ISO27001：2022信息安全管理標(biāo)準(zhǔn)解析

信息安全管理制度國際標(biāo)準(zhǔn)(ISO27001:2022)解析2023Agenda(ISO27001:2022)新版ISO27001新版ISO27001新版ISO27001()八月20233關(guān)于信息安全管理系統(tǒng)(ISO27001:2022)2700127001名稱異動資訊安全管理制度國際標(biāo)準(zhǔn)簡介八月資訊安全管理制度國際標(biāo)準(zhǔn)簡介八月2023PAGE5ISO/IECISO/IEC27001:2013Informationtechnology—Securitytechniques—InformationsecuritymanagementRequirements資訊科技—安全技術(shù)—資訊安全管理系統(tǒng)要求標(biāo)準(zhǔn)名稱修改ISO/IEC標(biāo)準(zhǔn)名稱修改ISO/IEC27001:2022Informationsecurity,cybersecurityandprivacyprotection—Informationsecuritymanagementsystems-Requirements資訊安全、網(wǎng)宇安全和隱私保護(hù)——資訊安全管理系統(tǒng)要求PAGEPAGE6控制類別控制類別數(shù)量由控制類別控制類別數(shù)量由14類整併為4大類A.5資訊安全政策A.7人力資源安全A.6資訊安全組織A.8資產(chǎn)管理A.9存取控制A.10密碼技術(shù)體與環(huán)境安全A.12A.13A.14系統(tǒng)之取得、開發(fā)與維護(hù)供應(yīng)商管理資訊安全事故管理營運持續(xù)管理之資訊安全面向遵循性資訊安全管理制度國際標(biāo)準(zhǔn)簡介ISO27001:2013ISO/IECISO/IEC?DIS27001:202237Controls8Controls5.組織控制14Controls34Controls八月2023資訊安全管理制度國際標(biāo)準(zhǔn)簡介八月資訊安全管理制度國際標(biāo)準(zhǔn)簡介八月2023PAGE7控制項目數(shù)量由原先114個控制項目調(diào)整為93個控制項目NewContols說明詳?下?章節(jié)介紹

由原先?個或多個控制項?整合成?個控制項?將列于后附投影片114114個控制項目11個新增控制項目22個控制項目重命名24個控制項目整併93個控制項目ISO/IEC27001:2013

ISO/IEC27001:2022將列于后附投影片ISO/IEC27001:2022控制措施數(shù)量控制措施數(shù)量(整合合併24項)資訊安全管理制度國際標(biāo)準(zhǔn)簡介八月資訊安全管理制度國際標(biāo)準(zhǔn)簡介八月2023PAGE8控制措施數(shù)量控制措施數(shù)量(改變名稱22項)資訊安全管理制度國際標(biāo)準(zhǔn)簡介八月資訊安全管理制度國際標(biāo)準(zhǔn)簡介八月2023PAGE9新版ISO27001主條文新增要求與控制措施簡介主條文新增要求信息安全管理制度國際標(biāo)準(zhǔn)簡介

202311資訊安全管理制度國際標(biāo)準(zhǔn)簡介資訊安全管理制度國際標(biāo)準(zhǔn)簡介2023PAGE12本文異動說明ISMS本文異動內(nèi)容4組織全景異動三條內(nèi)容5領(lǐng)導(dǎo)作為異動二條內(nèi)容6規(guī)劃異動三條內(nèi)容7支援異動?條內(nèi)容8運作異動?條內(nèi)容9績效評估異動?條內(nèi)容10改善異動?條內(nèi)容4.14.1瞭解組織及其全景資訊安全管理制度國際標(biāo)準(zhǔn)簡介資訊安全管理制度國際標(biāo)準(zhǔn)簡介2023PAGE13說明：因應(yīng)說明：因應(yīng)ISO31000已更新為2018版而調(diào)整，對現(xiàn)行作業(yè)無顯著影響。組織應(yīng)決定與其目的有關(guān)且影響達(dá)成其信息安全管理系統(tǒng)預(yù)期成果能力之外部及內(nèi)部議題。備考：決定此等議題，系指建立于CNS31000之5.4.1中所考量的組織外部及內(nèi)部全景。4.24.2瞭解關(guān)注方之需要及期望資訊安全管理制度國際標(biāo)準(zhǔn)簡介資訊安全管理制度國際標(biāo)準(zhǔn)簡介2023PAGE14 ISO27001:2013 4.2了解利害關(guān)系者的需求與期望組織應(yīng)決定：ISMS有關(guān)的利害關(guān)系者；以及這些利害關(guān)系者對信息安全之要求。

ISO27001:2022 4.2了解關(guān)注方之需要及期望組織應(yīng)決定下列事項：與信息安全管理系統(tǒng)有關(guān)之關(guān)注各方。此等關(guān)注方之相關(guān)要求事項。此等要求事項中之哪些要求事項，將透過信息安全管理系統(tǒng)(ISMS)因應(yīng)。法規(guī)要求事項，以及契約義務(wù)。4.44.4資訊安全管理系統(tǒng)資訊安全管理制度國際標(biāo)準(zhǔn)簡介資訊安全管理制度國際標(biāo)準(zhǔn)簡介2023PAGE15 ISO27001:2013 4.4信息安全管理系統(tǒng)組織應(yīng)依據(jù)本標(biāo)準(zhǔn)的要求以建立、實施、維護(hù)和持續(xù)改進(jìn)ISMS。

ISO27001:2022 4.4組織依本標(biāo)準(zhǔn)之要求事項，建立、實作、維持及持續(xù)改善信息安全管理系統(tǒng)，包括所需過程及其互動。5.15.1領(lǐng)導(dǎo)及承諾資訊安全管理制度國際標(biāo)準(zhǔn)簡介資訊安全管理制度國際標(biāo)準(zhǔn)簡介2023PAGE16說明：強(qiáng)調(diào)「營運說明：強(qiáng)調(diào)「營運(Business)」可擴(kuò)大解釋為組織之核心活動(附錄A將持續(xù)出現(xiàn)此字眼)備考：本標(biāo)準(zhǔn)所提及之〝營運〞，能廣義詮釋為對組織存在目的具核心意義之該等活動。5.35.3組織角色、責(zé)任及權(quán)限資訊安全管理制度國際標(biāo)準(zhǔn)簡介資訊安全管理制度國際標(biāo)準(zhǔn)簡介2023PAGE17說明：強(qiáng)調(diào)於組織內(nèi)進(jìn)行職責(zé)與授權(quán)溝通。說明：強(qiáng)調(diào)於組織內(nèi)進(jìn)行職責(zé)與授權(quán)溝通。備考：最高管理階層亦可指派報告組織內(nèi)資訊安全管理系統(tǒng)績效之責(zé)任及權(quán)限。6.16.1因應(yīng)風(fēng)險及機(jī)會之行動資訊安全管理制度國際標(biāo)準(zhǔn)簡介資訊安全管理制度國際標(biāo)準(zhǔn)簡介2023PAGE18說明：從全面的資安控制清單說明：從全面的資安控制清單(alistofcomprehensiveinformationsecuritycontrols)改成可能的資安控制清單(alistofpossibleinformationsecuritycontrols)，僅為用詞上的改變，對現(xiàn)行輔導(dǎo)實務(wù)作業(yè)應(yīng)無影響。變更針6.1.3附錄A之用詞：2.A包含可能之A，以確保未忽略必要的信息安全控制措施。6.26.2資訊安全目標(biāo)及其達(dá)成之規(guī)劃資訊安全管理制度國際標(biāo)準(zhǔn)簡介資訊安全管理制度國際標(biāo)準(zhǔn)簡介2023PAGE19 ISO27001:2013 6.2信息安全目標(biāo)與達(dá)成之規(guī)劃組織應(yīng)在相關(guān)的功能與層級中建立信息安全目標(biāo)。信息安全目標(biāo)應(yīng)：a)與資訊安全政策?致；b)可測量如果可行時與處理結(jié)果；

ISO27001:2022 6.2信息安全目標(biāo)及其達(dá)成之規(guī)劃組織應(yīng)于各相關(guān)部門及層級建立信息安全目標(biāo)。信息安全目標(biāo)應(yīng)滿足下列事項：與資訊安全政策?致?？闪繙y(若可行)。風(fēng)險評鑒及風(fēng)險處理的結(jié)果。受監(jiān)視。被傳達(dá)。于適切時，更新之。以文件化信息提供。6.36.3變更之規(guī)劃資訊安全管理制度國際標(biāo)準(zhǔn)簡介資訊安全管理制度國際標(biāo)準(zhǔn)簡介2023PAGE20說明：新增條款說明：新增條款「當(dāng)組織決定需要對資訊安全管理系統(tǒng)變更時，應(yīng)以規(guī)劃之方式執(zhí)行變更」於以往的ISMS條文中並未強(qiáng)調(diào)PDCA從Action（例如：矯正措施）回到Planning（例如：內(nèi)外部議題識別、利害相關(guān)團(tuán)體要求識別、風(fēng)險情境識別、風(fēng)險處理方式、適用性聲明、資安目標(biāo)等）的流程，新增之6.3即為填補該空缺。此條款，建議將此條款寫入資安政策作上則可以於管理審查會議簡報及變更性。當(dāng)組織決定需要對信息安全管理系統(tǒng)變更時，應(yīng)以規(guī)劃之方式執(zhí)行變更。7.47.4溝通或傳達(dá)資訊安全管理制度國際標(biāo)準(zhǔn)簡介資訊安全管理制度國際標(biāo)準(zhǔn)簡介2023PAGE21 ISO27001:2013 組織應(yīng)決定與ISMS有關(guān)的內(nèi)部與外部溝通之需求，包含：a)溝通什么；b)何時溝通；c)和誰溝通；誰應(yīng)溝通；以及

ISO27001:2022 組織應(yīng)決定，相關(guān)于信息安全管理系統(tǒng)之內(nèi)部及外部溝通或傳達(dá)的需要，包括下列事項：溝通或傳達(dá)事項。溝通或傳達(dá)時間。溝通或傳達(dá)對象。溝通或傳達(dá)方式。8.18.1運作之規(guī)劃及控制資訊安全管理制度國際標(biāo)準(zhǔn)簡介資訊安全管理制度國際標(biāo)準(zhǔn)簡介2023PAGE22 ISO27001:2013 8.1運作的規(guī)劃與控管組織應(yīng)規(guī)劃、實施與控管可符合信息安全要求，及實施在條文6.1所決定的行動。組織也應(yīng)實施計劃，以達(dá)成在條文6.2所決定的信息安全目標(biāo)。組織應(yīng)依照計劃實現(xiàn)過程所必需的信心程度，保存文件化信息。以減輕任何不良影響。組織應(yīng)確認(rèn)委外之過程是被建立及控管。

ISO27001:2022 8.1運作之規(guī)劃及控制6中所決定的行動：依準(zhǔn)則實作過程之控制措施。以達(dá)成其過程已依規(guī)劃執(zhí)行之信心。組織應(yīng)控制所規(guī)劃之變更，并審查非預(yù)期變更的后果，必要時采取行動以減輕任何負(fù)面效果。組織應(yīng)確保與信息安全管理系統(tǒng)相關(guān)外部所提供之過程、產(chǎn)品或服務(wù)受控制。9.19.1監(jiān)督、量測、分析及評估資訊安全管理制度國際標(biāo)準(zhǔn)簡介資訊安全管理制度國際標(biāo)準(zhǔn)簡介2023PAGE23 ISO27001:2013 9.1監(jiān)督、量測、分析與評估組織應(yīng)評估信息安全的績效與ISMS的有效性，并決定：…組織應(yīng)保存適當(dāng)?shù)奈募畔ⅲ宰鳛楸O(jiān)督與量測結(jié)果的證據(jù)。

ISO27001:2022 組織應(yīng)決定下列事項：以確保有效的結(jié)果。所選擇之方法宜產(chǎn)生適于比較及可重制視為有效的結(jié)果。應(yīng)執(zhí)行監(jiān)督及量測之時間。應(yīng)執(zhí)行監(jiān)督及量測之人員。監(jiān)督及量測結(jié)果應(yīng)分析及評估之時間。應(yīng)執(zhí)行分析及評估此等結(jié)果之人員。應(yīng)具備文件化信息，作為結(jié)果之證據(jù)。系統(tǒng)之有效性。要求架構(gòu)變更要求架構(gòu)變更(9.29.3)資訊安全管理制度國際標(biāo)準(zhǔn)簡介資訊安全管理制度國際標(biāo)準(zhǔn)簡介2023PAGE24 ISO27001:2013 9.2內(nèi)部稽核9.3管理階層審查

ISO27001:2022 9.2內(nèi)部稽核9.3管理審查9.3.2新增輸入事項：c)及期望的變更。要求架構(gòu)變更要求架構(gòu)變更(10.改善)資訊安全管理制度國際標(biāo)準(zhǔn)簡介資訊安全管理制度國際標(biāo)準(zhǔn)簡介2023PAGE25 ISO27001:2013 10.1不符合事項與矯正措施10.2持續(xù)改善

ISO27001:2022 10.1持續(xù)改善10.2不符合事項及矯正措施控制措施簡介信息安全管理制度國際標(biāo)準(zhǔn)簡介

202326§§5組織控制措施資訊安全管理制度國際標(biāo)準(zhǔn)簡介資訊安全管理制度國際標(biāo)準(zhǔn)簡介2023PAGE27信息安全政策：信息安全政策及主題特定政策應(yīng)予以定義，由管理階層核可、發(fā)布、傳達(dá)予相關(guān)人員及相關(guān)關(guān)注方，且其系知悉，并依規(guī)劃期間及發(fā)生重大變更時審查。信息安全之角色與責(zé)任：應(yīng)根據(jù)組織需要，定義并配置信息安全之角色及責(zé)任。職務(wù)區(qū)隔：沖突之職務(wù)及沖突的責(zé)任范圍應(yīng)予以區(qū)隔。管理階層責(zé)任：管理階層應(yīng)要求所有人員工，依組織所建立信息安全政策、主題特定政策及程序，實施信息安全。與權(quán)責(zé)機(jī)關(guān)之聯(lián)系：組織應(yīng)建立并維持與相關(guān)權(quán)責(zé)機(jī)關(guān)之聯(lián)系。與特殊關(guān)注群組之聯(lián)系：組織應(yīng)建立并維持與各特殊關(guān)注群組或其他各專家安全論壇及專業(yè)協(xié)會之聯(lián)系。威脅情資：應(yīng)搜集并分析與信息安全威脅相關(guān)之信息，以產(chǎn)生威脅情資。項目管理之信息安全：信息安全應(yīng)整合入項目管理中。信息及其他相關(guān)聯(lián)資產(chǎn)之清冊：應(yīng)制作并維護(hù)信息及其他相關(guān)聯(lián)資產(chǎn)(包括擁有者)之清冊。可接受使用信息及其他相關(guān)聯(lián)資產(chǎn)：應(yīng)識別、書面記錄及實作對處置信息及其他相關(guān)聯(lián)資產(chǎn)之可接受使用的規(guī)則及程序。資產(chǎn)之歸還：適切時，人員及其他關(guān)注方于其聘用、契約或協(xié)議變更或終止時，應(yīng)歸還其持有之所有組織資產(chǎn)。信息之分類分級：信息應(yīng)依組織之信息安全需要，依機(jī)密性、完整性、可用性及相關(guān)關(guān)注方要求事項分類分級。信息之標(biāo)示：應(yīng)依組織所採?之資訊分類分級?案，發(fā)展及實作?套適切的資訊標(biāo)?程序。信息傳送：應(yīng)備妥信息傳送規(guī)則、程序或協(xié)議，用于組織內(nèi)及組織與其他各方間之所有形式的傳送設(shè)施。存取控制：應(yīng)依營運及信息安全要求事項，建立并實作對信息及其他相關(guān)聯(lián)資產(chǎn)之實體及邏輯存取控制的規(guī)則。身分管理：應(yīng)管理身份之整個生命周期。鑒別信息：鑒別信息之配置及管理應(yīng)由管理過程控制，包括告知人員關(guān)于鑒別信息的適切處理。存取權(quán)限：應(yīng)依組織之存取控制的主題政策及規(guī)則，提供規(guī)定、審查、修改及刪除對信息及其他相關(guān)聯(lián)資產(chǎn)之存取權(quán)限。供應(yīng)者關(guān)系中之信息安全：應(yīng)定義并實作過程及程序，管理與供應(yīng)者產(chǎn)品或服務(wù)之使用相關(guān)聯(lián)的信息安全風(fēng)險。于供應(yīng)者協(xié)議中闡明信息安全：應(yīng)依供應(yīng)者關(guān)系之形式，建立相關(guān)的信息安全要求事項，并與各供應(yīng)者議定。管理ICT供應(yīng)鏈中之信息安全：應(yīng)定義并實作過程及程序，管理與ICT產(chǎn)品及服務(wù)供應(yīng)鏈相關(guān)聯(lián)之信息安全風(fēng)險。供應(yīng)者服務(wù)之監(jiān)視、審查及變更管理：組織應(yīng)定期監(jiān)控、審查、評估及管理供應(yīng)者信息安全實務(wù)作法及服務(wù)交付之變更。使用云端服務(wù)之信息安全：應(yīng)依組織之信息安全要求事項，建立獲取、使用、管理及退出云端服務(wù)的過程。信息安全事故管理規(guī)劃及準(zhǔn)備：組織應(yīng)藉由定義、建立并溝通或傳達(dá)信息安全事故管理過程、角色及責(zé)任，規(guī)劃并準(zhǔn)備管理信息安全事故。信息之評鑒及決策：組織應(yīng)評鑒信息安全事件，并判定是否將其歸類為信息安全事故。對信息安全事故之回應(yīng)：應(yīng)依書面記錄程序，回應(yīng)信息安全事故。由信息安全事故中學(xué)習(xí)：應(yīng)使用由信息安全事故中所獲得之知識，加強(qiáng)及改善信息安全控制措施。證據(jù)之收集：組織應(yīng)建立并實作程序，用以識別、搜集、獲取及保存與信息安全事件相關(guān)之證據(jù)。中斷期間之信息安全：組織應(yīng)規(guī)劃，如何于中斷期間維持信息安全于適切等級。營運持續(xù)之ICT備妥性：應(yīng)依營運持續(xù)目標(biāo)及ICT資持續(xù)之要求事項，規(guī)劃、實作、維護(hù)及測試ICT備妥性。法律、法令、法規(guī)及契約要求事項：應(yīng)識別、書面記錄及保持更新信息安全相關(guān)法律、法令、法規(guī)、及契約之要求事項，以及組織為符合此等要求事項的作法。智慧財產(chǎn)權(quán)：該組織應(yīng)實作適切程序，以保護(hù)智慧財產(chǎn)權(quán)。紀(jì)錄之保護(hù)：應(yīng)保護(hù)記錄，免于遺失、毀損、偽造、未經(jīng)授權(quán)存取及未經(jīng)授權(quán)發(fā)布。隱私及PII保護(hù)：組織應(yīng)依適用之法律、法規(guī)及契約的要求事項，識別并符合關(guān)于隱私保護(hù)及PII保護(hù)之要求事項。信息安全之獨立審查：應(yīng)依規(guī)劃之期間或當(dāng)發(fā)生重大變更時，獨立審查組織對管理信息安全的作法及其實作(包括員工、過程及技術(shù))。信息安全政策、規(guī)則及標(biāo)準(zhǔn)之遵循性：應(yīng)定期審查組織信息安全政策、主題特定政策、規(guī)則及標(biāo)準(zhǔn)之遵循性。書面紀(jì)錄之運作程序：應(yīng)書面紀(jì)錄信息處理設(shè)施之運作程序，并使所有需要的人員均可取得?！臁?人員控制措施資訊安全管理制度國際標(biāo)準(zhǔn)簡介資訊安全管理制度國際標(biāo)準(zhǔn)簡介2023PAGE33篩選：，并宜相稱于營運要求事項，其將存取之信息的分類分級及所察覺之風(fēng)險。聘用契約協(xié)議應(yīng)敘明人員及組織對信息安全之責(zé)任。獎懲過程：應(yīng)明確訂定并傳達(dá)獎懲過程，以對違反信息安全政策之人員及其他相關(guān)關(guān)注方采取行動。應(yīng)對相關(guān)人員工及其他關(guān)注方定義、施行并傳達(dá)于聘用終止或變更后，仍保持有效之信息安全責(zé)任及義務(wù)。遠(yuǎn)端工作：應(yīng)實作安全措施，當(dāng)人員于遠(yuǎn)端工作時，保護(hù)于組織場所外之存取、處理或儲存之信息。組織應(yīng)提供機(jī)制，供人員透過適切之管道，及時通報所觀察到或可疑的信息安全事件。§§7實體控制措施資訊安全管理制度國際標(biāo)準(zhǔn)簡介資訊安全管理制度國際標(biāo)準(zhǔn)簡介2023PAGE357.1實體安全周界：應(yīng)定義及使用安全周界，以保護(hù)收容信息和其他相關(guān)聯(lián)資產(chǎn)之區(qū)域。7.2實體進(jìn)入：保全區(qū)域應(yīng)藉由適切之進(jìn)入控制措施及進(jìn)出點加以保護(hù)。保全辦公室、房間及設(shè)施：應(yīng)設(shè)計辦公室、房間及設(shè)施之實體安全并實作之。實體安全監(jiān)視：應(yīng)持續(xù)監(jiān)視場所，防止未經(jīng)授權(quán)之實體進(jìn)出。防范實體及環(huán)境威脅：應(yīng)設(shè)計并實作防范實體及環(huán)境威脅(諸如天然災(zāi)害及其他對基礎(chǔ)設(shè)施之蓄意或非蓄意的實體威脅)之措施。于安全區(qū)域內(nèi)工作：應(yīng)制定和實施于安全區(qū)域內(nèi)工作之安全措施。桌面凈空及熒幕凈空：應(yīng)定義對紙本及可移除式儲存媒體之桌面凈空規(guī)則，以及對信息處理設(shè)施的熒幕凈空規(guī)則，并適切實施之。7.8設(shè)備安置及保護(hù)：設(shè)備應(yīng)安全安置并受保護(hù)。7.9場所外資產(chǎn)之安全：應(yīng)保護(hù)場域外資產(chǎn)。儲存媒體：儲存媒體應(yīng)依組織之分類分級方案及處理要求事項，于其獲取、使用、運送及汰除的整個生命周期內(nèi)進(jìn)行管理。支援之公用服務(wù)事業(yè)：應(yīng)保護(hù)信息處理設(shè)施免于電源失效，以及因支援之公用服務(wù)事業(yè)失效，所導(dǎo)致的其他中斷。布纜安全：應(yīng)保護(hù)傳送電源、資料或支援信息服務(wù)之纜線，以防范竊聽、干擾或破壞。設(shè)備維護(hù)：應(yīng)正確維護(hù)設(shè)備，以確保信息之可用性、完整性及機(jī)密性。設(shè)備汰除或重新使用之保全：應(yīng)查證包含儲存媒體之設(shè)備項目，以確保于汰除或重新使用前，所有敏感性資料及具使用授權(quán)的軟件已移除或安全覆寫?！臁?技術(shù)控制措施資訊安全管理制度國際標(biāo)準(zhǔn)簡介資訊安全管理制度國際標(biāo)準(zhǔn)簡介2023PAGE37使用者端點裝置：應(yīng)保護(hù)儲存于使用者端點裝置，由使用者端點裝置處理或經(jīng)由使用者端點裝置可存取之信息。特殊存取權(quán)限：應(yīng)限制并管理特殊存取權(quán)限之配置及使用。信息存取限制：應(yīng)依已建立之關(guān)于存取控制的主題特定政策，限制對信息及其他相關(guān)聯(lián)資產(chǎn)之存取。對原始碼之存?。簯?yīng)適切管理對原始碼、開發(fā)工具及軟件函式庫之讀寫存取。安全鑒別：安全鑒別技術(shù)及程序應(yīng)依信息存取限制及關(guān)于存取控制之主題特定政策實作。容量管理：資源之使用應(yīng)受監(jiān)視及調(diào)整，以符合目前容量要求及預(yù)期容量要求。防范惡意軟件：應(yīng)實作防范惡意軟件之措施，并由適切的使用者認(rèn)知支援之。技術(shù)脆弱性管理：應(yīng)取得關(guān)于使用中之信息系統(tǒng)的技術(shù)脆弱性信息，并應(yīng)評估組織對此等脆弱性之暴露，且應(yīng)采取適切措施。組態(tài)管理：應(yīng)建立、書面記錄、實作、監(jiān)視并審查硬件、軟件、服務(wù)及網(wǎng)絡(luò)之組態(tài)(包括安全組態(tài))。信息刪除：當(dāng)于信息系統(tǒng)、裝置或所有其他存儲媒體中之信息不再屬必要時，應(yīng)刪除之。資料遮蔽：應(yīng)使用資料遮蔽，依據(jù)組織關(guān)于存取之主題特定政策及其他相關(guān)的主題特定政策，以及營運要求事項，并將適用法令納入考量。資料泄露預(yù)防：應(yīng)將資料泄露預(yù)防措施，套用置處理、儲存或傳輸敏感性信息之系統(tǒng)、網(wǎng)絡(luò)及所有其他裝置。信息備份：應(yīng)依議定之關(guān)于備份的主題特定政策，維護(hù)信息、軟件及系統(tǒng)之備份復(fù)本，并定期測試之。信息處理設(shè)施實作應(yīng)充分多備(redundancy)，以符合可用性之要求事項。存錄：紀(jì)錄活動、異常、錯誤及其他相關(guān)事件之日志，應(yīng)產(chǎn)生、儲存、保護(hù)及分析之。監(jiān)視活動：應(yīng)監(jiān)視網(wǎng)絡(luò)、系統(tǒng)及應(yīng)用之異常行為，并采取適切措施，以評估潛在信息安全事故。鐘訊同步：組織所使用信息處理系統(tǒng)之鐘訊，應(yīng)與經(jīng)認(rèn)可的時間源同步。應(yīng)限制并嚴(yán)密控制可能篡越系統(tǒng)及應(yīng)用程序之控制措施的公用程序之使用。應(yīng)實作各項程序及措施，以安全管理對運作中系統(tǒng)安裝軟件。網(wǎng)絡(luò)安全：應(yīng)受保全、管理及控制網(wǎng)絡(luò)與網(wǎng)絡(luò)裝置，以保護(hù)系統(tǒng)及應(yīng)用程序中之信息。網(wǎng)絡(luò)服務(wù)之安全：應(yīng)識別、實作及監(jiān)視網(wǎng)絡(luò)服務(wù)之安全機(jī)制、服務(wù)等級及服務(wù)要求事項。網(wǎng)絡(luò)區(qū)隔：應(yīng)區(qū)隔組織網(wǎng)絡(luò)中各群組之信息服務(wù)、使用者及信息系統(tǒng)。網(wǎng)頁過濾：應(yīng)管理對外部網(wǎng)站之存取，以降低暴露于惡意內(nèi)容。密碼技術(shù)之使用：應(yīng)定義并實作有效使用密碼技術(shù)之規(guī)則(包括密碼金鑰管理)。應(yīng)建立并施行安全開發(fā)軟件及系統(tǒng)之規(guī)則。開發(fā)或獲取應(yīng)用系統(tǒng)時，應(yīng)識別、規(guī)定并核可信息安全要求事項。應(yīng)建立、書面記錄及維護(hù)工程化安全系統(tǒng)之原則，并套用于所有信息系統(tǒng)開發(fā)活動。安全程序設(shè)計：軟件開發(fā)應(yīng)施行安全程序設(shè)計原則。應(yīng)于開發(fā)生命周期中定義并實作安全測試過程。委外開發(fā)：組織應(yīng)指引、監(jiān)視及審查與委外系統(tǒng)開發(fā)相關(guān)活動。應(yīng)區(qū)隔開發(fā)環(huán)境、測試環(huán)境與生產(chǎn)環(huán)境，并保全之。變更管理：信息處理設(shè)施及信息系統(tǒng)之變更，應(yīng)遵循變更管理程序之。測試信息：應(yīng)適切選擇、保護(hù)及管理測試信息。涉及運作中系統(tǒng)之評鑒的稽核測試及其他保證活動，應(yīng)于測試者與適切管理階層間規(guī)劃并議定。新增控制項信息安全管理制度國際標(biāo)準(zhǔn)簡介

202343資訊安全管理制度國際標(biāo)準(zhǔn)簡介資訊安全管理制度國際標(biāo)準(zhǔn)簡介2023PAGE44增加的控制項目-5.7威脅情資控制措施宜蒐集並分析與資訊安全威脅相關(guān)之資訊，以產(chǎn)生威脅情資。控制措施宜蒐集並分析與資訊安全威脅相關(guān)之資訊，以產(chǎn)生威脅情資。目的提供對組織威脅環(huán)境之認(rèn)知，以便採取適切的減緩措施。目的提供對組織威脅環(huán)境之認(rèn)知，以便採取適切的減緩措施。指引蒐集並分析有關(guān)既有或新出現(xiàn)威脅之資訊，以便用於下列事項：指引蒐集並分析有關(guān)既有或新出現(xiàn)威脅之資訊，以便用於下列事項：實務(wù)做法TCT、CE等增加的控制項目增加的控制項目-5.23使用雲(yún)端服務(wù)之資訊安全資訊安全管理制度國際標(biāo)準(zhǔn)簡介資訊安全管理制度國際標(biāo)準(zhǔn)簡介2023PAGE45控制措施 宜依組織之資訊安全要求事項，建立獲取、使用、管理及退出雲(yún)端服務(wù)的過程。控制措施宜依組織之資訊安全要求事項，建立獲取、使用、管理及退出雲(yún)端服務(wù)的過程。目的規(guī)定並管理使用雲(yún)端服務(wù)之資訊安全性。目的規(guī)定並管理使用雲(yún)端服務(wù)之資訊安全性。指引組織宜建立使用雲(yún)端服務(wù)之主題特定政策，並向所有相關(guān)關(guān)注方溝通或傳達(dá)。組織宜定義並溝通或傳達(dá)其預(yù)期作法的延伸或?部分(指引組織宜建立使用雲(yún)端服務(wù)之主題特定政策，並向所有相關(guān)關(guān)注方溝通或傳達(dá)。組織宜定義並溝通或傳達(dá)其預(yù)期作法的延伸或?部分(參照521及522)聯(lián)之資訊安全風(fēng)險。其可能為組織如何管理外部各方所提供服務(wù)之既有實務(wù)做法增加的控制項目增加的控制項目-5.30營運持續(xù)之ICT備妥性資訊安全管理制度國際標(biāo)準(zhǔn)簡介資訊安全管理制度國際標(biāo)準(zhǔn)簡介2023PAGE46控制措施 宜依營運持續(xù)目標(biāo)及控制措施宜依營運持續(xù)目標(biāo)及CT持續(xù)之要求事項，規(guī)劃、實作、維護(hù)及測試CT((ICTInformationandCommunication目的確保於中斷期間，組織之資訊及其他相關(guān)聯(lián)資產(chǎn)的可用性。目的確保於中斷期間，組織之資訊及其他相關(guān)聯(lián)資產(chǎn)的可用性。指引組織宜確保下列事項：指引組織宜確保下列事項：ICTICTICT實務(wù)做法訂定ICT實務(wù)做法訂定ICT)。增加的控制項目增加的控制項目-7.4實體安全監(jiān)視資訊安全管理制度國際標(biāo)準(zhǔn)簡介資訊安全管理制度國際標(biāo)準(zhǔn)簡介2023PAGE47控制措施 宜持續(xù)監(jiān)視控制措施宜持續(xù)監(jiān)視場所，防止未經(jīng)授權(quán)之實體進(jìn)出。目的偵目的偵測並阻止未經(jīng)授權(quán)之實體進(jìn)出。指引應(yīng)持續(xù)監(jiān)控對容納關(guān)鍵系統(tǒng)之建築物：指引應(yīng)持續(xù)監(jiān)控對容納關(guān)鍵系統(tǒng)之建築物：a)安裝影像監(jiān)控系統(tǒng)，例如閉路電視，以查看並記錄對組織場域內(nèi)外敏感區(qū)域的存取b)根據(jù)相關(guān)適用標(biāo)準(zhǔn)安裝並定期測試接觸、聲音或移動偵測器以觸發(fā)入侵者警報c)使用這些警報覆蓋所有對外出入口和可存取的窗戶。無人區(qū)應(yīng)隨時保持可告警狀態(tài)實務(wù)做法安裝門禁、監(jiān)控及警報系統(tǒng)實務(wù)做法安裝門禁、監(jiān)控及警報系統(tǒng)執(zhí)行進(jìn)出管制、定期查核、告警事件處理、記錄保存系統(tǒng)應(yīng)定期測試監(jiān)控安全建議修訂實體環(huán)境程序書增加的控制項目增加的控制項目-8.9組態(tài)管理資訊安全管理制度國際標(biāo)準(zhǔn)簡介資訊安全管理制度國際標(biāo)準(zhǔn)簡介2023PAGE48控制措施 應(yīng)建立、書控制措施應(yīng)建立、書面記錄、實作、監(jiān)視並審查硬體、軟體、服務(wù)及網(wǎng)路之組態(tài)(包括安全組態(tài))。目的確保目的確保硬體、軟體、服務(wù)及網(wǎng)路於所要求安全設(shè)定下正常運行，且組態(tài)未遭未經(jīng)授權(quán)或不正確變更而更改。指引組織宜定指引組織宜定義並實作過程及工具，以於硬體、軟體、服務(wù)（例:雲(yún)端服務(wù)）及網(wǎng)路、新安裝之系統(tǒng)，以及運作中系統(tǒng)的整個生命週期內(nèi)，施行所定義之組態(tài)（包括安全組態(tài)）。實務(wù)做法進(jìn)行資產(chǎn)實務(wù)做法進(jìn)行資產(chǎn)盤時清態(tài)類。建立各項組態(tài)確認(rèn)各項基態(tài)增加的控制項目增加的控制項目-8.10資訊刪除資訊安全管理制度國際標(biāo)準(zhǔn)簡介資訊安全管理制度國際標(biāo)準(zhǔn)簡介2023PAGE49控制措施 當(dāng)於資訊系統(tǒng)、裝置或所有其他存儲媒體中之資訊不再屬必要時，應(yīng)刪除之?？刂拼胧┊?dāng)於資訊系統(tǒng)、裝置或所有其他存儲媒體中之資訊不再屬必要時，應(yīng)刪除之。目的防止敏感性資訊之非必要暴露，並遵循資訊刪除的法律、法令、法規(guī)及契約要求。目的防止敏感性資訊之非必要暴露，並遵循資訊刪除的法律、法令、法規(guī)及契約要求。指引刪除系統(tǒng)、應(yīng)用程式及服務(wù)上之資訊時，宜考量下列事項：指引刪除系統(tǒng)、應(yīng)用程式及服務(wù)上之資訊時，宜考量下列事項：(a)依營運要求，並考量相關(guān)法律及法規(guī)，選擇刪除方法（例:電子覆寫或密碼式抹除）。(b)將刪除之結(jié)果記錄下來，作為證據(jù)。(c)使用資訊刪除之服務(wù)供應(yīng)者時，向其取得資訊刪除的證據(jù)。實務(wù)做法進(jìn)行資產(chǎn)盤點時應(yīng)清點資訊保存週期。實務(wù)做法進(jìn)行資產(chǎn)盤點時應(yīng)清點資訊保存週期。建立各類型資料刪除方式、週期及記錄格式。執(zhí)行刪除並保存紀(jì)錄。建議修訂資訊資產(chǎn)管理程序書，或新增資訊管理程序書增加的控制項目增加的控制項目-8.11資料遮蔽資訊安全管理制度國際標(biāo)準(zhǔn)簡介資訊安全管理制度國際標(biāo)準(zhǔn)簡介2023PAGE50控制措施 應(yīng)使用資料遮蔽，依據(jù)組織關(guān)於存取之主題特定政策及其他相關(guān)的主題特定政策，以及營運要求事項，並將適用法令納入考量?？刂拼胧?yīng)使用資料遮蔽，依據(jù)組織關(guān)於存取之主題特定政策及其他相關(guān)的主題特定政策，以及營運要求事項，並將適用法令納入考量。目的限制內(nèi)含PII敏感性資料的暴露，並遵循法律、法令、法規(guī)及契約要求目的限制內(nèi)含PII敏感性資料的暴露，並遵循法律、法令、法規(guī)及契約要求指引於考量敏感性資料（例:PII）之保護(hù)的情況下，組織宜考量使用諸如資料遮蔽、假名化或匿名化等技術(shù)隱藏此種資料。指引於考量敏感性資料（例:PII）之保護(hù)的情況下，組織宜考量使用諸如資料遮蔽、假名化或匿名化等技術(shù)隱藏此種資料。假名化或匿名化技術(shù)可以隱藏I，偽裝I當(dāng)事人之真實身份或其他敏感性資訊，切斷PII與I當(dāng)事人身份間的連結(jié)，或其他敏感性資訊之間的連結(jié)。實務(wù)做法進(jìn)行資產(chǎn)盤點時應(yīng)確認(rèn)資訊是否進(jìn)行遮蔽。實務(wù)做法進(jìn)行資產(chǎn)盤點時應(yīng)確認(rèn)資訊是否進(jìn)行遮蔽。建立各類型資料遮蔽方式及記錄格式。執(zhí)行遮蔽並保存紀(jì)錄。建議修訂資訊資產(chǎn)管理程序書，或新增資訊管理程序書增加的控制項目增加的控制項目-8.12資料洩露預(yù)防資訊安全管理制度國際標(biāo)準(zhǔn)簡介資訊安全管理制度國際標(biāo)準(zhǔn)簡介2023PAGE51控制措施 應(yīng)將資料洩露預(yù)防措施，套用置處理、儲存或傳輸敏感性資訊之系統(tǒng)、網(wǎng)路及所有其他裝置?？刂拼胧?yīng)將資料洩露預(yù)防措施，套用置處理、儲存或傳輸敏感性資訊之系統(tǒng)、網(wǎng)路及所有其他裝置。目的偵測並防止個人或系統(tǒng)未經(jīng)授權(quán)揭露及擷取資訊。目的偵測並防止個人或系統(tǒng)未經(jīng)授權(quán)揭露及擷取資訊。指引組織宜考量下列事項以降低資料洩露之風(fēng)險：指引組織宜考量下列事項以降低資料洩露之風(fēng)險：(a)識別資訊並將其分類分級，以防範(fàn)洩露（例:個人資訊、定價模型及產(chǎn)品設(shè)計）。(b)監(jiān)視資料洩漏管道（例:電子郵件、檔案傳送、行動裝置及和可擕式儲存裝置）。(c)採取措施以防止資訊洩露（例:隔離包含敏感性資訊之電子郵件）。實務(wù)做法進(jìn)行資產(chǎn)盤點時應(yīng)識別及分類。實務(wù)做法進(jìn)行資產(chǎn)盤點時應(yīng)識別及分類。整合各項資訊洩漏防護(hù)措施。利用控制措施屬性，管控資訊保護(hù)做法。建議修訂資訊資產(chǎn)管理程序書，或新增資訊管理程序書增加的控制項目增加的控制項目-8.16監(jiān)視活動資訊安全管理制度國際標(biāo)準(zhǔn)簡介資訊安全管理制度國際標(biāo)準(zhǔn)簡介2023PAGE52控制措施 應(yīng)監(jiān)視網(wǎng)路、系統(tǒng)及應(yīng)用之異常行為，並採取適切措施，以評估潛在資訊安全事故。控制措施應(yīng)監(jiān)視網(wǎng)路、系統(tǒng)及應(yīng)用之異常行為，並採取適切措施，以評估潛在資訊安全事故。目的偵測異常行為及潛在資訊安全事故。目的偵測異常行為及潛在資訊安全事故。指引指引宜使用經(jīng)由監(jiān)視工具進(jìn)行之持續(xù)監(jiān)視。宜依組織之需要及能力，即時或定期進(jìn)行監(jiān)視。宜將異常事件傳達(dá)予關(guān)注方，以改善下列活動：稽核、安全評估、脆弱性掃描及監(jiān)視（參照5.25）。宜備妥程序，以及時方式，回應(yīng)源自監(jiān)視系統(tǒng)之正向指標(biāo)，以極少化不利事件（參照5.26）對資訊安全的影響。實務(wù)做法檢討現(xiàn)有監(jiān)控工具，若有不足宜購置相關(guān)工具。實務(wù)做法檢討現(xiàn)有監(jiān)控工具，若有不足宜購置相關(guān)工具。整合監(jiān)控、漏洞及資安事件通報。針對監(jiān)控紀(jì)錄執(zhí)行分析、處理及運用。修訂資安事件程序書、作業(yè)安全程序書。增加的控制項目增加的控制項目-8.23網(wǎng)頁過濾資訊安全管理制度國際標(biāo)準(zhǔn)簡介資訊安全管理制度國際標(biāo)準(zhǔn)簡介2023PAGE53控制措施 應(yīng)管理對外部網(wǎng)站之存取，以降低暴露於惡意內(nèi)容?？刂拼胧?yīng)管理對外部網(wǎng)站之存取，以降低暴露於惡意內(nèi)容。目的保護(hù)系統(tǒng)免受惡意軟體之危害，並防止存取未經(jīng)授權(quán)的網(wǎng)頁資源。指引目的保護(hù)系統(tǒng)免受惡意軟體之危害，並防止存取未經(jīng)授權(quán)的網(wǎng)頁資源。指引網(wǎng)站之IP位址或網(wǎng)域。某些瀏覽器及防惡意軟體技術(shù)，自動執(zhí)行此項操作或可設(shè)定組態(tài)以執(zhí)行此項操作。組織宜識別員工宜或不宜存取之網(wǎng)站型式。所有限制。實務(wù)做法檢討現(xiàn)有防火牆或網(wǎng)路控制工具，依照指引執(zhí)行相關(guān)設(shè)定。實務(wù)做法檢討現(xiàn)有防火牆或網(wǎng)路控制工具，依照指引執(zhí)行相關(guān)設(shè)定。教育訓(xùn)練教材中應(yīng)放入本項控制措施。定期檢討各項限制規(guī)則，並更新規(guī)則。修訂網(wǎng)路安全程序書。增加的控制項目增加的控制項目-8.28安全程式設(shè)計資訊安全管理制度國際標(biāo)準(zhǔn)簡介資訊安全管理制度國際標(biāo)準(zhǔn)簡介2023PAGE54控制措施 軟體開發(fā)應(yīng)施行安全程式設(shè)計原則?？刂拼胧┸涹w開發(fā)應(yīng)施行安全程式設(shè)計原則。目的確保軟體目的確保軟體係安全的撰寫，從而降低軟體中潛在資訊安全脆弱性之?dāng)?shù)量。指引組織宜建立全組織之過程，提供安全程式設(shè)計的良好治理。宜建立最低安全基準(zhǔn)，並套用之。此外，此類指引組織宜建立全組織之過程，提供安全程式設(shè)計的良好治理。宜建立最低安全基準(zhǔn)，並套用之。此外，此類過程及治理宜延伸至涵蓋源自第三方之軟體組件及開放原始碼軟體。組織宜監(jiān)視真實世界之威脅以關(guān)於軟體脆弱性的最新建議及資訊，以透過持續(xù)改善及學(xué)習(xí)，引導(dǎo)組織之安全程式設(shè)計原則。此可能有助於確保實作有效之安全程式設(shè)計實務(wù)作法，以對抗快速變更的威脅形勢。實務(wù)做法檢討現(xiàn)有軟體開發(fā)流程，將安全要求導(dǎo)入開發(fā)過程中。實務(wù)做法檢討現(xiàn)有軟體開發(fā)流程，將安全要求導(dǎo)入開發(fā)過程中。管控各項元件含第三方之安全性。執(zhí)行必要的測試及安全性檢測工作。結(jié)合構(gòu)型管理。修訂資訊系統(tǒng)開發(fā)維護(hù)程序書。新版ISO27001控制措施轉(zhuǎn)版秘訣大公開1.1.了解變化資訊安全管理制度國際標(biāo)準(zhǔn)簡介資訊安全管理制度國際標(biāo)準(zhǔn)簡介2023PAGE562.2.教育訓(xùn)練資訊安全管理制度國際標(biāo)準(zhǔn)簡介資訊安全管理制度國際標(biāo)準(zhǔn)簡介2023PAGE57IISO27001022基礎(chǔ)認(rèn)知控制措施實作變更說明ISISO2