什麼是資訊安全管理系統?
資訊安全管理系統(Information security management system)簡稱ISMS。其透過施行制度化的管控措施,降低組織面對的威脅和弱點,以風險管理的概念保護組織資訊資產的機密性、完整性及可用性。
什麼是ISO/IEC 27001:2013?
ISO 27001是國際標準化組織(International Organization for Standardization, ISO)發布的一套用以檢驗資訊安全管理系統的國際標準。其為目前國際上最廣泛使用且最完整的資訊安全管理系統的標準,目前最新版為2013年發佈。
什麼是CNS 27001?
CNS 27001為經濟部標準檢驗局發佈之中華民國國家標準(Chinese National Standards, CNS),內容參考ISO 27001不變更技術內容修訂而成,可將其視為ISO 27001的中文翻譯版本。
什麼是ISO/IEC 27001:2013本文?
ISO 27001:2013的本文通常指的是內文第4節至第8節,為資訊安全管理系統的完整規範,標準驗證時的必須要求。
什麼是附錄A?
附錄A為ISO 27001:2013管理系統的安全控制措施,直接取自ISO 27002(中文版見CNS 27002)內文第5節至第18節,共有114項,對應本文第6.1.3節風險處理。
什麼是適用性聲明?
由於各組織結構和業務型態各有不同,附錄A控制項也可能非全部適用,因此需依風險評鑑結果決定組織導入資訊安全管理系統適用之安全控制措施。
CNS 27001「資訊技術-安全技術-資訊安全管理系統-要求事項」國家標準