ISO 27001:2013—資訊安全管理體系
資訊系統和資訊網絡都是重要的商務資產。資訊的保密性、完整性和可用性對保持競爭優勢、資金流動、效益、法律符合性和商業形像都是至關重要的。
越來越多的組織及其資訊系統和網絡面臨著包括計算機詐騙、間諜、蓄意破壞、火災、水災等大範圍的安全威脅,諸如計算機病毒、計算機入侵、駭客攻擊等手段造成的資訊災難已變得更加普遍。
公共和私人網絡的互連及資訊資源的共享增大了實現訪問控制的難度,更容易受到安全威脅的破壞。許多資訊系統本身就不是按照安全系統的要求來設計的,所以僅依靠技術手段來實現資訊安全有其局限性,所以資訊安全的實現必須得到管理和程序控制的適當維持。
國際標準組織也為了因應企業組織的需求及面臨的挑戰,陸續在資訊安全的各個面向制定相關的指引。舉例來說,在ISO 27001:2013系列中已針對電信業、金融服務、雲端安全、網路安全、應用系統安全、事故管理、供應商關係、資訊服務之資訊安全、數位鑑識等面向陸續訂定出相關的指引。這些指引不僅可提供企業組織有效強化既有的資訊安全管理系統,更可協助企業組織藉由這些指引中的要求提升在該面向的成熟度。
ISO 27001:2013認證之益處
- 符合法律法規要求
- 維護企業的聲譽,品牌和客戶信任
- 履行資訊安全管理責任
- 增強員工的意識,責任感和相關技能
- 保持業務持續發展和競爭優勢
- 實現風險管理
- 減少損失,降低成本