ISO 27001:2013 (信息安全管理體系)
國際標準組織ISO在2013年更新了資訊安全管理系統的世界標準ISO 27001:2005。 ISO 27001是一套完整的驗證標準,企業可以依照自己的需求範圍建立管理制度,然後委託驗證機構進行稽核。經由系統化的資訊安全管制措施,來降低資訊安全風險,達成下列三項目標 :
- 資料的機密性 (Confidentiality) :確保只有被授權的用戶,可以依權限存取資料。
- 資料的完整性 (Integrity) :確保資料是完整的,沒有被竊取或不當修改。
- 資料的可取用性(Availability) :確保被授權的用戶,在需要資料時,能順利獲得資料。
由於資訊科技的蓬勃發展,越來越多的企業或組織廣泛運用各種應用軟體執行日常工作,並建置 ERP, CRM, SCM,EIP, KM,BI等各種電腦系統與企業內部網路來提昇作業效率與經營成效,但是由於颱風、地震、水火災等天然災害,以及內部人員的操作錯誤,離職員工的挾怨報復,或是病毒及網路駭客之攻擊等各種威脅,資訊系統每天都存在著不同風險。
資訊系統一但受損,復原所需的時間和努力通常都相當可觀。試想,如果電腦系統一整個星期都不能使用,或電腦裡儲存的資料遺失了,或競爭者取得客戶清單與業務企劃,這些情況會帶來多少損失?企業是否能夠承擔這些損失?因此,建立周延的資訊安全管理系統是非常重要的工作。
