● ISO 27001資訊安全管理系統－

　　面對層出不窮的資安事件，解決資安問題不能單由技術面著手，應有完整管理系統來有效解決資安問題。根據政府資通會報規定：政府部會中A、B級單位需在民國97年以前通過ISO27001認證。由此可見，ISO27001內容的適用性與重要性。

　　ISO/IEC 27001 的制訂宗旨則確保了企業資訊的機密性、完整性及可用性，為達成這些宗旨，ISO/IEC 27001共提出了 39 個控制目標及 134 項控制措施，推行 ISO/IEC 27001 的企業可在其中自由選擇適用於組織業務的控制措施，也可額外增加調整其它的控制措施。

　　在現今的科技時代，資訊被視為是一種具有價值、可被利用的重要資產，資訊更需要被妥善地保護與管理，除了電腦或網路技術面的安全問題外，相關的資訊控制與管理等問題更顯重要。

　　任何狀況下風險永遠無法完全消除，要判斷對安全之需求是否適當，其中取決於對殘餘風險的承受。因此，處於現代科技一日千里的挑戰與威脅，組織應確保：

　　　◆ 資訊機密性：確保經過授權的人才能存取資訊的權限。
　　　◆ 資訊完整性：確保資訊及處理過程的準確性和完整性。
　　　◆ 資訊可用性：明確保護經過授權的用戶，在存取相關資訊時的順暢性。

　　對組織而言資訊就是一種資產，和其他重要的營運資產一樣有價值，應該納入管理。企業也應確保資訊安全，保護資訊不受各種威脅，確保自身與顧客的權益，將營運風險損失降到最低。

　　基於時代的演變與需求，企業面臨各種挑戰與要求，ISO 27001將藉由符合資訊安全管理標準，向市場展現您的資訊已受到完善安全防護能力，不受外力威脅，並降低營運風險，加強客戶及合作夥伴之信心！

● ISO 27001資訊安全管理能帶來什麼好處？　　

　　■　 資訊安全管理系統的運行及ISO27001驗證能為企業帶來許多重要的策略與營運優勢，包括：

　　　　(一)、 強化企業安全：

　　　　　　　透過資訊安全管理系統的運行及ISO27001驗證程序，可減少企業網路的弱點，並提高企業的風險控

　　　　　　　管能力。減少弱點意味著較少的安全漏洞，詐騙行為、財物風險與法律風險也會跟著減少，當然網

　　　　　　　路的連續運作時間與顧客信心也會隨之提高。
　　　　(二)、 提高安全規劃效率：

　　　　　　　ISO27001列舉了分屬於十項領域共 127 條控制項目及其控制細項目，將明確導引企業如何進行人

　　　　　　　力資源、法務與突發事件應變的規劃。這些針對資訊安全而提出的全面性詳細建議，可使得企業開

　　　　　　　始導入安全措施時，作到更完善、更容易管控且非常符合經濟效益。
　　　　(三)、 提高安全管理成效：

　　　　　　　企業將開始制定或重新檢視其資訊安全政策與程序。與企業一般的安全計劃不同的是，ISO27001已

　　　　　　　證實是資訊安全的最佳實務準則法則，並且在實際商業資訊安全中測試過其成效。
　　　　(四)、 持續保護：

　　　　　　　企業經過驗證後，稽核機構的持續檢驗與ISO27001的持續更新，將確保企業隨時了解最新的弱點以

　　　　　　　及最佳的實務準則法則。
　　　　(五)、 改善與供應商的合作關係：

　　　　　　　為了讓企業網路受到更好的保護，同時又要能進行電子資料交換，企業可以資訊安全管理系統的運

　　　　　　　行及ISO27001驗證作為合作夥伴與供應商的安全要求。
　　　　(六)、 安全的電子商務：

　　　　　　　資訊安全管理系統的運行及ISO27001驗證等於是一個安全徽章，無論是財務機構或電子商城，消費

　　　　　　　者都能輕易分辨出哪些是經過驗證值得信賴的電子商務公司。
　　　　(七)、 提高顧客信心：

　　　　　　　隨著顧客與廠商對網路安全漏洞愈來愈謹慎，他們也會開始尋求具體的安全保障，資訊安全管理系

　　　　　　　統的運行及ISO27001驗證能提供他們需要的信心。

　　　　(八)、 降低法律風險：

　　　　　　  企業透過資訊安全管理系統的運行及ISO27001驗證後，將可減少

　　　　　　　因為資訊安全突發事件而面臨的法律問題，因為法庭將會把企業

　　　　　　　符合ISO27001該項標準的事實，認定為企業已經做到足夠程度的

　　　　　　　安全防護。