機密性、完整性與可用性, 回應供應鏈資安稽核、法規合規與客戶信任三大挑戰。
2022
最新版本(第三版)
93
附錄 A 控制措施數
11
2022 版新增控制措施
70+
國家政府法規採用
What is ISO 27001 · 標準介紹
什麼是 ISO 27001?
ISO 27001 是由國際標準化組織(ISO)與國際電工委員會(IEC)聯合發布的 資訊安全管理系統(ISMS)國際標準, 幫助各類型組織透過系統化的風險管理方法, 識別資訊資產的威脅與弱點,並實施適當的控制措施保護資訊安全。
ISO 27001 的核心是建立一套以 PDCA 循環驅動的管理架構, 而非僅依賴技術手段。標準涵蓋: 組織背景分析、資訊資產清冊、風險評估、適用性聲明書(SoA), 以及 93 項跨組織、人員、實體、技術四大類別的控制措施。
最新版本 ISO 27001:2022 採用 ISO HLS 高階架構, 可與 ISO 9001、ISO 14001、ISO 45001 整合, 同時新增 11 項因應雲端化與現代威脅的控制措施, 包含威脅情報、雲端服務安全、資料屏蔽、資料外洩防護等。
⚠️ 換版期限警示
持有 ISO 27001:2013 認證的組織, IAF(國際認可論壇)規定須於 2025 年 10 月 31 日前完成換版, 逾期後舊版認證將失效。主要換版工作為:新增 11 項控制措施的評估、 SoA 更新,以及條款細部修訂的落實。
科技 / 軟體 / SaaS 業者
客戶合約或 RFP 中常要求 ISO 27001 認證作為最低資安基線,是進入企業市場的敲門磚。
製造業 / 科技供應鏈
TSMC、Apple、HP 等品牌客戶資安稽核要求,ISO 27001 是最具公信力的資安管理能力憑證。
金融 / 保險業
金管會資安管理法規要求,以及客戶對金融資料保護的高度期待,ISO 27001 是合規的重要依據。
醫療 / 健康科技業
病患個資屬最敏感的資訊資產,醫療機構與健康 App 業者均面臨資安合規與客戶信任的雙重壓力。
CIA Triad · 資安三要素
ISO 27001 保護的三大資訊安全要素
資訊安全管理的目標是同時保護資訊的三個核心屬性(CIA), 缺少任何一項都不算完整的資訊安全。
C
機密性(Confidentiality)
確保資訊只被授權的人存取,未授權者無法讀取或取得。包含存取控制、加密、資料分類等控制措施的實施。
攻擊案例:員工誤點釣魚信件,帳密外洩導致客戶資料被未授權存取。
控制措施:多因素驗證(MFA)、最小權限原則、加密儲存
控制措施:多因素驗證(MFA)、最小權限原則、加密儲存
I
完整性(Integrity)
確保資訊的準確性與完整性,防止資料被未授權地修改、刪除或損毀,保障資訊在傳輸與儲存過程中的一致性。
攻擊案例:供應鏈攻擊竄改軟體更新檔案,植入惡意程式。
控制措施:數位簽章、雜湊驗證、變更管理流程、稽核日誌
控制措施:數位簽章、雜湊驗證、變更管理流程、稽核日誌
A
可用性(Availability)
確保授權使用者在需要時能夠存取資訊與系統,防止服務中斷影響業務運作,維持系統的正常運行能力。
攻擊案例:勒索軟體加密所有檔案,系統完全停擺,業務無法運作。
控制措施:備份管理、業務持續計畫、災難復原、冗餘機制
控制措施:備份管理、業務持續計畫、災難復原、冗餘機制
Annex A · 附錄 A 控制措施
ISO 27001:2022 附錄 A — 93 項控制措施
2022 年版將控制措施重組為四大類別(從 2013 版的 14 個領域重組), 並新增 11 項因應現代數位化環境的全新控制措施。
Category 01 · 組織控制
37
項控制措施
組織層面的政策與管理控制
- 資訊安全政策與角色責任分工
- 威脅情報蒐集與分析(新增)
- 供應商與第三方關係的資安管理
- 資安事件管理程序(含通報)
- 業務持續管理與 ICT 整備(更新)
- 法規、合約與智慧財產權符合
- 雲端服務資訊安全使用政策(新增)
Category 02 · 人員控制
8
項控制措施
人員聘用、訓練與離職管理
- 聘用前人員背景審查
- 雇用條款中的資安責任約定
- 資安意識教育訓練計畫
- 員工違反資安政策的懲處流程
- 離職時的資訊存取撤銷管理
- 遠端 / 混合工作環境資安規範
Category 03 · 實體控制
14
項控制措施
設施與設備的實體安全保護
- 實體安全邊界與進出管制
- 機房 / 資訊處理設施的環境保護
- 實體安全監控設施(新增)
- 清除桌面 / 螢幕政策
- 儲存媒體的安全管理與銷毀
- 設備維護記錄與淘汰安全處理
Category 04 · 技術控制
34
項控制措施
系統與資料的技術性安全控制
- 使用者存取控制與身份驗證管理
- 加密與金鑰管理
- 弱點管理與滲透測試
- 資料屏蔽(新增)/ 資料外洩防護(新增)
- 安全程式碼撰寫與開發規範(新增)
- 組態管理(新增)/ 網頁過濾(新增)
2022 版全新新增的 11 項控制措施
ISO 27001:2022 新增
5.7 威脅情報
蒐集並分析資訊安全威脅情報,提前掌握攻擊趨勢
5.23 雲端服務安全
雲端服務的取得、使用、管理與退場的資安流程
5.30 ICT 業務持續整備
ICT 系統的業務持續計畫與演練
7.4 實體安全監控
對敏感區域的持續實體監控措施
8.9 組態管理
硬體、軟體與服務的安全組態建立與維護
8.10 資訊刪除
系統與設備上的資訊安全刪除程序
8.11 資料屏蔽
依據個資法規與組織政策進行資料屏蔽
8.12 資料外洩防護
DLP 措施防止未授權的資料外流
8.16 監控活動
異常行為的即時偵測與回應監控
8.23 網頁過濾
管理外部網站的存取以降低惡意內容風險
8.28 安全程式撰寫
軟體開發時遵循安全程式碼撰寫原則
Risk Management · 風險管理流程
ISO 27001 資訊安全風險評估五步驟
風險評估是 ISO 27001 的核心作業,稽核官必查風險評估方法論的一致性 與結果的合理性,是取得認證的關鍵門檻之一。
01
界定 ISMS 範疇
確定哪些資訊系統、業務流程、地點與人員納入 ISMS 管理範圍,範疇須具體且可稽核。
02
建立資產清冊
識別範疇內所有資訊資產(硬體、軟體、數據、服務、人員),指定每項資產的所有者。
03
識別威脅與弱點
針對每項資產評估可能的威脅(如駭客攻擊、內部誤操作)及現有弱點(如未修補漏洞)。
04
計算風險值與排序
依「可能性 × 衝擊」計算風險值,依風險高低排序,確定超過可接受風險閾值的項目。
05
風險處理計畫(RTP)
對每項風險決定處理方式:降低(實施控制)、接受、規避或轉移(保險),並更新 SoA。
Statement of Applicability · 適用性聲明書
什麼是適用性聲明書(SoA)?
SoA 是 ISO 27001 中最重要的核心文件之一, 稽核官必然優先查閱,也是整個 ISMS 建置是否嚴謹的最直接體現。
DEFINITION · 定義
SoA 是什麼?
適用性聲明書(Statement of Applicability)是一份文件,
列出 ISO 27001:2022 附錄 A 所有 93 項控制措施,
並針對每一項聲明:
① 是否納入(適用):此控制措施是否在組織的 ISMS 中實施;
② 納入 / 排除理由:決策的依據(與風險評估結果對應);
③ 實施狀態:已完全實施 / 部分實施 / 規劃中;
④ 實施證據:對應的 SOP、系統設定、記錄在哪裡。
SoA 將風險評估結果、控制措施選擇與實際執行三者連結,是 ISMS 有效性的核心依據。
COMMON MISTAKE · 常見錯誤
SoA 最容易被開缺失的三個問題
稽核官必查項目,提前了解可大幅降低缺失風險。
01
排除理由不具體
排除某控制措施僅填「不適用」,未提供具體理由,如組織無實體辦公室、無特定技術環境等。
02
SoA 與風險評估結果不對應
風險評估識別出某威脅,但 SoA 中對應的控制措施卻被排除,兩者前後矛盾。
03
實施狀態與實際不符
SoA 標示已完全實施,但現場稽核發現對應的 SOP 不存在或從未執行。
2013 vs 2022 · 版本差異
ISO 27001:2013 升版至 2022 的主要差異
持有 2013 版認證的組織必須於 2025 年 10 月 31 日前完成換版, 以下是主要差異對照,協助快速掌握換版重點。
| 比較項目 | ISO 27001:2013(舊版) | ISO 27001:2022(新版) |
|---|---|---|
| 附錄 A 控制數量 | 114 項(14 個領域) | 93 項(4 大類別)精簡重組 |
| 新增控制措施 | 無 | 新增 11 項:威脅情報、雲端安全、資料屏蔽、DLP、組態管理等11 項新增 |
| 合併控制措施 | 部分相似控制分散於不同領域 | 57 項由舊版控制合併或修訂而來,1 項刪除 |
| 管理系統架構 | HLS 第一版 | HLS 第二版(更新條款措辭,新增 6.3 規劃變更)6.3 新增 |
| 控制措施屬性 | 無屬性標籤 | 每項控制可標記屬性(如控制類型、資安屬性、概念等)全新功能 |
| 雲端安全要求 | 無專屬控制 | 新增「雲端服務資訊安全」控制(5.23),明確雲端使用管理要求新增 |
| 換版截止日期 | 2025 年 10 月 31 日後失效 | IAF 要求 2025/10/31 前完成換版稽核 |
| 換版主要工作 | — | ① 評估新增 11 項控制的適用性;② 更新 SoA;③ 條款 6.3 規劃變更文件;④ 更新訓練記錄 |
Consulting Process · 輔導流程
ISO 27001 認證輔導六步驟
德宣顧問從差距評估到認證通過,提供全程陪伴式輔導, 一般企業從啟動到取得認證約需 5~9 個月, 已有部分資安制度者可縮短至 4~6 個月。
01
現況差距評估與 ISMS 範疇界定
盤點現有資安政策、技術控制與人員管理現況,對照 ISO 27001:2022 的 93 項控制措施與條款 4~10, 產出書面差距報告。同步確認 ISMS 範疇邊界——哪些系統、流程、地點、人員納入, 範疇界定影響後續所有工作的深度與廣度。
⏱ 約 2~3 週(含到廠評估)
02
資訊資產清冊建立
依據 ISMS 範疇,系統性識別並記錄所有資訊資產,包含: IT 硬體設備、軟體與應用系統、數位資料(含存放位置)、 網路基礎設施、雲端服務、外包服務、關鍵人員知識, 並指定每項資產的「資產所有者」(負責維護資產安全的人員或單位)。
⏱ 約 3~4 週
03
資訊安全風險評估與 SoA 建立
建立書面化的風險評估方法論(確保評估一致性),針對每項資產識別威脅與弱點, 計算風險值並排序。根據風險評估結果,選擇適用的附錄 A 控制措施, 建立適用性聲明書(SoA)——這是稽核官必查的核心文件, 德宣協助確保排除理由具體且與風險評估邏輯一致。
⏱ 約 4~5 週
04
ISMS 文件系統建置與控制措施實施
依據 SoA 選擇的控制措施,建立對應的政策文件與 SOP,包含: 存取控制政策、加密政策、資安事件管理程序、業務持續計畫、 供應商資安管理流程、遠端工作安全規範,以及人員資安意識訓練計畫。 同時協助實施技術控制(如設定 MFA、弱點掃描、日誌監控), 確保 SoA 中標示「已實施」的控制有實際執行記錄。
⏱ 約 6~8 週
05
資安意識訓練、內部稽核與管理審查
對全體員工執行資安意識訓練(含釣魚郵件模擬演練), 培訓內部稽核員,執行 ISMS 全範疇內部稽核, 找出文件缺口與執行缺失後完成矯正措施。 執行管理審查會議,由高階主管確認風險評估結果、 ISMS 目標達成狀況與改善決策,完成所有認證前準備。
⏱ 約 4~5 週
06
認證稽核陪伴(Stage 1 + Stage 2)
協助選擇認證機構(BSI、SGS、Bureau Veritas、DNV 等), 陪同 Stage 1 文件審查(稽核官重點查核 SoA 邏輯、風險評估方法論) 與 Stage 2 現場稽核(存取控制實際驗證、事件應變程序、訓練記錄、 供應商合約查核)。 德宣全程陪同,協助回應稽核官提問,並協助缺失矯正報告撰寫與追蹤。
⏱ 約 3~4 週(含缺失關閉)
Common Nonconformities · 常見缺失
ISO 27001 稽核最常見的 8 項缺失
根據德宣輔導與稽核員研習的實務經驗, 以下是台灣企業在 ISO 27001 認證過程中最容易被開具不符合事項的缺失, 提前瞭解有助於大幅降低認證風險。
| 缺失項目 | 等級 | 典型問題說明 | 改善重點 |
|---|---|---|---|
| 風險評估方法論前後不一致 | Major | 不同部門或不同次評估使用不同的可能性 / 衝擊評分標準,導致風險值無法客觀比較,也無法證明評估是系統性的。 | 建立書面化且明確定義各等級判斷標準的風險評估方法論,確保所有參與評估的人員使用相同基準。 |
| SoA 排除理由不具體 | Major | 93 項控制措施中被排除的項目,理由填寫過於籠統(如「不適用本組織」),未說明具體的業務或技術原因。 | 每個排除項目須提供具體業務理由(如「組織無實體製造設施,故實體生產安全控制不適用」),並與風險評估結果對應。 |
| 資產清冊缺乏所有者指定 | Major | 資訊資產清冊存在,但每項資產未指定具體的「資產所有者」(負責維護該資產安全的人員),或所有者一律填寫 IT 部門。 | 資產所有者應為業務單位的適當人員,而非 IT 部門統包。例如客戶資料的所有者應是業務主管,而非 IT 主管。 |
| 資安事件管理程序缺乏演練 | Major | 有資安事件通報 SOP 但無任何演練記錄,或員工不清楚何種情況需要通報(分類標準不明確)。 | 定期執行資安事件演練(包含釣魚郵件模擬攻擊),建立明確的事件嚴重性分類標準,並記錄演練結果與改善行動。 |
| 存取權限未定期審查 | Minor | 已離職員工帳號未及時停用;或存在超過工作職責需要的過度授權帳號,缺乏定期的存取權限審查記錄。 | 建立人員異動時的帳號停用 / 調整 SOP,並設定至少每年一次的全面存取權限審查,保留審查結果記錄。 |
| 供應商資安管理缺失 | Minor | 使用重要雲端服務或 IT 外包商,但未納入供應商資安評鑑,合約中也缺乏資安要求條款(如保密協議、稽核權)。 | 建立供應商資安風險評鑑機制,依資訊敏感程度分級;在服務合約中加入資安條款(含事件通報義務、稽核配合義務)。 |
| 資安意識訓練無效性驗證 | Minor | 每年執行資安訓練但僅有簽到記錄,無法證明員工實際吸收訓練內容,也無釣魚郵件演練的點擊率追蹤數據。 | 訓練結束後加入測驗或問卷,定期執行釣魚郵件模擬演練並追蹤點擊率趨勢,作為訓練計畫有效性的量化依據。 |
| 業務持續計畫未經測試 | Minor | 有業務持續計畫(BCP)文件,但從未執行桌上演練或實際切換測試,計畫的可行性未經驗證。 | 至少每年執行一次業務持續計畫桌上演練,或針對關鍵系統執行備援切換測試,保留演練記錄與改善行動。 |
Document Checklist · 文件清單
ISO 27001 必備文件 10 項
以下為 ISO 27001:2022 明確要求必須建立並維護的程序文件與記錄, 稽核 Stage 1(文件審查)時稽核官必然查閱。
ISMS 範疇文件
明確界定 ISMS 管理的系統、業務流程、組織邊界、地點及排除項目與排除理由。
資訊安全政策
高階主管簽核,含資安目標、責任分工、違規處置原則及對持續改善的承諾。
資訊資產清冊
涵蓋硬體、軟體、數據、服務、人員各類資產,含資產分類(機密等級)與所有者指定。
資安風險評估方法論與評估報告
書面化的評估方法(含各等級定義)、完整風險清單、風險值計算,及可接受風險標準。
風險處理計畫(RTP)
每項超標風險的處理方式決策、選擇的控制措施、負責人及預計完成時程。
適用性聲明書(SoA)
93 項附錄 A 控制措施的適用 / 排除決策、排除理由、實施狀態及實施證據來源。
資安目標與達成計畫
可量測的年度資安目標(如事件數降低 X%、訓練覆蓋率達 100%)及行動計畫。
資安事件管理程序
事件分類標準、通報流程、調查 SOP,以及歷史事件記錄(含根本原因分析)。
內部稽核計畫與稽核報告
年度稽核計畫、稽核員資格證明、稽核缺失報告,及矯正措施追蹤記錄。
管理審查會議記錄
風險評估結果、控制措施有效性、資安目標達成狀況、資源決策及改善行動紀錄。
FAQ · 常見問題
ISO 27001 常見問題解答
Q1
ISO 27001:2013 換版至 2022 版,主要要做什麼?截止日期是什麼時候?
IAF(國際認可論壇)規定 ISO 27001:2013 認證需在 2025 年 10 月 31 日前完成換版, 逾期後舊版認證失效,企業需重新申請認證。 換版主要工作包含:① 評估 11 項新增控制措施是否適用,並更新 SoA; ② 依 2022 版條款措辭調整相關政策文件;③ 新增 6.3「規劃變更」相關文件; ④ 執行針對 2022 版的內部稽核。 若認證到期日在 2025 年 10 月 31 日前,建議結合再認證稽核同步換版,節省額外的稽核費用。
Q2
ISO 27001 認證費用和時程大概需要多少?
費用依企業規模、ISMS 範疇複雜度及現有資安基礎而異。 中型企業(50~200 人,單一辦公地點):輔導費約 NT$20~40 萬, 認證稽核費(向認證機構繳交)NT$12~28 萬,兩項合計約 NT$32~68 萬。 時程方面:從零開始約 6~9 個月;已有 ISO 9001 或部分資安制度基礎者約 4~6 個月; 純換版輔導(2013→2022)約 2~3 個月。 德宣提供免費初步評估,可在諮詢後提供較精確的費用估算。
Q3
公司只有 20~30 人的中小企業,也適合取得 ISO 27001 嗎?
完全適合。ISO 27001 沒有組織規模限制,關鍵在於合理界定 ISMS 範疇。 20~30 人的企業可以將範疇限定在核心業務系統, 不需要把所有 IT 系統都納入,大幅降低建置複雜度與成本。 中小企業取得 ISO 27001 的主要驅動力: ① 大企業客戶合約或 RFP 中的資安認證要求; ② 政府採購招標加分; ③ 提升 SaaS / 雲端服務的客戶信任度。 德宣有豐富的中小企業精簡版 ISMS 輔導經驗,協助以最有效率的方式取得認證。
Q4
已有 ISO 9001,再加 ISO 27001 要重新建置所有文件嗎?
不需要。ISO 27001:2022 採用 ISO HLS 高階架構,與 ISO 9001 約有 40~50% 的管理系統要素可共用, 包含:文件管理程序、內部稽核流程、矯正措施程序、管理審查會議架構。 ISO 27001 特有的部分需新建:資訊資產清冊、風險評估方法論、適用性聲明書(SoA)、 各項技術控制的政策與實施記錄(存取控制、加密、資安事件管理等)。 德宣可協助在既有 ISO 9001 框架上高效增補 ISO 27001 要求,估計可節省 20~30% 建置工時。
Q5
ISO 27001 需要做滲透測試嗎?一定要聘請外部廠商嗎?
ISO 27001:2022 的控制措施 8.8(弱點管理)要求識別技術弱點並採取適當措施, 但標準並未規定「必須」執行滲透測試,也未要求「必須」由外部廠商執行。 實務上,若 SoA 中選擇「滲透測試」作為控制措施,稽核官才會要求看到執行記錄。 中小企業可以弱點掃描工具(如 Nessus、OpenVAS)取代完整滲透測試; 處理高敏感資料或有重要客戶要求的企業,建議每年委外執行一次滲透測試, 結果可做為系統安全狀況的客觀佐證。
Q6
ISMS 範疇設定多大比較好?所有系統都要納入嗎?
範疇設定是 ISO 27001 建置最關鍵的早期決策,建議依「業務重要性」而非「技術完整性」來界定。 不需要(也不建議)把所有系統都納入,這樣只會增加不必要的管理負擔。 實務建議:① 先確認客戶或法規要求(如客戶要求的是「雲端服務平台的資訊安全」,就只需要涵蓋那個平台); ② 將核心業務系統、敏感資料處理流程納入,周邊行政系統可排除; ③ 若有多個辦公室,可從本部先取證,再逐步擴展。 德宣在輔導初期會協助您找到效益最大的範疇設定方案。
Q7
取得 ISO 27001 後需要每年重新認證嗎?維護成本高嗎?
ISO 27001 認證有效期 3 年,期間每年需接受一次「監督稽核」(Surveillance Audit), 確認 ISMS 持續有效運作。第 3 年進行「再認證稽核」,通過後再延長 3 年。 監督稽核費用約為初次認證的 30~50%,一般中型企業每年約 NT$4~10 萬。 年度維護工作包含:更新風險評估、審查 SoA 適用性、執行內部稽核、 管理審查、資安意識訓練更新,以及因應系統或組織變更的文件更新。 德宣提供年度監督稽核前的複查服務,協助確保 ISMS 文件與執行記錄完整。
Q8
我們有使用 AWS / GCP / Azure 等雲端服務,ISO 27001 怎麼處理?
雲端服務在 ISO 27001:2022 中有明確對應。首先,雲端服務提供商(如 AWS、GCP)自身的基礎設施安全屬於「共同責任模型」, 雲端商負責底層基礎設施安全,您的組織負責部署在其上的資料與應用的安全。 ISO 27001 新增的控制 5.23(雲端服務資訊安全)要求建立雲端服務的使用政策, 包含:服務選用的安全評估標準、數據儲存位置的了解、退出策略、 以及供應商資安條款確認(AWS、GCP 等均提供安全白皮書可作為佐證)。 德宣可協助您評估雲端環境的特定控制需求,確保 SoA 中正確反映雲端控制措施。
Why ISODIARY · 為何選擇德宣
選擇德宣輔導 ISO 27001 的六大優勢
2022 版換版輔導專業
提供 2013 版升版至 2022 版的快速差距評估服務,重點協助 11 項新增控制措施評估與 SoA 更新,確保在 2025/10/31 截止期限前完成換版。
供應鏈資安稽核準備
熟悉 TSMC、Apple、HP 供應商資安問卷(VSAQ、SAQ、EICC)的查核邏輯,協助企業以 ISO 27001 為核心,高效通過品牌客戶資安稽核。
精準的 SoA 建立輔導
協助建立邏輯嚴謹、排除理由具體的 SoA,確保 93 項控制措施的適用性決策與風險評估結果一致,通過 Stage 1 文件審查。
整合 ISO 9001 / 14001 架構
若已有其他 ISO 認證,德宣協助建立整合管理系統(IMS)架構,共用文件管理、內稽程序與管理審查,降低多認證維護的行政成本。
可延伸至 ISO 27701 隱私管理
ISO 27001 建置完成後,德宣可協助在同一 ISMS 框架上延伸建置 ISO 27701 隱私資訊管理系統,整合取得雙認證,回應 GDPR 與個資法要求。
年度監督稽核持續支援
認證後提供年度風險評估更新、SoA 審查、控制措施有效性複查服務,讓每年監督稽核前 ISMS 記錄完整到位,不需臨時抱佛腳。
立即預約 ISO 27001 免費諮詢
無論您是初次評估資訊安全認證、急需 2013→2022 換版輔導, 或面臨供應鏈客戶資安稽核壓力, 德宣顧問團隊提供免費初步評估,協助找到最有效率的認證路徑。
