一句話定義:ISO 27001 是 ISO 發布的資訊安全管理系統(ISMS)標準,提供組織系統化保護資訊資產(機密性、完整性、可用性)的框架,核心在於以風險評估為基礎,選擇並實施適合的控制措施。
ISO 27001 全球超過 70,000 家組織取得認證,涵蓋科技、金融、醫療、政府、製造等各行業。2022 年改版(ISO 27001:2022)將控制措施從 114 項重組為 93 項,新增雲端安全、威脅情報、資料遮罩等 11 項反映現代威脅的控制措施,2013 版過渡期已於 2025 年 10 月 31 日截止。
ISO 27001 採用與 ISO 9001、ISO 14001 相同的 HLS 高層結構。相較於其他 ISO 管理系統標準,ISO 27001 最獨特之處在於:強制要求建立「適用性聲明(SoA)」文件,明確說明組織選擇哪些控制措施、排除哪些,以及背後的理由。
基於英國 BS 7799-2 標準發展,確立 ISMS 國際標準化基礎,採用 PDCA 循環架構。
採用 HLS 架構,Annex A 共 114 項控制措施分為 14 個控制領域。成為全球主流版本。
控制措施重組為 93 項(4 主題),新增 11 項現代控制措施(雲端、威脅情報、DLP 等),引入控制屬性標籤系統。
2025 年 10 月 31 日,2013 版過渡期結束。現有認證全面轉換為 ISO 27001:2022,不再頒發 2013 版認證書。
| 你的情境 | 典型來源 | 要求 | 建議行動 |
|---|---|---|---|
| 政府或大型企業供應商資格 | 政府採購規定、企業供應商評鑑 | 提供有效 ISO 27001 認證書 | 以最短合理時程完成認證,確保證書範疇符合客戶要求 |
| 科技業、SaaS 廠商客戶要求 | B2B SaaS 客戶、跨國企業資安審查 | ISO 27001 認證或 SOC 2 Type II(美國市場) | 台灣市場首選 ISO 27001;進軍美國市場再評估 SOC 2 |
| 金融業、醫療業法規要求 | 金管會、衛福部相關法規;金融監管壓力 | 建立符合法規的資安管理框架 | ISO 27001 搭配金融資安、醫療隱私特定要求,一次解決 |
| GDPR 或台灣個資法合規 | 歐盟客戶合約要求、台灣個資法監管 | 資訊安全與隱私管理架構 | ISO 27001 + ISO 27701(隱私資訊管理)整合導入,最具效益 |
| 主動建立資安防護能力 | 管理層決策,降低資料外洩風險 | 無外部強制,以實質資安改善為目標 | 以資產盤點與風險評估為起點,建立適合規模的 ISMS |
ISO 27001:2022 將 Annex A 控制措施重組為 4 大主題,共 93 項。相較於 2013 版 114 項 / 14 領域,2022 版更結構化且新增反映現代威脅的控制措施。
🆕 ISO 27001:2022 新增的 11 項控制措施(2013 版所無)
5.7 威脅情報(Threat Intelligence)—— 主動收集並分析威脅情報以預防攻擊
5.23 雲端服務資訊安全(Cloud Services)—— 雲端採購、使用、管理的安全要求
5.30 業務持續的 ICT 準備(ICT Readiness)—— IT 系統的業務持續能力
7.4 實體安全監控(Physical Security Monitoring)—— 監控系統防止未授權存取
8.9 設定管理(Configuration Management)—— 硬體、軟體、網路設定的安全管理
8.10 資訊刪除(Information Deletion)—— 確保資訊在不需要時安全刪除
8.11 資料遮罩(Data Masking)—— 敏感資料在測試、開發環境的保護
8.12 資料外洩防護(Data Leakage Prevention)—— 防止敏感資料未授權外洩
8.16 監控活動(Monitoring Activities)—— 網路、系統異常行為偵測
8.23 網路過濾(Web Filtering)—— 防止存取惡意網站
8.28 安全程式設計(Secure Coding)—— 軟體開發安全實踐
| 條款 | 標題 | 核心要求 | ISMS 特有重點 |
|---|---|---|---|
| 4 | 組織背景 | 理解內外部議題、識別利害關係人需求、確定 ISMS 範疇 | ISMS 範疇(Scope)的定義直接影響後續所有評估範圍 |
| 5 | 領導力 | 最高管理層承諾可見度、資安政策、組織角色與職責 | ISMS 必須有高層支持;資安政策需對外可得,員工知悉 |
| 6 | 規劃 | 資訊安全風險評估、風險處理計畫、SoA 適用性聲明、資安目標 | SoA 是 ISMS 最核心的強制文件——說明 93 項控制措施的選擇與排除理由 |
| 7 | 支援 | 資源、能力、認知、溝通、文件化資訊 | 員工資安認知訓練需定期執行並留存記錄;文件版本管控嚴格 |
| 8 | 運作 | 風險評估與處理計畫執行、Annex A 控制措施實施 | 風險評估需定期執行(重大系統變更時需立即重評) |
| 9 | 績效評估 | ISMS 有效性監測、內部稽核、管理審查 | 內稽需涵蓋所有 Annex A 控制措施;管審輸出需包含資安事件統計 |
| 10 | 改善 | 資安事件、不符合與矯正措施、持續改善 | 資安事件必須記錄、調查、找出根本原因,並更新風險評估 |
風險評估是 ISO 27001 的核心,定義了 ISMS 的保護範圍與控制措施選擇的依據。ISO 27001 不規定特定的風險評估方法,但需要有系統化、可重複的流程。
定義風險接受準則(風險胃納):哪些等級的風險可接受、哪些必須處理。確定評估方法:可採資產導向法(識別資產→威脅→漏洞→影響)或情境導向法(識別情境→後果→可能性)。
盤點 ISMS 範疇內所有資訊資產:硬體(伺服器、終端設備)、軟體(系統、應用程式)、資料(客戶資料、財務資料、智慧財產)、服務(雲端服務、網路服務)、人員(關鍵知識持有者)。
針對每項資產識別潛在威脅(惡意程式、社交工程、內部人員威脅、自然災害、系統故障)以及組織現有的漏洞(弱密碼政策、未修補的漏洞、缺乏存取控制記錄)。
計算每項風險的等級:通常以「可能性 × 衝擊」矩陣評估。衝擊評估需考量機密性(C)、完整性(I)、可用性(A)三個維度。將風險依高/中/低排序,優先處理高風險項目。
對每項風險選擇處理選項:降低(選擇 Annex A 控制措施)、轉移(保險、外包)、接受(低風險)、避免(停止高風險活動)。記錄控制措施選擇在 SoA 文件中。
💡 實務建議:風險評估不是一次性工作。ISO 27001 要求定期執行,且在重大系統變更、資安事件發生或組織架構改變時需立即重新評估受影響的資訊資產。
ISO 27001 認證採二階段審查(Stage 1 + Stage 2),首次認證典型時程 4–8 個月,依組織規模與系統複雜度而異。
逐條對照 ISO 27001 評估現有資安管理現況,識別文件缺口。確認 ISMS 範疇、盤點現有資訊資產,評估 SoA 初步架構。
交付物:ISMS 差距分析報告+資產盤點初稿+輔導時程執行完整資訊資產盤點,建立風險評估方法論,逐一評估各資產的威脅與漏洞,確定風險等級,選擇 Annex A 控制措施,建立 SoA 適用性聲明文件。
交付物:資產清單+風險評估表+風險處理計畫+SoA建立資訊安全政策、存取控制政策、加密政策、備份程序、資安事件處理程序、業務持續計畫、供應商安全管理程序,以及 2022 版新增控制措施(雲端安全、威脅情報、DLP)相關文件。
交付物:完整 ISMS 文件套組(含 SoA)執行全員資安認知訓練(釣魚郵件識別、密碼管理、資料分類),實施 Annex A 技術控制措施(存取控制設定、加密部署、日誌監控等),執行業務持續演練。
交付物:訓練記錄+控制措施實施驗證執行全系統內部稽核(涵蓋所有 ISO 27001 條款,重點審查 SoA 一致性、風險評估品質、控制措施實際執行狀況)。高階主管主持管理審查。
交付物:內稽報告+矯正行動記錄+管審記錄Stage 1:認證機構審查 ISMS 文件完整性,特別審查 SoA 文件品質與風險評估合理性。Stage 2:現場系統審查,包含控制措施實施驗證、員工訪談、技術設定查核。
交付物:ISO 27001:2022 認證書常見原因:SoA 宣稱已實施某控制措施,但現場查核時找不到對應的執行記錄、設定文件或實際技術部署。例如宣稱已有 DLP,但系統設定不完整或未啟用。
對策:SoA 的每一項「已實施」控制措施都必須有對應的客觀證據——文件、設定截圖、訓練記錄或系統日誌。德宣輔導在模擬審查時逐項驗證。
常見原因:風險評估在導入時完成一次後從未更新;系統新增(如導入新雲端服務)或組織改變(如人員離職、系統變更)未觸發重新評估。
對策:建立風險評估觸發條件清單,定義何時需重評(定期 + 事件觸發);每次評估的日期、範疇、結論需留存記錄。
常見原因:使用者帳號開設、修改、刪除無審核記錄;離職員工帳號未及時停用;特權帳號(系統管理員)使用未留存日誌。
對策:建立帳號生命週期管理程序(申請→核准→建立→定期審查→停用→刪除),每個環節留存核准記錄;特權帳號操作日誌保存至少 90 天。
常見原因:2022 版強化供應鏈資安要求(5.19–5.22),但許多組織對接觸敏感資料的供應商(雲端服務商、外包開發商)缺乏正式的安全評估與合約條款。
對策:建立供應商資安評估清單(依接觸資料敏感程度分級);合約中加入資安要求條款;每年審查供應商資安狀況。
SoA(Statement of Applicability,適用性聲明)是 ISO 27001 唯一強制要求的特殊文件。它記錄組織對 93 項控制措施的選擇決策,是稽核員審查的核心文件之一。
依 ISO 27001:2022 要求,SoA 文件需說明以下四個面向:
列明組織已選擇實施的控制措施,並說明選擇理由(對應的風險、法規要求或合約義務)
列明排除的控制措施及排除理由(如某項控制措施不適用於組織的 ISMS 範疇)。排除理由必須合理且有文件支持
已實施(Implemented)、計畫中(Planned)或部分實施(Partially implemented),每個狀態需有對應的客觀證據
每項已選擇的控制措施需能追溯到對應的風險評估結果,確保控制措施選擇有理有據
⚠️ 最常見的 SoA 缺失:組織把所有 93 項控制措施都標記為「已實施」,但現場審查時找不到執行證據。正確做法是誠實評估實施狀態,對未實施的項目提供合理排除理由,並制定實施計畫。
| 標準 | 聚焦領域 | 與 ISO 27001 關係 | 適用情境 |
|---|---|---|---|
| ISO 27001:2013(舊版) | 資訊安全管理系統 | 2025/10 過渡期截止,已不再頒發舊版認證 | — |
| ISO 27701:2019 | 隱私資訊管理系統(PIMS) | ISO 27001 的隱私延伸;需先有 ISO 27001 認證 | GDPR 合規、台灣個資法、客戶隱私要求 |
| SOC 2 Type II | 服務組織控制報告(美式) | 不同標準體系;美國市場客戶偏好 | SaaS 廠商進軍美國市場;ISO 27001 更適合台灣市場 |
| ISO 9001:2015 | 品質管理系統 | 同 HLS 架構;文件管制、內稽、管審可整合 | 已有 ISO 9001 者整合導入 ISO 27001 可節省成本 |
| NIST CSF 2.0 | 網路安全框架(美式指引) | 框架非認證標準;可與 ISO 27001 互補 | 需對應 NIST 框架的美國政府合約要求 |
| 台灣資安管理法 | 特定機關資安義務 | ISO 27001 認證是符合台灣資安法精神的最佳工具 | A/B 級機關的資安成熟度要求 |
德宣顧問熟稔 ISO 27001:2022 的 11 項新增控制措施,協助客戶評估哪些新措施(雲端安全、威脅情報、DLP)需納入 SoA,確保 2022 版符合性不遺漏。
SoA 是 ISMS 最核心也最容易出問題的文件。德宣協助客戶逐條評估 93 項控制措施的適用性,確保每項決策有理有據,與風險評估結果一致。
科技業(SaaS、軟硬體)與製造業(OT 系統、工業控制)在 ISO 27001 的挑戰截然不同。德宣在兩個領域均有深度輔導經驗,能提供行業特定的控制措施建議。
GDPR 合規與台灣個資法要求越來越嚴格。德宣可在 ISO 27001 基礎上同步導入 ISO 27701,建立完整的隱私資訊管理系統,一次解決資安與隱私合規問題。
許多廠商最難的不是建文件,而是讓風險評估「不流於形式」。德宣提供可操作的風險評估方法論與模板,確保評估結果真實反映組織面臨的威脅。
已有 ISO 9001 認證的組織新增 ISO 27001 可共用 HLS 文件框架(文件管制、內稽、管審、矯正預防),整合導入節省 25–35% 時程與維護成本。
主要企業客戶在合約中要求提供 ISO 27001 認證書,否則無法進入供應商名單。公司規模中型,但系統架構複雜(AWS 多帳號、多租戶 SaaS)。
德宣重點處理:雲端環境的 ISMS 範疇定義、AWS 安全設定的控制措施對應(新版 5.23 雲端安全控制),以及 SoA 與客戶服務資料保護要求的一致性。
主要客戶(品牌手機廠)要求供應商取得 ISO 27001 認證,保護設計圖面與產品規格的機密性。OT 系統(生產設備)與 IT 系統的資安管理是主要挑戰。
德宣設計 IT/OT 分離的 ISMS 範疇,重點強化 IP 設計圖面存取控制、外部 USB 政策、訪客網路隔離,以及供應商(設計協力廠)的資安合約條款。
金管會要求特定類型金融機構建立符合法規的資安管理體系。公司同時需因應 GDPR(有歐洲使用者)和台灣個資法,資安與隱私合規需同步建立。
德宣採用 ISO 27001 + ISO 27701 整合導入,共用 ISMS 框架同時建立隱私資訊管理系統(PIMS),並對應金管會資安法規的特定要求。
持有 ISO 27001:2013 認證 4 年,需在 2025 年 10 月截止前完成轉版。原有 SoA 基於 114 項控制措施,需重新評估並對應 2022 版 93 項架構。
德宣執行 2013→2022 差距分析,重點評估 11 項新增控制措施的適用性(特別是威脅情報、雲端安全、DLP),更新 SoA 與風險評估,完成轉版文件。
| 費用項目 | 小型(50 人以下) | 中型(50–200 人) | 大型(200 人以上) |
|---|---|---|---|
| 認證機構審查費(年均) | 5–8 萬元/年 | 8–15 萬元/年 | 15–30 萬元以上/年 |
| 顧問輔導費 | 依現況差距與系統複雜度報價,建議先進行免費差距分析評估 | ||
| 典型導入時程 | 4–5 個月 | 5–7 個月 | 6–10 個月 |
| 2013→2022 轉版時程 | 通常 2–4 個月(依現有系統複雜度),重點在 SoA 更新與新控制措施評估 | ||
德宣管理顧問