ISO 27001 完整指南:定義、條文、導入與認證全攻略【2025 最新】
- ISO 27001 是什麼?
- ISO 27001 定義與背景
- ISMS(資訊安全管理系統)介紹
- ISO 27001 的重要性與效益
- 哪些企業需要 ISO 27001?
- ISO 27001:2022 新版重點
- 2022 版與 2013 版差異
- 新版四大主題分類
- 控制措施從 114 項整併為 93 項
- 企業轉版時程建議
- ISO 27001 條文架構
- 條文本文概覽(Clause 4-10)
- 附錄 A 控制措施簡介
- 四階文件系統說明
- ISO 27001 導入流程
- 導入前準備工作
- 導入步驟與時程
- 常見導入挑戰與解決方案
- 導入費用概估
- ISO 27001 認證流程
- 認證機構選擇(TAF 認可機構)
- 認證稽核流程(第一、二階段)
- 認證費用與效期
- 年度監督稽核
- ISO 27001 證照介紹
- 主導稽核員(LA)證照
- 內部稽核員證照
- 考試準備建議
- ISO 27001 相關標準
- ISO 27002:控制措施實作指引
- ISO 27005:風險管理
- ISO 27701:隱私資訊管理
- FAQ:常見問題
- Q1: ISO 27001 是什麼?
- Q2: ISO 27001 認證費用多少?
- Q3: ISO 27001 證照費用多少?
- Q4: ISO 27001 和 ISO 27002 有什麼差別?
- Q5: ISO 27001 導入要多久?
- Q6: ISO 27001:2022 有什麼改版重點?
- Q7: ISO 27001 主導稽核員(LA)是什麼?
- Q8: ISO 27001 考試難嗎?
- 下一步
- 延伸閱讀
- 參考資料
ISO 27001 完整指南:定義、條文、導入與認證全攻略【2025 最新】
客戶問你:「你們有 ISO 27001 嗎?」
你愣住了。
這張證書,已經成為企業合作的入場券。沒有它,標案拿不到、大客戶談不下來、資安事件發生時更沒有說詞。
這篇文章會告訴你 ISO 27001 到底是什麼、怎麼拿到認證、要花多少錢。全部用白話說清楚。
ISO 27001 是什麼?
ISO 27001 定義與背景
ISO 27001 是國際標準化組織(ISO)發布的資訊安全管理系統標準。
簡單說,它是一套「如何保護公司資訊不被外洩、不被破壞」的遊戲規則。
這套標準的特色:
- 系統化:不是頭痛醫頭,而是建立完整的管理機制
- 風險導向:先找出可能的風險,再決定怎麼處理
- 持續改進:不是做一次就結束,而是每年都要維護
ISO 27001 最早在 2005 年發布,後來在 2013 年大改版,最新版本是 2022 年版。
ISMS(資訊安全管理系統)介紹
ISMS 是 Information Security Management System 的縮寫。
翻成白話:一套管理公司資訊安全的系統。
這套系統包含:
| 組成要素 | 說明 |
|---|---|
| 政策 | 公司對資安的承諾與方向 |
| 程序 | 具體怎麼做的步驟 |
| 技術控制 | 防火牆、加密、權限管理等 |
| 人員訓練 | 讓員工知道該注意什麼 |
ISO 27001 的核心,就是建立並維護這套 ISMS。
ISO 27001 的重要性與效益
為什麼這麼多企業搶著要拿這張證書?
商業效益:
- 參與政府標案的基本門檻(很多標案直接寫「需有 ISO 27001」)
- 大企業選供應商的篩選條件
- 跨國合作時,客戶會要求提供
管理效益:
- 降低資安事件發生的機率
- 事件發生時,有 SOP 可以快速應對
- 員工知道什麼該做、什麼不該做
數據佐證:
根據 BSI 的調查,取得 ISO 27001 認證的企業,資安事件發生率平均下降 70%。
哪些企業需要 ISO 27001?
不是所有公司都需要。但以下幾種,強烈建議考慮:
| 類型 | 原因 |
|---|---|
| 金融業、保險業 | 金管會有法規要求 |
| 醫療業 | 處理敏感的病患資料 |
| 科技業、SaaS 服務商 | 客戶會直接要求看證書 |
| 政府標案參與者 | 很多標案的必要條件 |
| 處理個資的企業 | 符合個資法要求 |
如果你的公司屬於以上任一類型,ISO 27001 不是「要不要做」的問題,而是「什麼時候做」。
想知道貴公司是否需要 ISO 27001?預約免費資安評估,讓專家幫你評估。
ISO 27001:2022 新版重點
2022 版與 2013 版差異
2022 年 10 月,ISO 正式發布了 ISO 27001:2022 新版。
這是睽違 9 年的重大改版。
主要變更:
| 項目 | 2013 版 | 2022 版 |
|---|---|---|
| 控制措施分類 | 14 章節 | 4 大主題 |
| 控制措施數量 | 114 項 | 93 項 |
| 新增控制措施 | - | 11 項 |
| 條文本文 | 舊版 | 微調強化 |
看起來控制措施變少了?其實是整併,不是刪除。
新版四大主題分類
2022 版把控制措施重新歸類成四大主題:
| 主題 | 項數 | 涵蓋內容 |
|---|---|---|
| 組織控制 | 37 項 | 政策、角色、資產管理 |
| 人員控制 | 8 項 | 人員篩選、訓練、離職 |
| 實體控制 | 14 項 | 實體安全、設備保護 |
| 技術控制 | 34 項 | 存取控制、加密、網路安全 |
這種分類方式更直覺,讓企業更容易對應到實際工作。
想了解更多新版細節,請參考 ISO 27001:2022 改版重點詳解。
控制措施從 114 項整併為 93 項
新版有 11 項全新的控制措施:
- 威脅情報:主動蒐集資安威脅資訊
- 雲端服務安全:針對雲端使用的控制
- ICT 營運持續準備:資通訊系統的持續營運
- 實體安全監控:實體環境的監控機制
- 組態管理:系統設定的管理
- 資訊刪除:資料的安全刪除
- 資料遮蔽:敏感資料的遮蔽處理
- 資料外洩防護(DLP):防止資料外洩
- 監控活動:系統活動的監控
- 網頁過濾:網頁存取的過濾
- 安全程式碼開發:安全的軟體開發
這些新增項目,反映了這幾年資安威脅的變化。
企業轉版時程建議
重要期限:2025 年 10 月 31 日
在這之前,所有 2013 版的證書都必須轉換到 2022 版。
建議時程:
| 階段 | 建議完成時間 |
|---|---|
| 差距分析 | 2025 Q1 |
| 文件修訂 | 2025 Q2 |
| 內部稽核 | 2025 Q3 |
| 轉版稽核 | 2025 Q3-Q4 |
不要等到最後一刻才趕。越晚開始,認證機構的時段越難排。
ISO 27001 條文架構
條文本文概覽(Clause 4-10)
ISO 27001 的條文本文,是整個標準的核心框架。
條文架構與 PDCA 循環對應:
| PDCA | 條文 | 內容重點 |
|---|---|---|
| Plan | Clause 4 | 組織全景、利害關係人 |
| Plan | Clause 5 | 領導與承諾 |
| Plan | Clause 6 | 風險評鑑、目標規劃 |
| Do | Clause 7 | 資源、能力、意識、溝通、文件 |
| Do | Clause 8 | 運作規劃與控制 |
| Check | Clause 9 | 監控、量測、內部稽核、管理審查 |
| Act | Clause 10 | 不符合處理、持續改進 |
這個 PDCA 循環,就是 ISO 管理系統的精髓。
想深入了解各條文內容,請參考 ISO 27001 條文詳細解讀。
附錄 A 控制措施簡介
條文本文告訴你「要做什麼」,附錄 A 告訴你「具體怎麼做」。
附錄 A 列出 93 項控制措施,企業需要:
- 評估每項控制措施是否適用
- 適用的要實施
- 不適用的要說明理由
這份評估結果,會形成一份叫「適用性聲明(SoA)」的文件。
四階文件系統說明
導入 ISO 27001,你會產出大量文件。這些文件通常分成四階:
| 階層 | 類型 | 範例 |
|---|---|---|
| 第一階 | 政策 | 資訊安全政策、存取控制政策 |
| 第二階 | 程序 | 風險評鑑程序、事件管理程序 |
| 第三階 | 作業指導書 | 備份作業 SOP、帳號申請 SOP |
| 第四階 | 表單紀錄 | 風險登錄表、稽核紀錄表 |
文件不是越多越好,重點是:寫的跟做的要一致。
ISO 27001 導入流程
導入前準備工作
在正式導入前,你需要先搞定幾件事:
1. 取得高層支持
沒有老闆點頭,什麼都做不了。你需要讓高層理解:
- 為什麼需要這張證書
- 大概要花多少錢
- 需要哪些資源配合
2. 組建專案團隊
建議成員:
- 專案負責人(有決策權)
- IT 部門代表
- 各部門種子人員
- 外部顧問(如果有的話)
3. 確認範圍
不是整間公司都要納入。常見做法:
- 只納入某個部門
- 只納入某項服務
- 先小範圍取證,再逐步擴大
導入步驟與時程
標準的導入流程:
| 步驟 | 內容 | 時程(中小企業) |
|---|---|---|
| 1. 現況盤點 | 了解目前的資安狀況 | 2-4 週 |
| 2. 風險評鑑 | 識別資產、威脅、弱點 | 4-6 週 |
| 3. 風險處理 | 決定處理方式、選擇控制措施 | 2-4 週 |
| 4. 文件建立 | 撰寫政策、程序、SOP | 8-12 週 |
| 5. 實施運作 | 落實控制措施、執行訓練 | 4-8 週 |
| 6. 內部稽核 | 自己查自己 | 2-4 週 |
| 7. 管理審查 | 高層審查成效 | 1-2 週 |
| 8. 認證稽核 | 外部稽核驗證 | 2-4 週 |
總時程:6-12 個月(依企業規模而異)
常見導入挑戰與解決方案
挑戰 1:文件太多,不知從何下手
解決方案:
- 先參考模板,不要從零開始
- 先寫必要文件,其他慢慢補
- 找有經驗的顧問協助
挑戰 2:各部門配合度低
解決方案:
- 高層要出面表態支持
- 說明對各部門的好處
- 減少額外的工作負擔
挑戰 3:預算不足
解決方案:
- 縮小認證範圍
- 自己做,減少顧問費
- 分階段導入
導入費用概估
這是大家最關心的問題。
| 企業規模 | 人數 | 輔導費用 | 驗證費用 | 總費用估算 |
|---|---|---|---|---|
| 微型企業 | <20 人 | 10-20萬 | 8-12萬 | 18-32萬 |
| 小型企業 | 20-50 人 | 20-35萬 | 12-18萬 | 32-53萬 |
| 中型企業 | 50-200 人 | 35-60萬 | 18-30萬 | 53-90萬 |
| 大型企業 | >200 人 | 60-120萬 | 30-50萬 | 90-170萬 |
詳細費用分析,請參考 ISO 27001 導入費用全解析。
覺得導入流程太複雜?其實有專業顧問協助,整個過程會順利很多。預約免費諮詢,讓我們幫你規劃最適合的導入策略。
ISO 27001 認證流程
認證機構選擇(TAF 認可機構)
不是隨便一家公司都能發 ISO 27001 證書。
在台灣,認證機構需要經過 TAF(財團法人全國認證基金會) 認可。
主要認證機構:
| 機構 | 特色 | 費用等級 |
|---|---|---|
| BSI | 英國標準協會,國際知名度高 | 較高 |
| SGS | 全球最大驗證機構 | 較高 |
| DNV | 挪威機構,工業領域強 | 中等 |
| TUV | 德國機構,技術嚴謹 | 中等 |
| 台灣本土機構 | 如 AFNOR、立恩威等 | 較低 |
選擇建議:
- 需要國際客戶認可 → 選國際大廠(BSI、SGS)
- 預算有限 → 考慮本土機構
- 已有其他 ISO 證書 → 同一家機構可能有整合優惠
認證稽核流程(第一、二階段)
認證稽核分兩個階段:
第一階段(文件審查):
- 稽核員到場審查文件
- 確認 ISMS 範圍、政策、程序
- 時間:通常 1 天
- 結果:提出待改善事項
第二階段(實地稽核):
- 稽核員實際驗證執行狀況
- 訪談人員、查看紀錄
- 時間:2-5 天(依範圍大小)
- 結果:決定是否發證
兩階段通常間隔 1-3 個月,讓企業有時間改善。
認證費用與效期
認證費用組成:
| 項目 | 費用範圍 |
|---|---|
| 申請費 | 1-2 萬 |
| 第一階段稽核費 | 3-8 萬 |
| 第二階段稽核費 | 5-15 萬 |
| 證書費 | 1-2 萬 |
| 總計 | 10-27 萬 |
證書效期:3 年
但不是拿到證書就沒事了,每年都要做監督稽核。
年度監督稽核
拿到證書後,每年要做一次監督稽核:
- 確認 ISMS 持續有效運作
- 抽查部分控制措施
- 費用:約第二階段稽核的 60-70%
第三年要做換證稽核,類似重新認證一次。
想知道目前距離認證還有多遠?預約資安評估,我們幫你做差距分析。
ISO 27001 證照介紹
除了公司認證,個人也可以考 ISO 27001 相關證照。
主導稽核員(LA)證照
LA 是 Lead Auditor 的縮寫,主導稽核員。
這張證照代表:
- 你具備執行 ISO 27001 稽核的能力
- 可以帶領稽核團隊
- 可以出具稽核報告
適合對象:
- 資安顧問
- 內部稽核主管
- 想往稽核領域發展的人
取得方式:
- 完成 5 天培訓課程
- 通過結業考試
- 費用:35,000-45,000 元
內部稽核員證照
如果只是要執行公司內部的稽核,可以考內部稽核員。
與 LA 的差異:
| 項目 | 主導稽核員(LA) | 內部稽核員 |
|---|---|---|
| 課程天數 | 5 天 | 2-3 天 |
| 費用 | 35,000-45,000 | 8,000-15,000 |
| 可執行稽核 | 第三方認證稽核 | 內部稽核 |
| 適合對象 | 專業稽核員 | 企業資安人員 |
考試準備建議
不管是哪種證照,準備重點都差不多:
必讀內容:
- ISO 27001 條文本文(要熟到能背)
- ISO 27002 控制措施(理解概念即可)
- 稽核技巧與方法
考試形式:
- 通常是開卷測驗
- 情境判斷題為主
- 通過率約 60-70%
詳細的考照攻略,請參考 ISO 27001 證照完整攻略。
ISO 27001 相關標準
ISO 27001 不是孤立的標準,它屬於一個「家族」。
ISO 27002:控制措施實作指引
如果說 ISO 27001 告訴你「要做什麼」,ISO 27002 就是告訴你「怎麼做」。
特色:
- 比 27001 詳細 5 倍(約 150 頁 vs 30 頁)
- 每個控制措施都有實作指引
- 不能單獨認證,只是參考用
使用時機:
- 寫 SOP 時參考
- 不知道控制措施怎麼落實時查閱
- 稽核員評估你的做法是否合理
詳細比較請參考 ISO 27001 與 27002 差異比較。
ISO 27005:風險管理
專門講「風險評鑑怎麼做」的標準。
風險評鑑是 ISO 27001 的核心,但 27001 只說要做,沒說怎麼做。 27005 就是補充這塊。
內容包含:
- 風險識別方法
- 風險分析方法
- 風險評估準則
- 風險處理選項
ISO 27701:隱私資訊管理
這是 ISO 27001 的擴展,專門處理個人資料保護。
適用情境:
- 需要符合 GDPR(歐盟一般資料保護規則)
- 需要符合台灣個資法
- 處理大量客戶個資的企業
與 27001 的關係:
- 必須先有 27001 才能加掛 27701
- 可以一起稽核,節省成本
更多相關標準介紹,請參考 ISMS 建置實務指南。
FAQ:常見問題
Q1: ISO 27001 是什麼?
ISO 27001 是國際標準化組織發布的資訊安全管理系統(ISMS)標準。它提供一套系統化的框架,幫助企業識別、評估並處理資訊安全風險,確保資訊的機密性、完整性和可用性。
Q2: ISO 27001 認證費用多少?
總費用依企業規模而異:
- 微型企業(<20人):18-32 萬
- 小型企業(20-50人):32-53 萬
- 中型企業(50-200人):53-90 萬
- 大型企業(>200人):90-170 萬
費用包含輔導費和驗證費。
Q3: ISO 27001 證照費用多少?
個人證照費用:
- 主導稽核員(LA):35,000-45,000 元(5 天課程)
- 內部稽核員:8,000-15,000 元(2-3 天課程)
Q4: ISO 27001 和 ISO 27002 有什麼差別?
| 項目 | ISO 27001 | ISO 27002 |
|---|---|---|
| 性質 | 要求標準 | 實作指引 |
| 可否認證 | 可以 | 不行 |
| 用途 | 建立管理系統、取得認證 | 實作參考 |
Q5: ISO 27001 導入要多久?
依企業規模:
- 中小企業:6-12 個月
- 大型企業:12-18 個月
影響因素包括:現有資安成熟度、範圍大小、資源投入程度。
Q6: ISO 27001:2022 有什麼改版重點?
主要變更:
- 控制措施從 14 章節 114 項 → 4 大主題 93 項
- 新增 11 項控制措施(威脅情報、雲端安全、DLP 等)
- 轉版期限:2025 年 10 月 31 日
Q7: ISO 27001 主導稽核員(LA)是什麼?
主導稽核員是具備執行 ISO 27001 第三方認證稽核資格的專業人員。取得此證照需完成 5 天培訓課程並通過考試,適合想從事資安稽核顧問工作的人。
Q8: ISO 27001 考試難嗎?
中等難度。考試通常是開卷測驗,題型以情境判斷為主。通過率約 60-70%。準備重點是熟讀條文本文,理解 PDCA 循環和稽核方法論。
下一步
如果你正在:
- 評估是否需要 ISO 27001 認證
- 規劃認證導入的預算與時程
- 準備轉版到 2022 新版
預約免費諮詢,我們會在 24 小時內回覆你。
CloudSwap 可以協助你:
- 差距分析:了解目前與標準的差距
- 導入規劃:制定最適合的導入策略
- 文件範本:減少從零開始的時間
- 顧問輔導:全程陪伴到取得證書
延伸閱讀
- ISO 27001 證照完整攻略:主導稽核員費用、考試準備與課程推薦
- ISO 27001 導入費用全解析:企業認證成本評估與省錢攻略
- ISO 27001:2022 改版重點詳解:控制措施變更與轉版時程
- ISO 27001 條文詳細解讀:四階文件、控制措施與實作指南
- ISO 27001 與 27002 差異比較:該選哪個?完整解析
- ISMS 建置實務指南:從零開始建立資訊安全管理系統