如今數據化的時代,許多資訊透過網路傳輸,當這些資訊涉及組織機密、個人隱私,如果不慎外洩,恐怕會造成不小的損害,因此「資訊安全」成了當代組織關心的一大要點,從私人企業到公部門,紛紛致力於通過ISO27001國際驗證,以落實組織內外的資訊安全。
為何企業與公部門紛紛致力於通過ISO27001資安國際驗證?
隨著網路科技越發普及,以及新冠疫情推動了遠距辦公的進程,使得越來越多人習慣資訊化作業來進行各種日常活動,而這些活動往往伴隨著許多資訊和隱私,例如個人姓名、聯絡方式、企業營運資料、員工的工作成果等等。
然而,我們都知道網路並非毫無漏洞,如果駭客在我們未察覺的情況下擷取了某些資訊,可能導致的後果可能相當嚴重。
以大家熟悉的金融科技來說,如果客戶聯繫方式被兜售,可能導致客戶接連收到詐騙訊息,引發意外的金錢損失,或是信用卡資料外洩,導致被有心人士盜刷鉅額,更可能讓人的生活一落千丈,更別說如果企業的營運資料、機密訊息外洩,很可能讓企業遭受嚴重損失。
因此資訊安全和隱私保護可以說是攸關人的福祉,絕不能小看其重要性。但要如何實現資訊安全呢?資安關鍵在於制度建立與風險控管,而ISO27001這項國際認證則能幫助到組織強化資安意識。
ISO27001是什麼?
ISO27001 資訊安全管理系統是由國際化標準組織(簡稱ISO)和國際電工委員會(IEC)所頒布的國際認證,ISO 27001重點在於協助組織建立起資訊安全管理系統的機密性、完整性及可用性,透過協助企業進行風險評估、找出潛在問題,再針對已知風險做出預防措施,降低未來實際發生資料外洩的損失。
資訊安全的3大安全要素
提及資訊安全,想要確保資訊保護力,就不得不提及這3個要素:機密性、完整性、可用性。這3者互相牽制與配合,形成鐵三角的關係,只要有任一項被違反,都會降低資安的保護力,潛在風險就會提升。
- Confidentiality(機密性):指機密資訊未經授權情況下,外人都無法看到。
- Integrity(完整性):指機密資訊未經授權情況下,外人無法修改、刪除。
- Availability(可用性):指資訊可被即時且持續讀取和使用,不會因任何因素而中斷或停止。
你的單位一定要通過ISO27001嗎?哪些組織取得了ISO27001?
ISO27001適用組織包含商業企業、政府機構和民間組織,按台灣《資通安全管理法》規定,A、B級的單位,包含政府機關、學術單位與國(公)營事業、醫療機構,一定得全面導入資訊安全管理,並在時間限制內通過ISO27001等國際性認證,以保障民眾財產與隱私安全。
其中私人企業並未受到嚴格控管,但也有不少企業自發性通過了ISO27001驗證,使現今通過ISO27001國際認證的組織十分多元,知名單位包含台北市政府警察局、關務署高雄關、勞動部勞工保險局、中鋼公司、台積電、星宇航空、彰化銀行等等,可以證實ISO27001確實是各行各業都適用。
延伸閱讀: