You are currently viewing 企業取得【ISO 27001認證】最新2022改版、費用、內容全解析

企業取得【ISO 27001認證】最新2022改版、費用、內容全解析

企業取得ISO 27001認證是為了讓企業更有效維護資訊安全。當今高度數位化和資訊化的時代,隨著企業日益依賴資訊技術來支援其業務營運和服務,以國際標準來證明企業有能力保護機敏資料和防範資安風險變得非常重要。

企業要如何取得ISO 27001認證?已有2013認證版本的企業如何轉版為 2022 版本?ISO 27001改版內容有哪些?有需求的企業千萬別錯過本篇詳解。

ISO 27001認證是什麼?

ISO 27001認證簡介

ISO 27001標準是在2005年的時候由國際標準化組織(ISO)及國際電工委員會(IEC)在2005年聯合發佈,目前經歷2013和2022改版,是目前國際上被廣泛使用,著重於建立、實施和維護資訊安全管理系統(Information Security Management System, ISMS),透過持續改進,企業能夠識別、評估和處理資訊安全風險,確保公司資訊的保密性、完整性及可用性。

ISO 27001強調了持續改進的原則,鼓勵企業通過定期的監控、審查和改進來提高其資訊安全管理能力,其理念是風險管理,透過制定資訊安全政策,進行風險評估、實施適當的資訊安全控制、持續監控,來確保企業資訊安全風險得到有效管理和控制。

ISO 27001認證4大要素

  1. 確保資安政策得到充分實施和執行:
    這與CIA三要素中的「機密性、完整性、可用性」相關,特別是在確保資訊的「機密性」的方面,需要有相應的政策和指引,來確保只有經授權者可以取用機密。
  2. 建立完整的文件:
    這點與ISO 27001的PDCA循環中的「Plan」階段相關,其中提到制定資安規範是計畫的一部分。
    建立完整的文件是確保組織管理資安的準則,同時也是為了在「Check」階段評估資安管理的成效是否符合計畫。
  3. 了解ISO 27001標準的要求:
    這點是確保團隊充分理解ISO 27001的要求,這與PDCA循環中的「Check」階段相關,其中評估資安管理的成效是否符合計畫。
  4. 建立完整的資安管理系統:
    這一點與PDCA循環中的「Do」階段相關,指的是實際執行計畫,並建立完整的資安系統確保在實際執行中符合ISO 27001要求的一部分。

上述提到的四個  ISO 27001認證要素主要圍繞在『CIA』和『PDCA』這兩個架構。

CIA是什麼?

CIA是ISO 27001的核心重點且互相牽制,只要違反任一項,資安防護強度就會下降,可能對公司重要資產或機密資料造成威脅。

CIA是什麼:3指標
  1. 機密性(Confidentiality):確保資料只有經授權者可取用。
  2. 完整性(Integrity):確保資料的完整度和準確度。
  3. 可用性(Availability):確保資料在需要時可被授權者存取。

PDCA循環是什麼?

PDCA循環是美國著名的管理學家Deming提出,透過改善循環的過程,持續從錯誤中學習和調整,從調整中成長。ISO 27001 資訊安全管理系統(ISMS)是利用 PDCA 循環的概念來用於建立、實施、運作、監控、審查維持和改進資訊安全系統。

PDCA循環說明
  1. Plan(計畫):制定資安政策、資安目標、控制措施和資訊安全管理計畫。
  2. Do(執行):實施資安政策、控制措施、教育訓練和資安演練。
  3. Check(查核):監控資安措施的有效性,評估資安體系的實施情況,審查資安事件和內部稽核。
  4. Action(行動):根據檢核結果制定改善措施,更新資安政策,持續改善資安管理系統。

2022 ISO 27001改版內容重點11項

ISO 27001改版重點

ISO 27001改版主要是為了讓企業在面對不斷升級的資安威脅,及當前網路不斷進化的攻擊手法與型態,確保各企業能防範並且強化自身資安控管,故條文內容也會因應趨勢不斷更新。若過去申請以 ISO 27001:2013 版本進行驗證之企業,須在 2025 年 10 月 31 日前完成轉換;在 2023 年 11 月 1 日之後,新申請之驗證就不接受使用 ISO 27001:2013 版本稽核,目前想新申請認證之企業,可直接了解ISO 27001:2022新版的內容。

ISO 27001:2022改版重點主要是在「組織控制」這一項,包括將原本的 14 個控制領域調整為 4 個主題,分別是「組織控制、人員控制、實體控制、技術控制」,以及將 114 個控制措施調整為 93 個(11個新增、24個整併、58個更新)。

ISO 27001改版:新增11項控制措施

  1. 威脅情資(Brain Intelligence)
    蒐集、分析和使用威脅的情資以提升資安事件的偵測與防護能力。
  2. 雲端服務資安(Information security for use of cloud service)
    針對雲端服務的使用,制定並實施適當的資安管理措施。
  3. 資訊及通訊技術營運持續整備(ICT reading this for business continually)
    確保ICT系統能夠在遭遇中斷或災難時,持續運作。
  4. 實體安全監視(physical security monetary)
    對實體安全環境進行監控,以防止未經授權的存取。
  5. 組態管理(copyration management)
    對ICT系統的組態進行管理,以確保其符合安全要求。
  6. 資訊刪除(information deletion)
    用安全的方式刪除不再使用的資訊。
  7. 資料遮罩(data masking)
    對敏感資料進行遮罩,以保護其隱私性。
  8. 資料外洩防護(data linkage prevention)
    防止敏感資料在系統、網路或任何裝置進行處理、儲存或傳輸途中,未經授權而洩漏。
  9. 監視活動(monetary activities)
    對資訊系統的存取和使用進行監控,以便偵測異常行為,並採取應對措施以評估潛在的資安風險。
  10. 網站安全過濾(Web filtering)
    管理對外部網站的訪問,減少接觸惡意網站或釣魚網站的風險。
  11. 程式開發安全(secure coding)
    確保程式碼在開發、測試、部署和維護等各個階段,皆符合安全要求。

面對ISO 27001改版,企業如何從2013轉版至2022新版?

如果企業原本已經有了ISO 27001:2013版的認證,那應評估現有的 ISMS 與 ISO 27001:2022 的差距,來確定需要做哪些調整 。

而差距評估可以透過以下2種方式進行:

  1. 企業自行評估
  2. 聘請顧問輔導

再來根據差距評估的結果,企業可以針對下面5項來調整:

  1. 資源分配:
    針對新版所需要的資源去分配『人力、物力、財力』。
  2. 教育訓練:
    對員工進行新版的教育訓練,提升員工對新版的理解。
  3. 更新文件和記錄:
    企業須更新 ISMS 的相關文件和記錄,以符合新版要求。
  4. 內部審核:
    先針對改版的項目進行內部審核,以驗證 ISMS 是否符合2022版的認證要求。
  5. 外部審核:
    向第三方認證機構申請審核,以取得 ISO 27001:2022 的認證。

企業導入 ISO 27001 會遇到的5個困難

不管企業是新申請認證,還是要從2013更新到2022版本,可能會面臨以下5個導入的困難點:

  1. 認證要求項目多、框架大:
    • 需要具備豐富經驗才能有效執行。
    • 若要自行申請認證,非有經驗的人不易完成,容易拉長時間。
  2. 實施人員需具備的技能和經驗:
    • 具備良好的說明和文件撰寫能力。
    • 具備實施改善項目的經驗。
    • 需要應付驗證公司前來稽核的能力。
  3. 人力資源須充足:
    • 多數企業較難組織完整團隊面對龐大的認證項目,大多委由顧問公司的團隊合作處理。
    • 若公司內部自行處理,需確保擁有足夠人力和能量。
  4. 需配合導入解決方案的供應商:
    • 針對認證項目,若需導入解決方案,須找供應商協助,若企業自行尋找,難以確保服務品質和專業度,成本和時間也可能拉高
    • 找顧問公司可推薦長期配合有經驗的供應商,企業不用花時間尋找。
  5. 取得證照的時間壓力:
    • 透過顧問公司可提供加快取得認證的規劃。
    • 若自行處理,內部溝通、確認的時間可能拉長。

經驗分享|鼎新輔導企業取得認證過程,最常出現的疑慮和問題

輔導前:

  • 若有預算限制,該怎麼做。
  • 有時間壓力、如何快速取得。

輔導過程中:

  • 各部門要配合的作業流程改善事項。
  • 跨部門溝通。
  • 若有預算限制,該改善的項目有無其他因應措施。

鼎新可以幫您解決:

  • 可依客戶想取得認證的時間去規劃排程,於期望時間內取得認證。
  • 依客戶現況,能提供替代性解決方式,例如若企業內部無機房的門禁管制系統,可改為人工管制、紀錄。
  • 各部門要配合的事項可協助列舉項目、改善的建議,協助窗口內部溝通。

如果企業想要取得ISO27001認證或轉換為新的版本,可從上述了解企業自行申請認證的困擾,若想減少走冤枉路,讓認證順利執行,建議可以尋找輔導認證的機構協助,鼎新的『資安認證顧問服務』,曾服務過有線電視寬頻服務業者、家電製造與販售業者、家電製造電子商務平台、有線電視網路通訊業者、支付金融業者等等,累積多年的成功輔導經驗,能協助企業順利取得認證或從2013轉版到2022版!

線上預約顧問服務

什麼產業需要 ISO 27001?

ISO 27001適用於各種產業並適用於所有類型和規模的組織,無論是公共、私營還是非營利組織,其中常見的包含金融機構、醫療機構、政府組織、科技產業、製造業等。

如果您的企業有下列幾項需求,可以考慮先取得認證:

  • 擁有敏感資料
  • 希望提高競爭力
  • 需要遵守資訊安全法規
  • 希望提高客戶和合作夥伴信心
  • 想承接政府招標案件
  • 成為國、內外供應鏈的供應商

企業通過ISO 27001認證好處是什麼?

以下是企業取得認證的6大好處:

  1. 提升管理效率:
    清楚的定義資安範圍與權責區分,能使組織內部清楚資訊安全管理的相關負責人與各自權責,面臨事件時能即時找到對的人進行應對。
  2. 遵循法律規定
    許多國家都有針對資安訂出法律規定,例如台灣《個資法》,而ISO 27001是一套有完整架構的資安管理國際標準,確保企業蒐集、使用、保存資料時符合法律規範。
  3. 降低營運損失
    導入ISO 27001能夠協助企業評估資安風險、加強防禦措施,以降低網路攻擊帶來的營運中斷損失、 資料外洩等風險。
  4. 增加客戶信任
    對於重視資安的客戶,通過ISO 27001認證能證明企業本身符合資安要求及資安管理品質,強化客戶的信任度,增進商務合作意願。
  5. 維持公司信譽
    當企業守法且資安能力足以讓客戶信賴,長久經營下來,公司信譽也會連帶提升。
  6. 進軍國際市場
    ISO 27001為國際認可的資安標準,對於有意擴展國際市場的企業,能夠做好事前部屬,讓國外客戶更了解企業能力,提升企業競爭力。

 企業如何取得ISΟ 27001認證?

如果企業想申請ISO 27001認證,首先你需要確定您的公司是否已經擁有資訊安全管理系統,並且是否符合ISO 27001的標準要求。

企業取得ISO 27001認證流程大致可以分為10個步驟:

  1. 高階管理者實施的決心:
    成功實施 ISO 27001 最重要因素之一是獲得高層管理者的承諾和支持,他們需要了解認證的好處,並願意投入必要的資源。
  2. 指派系統最高負責人與組成ISO專案小組:
    指派一位負責資訊安全管理系統 (ISMS) 的專員,並組成專案小組負責相關的實施工作。
  3. 確認公司導入範圍:
    確定哪些資產、流程和系統將納入 ISMS 的範圍。
  4. 建立資訊安全標準:
    基於風險評估的結果,制定資訊安全政策、流程和文件,以符合 ISO 27001 標準的要求。
  5. 執行風險評估:
    識別、評估和處理可能危害資訊安全的威脅和漏洞。
  6. 選擇控制目標與對應措施:
    基於風險評估的結果,選擇適當的控制措施來降低風險。
  7. 建立流程文件:
    制定文件化的流程,涵蓋所有 ISMS 的相關活動。
  8. 系統實施、運作與監控:
    實施 ISMS,並進行持續的運作和監控,以確保其有效性。
  9. 內部稽核:
    定期進行內部稽核,以檢查 ISMS 的符合性和有效性。
  10. 外部稽核與取得認證:
    選擇一家認證機構進行外部稽核,通過稽核後即可取得 ISO 27001 認證。

企業取得ISO 27001 認證輔導顧問公司推薦

如果企業想自行取得認證,建議資安團隊中有人員已經取得相關證照,或是企業對資安領域已經有相關經驗,這樣或許就可以嘗試自行認證。

但如果企業對這塊比較沒有經驗,建議尋找專業顧問輔導,避免企業花了時間和金錢,最後卻無法通過認證,這樣的往來調整成本其實才是最高的。

專業的鼎新ISO 27001 資安認證顧問服務,從輔導到取得認證,一次解決您所需要的準備,提供相關人員教育訓練,確實了解資安政策及管理辦法,依企業需求協助導入對應之解決方案,輔助您的企業在最短時間內拿到證照。

  • 鼎新專業資安顧問具備豐富的企業輔導成功經驗。
  • 擁有高品質、多元的資訊與資安產品,協助您導入、符合法規。
  • 從輔導到取得認證,一次解決您所有的需求,幫企業節省成本。
ISO 27001 認證輔導公司比較圖
深入了解我們的服務

ISO 27001認證機構有哪些?

根據台灣國家認證機構「TAF」最新資料顯示,目前公告的ISO 27001認證機構共有8家,鼎新認證輔導顧問會依據企業提出的需求、喜好,協助與認證機構洽談。

  1. 台灣檢驗科技股份有限公司(SGS)
  2. 新加坡商英國標準協會集團私人有限公司臺灣分公司(BSI)
  3. 艾法諾國際股份有限公司(AFNOR)
  4. 環奧國際驗證有限公司(TCIC)
  5. 亞瑞仕國際驗證股份有限公司(ARES)
  6. 財團法人台灣商品檢測驗證中心(ETC)
  7. 台灣德國北德技術監護顧問股份有限公司(TUV NORD)
  8. 愛台灣驗證股份有限公司(AITC)

資料來源來自 財團法人全國認證基金會(TAF)

TAF認證申請流程:

TAF認證申請流程圖
TAF認證申請流程圖

ISO 27001認證費用是多少?

多數企業會透過顧問輔導取得認證,因此在取得認證的過程中

可能產生的費用包含顧問公司的輔導費用、教育訓練費用和第三方認證機構審核費用,若因應漏洞修補需進行方案導入,可能還會有額外的費用產生。

  • 顧問輔導企業的費用會根據企業申請認證的範疇和規模大小都有不同,可諮詢的時候和顧問討論確認。
  • 第三方認證機構的費用是由認證機構所收取,而這些機構是由國際標準組織(ISO)認可的,具有進行ISO 27001認證的資格。

第三方認證機構的ISO 27001認證費用價格範圍可以參考國外的標準:ISO 27001 Certification Costs(註:台灣的認證費用請參照實際認證機構收費為準)

這些費用根據不同的『認證機構』和『企業規模』及企業想納入認證的『範圍』來決定:

  • 企業規模:專案規模、企業人數。
  • 認證機構:在台灣財團法人認證基金會(TAF)網站就可以查到相關的認證機構了。
  • 範圍:如『機房、雲端、網路管理、程式開發、辦工作業』等,並根據企業想納入認證的範圍來決定。
  • 其他影響因素:您公司風險狀況(高風險產業會增加成本)。

ISO 27001認證費用包括6方面

  1. ISO 27001文件費用
  2. 審核費
  3. 證書費
  4. 重審費用
  5. 換證費用
  6. 其他費用

具體的金額取決於組織的『規模、複雜性和審核』的範圍。

建議企業在選擇認證機構時,詳細詢問相關費用的細節,並選擇一家聲譽良好的認證機構以確保認證過程的有效性和可信度。

透過費用和申請流程可以了解ISO 27001認證的價格不斐之外,申請認證的審核過程約需要一年,所以企業最好能一次就過,這也是為什麼要建議尋找專業顧問輔導的原因。

ISO 27001認證輔導推薦「鼎新電腦」

鼎新資安輔導企業在現有的資訊安全架構上,依據改版的要求,了解現況進行完整的風險評估、內部稽核與管理審查,包含盤點現有資源、規劃培訓事宜、建立流程標準與調整內部架構,進行稽核讓企業無痛面對新版認證以取得證書。

ISO 27001認證推薦顧問公司-鼎新優勢說明

『鼎新電腦』 專業協助企業取得 ISO 27001 認證,我們的服務包括:

  • 差距分析:
    評估企業現有資訊安全管理狀況,並找出與 ISO 27001 標準的差距。
  • 導入諮詢
    協助企業建立符合 ISO 27001 標準的資訊安全管理系統。
  • 內部稽核:
    協助企業進行內部稽核,以確保資訊安全管理系統有效運作。
  • 驗證輔導:
    協助企業準備驗證,以取得 ISO 27001 認證。

鼎新擁有豐富的 ISO 27001 認證導入經驗,協助多家企業成功取得認證。

您的公司是否已經做好迎接資訊安全挑戰的準備?

立即預約諮詢 ⮕