ISO27001 是國際標準化組織(ISO)發布有關ISMS 的國際標準,為系統的開發與運作提供規範性的要求。
實施資訊安全管理系統的目的,在於協助機構透過風險評估,因應其風險接受程度有效地應對及管理資訊保安風險,從而達到保隌客戶資料的目的。
認證是通過一個正式的合格評定程序,由第三方發出證明,表示公司已滿足資訊安全上的特定的要求。
獲得ISO27001ISMS 認證,可確保您的資訊資產受到充分保護,免受黑客攻擊及入侵。
ISO27001 採用「規劃—實施—檢查—處置」的模式以建立、實施、保持和持續改進ISMS,申請的要求及成本相當高,所以目前取得該認證的公司並不多。
1.) 確定ISM S 的範圍、邊界和方針
2.) 確定機構的風險評估方法
3.) 識別和評估風險及其處理方法的方案
4.) 為處理風險選擇合適的控制目標和控制措施
5.) 獲得管理層批准建議的殘餘風險
6.) 獲得管理層授權實施和運行ISM S
7.) 不斷地監視、評審、保持和改進ISM S
