什麼是 ISO27001？

在資安事件頻傳的近幾年，企業開始重視資安系統的建置，ISO 27001 也因此逐漸成為主流的資訊安全架構。

資訊為企業中重要的資產，左右企業的營運策略。沒有妥善的保護資訊，一旦發資訊安全事件，將會對企業造成不良影響。資訊安全是為了防範資訊遭受到不正當的侵害，以確保營運的持續性。
資訊安全為保護資訊的下列三項" CIA "特性：
機密性( Confidentiality )：確保資訊只有經過授權的人員、程序才可以取用。
完整性( Integrity )：確保資訊的準確度與完全性。
可用性( Availability )：確保資訊在需要時可以被存取。

資安事件的發生往往會對企業造成商譽受損以及法律的處罰。而要達到 100% 的資安防護則因為人為的疏失、資安攻擊的進步，成為一種不切實際的期望。因此資訊安全管理系統( ISMS 系統)的目標是透過 PDCA：
計畫( Plan )：建立管理資安風險的目標及改進資安系統的相關政策、控制措施
執行( Do )：實際運行計畫的政策、控制措施
查核( Check )：依據執行的成果檢查與預計目標的差異
行動( Act )：提出修正方案縮減成果與目標的差異，使下次計畫更加完善
等 4 階段的循環，透過不斷的審視與改進資安系統，將資訊安全風險降至可接受的範圍，保護資訊的機密性、完整性與可用性。ISO 27001 就是採用 PDCA 流程建構 ISMS 系統的準則。

ISO 27001 協助建立資安管理週期與風險管控
ISO 27001:2013 是一套國際通用的資訊安全管理工具和制度。以呼應全球對於資訊安全風險之因應措施，以及控制並降低資訊安全事件所帶來的威脅和衝擊。
ISO 27001 於 2005 年推出，因為技術的蓬勃發展、設備型態的更迭，2013 年 ISO 27001 進行了再版，改版後的 ISO 27001 刪減了不合時宜的內容，將 ISO 27001:2013 分為兩個部分，主條款強調應決定可接受的資安風險並以此建立完整的管理週期。附錄 A 則是提供 133 項控制措施，對管理面、制度面與技術面三者進行詳細的風險控制規範。
ISO 27001 給予明確的 PDCA 流程，並透過對管理面、制度面與技術面的規範，協助企業建立良好的 ISMS 系統。並且適用於各類型的產業，包含金融機構、醫療機構、政府組織、高科技產業等，都能建立資訊安全管理系統。也因此 ISO 27001:2013 成為世界上最廣泛運用的資安系統準則。

為什麼要通過 ISO 27001 認證？

ISO 27001 已是世界主流的資安系統標準，能夠有效保護企業的資訊安全，確保 ISMS 系統有計畫地持續發展。通過 ISO 27001 認證能夠帶來以下好處：
增加信任感：通過 ISO 27001 認證，代表企業內部已建立一套有效的資安管理體系，能夠承受一定程度的資安風險，增加商業往來的可信度以及顧客對企業的信任感。
通過法律規範：世界各國對於資訊安全越來越重視，因此資安相關法令也逐漸增加，其中不乏要求相關機構需通過 ISO 27001 認證以符合法規。如台灣的《資通安全管理法》中就規範 A、B、C 級機構需於期限內通過 ISO 27001 認證。
提升資安系統的安全：透過 ISO 27001 的 PDCA 流程，使企業需不斷地對資安系統進行檢視，能夠及時發現資安系統的缺陷與不足，並做出修補，讓企業的資安系統的安全性獲得提升。

資料來源：https://medium.com/upas/%E5%85%A8%E9%9D%A2%E8%A7%A3%E6%9E%90iso-27001%E8%B3%87%E8%A8%8A%E5%AE%89%E5%85%A8%E7%AE%A1%E7%90%86%E7%B3%BB%E7%B5%B1-3f0441f3ce40