誰適合閱讀本系列?-想要了解ISO 27001的人或想要更精進ISO 27001解讀能力的-資訊安全領域的入門者&nbsp;本文視角:將從資訊顧問的角度出發說明、介紹ISO 27001&nbsp;要談ISO 27001之前，首先要來談何謂資訊安全，為什麼要重視資訊安全這件事? 相信第一次聽到資訊安全這個名詞的同仁，可能會以為這都是工程師才需要懂得領域跟一般人或非資訊領域的人沒關係，但這其實是誤解。所謂資訊其實指的是帶有特定意義的符號，而這個符號可以是文字、圖像等。從這裡就可以衍伸出舉凡我們在系統上、紙本文件上或生活中看到的傳單等，其實都代表著一種資訊，所以資訊無處不在。那你有沒有想過為甚麼有些資訊會讓傳到網路上讓大家知道，而有些不會呢? 這其中有甚麼樣機制在運作呢?&nbsp;以下先來介紹資訊安全的三要素:機密性、完整性、可用性。&nbsp;機密性:為了探討這樣的機制，舉上一段的例子說明，生活中看到的傳單與企業內部的資訊，從企業角度來思考，這兩種資訊對於企業的價值當然不一樣，企業內部的資訊是僅限給內部員工看，若是散播出去可能造成企業的機密資訊外流導致業務上的損失，因此，我們可以從這個簡單例子來看出資訊有所謂的機密性，機密性的意思是說某資訊僅能讓被授權的人得知該資訊，而其餘非被授權的人則不能得知該資訊。&nbsp;完整性:有關完整性的說明，簡單來說是指資訊本身所要代表的意義與他被創造出來或詮釋的意義相同。舉個例子來說明:假如有一段在書本上的話是:我喜歡吃蘋果。但是因為紙本老舊，導致其中有兩個字模糊看不清楚，變成我OO吃蘋果。如此一來，只要我們看到這行文字便無法正確理解其原本所要表達的意思，這在資訊安全裡就代表完整性不足。如果從更廣泛的角度來看，完整性除了資訊完整與否之外，資訊是否有被修改也會被算進完整性當中。&nbsp;可用性:用最白話的說法是資訊在你需要用到的時候，你隨時可以取用到這個資訊。舉例來說，現代資訊絕大部分都會放在資訊系統上，因此資訊系統的運作與否，對系統使用者能否取得需要的資訊至關重要，只要系統正常運作就可以取得所需資訊，相反的，只要系統故障，就無法取得所需資訊，因此可用性也被破壞。&nbsp;以上是針對資訊安全的三大要素概要說明，相信讀者應該能夠體會這三個因素對於資訊安全的重要性為何。接下來就要正式說明ISO 27001的架構。ISO 27001其實是由ISO 20000的系列衍伸出來的標準，其主要是在闡明「資訊安全管理體制」。這裡介紹一個概念就是「體制」或稱「體系」，因ISO國際標準組織針對管理體系其實有一定的規範需要被保留在這個「體系」中。而針對ISO 27001的架構分為「本文」及「附錄」，其中本文所敘述就是管理體系當中要有的規範，比如:組織全景分析、管理階層、風險評鑑、運作及測量有效性等，而「附錄」則是指在說明為了達成資訊安全管理體系的資安目標所要實行的動作，而這些動作想當然是跟資訊安全有關的控制措施。目前ISO 27001:2022版將「附錄」分為四大領域:A.5組織、A.6人員、A.7實體、A.8技術，總共有93個條文，並且針對每個條文都會對應的資訊安全屬性，讀者在閱讀ISO 27001時可以搭配屬性能夠更深刻了解該條文屬於何種屬性便於理解。以下舉【A.5.7威脅情資】說明。&nbsp;A.5.7威脅情資 控制措施:宜蒐集並分析與資訊安全威脅相關之資訊， 以產生威脅情資。目的:提供對組織威脅環境之認知， 以便採取適切的減緩措施。&nbsp;當讀者日後在研讀ISO 27001時，筆者推薦從先推薦由上而下閱讀，首先，條文名稱大致上會告訴條文與什麼有關，控制措施會描述組織若要符合本條文所需要達成的效果，目的就不多贅述。以【A.5.7威脅情資】的控制措施「宜蒐集並分析與資訊安全威脅相關之資訊， 以產生威脅情資。」從控制措施描述可以知道有三個動作需要被滿足，分別是「蒐集」、「分析」、「產生威脅情資」，而這個條文的主體是威脅情資。如此一來，就能夠很清楚明瞭若要達成條文的要求。因此，針對【A.5.7威脅情資】就要有「蒐集」、「分析」、「產生威脅情資」這三個動作:「蒐集」-&gt;如何蒐集?蒐集來源?「分析」-&gt;如何分析?分析的方法是什麼?「產生威脅情資」-&gt;如何判定是否為威脅情資? 若是威脅，則後續組織應該採取的動作是甚麼?&nbsp;結論:本文簡述資訊安全三大要素:機密性、完整性、可用性，及有關ISO 27001之架構、如何解讀各個條文，分為拆解控制措施的「動作」及「描述主體」，期望讀者能夠透過本文了解ISO 27001架構及資訊安全基本概念。&nbsp;由於筆者是第一次寫文章，自小到大國寫能力也一直屬於同儕中的中下程度，若表達上有讓人誤解的地方或語意不順之處還請多多包涵~~。

這個沙龍將會介紹一些資安顧問的生活或是一些生活上的趣事~~。

小小顧問的沙龍

淺談ISO 27001資訊安全管理體制(ISMS)

加入免費👉Discord群組／TG Channel接收市場要聞、產業動態和更新通知。

投資理財

職場

閱讀書評

以行動支持創作者！付費即可解鎖

美股投資十日談

致力成為美股投資者的市場指南和行情溫度計。透過本專欄，讀者可以：一、掌握投資科技成長股的心法；二、透過「歷史縱向估值法」，追蹤選定企業的財報表現；三、追蹤軟體股估值行情，尋找投資機會；四、掃瞄美股整體市場行情，洞察不同產業的資金流向；五、提供模擬組合紀錄，長期追蹤表現。

指引

財報

Discord

資安

網路安全

誤差範圍

美國總統

【財報分析】簡評Palo Alto Networks(PANW)早前的2024Q4財報

美國總統川普祭出汽車關稅政策，重擊台股今 (27) 日表現，早盤以 22093.2 點開低走低，最低跌至 21919.4 點，距離今年低點 21769 點不遠，終場跌 308.53 點或 1.39%，以 21951.76 點作收，失守 22000 大關，成交量 2638.98 億元。



【免責聲

國際

專屬Line社群、Discord身分組(月)

專屬Line社群、Discord身分組(季)

專屬Line社群、Discord身分組(年)

統整盤面焦點關注族群，並分享自身的實戰經驗，讓讀者透過專欄學習到熱門族群間的關係，了解短線交易並加以運用。

Jedi｜交易投資筆記

族群

通路

地緣政治

Alphabet

文章

權值股

臺灣

2025/3/28 盤前筆記

本文探討使用Terraform可能帶來的安全風險，包含供應鏈攻擊、憑證管理及設定漂移等議題，並提供相對應的防範措施。此外，更深入介紹企業級雲端資安策略，例如零信任架構、CSPM及CIEM工具的應用，以及事件回應計畫(Incident Response Playbook) 的重要性。

學習

軟體開發

hello maple

密碼

雲端

管理

企業

檢查

供應鏈

駭客入侵

帳號

PM 來認識 Terraform 設定 - 企業級雲端資安策略

今天要了解的內容是 IaC（基礎架構即程式）與 Terraform 的概念，一起來開始吧！

網站

基礎

程式

流量

伺服器

駭客攻擊

PM 來認識 IaC 跟 Terraform （額外加上 S3 跟 f5)

受到市場擔憂對等關稅情緒，台股今天開高震盪，早盤漲約124點，逼近22400點關卡，隨後因台積電走弱，大盤指數翻黑，終場跌12.9點，收22260.29點。終場加權指數下跌12.9點，收22260.29點，成交值新台幣2149.53億元；電子股下跌0.26%、金融股漲0.45%；櫃買指數漲0.23%

運動

對等關稅

台指期

櫃買

指數

2025/3/27 盤前筆記

台股今（24）日收最低，以22106點作收，早盤一度開高反彈171點站上年線，但未見追價買盤，指數逐步走低，於11點左右翻黑，終場收跌106點，失守所有均線，成交量僅2446億，櫃買指數同樣收最低，早盤挑戰月線反壓未能成功後即逐步走低，終場則以251.22點作收，同樣失守所有均線。

漲停

弱勢

2025/3/26 盤前筆記

準備跟 ChatGPT 學習 PM 版雲端資安學習計畫（技術概念向，無程式背景）
這次會討論到「基礎架構即程式 (IaC) 與 Terraform」、「雲端進階攻擊手法」、「企業資安策略」

親子與教育

案例

資源

PM 版雲端資安學習計畫 part 3

觀察

工具機

2025/3/25 盤前筆記

學完企業資安事件應變 (Incident Response) 與災難復原 (Disaster Recovery, DR)後，最後一部就是資安合規與治理 (Cloud Security Governance)了，一起來看吧。