為什麼要選擇有通過ISMS資訊安全管理系統的資訊軟體公司呢？

隨著資訊流通越來越頻繁，不論是公司或個人，其實都存在著資訊安全的風險，像是烏克蘭電力網路遭受到駭客惡意攻擊，導致伊萬諾福蘭克夫斯克州數十萬戶大停電，雷諾汽車於法國多個地區遭受到 WannaCry病毒攻擊，導致多個位於法國的生產基地被迫停產…等案例，都造成了巨大的損失。
也因為政府近年來對資訊安全的重視，開始推行資訊安全管理的重要性，於是乎相關的驗證機制便如雨後春筍般出現了。
那究竟所謂的ISMS資訊安全管理系統是什麼?精神是什麼?導入ISMS對企業的影響又是什麼?我們一起來看看吧！

一、    ISMS架構介紹

【資訊安全之目的】

為了降低資訊安全的風險，我們所做的一切，主要是保障組織資訊資產免於「不可承受的風險」。
下列三點稱為C.I.A.資安核心三要素：機密性、完整性及可用性。
i.機密性（Confidentiality）:指訊息不為其他不應獲得者獲得，保障訊息在對的人、對的時間、對的裝置和對的地點上被存取，用以維護用戶資訊的保密性，
ii.完整性（Integrity）:指在傳輸、儲存資訊或資料的過程中，資訊或資料不被未授權的篡改。
iii.可用性（Availability）:簡單的說，可用性就是讓一個系統處隨時可工作狀態，資訊服務不因任何因素而中斷/停止。
基本上除了以上三點，可以再搭配身分驗證 (authentication)、存取控制 (Access Control)、不可否認性 (non-repudiation)三項組成共同組成更全面的資安基本原則。

【 導入ISMS的好處】

雖然導入資訊安全管理制度要投入不少人力和財力，但對企業來說，還是有很多好處的：
i.保護資訊免受多種威脅的攻擊-像是病毒、駭客攻擊，或是因職務調動或離職導致的資訊外洩問題。
ii.保證公司業務持續性-因會事先針對資訊安全與系統安全進行風險評估並擬定發生後的處理方式，就算發生了緊急事故，也能隨機應變，維持業務正常運作。
iii.將業務損失最小化-透過系統化的風險評估與分級，減少不必要的業務損失，或在企業允許的條件下，將業務損失最小化。
這些好處相對於企業來說，隨之而來的當然就是加深客戶對該企業的信賴感，進而增加長期合作的意願。
 

 ISMS資訊安全管理系統所採用的標準為ISO27001的要求事項及ISO27002的作業規範，與27001對應的條款為A.5-A.18，共14則條款，其中包含了35項分類、114項控制措施如下：

【關於ISO27001的延伸驗證機制們】

ISO/IEC 27001的驗證範圍較適用於一般企業或組織，如果要針對特定領域進行細部驗證，可以再參考其他的驗證機制，像是：
i.    ISO27799-健康醫療資訊安全管理系統
ii.    ISO27018-雲端服務個資保護管理系統
iii.    ISO29151-個資保護管理系統
iv.    ISO27017-雲服務資訊安全管理系統
v.    ISO27011-電信事業資通安全管理系統
vi.    ISO27019-資訊科技/安全技術/能源產業資訊安全管理系統

二、國際驗證機構與認證委員會

有效的ISO證書除了應該註明驗證範圍、日期、地址、及證書編號等可識別之資訊，還必須同時有「驗證機構」、「認證委員會」及「被稽核單位」三者的名稱或標誌。
若是有通過第三方認證委員會認證的證書，都可以在認證委員會的公開網站上查詢的到，像是台灣的財團法人全國認證基金會(Taiwan Accreditation Foundation)、英國的UKAS、美國的RAB等，而非驗證單位私人的官網查詢就算被核可喔！

以下提供一些台灣的TAF認可且有驗證ISO27001的驗證機構的資訊給大家參考：

三、如何導入ISMS

【導入流程】
1. 定義導入範圍（scope）-可以是整間公司或是某個部門，也可以驗證專案開發流程。
2. 進行落差分析（Gap analysis）
(1) 資產清查盤點
(2)風險評鑑
3.內部規範建立
4.試行內部規範
5.內部稽核
6.外部稽核

【時程】
基本上約6-8個月，但還是視組織需求、驗證範圍、驗證系統數量及人數而異

【費用】
i.驗證&認證費用10-30萬不等
ii.若是請管顧公司的輔導費用則視驗證人數而定，20人以下大約45-55萬之間，20人以上大約60萬-130萬左右

【效期】
ISO 27001 資訊安全管理制度證書有效期為三年，每年須定期審查。