资讯保安管理系统-OGCIO.PDF

資訊保安管理系統 ISO/IEC 27000 標準系列概論 什麼是 ISO/IEC 27001 ？ 機構是否遵行 ISO/IEC 27001 標準所定的 ISO/IEC 27001 標準的名稱為《資訊科技 要求，可由認可認證機構進行正式評估和認 — 保安技術 — 資訊保安管理系統 — 證。 若機構的 資訊保安管理系 統獲取 要求》，由國際標準化組織（ISO ）及國際 ISO/IEC 27001 標準的認證 ，顯示機構致力 電 工 委 員 會 （ IEC ）出 版 。ISO/IEC 保障資訊保安，又可增加客戶 、合伙人及持 27001:2013 （下稱 ISO/IEC 27001 ）為最 份者的信心。 新版本的 ISO/IEC 27001 標準，修訂了 2005 年出版的上一個版本（即 ISO/IEC ISO/IEC 27001 認證要求 27001:2005 ）。本標準訂明有關建立、推行、 為符合 ISO/IEC 27001 認證要求，機構的 維護和持續改善資訊保安管理系統的各項 資訊保安管理系統必須由國際認可的認證 要求。資訊保安管理系統闡述保障敏感資訊 機構進行審計。ISO/IEC 27001 第 4 節至 安全的系統化方法，通過應用風險管理流程 管理人事、工序及資訊科技系統。這套系統 10 節所載的要求（見附錄 A ）是強制性要 求，並沒有豁免情況。若機構的資訊保安管 不僅適用於大型機構，中小型企業也會合 理系統通過正式審計，便會獲認證機構頒發 用。 ISO/IEC 27001 證書。證書的有效期為三 年，期滿後，機構需要重新為其資訊保安管 ISO/IEC 27001 可以與相關支援控制措施 理系統進行認證。 配 合 使 用 ， 例 如 載 列 於 ISO/IEC 27002:2013 （下稱ISO/IEC 27002 ）文件 在三年有效期內，機構必須執行證書維護， 的控制措施。ISO/IEC 27002 分為 14 節及 以確保資訊保安管理系統持續遵行有關要 35 個控制目標，詳述 114 項保安控制措施。 求，按規定運作和不斷改善。為了保持證書 有關 ISO/IEC 27001 及 ISO/IEC 27002 的 有效，認證機構會每年至少一次就資訊保安 目錄載於附錄 A 。 管理系統進行實地視察，以進行監察審計。 在審計過程中，認證機構只會對部分資訊保 安管理系統作出審計。當三年有效期臨近屆 滿時，認證機構才會對整個資訊保安管理系 統作出審計。 政府資訊科技總監辦公室於二零一五年四月出版（最後更新二零一七年十