目錄

你需要知道的ISO 27001 內要求的22套文件

如果您是公司老闆，那麼您就會知道資訊安全性至關重要。在當今世界，確保您的數據安全和保護數據比以往任何時候都更加重要。

但是 ISO 27001 認證的要求是什麼？您如何確保您的企業滿足這些要求？繼續閱讀以找出答案！

1.資訊保安管理系統的範圍

這份文件描述了您的 ISO 27001 資訊保安管理系統 (ISMS) 將用於哪些活動，以及相關資料數據。

資訊保安管理系統適用於貴公司提供各種產品和服務。它還將解釋服務提供地點（例如，區域/整個香港/全球)，所以首先必須建立界限。這將需要建立一份清單，列出您的業務的哪些部分將受到 ISMS 的範圍。這包括程序、位置、部門、單位等。

在大多數情況下，您的 ISMS 將應用於整個公司，但在某些情況下，流程、地點或團隊可能不屬於您的資訊保安管理系統的範圍。

2.資訊保安政策和目標

您的資訊保安政策是展示公司對資訊保安承諾包括遵守適用的法律和法規或其他要求， 保護資訊，同時持續改進。政策還應表明致力於採取任何措施來提高數據的安全性。

3.風險評估和風險處理方法

這份文件解釋了您如何識別資訊保安風險，以及當它們發生時您處理這些風險的方法。在此過程中，您無需詳細說明可能的問題；相反，必須描述的是您識別資訊保安風險的程序。

4.適用性聲明

這份文件顯示了您將實施的 ISO 27001 附件 A 內是否應用114 個資訊保安控制。由於需要解決如此多的資訊保安控制，本文有可能失控，但您所要做的就是：

• 確定哪些措施適用於您的公司。
• 概述為什麼這些規則是必要的。
• 解釋您工作場所的控制措施，例如它們的作用和實施方式。
• 排除任何不必要的（稱為排除）。

5.風險處理計劃

一旦你決定了你將使用哪些控制，你的風險處理計劃描述您將

• 如何將它們實施妥善及誰將負責這樣做。
• 需要哪些資源以及實施控制措施需要多長時間都已明確。

6.風險評估及風險處置報告

本報告是根據上述文件中概述的方法進行的風險評估以及任何風險處理。它將描述您的調查結果，包括發現的任何風險，以及為盡量減少或避免風險而採取的任何預防措施。

7.定義安全角色和職責

這份文件詳細說明了資訊保安中涉及的每個職位的任務和職責。您無需提供完整的職位描述，這些職位也不必由僅負責資訊保安的人員擔任。例如，市場經理可以存取消費者數據庫，從而實現安全功能，確保他們的存取保持安全。

8.資產盤點

必須記錄任何存儲數據的資產。例子包括桌面電腦、筆記本電腦、服務器、手機和平板電腦/iPad、文件、財務記錄、電子郵件系統及雲計算服務。 在實施ISO 27001中，這是可能是與資訊保安風險評估相關的最困難的活動之一，因為它取決於您公司的規模。

9.可接受的資產使用

由於您在庫存中找到的資產用於處理敏感信息，因此必須安全地處理它們。建立適當的控制措施可以讓每個人（無論是永久還是臨時）以及承包商都清楚他們如何利用設備來保持資訊保安。

控制措施的例子包括：

• 資產必須用於公司業務目的
• 確保資產不會無人看管。
• 離開辦公桌時，必須保護電腦。
• 必須使用難以猜測的字母、數字和符號組合來創建強密碼。
• 未經許可，不得存取、複製或更改所有信息。
• 必須維護加密記錄。

10.存取控制政策

該政策將幫助您的公司確保只有適當的個人才能存取關鍵資訊。該政策應顯示

• 個人如何有權存取資訊
• 他們如何獲得特權存取
• 如何允許和審查存取
• 如何以及為何撤銷存取權限

11.IT管理操作程序

建立文件化程序對於 IT 設備操作故障而導致敏感資料洩漏，評估企業面臨風險。這些被確定為您的風險評估的一部分，但它們也可能包括：

• 軟件開發
• 財務會計
• 用戶管理
• 供應商管理

每次 IT 運作時，都不一定需要記錄操作流程，只有在有意義或重要的地方才需要。

立即 聯絡 ISO 27001 顧問 !

立即聯絡

12.安全系統工程原理

在開發新 IT 項目或將其應用於現有基礎架構時如何使用資訊安全性稱為安全工程。這種安全性不僅限於防火牆或密碼加密；它還涵蓋災難事故計劃和業務連續性。

在奠定這些基礎時，請記住，它們必須考慮到人類犯罪行為、事故、系統故障以及自然災害。

13.記錄用戶活動、異常和安全事件

用戶活動記錄是維護安全的重要工具。用戶活動、異常和安全事件不僅有助於確定問題的發生方式；他們還可以幫助您進行風險評估並了解您的數據安全性漏洞。

14.供應商安全政策

如果供應商的資訊安全性將可能有被盜用或遺失的風險，那麼保護重要資訊就沒有什麼意義了。因此，制定有關供應商資訊機密性的政策至關重要。

如果我們制定一項合作政策，與有權存取或可能危及您的數據安全的供應商建立牢固的工作關係，那就更好了。

另外，請記住，某些供應商可能對您的安全影響很小或沒有影響；請將注意力集中在風險評估中確定的那些供應商上。

15.事件管理程序

上面概述的流程應該可以幫助您弄清楚您的公司將如何確定誰負責事件以及他們將如何處理。

• 事後收集證據
• 描述情況，它是如何演變的以及它是如何導致事件的。弄清楚發生了什麼、誰參與了以及為什麼是至關重要的。
• 確保記錄為響應事件而採取的任何行動以供將來研究。
• 報告管理事件
• 如有必要，向監管機構或獨立機構匯報或 升級事件
• 查找並處理導致事件的任何漏洞

16.業務連續性程序

貴公司必須制定正式程序，以確保在發生數據安全事件後能夠繼續運營。

該程序還應規定管理結構和普遍接受的標準，以便將問題轉發給適當的部門或其他獨立機構。您還需要決定 公司打算何時恢復正常運營。

17.法律、法規和合同要求

所有這三種形式的要求都將適用於您處理資訊的方式，該程序不僅表明您對它們的認識，而且還可以作為所有人員的快速參考工具。

您應該清楚地了解法例及法規、監管及合約要求對您的資訊保安。當然，上述需求可能會隨著時間而改變，因此您必須密切關注它們並確保任何修改都反映在您的 ISMS 中。

18.培訓、技能、經驗和資格的記錄

該程序將描述每個員工都具有必要的技能水平。它還幫助您的員工獲得持續培訓和經驗，協助您的公司展示其對數據安全和改進的承諾。

19.監測和測量結果

ISO 27001 的另一個好處是它強調持續改進。這就是為什麼評估 ISMS 有效性的程序如此重要的原因。您將需要這些評估的跟踪記錄，以及貴公司考慮測量什麼、如何測量和何時測量的證據，以及證明在應用適當的過程控制時任何決策的任何結果都是充分的。

20.內部審核計劃和結果

與 ISMS 本身一樣，ISO 27001 內部審核是任何 ISMS 的重要組成部分。內部審核不僅評估您的 ISMS 的有效性，還評估您公司在資訊保安方面的整體表現。這些內部審核還幫助您證明您遵守為您的 ISMS 規定的程序。

21.管理評審結果

高級管理層應對 ISMS 進行定期檢討以確保其仍然有效，並應根據 ISO 27001 要求保留一份會議記錄。

22.不符合項和糾正措施的結果

貴公司必須建立一個流程來記錄其資訊保安程序和操作中的任何不符合項，以及它因此採取的糾正措施。您需要記錄公司如何確保任何糾正措施成功地使系統恢復ISMS符合性。

總結

如果您的公司尚未準備好 ISO 27001 文件，請不要擔心。

ISO 27001 的認證過程可能令人害怕，但並非必須如此。 在開始 建立ISO 27001過程之前，您不需要所有這些文件。 我們可以協助您完成流程中的每一步。

立即聯絡我們 2366 4622或 免費30 分鐘電話諮詢 !

立即聯絡ISO 27001 顧問 !

立即聯絡