ISO 27001 ISMS 資訊安全管理系統實務指南:從零開始建立
- 什麼是 ISMS?
- ISMS 定義
- 與 ISO 27001 的關係
- PDCA 持續改進循環
- ISMS 建置 8 大步驟
- Step 1:取得管理階層承諾
- Step 2:定義 ISMS 範圍
- Step 3:風險評鑑
- Step 4:建立控制措施
- Step 5:文件化
- Step 6:教育訓練
- Step 7:實施與運作
- Step 8:監督與量測
- 內部稽核實務
- 內部稽核員角色與資格
- 稽核計畫制定
- 稽核執行技巧
- 不符合事項處理
- 管理審查
- 審查輸入項目
- 審查輸出項目
- 會議紀錄重點
- 持續改進
- 矯正措施
- 預防措施
- 改進機會識別
- FAQ:ISMS 常見問題
- Q1: ISMS 建置要多久?
- Q2: 沒有專職資安人員可以做嗎?
- Q3: 內部稽核一定要自己做嗎?
- Q4: ISMS 文件可以用現有的嗎?
- Q5: ISMS 維護要花多少心力?
- 下一步
- 延伸閱讀
- 參考資料
ISO 27001 ISMS 資訊安全管理系統實務指南:從零開始建立
你拿到了「導入 ISO 27001」的任務。
然後呢?
這篇文章會告訴你 ISMS 是什麼、怎麼從零開始建立、內部稽核怎麼做。實務導向,不講空話。
完整的 ISO 27001 介紹,請參考 ISO 27001 完整指南。
什麼是 ISMS?
ISMS 定義
ISMS 是 Information Security Management System 的縮寫。
翻成白話:一套管理公司資訊安全的系統。
注意,它是「管理系統」,不是一套軟體或工具。
ISMS 包含:
| 組成 | 說明 |
|---|---|
| 政策 | 公司對資安的承諾與方向 |
| 程序 | 做事的流程和步驟 |
| 人員 | 誰負責什麼 |
| 技術 | 防火牆、加密、權限控制等 |
| 紀錄 | 證明你有做的證據 |
與 ISO 27001 的關係
ISO 27001 是建立 ISMS 的標準。
| 概念 | 說明 |
|---|---|
| ISO 27001 | 告訴你 ISMS「應該長什麼樣」 |
| ISMS | 依據 ISO 27001 建立的「實際系統」 |
所以當我們說「導入 ISO 27001」,實際上是在「建立符合 ISO 27001 的 ISMS」。
PDCA 持續改進循環
ISMS 的核心精神是 PDCA 循環。
| 階段 | 英文 | 做什麼 |
|---|---|---|
| P | Plan(規劃) | 評估風險、制定計畫 |
| D | Do(執行) | 實施控制措施 |
| C | Check(檢查) | 監控成效、內部稽核 |
| A | Act(行動) | 改進問題、持續優化 |
重點: 這是一個「循環」,不是做一次就結束。
每年(甚至每季)都要重新走一遍這個循環。
想導入 ISMS 但不知從何開始?預約免費諮詢,讓我們幫你規劃。
ISMS 建置 8 大步驟
Step 1:取得管理階層承諾
為什麼重要?
沒有老闆支持,什麼都做不了。
ISMS 需要:
- 人力(誰來做)
- 預算(顧問費、認證費、工具)
- 時間(員工要配合)
- 權限(可以要求各部門改變)
這些都需要管理階層點頭。
怎麼做?
準備一份簡報給老闆,說明:
| 項目 | 內容 |
|---|---|
| 為什麼要做 | 客戶要求、標案需求、風險控管 |
| 要花多少錢 | 輔導費 + 認證費的估算 |
| 要多少人力 | 需要哪些人投入 |
| 預期效益 | 可以拿到哪些標案、客戶 |
| 時程 | 大概多久可以取得證書 |
產出: 管理階層承諾書(可以是會議紀錄或正式文件)
Step 2:定義 ISMS 範圍
為什麼重要?
不是整間公司都要納入 ISMS。
範圍定太大:成本高、複雜度高 範圍定太小:證書價值有限
怎麼定?
考慮以下因素:
| 因素 | 說明 |
|---|---|
| 客戶要求 | 客戶要求哪個服務有認證 |
| 業務核心 | 最重要的業務是什麼 |
| 風險高低 | 哪個區域風險最高 |
| 預算限制 | 能負擔多大範圍 |
常見做法:
- 只納入某個部門(如研發部)
- 只納入某項服務(如 SaaS 產品)
- 只納入某個據點(如總公司)
產出: ISMS 範圍文件
Step 3:風險評鑑
這是 ISMS 的核心。
風險評鑑決定你要做哪些控制措施。
步驟:
| 步驟 | 說明 | 範例 |
|---|---|---|
| 1. 資產盤點 | 列出範圍內的資訊資產 | 伺服器、資料庫、文件 |
| 2. 威脅識別 | 可能傷害資產的事件 | 駭客攻擊、員工疏失 |
| 3. 弱點識別 | 可能被利用的弱點 | 沒有加密、密碼太弱 |
| 4. 影響評估 | 發生的後果有多嚴重 | 1-5 分 |
| 5. 可能性評估 | 發生的機率有多高 | 1-5 分 |
| 6. 風險值計算 | 影響 × 可能性 | 1-25 分 |
| 7. 風險排序 | 決定優先處理順序 | 高風險優先 |
產出: 風險登錄表
Step 4:建立控制措施
根據風險評鑑結果,決定要實施哪些控制。
步驟:
- 對每個風險,選擇處理方式(降低、轉移、避免、接受)
- 如果選擇「降低」,選擇適當的控制措施
- 參考 ISO 27001 附錄 A 的 93 項控制措施
- 也可以用附錄 A 以外的控制措施
產出:
- 風險處理計畫
- 適用性聲明(SoA)
詳細的控制措施說明,請參考 ISO 27001 條文詳細解讀。
Step 5:文件化
ISMS 需要文件來支撐。
四階文件系統:
| 階層 | 類型 | 範例 |
|---|---|---|
| 第一階 | 政策 | 資訊安全政策 |
| 第二階 | 程序 | 風險評鑑程序、事件管理程序 |
| 第三階 | 作業指導書 | 備份 SOP、帳號申請 SOP |
| 第四階 | 表單紀錄 | 風險登錄表、稽核紀錄 |
文件撰寫原則:
- 寫的跟做的要一致
- 不要為了寫而寫
- 簡潔清楚比冗長詳細重要
- 保持版本控制
產出: 政策、程序、SOP、表單
Step 6:教育訓練
員工不知道,就不會做。
訓練對象與內容:
| 對象 | 訓練內容 |
|---|---|
| 全體員工 | 資安意識、政策認知 |
| IT 人員 | 技術控制措施操作 |
| 管理階層 | ISMS 概念、管理職責 |
| 內部稽核員 | 稽核技巧與方法 |
訓練方式:
- 實體課程
- 線上學習
- 宣導郵件
- 公告張貼
產出: 訓練紀錄、簽到表
Step 7:實施與運作
把計畫落實。
| 工作 | 說明 |
|---|---|
| 實施控制措施 | 安裝防火牆、設定權限、建立流程 |
| 執行程序 | 依照寫好的程序運作 |
| 記錄活動 | 保留執行的證據 |
| 處理事件 | 按照事件管理程序處理 |
重點: 要留下紀錄,稽核員會看。
產出: 運作紀錄
建置過程需要專業協助?讓我們幫你,從規劃到落地全程陪伴。
Step 8:監督與量測
做了之後要確認有沒有效果。
| 監控項目 | 說明 |
|---|---|
| 資安目標達成率 | 目標有沒有達成 |
| 控制措施有效性 | 控制有沒有發揮作用 |
| 資安事件數量 | 事件是增加還是減少 |
| 訓練完成率 | 員工有沒有完成訓練 |
產出: 監控報告、KPI 紀錄
內部稽核實務
內部稽核員角色與資格
內部稽核員做什麼?
- 檢查 ISMS 是否符合標準要求
- 檢查實際運作是否符合文件規定
- 找出問題、提出改善建議
資格要求:
| 要求 | 說明 |
|---|---|
| 獨立性 | 不能稽核自己負責的工作 |
| 能力 | 了解 ISO 27001 標準 |
| 訓練 | 建議參加內部稽核員課程 |
常見做法:
- 小公司:跨部門互相稽核
- 大公司:設立專職稽核團隊
- 或者:委外稽核
稽核計畫制定
每年要制定稽核計畫。
計畫內容:
| 項目 | 說明 |
|---|---|
| 稽核範圍 | 要稽核哪些部門/流程 |
| 稽核時程 | 什麼時候稽核 |
| 稽核員指派 | 誰負責稽核哪個區域 |
| 稽核準則 | 依據什麼標準稽核 |
原則:
- 一年至少稽核一次所有範圍
- 高風險區域可以增加頻率
- 認證稽核前通常會先做一次內部稽核
稽核執行技巧
稽核三步驟:
| 步驟 | 做什麼 |
|---|---|
| 1. 準備 | 讀文件、準備查核表 |
| 2. 執行 | 訪談、查看紀錄、觀察作業 |
| 3. 報告 | 整理發現、撰寫報告 |
訪談技巧:
- 問開放式問題(「你們怎麼做...」)
- 請對方展示實際操作
- 要求看紀錄和證據
- 保持客觀、不帶批判
查核重點:
- 有沒有依照程序做
- 有沒有留下紀錄
- 紀錄是否完整正確
- 人員是否了解自己的職責
不符合事項處理
發現問題時,要分類。
| 分類 | 定義 | 範例 |
|---|---|---|
| 重大不符合 | 系統性缺失、嚴重影響 | 完全沒做風險評鑑 |
| 輕微不符合 | 單一缺失、影響有限 | 某一份紀錄沒簽名 |
| 觀察事項 | 改善建議、不算缺失 | 建議增加備份頻率 |
處理流程:
- 記錄:清楚描述發現的問題
- 分析:找出根本原因
- 矯正:採取改善措施
- 驗證:確認改善有效
- 結案:更新紀錄
管理審查
審查輸入項目
管理審查時,高層要看的資料:
| 輸入項目 | 內容 |
|---|---|
| 上次審查追蹤 | 上次決議的執行狀況 |
| 內外部環境變化 | 法規變更、業務變動 |
| 資安績效報告 | 目標達成率、事件統計 |
| 稽核結果 | 內部稽核、外部稽核發現 |
| 利害關係人回饋 | 客戶、員工的意見 |
| 風險評鑑結果 | 風險變化情況 |
| 改進機會 | 可以做得更好的地方 |
審查輸出項目
管理審查後,高層要決定的事:
| 輸出項目 | 說明 |
|---|---|
| 資源需求 | 需要增加人力/預算嗎 |
| 改進決議 | 要改善什麼、怎麼改 |
| 目標調整 | 資安目標是否需要修改 |
| ISMS 變更 | 範圍、政策是否需要調整 |
會議紀錄重點
管理審查紀錄是稽核員必看的文件。
紀錄要包含:
- 會議時間、地點
- 出席人員(含高階管理層)
- 審查的資料
- 討論內容
- 決議事項
- 負責人與期限
常見缺失:
- 高階管理層沒出席
- 只有簽到表,沒有實質討論紀錄
- 決議事項沒有後續追蹤
持續改進
矯正措施
發現問題時的處理流程:
| 步驟 | 說明 |
|---|---|
| 1. 立即處理 | 控制問題、減少影響 |
| 2. 原因分析 | 找出根本原因(不只是表面原因) |
| 3. 採取矯正 | 防止問題再次發生 |
| 4. 驗證效果 | 確認矯正措施有效 |
| 5. 更新文件 | 必要時更新程序、風險評鑑 |
原因分析技巧:
- 5 Why 分析法:連問 5 個「為什麼」
- 魚骨圖:從人、機、料、法、環分析
預防措施
不要等問題發生才處理。
預防措施的來源:
- 風險評鑑發現的潛在風險
- 稽核發現的觀察事項
- 資安情報顯示的新威脅
- 員工提出的改善建議
改進機會識別
ISMS 不只是「維持現狀」,要「持續變好」。
識別改進機會的方法:
| 方法 | 說明 |
|---|---|
| 標竿學習 | 看看別人怎麼做 |
| 技術更新 | 導入新的安全工具 |
| 流程優化 | 簡化繁瑣的程序 |
| 回饋分析 | 收集員工、客戶的意見 |
FAQ:ISMS 常見問題
Q1: ISMS 建置要多久?
依企業規模:
- 小型企業:4-6 個月
- 中型企業:6-12 個月
- 大型企業:12-18 個月
這是「可以申請認證」的時間,不是「做完」的時間。ISMS 是持續運作的。
Q2: 沒有專職資安人員可以做嗎?
可以,但建議:
- 指派一位專案負責人
- 找顧問協助
- 各部門派人配合
完全沒有人投入是做不起來的。
Q3: 內部稽核一定要自己做嗎?
不一定。可以選擇:
- 自己培養內部稽核員
- 委託外部顧問執行
- 兩者混合(自己做 + 外部輔導)
重點是要有獨立性,稽核員不能稽核自己負責的工作。
Q4: ISMS 文件可以用現有的嗎?
可以。ISO 27001 不要求特定格式。
如果現有文件已經涵蓋要求內容,可以直接使用或稍加修改。
Q5: ISMS 維護要花多少心力?
每年大約需要:
- 風險評鑑更新:1-2 週
- 內部稽核:1-2 週
- 管理審查:1-2 天
- 日常維護:持續進行
- 監督稽核配合:2-3 天
下一步
從零開始建立 ISMS 不容易,但有專業顧問協助,整個過程會順利許多。
預約免費諮詢,從規劃到落地,CloudSwap 陪你走完全程。
我們提供:
- 差距分析
- 文件範本
- 輔導服務
- 內部稽核協助
- 認證陪稽
延伸閱讀
- 完整標準介紹,請見 ISO 27001 完整指南
- 條文詳細解讀,請見 ISO 27001 條文詳細解讀
- 27002 實作指引,請見 ISO 27001 與 27002 差異比較
- 建置費用評估,請見 ISO 27001 導入費用全解析