ISO 27001資訊安全管理系統

該工作坊為期一天，專為管理層、決策者和風險責任人設計，它將ISO 27001標準轉化為具體的、可測量的、可實現的、相關的和有時限的（SMART）活動和目標，這些活動和目標可以納入項目或常規業務活動中。

完成後，您將能夠確定信息安全管理體系的認證範圍，之後可作為標準第4條的一部分用於管理評審和其他相關過程中。

該工作坊還將探討組織其他成員參與過程的情況，以及如何將您為其他安全或合規制度（如PCI DSS）所做的工作納入您的ISO/IEC 27001:2022信息安全管理體系中。

該評審以標準的核心要求為中心，專為最高管理層、決策者和風險責任人設計。它將確定您的組織是否符合ISO/IEC 27001:2022第4至第10條的要求，並為您提供針對您的業務目標量身定制的路線圖，以實現完全合規。   

LRQA專家將參考 ISO/IEC 27002:2017標準，並結合使用實質性和合規性方法，根據 ISO/IEC 27001附錄A中的控制措施要求評估您的安全控制措施。該評審將對整個組織進行全面審視，為您提供安全措施狀況和風險級別的說明，並讓您有能力創建SMART活動/目標來應對這些風險。其他主要可交付的輸出包括適用性聲明（針對第 6 條）以及創建實施路線圖。

風險管理是 ISO/IEC 27001 的核心。我們與您一起，創建一套為您組織量身定制的符合標準要求的風險管理系統，該系統將融入您的信息安全管理體系，並與適用性聲明一起，作為認證所需的風險評估過程（包括信息安全風險評估和風險處理）的基礎。

第三方風險管理對於保護您的數據和滿足ISO 27001標準要求至關重要。LRQA的專家將與您合作，確定第三方風險水平，並設計評估過程來管理這些風險。我們提供的支持還包括代您完成風險評估，向您組織內部的風險責任人報告風險，並提供建議的補救措施。

內部審核（內審）是維護信息安全管理體系完整性和有效性的基礎。定期進行內審不僅可以幫助您確定需要改進的領域，還可以確保符合ISO 27001和相關法規要求。

我們的團隊可以無縫介入，代您執行全面的內審，確保符合ISO 27001第9.2條要求，並建立持續改進的文化。在LRQA的幫助下，您可以自信地推動審核過程，識別改進機會，並保持對卓越信息安全的承諾和良好實踐。隨著您對標準和流程的熟悉程度的提高，您可以選擇由您組織內部自行開展內審來滿足這一核心要求，或繼續由LRQA進行。

ISO 27001 是規定了資訊安全管理系統 (ISMS) 要求的國際管理系統標準。該標準為識別、分析和實施資訊安全控制措施提供了最佳實踐框架，以管理和減輕風險，降低出現資訊安全性漏洞的可能性。

任何組織，無論其規模和所處行業，都可以利用ISO 27001的要求和控制措施來實施有效的、可獨立驗證的資訊安全管理系統。

由信譽良好的獨立驗證機構提供的經認可的 ISO 27001 驗證可展示您對資訊安全的承諾，為您資訊安全管理系統ISMS的穩健和有效性提供了公正的說明。這有助於履行合同義務，並在許多情況下充當交易通行證。

保護您的資料和聲譽

ISO 27001驗證可向利益相關者證明，您已建立系統的、基於風險的資訊安全方法，推動了以下方面的最佳實踐:

• 識別資訊和網路安全風險
• 根據影響和可能性分析風險
• 根據與業務相關的因素評估風險並確定應對風險的優先順序
• 選擇風險處理方案

證明遵守法律、法規和合同要求

要獲得ISO 27001驗證，您需要確定適用的法律法規要求並予以滿足，如歐盟通用資料保護條例GDPR或HIPAA等法規要求。這對風險管理和公司治理會產生積極影響，有助於您證明合規性，及滿足合同要求。

競爭優勢

獲得LRQA驗證可給予客戶和利益相關者信心，相信您的安全風險（可能涉及 IT、人員、物理環境和業務連續性等的風險）已得到充分解決，可以保護他們的資訊。

ISO 27001驗證清晰地展示了您組織的能力，並證明您的運營符合國際公認的最佳做法，從而幫助您贏得新業務。

ISO 27001稽核遵循與基於附錄SL的其它管理系統相同的方法。您可以從標準訓練和差異分析開始，但正式的稽核過程包括對ISO 27001資訊安全管理系統的設計的稽核（第一階段）以及對系統運行的稽核（第二階段）。相應的稽核結果將由LRQA合格的獨立人員進行技術審查，以確保符合我們對認可委定義的最佳實踐的承諾。

順利通過技術審查之後，您將獲頒ISO 27001驗證證書，同時將開始為期三年的監督稽核週期，三年期結束時將進行證書更新稽核，並開始新的三年週期。借助監督稽核，LRQA可以和您組織一起管理變更，並確保稽核與當前行業需求相吻合。

一旦通過稽核，驗證證書頒發後，有效期為三年，但須通過監督稽核證明系統得到有效維護。

典型的資訊安全管理系統ISMS證書範圍聲明包括與產品和服務的交付有關的活動。它不需要包括內部活動或系統過程。目的是向讀者保證他們在接受產品或服務時提供的資訊是受到保護的。

適用性聲明是指所選控制措施的清單。它不提供控制措施詳情，而是作為對用作上次 ISO 27001 稽核基礎的控制聲明的可追溯參考。有時組織可創建一個共用的公共版本，裡面簡單列出從 ISO 27001 附錄 A 中選擇的控制措施，但這不是強制性要求。

費用按稽核天數收取；稽核天數與系統驗證範圍內的員工數量有關。稽核天數公佈在驗證標準 ISO 27006 中，所有人均可查看。與 LRQA 這樣獲得認可委認可的驗證機構合作，可確保您根據行業最佳實踐獲得最實在的稽核天數。

例如，一個擁有 100 名全職等效員工(FTE)的組織應預計初始稽核時間（第一階段 + 第二階段）為 8 到 12 天，具體取決於他們所在的行業、他們的工作環境複雜程度、他們是否參與軟體發展，以及他們是否需要在產品中建立安全。後續的監督稽核時間將是 3-4 天/年，證書更新稽核時間為 6-8 天。

可以的。ISO 9001和ISO 27001都基於ISO管理系統的通用高層次構架——附錄SL，因此可以對這兩個標準的核心管理過程進行優化，以同時滿足兩者要求。事實上，設計一個系統來解決兩個標準問題，可以提高組織治理的有效性。例如，業務目標（如增長）經常需要開發新產品，其中安全性通常被認為是符合市場預期的品質標準。系統整合還可以儘量減少重複工作，從而減少稽核時間，無疑是一個具有成本效益的選擇。

企業獲得ISO 27001驗證的路徑通常取決於企業在資訊安全和更廣泛的風險管理等方面的成熟水準。但是獲得ISO 27001驗證前後的典型過程通常包括以下三個主要步驟：

第一階段稽核——檔評審和規劃：稽核員將稽核管理系統的設計和檔——大多數情況下，這一階段可以遠端執行。

第二階段稽核——評估實施情況：稽核員將根據ISO 27001的要求對您的資訊安全管理系統ISMS的實施情況和有效性進行評估。如果沒有發現重大不符合，您將獲得驗證。這一階段可以在遠端或在客戶現場進行。

宣傳您的ISO 27001驗證：您的驗證證明了您對國際公認的最佳實踐和持續改進的承諾——幫助您贏得新業務，滿足客戶需求。

ISO 27002:2022的發佈更新了ISO 27001中的控制措施清單，該清單可追溯到2013年。修訂後的控制措施反映了與威脅和當前最佳做法相關的發展，而ISO 27002範圍的擴大有助於確保風險管理措施的廣泛性和有效性。組織可以使用全面的控制措施清單來處理他們已經識別的風險或發現潛在的差距——幫助他們在當今企業面臨的複雜且不斷變化的威脅環境中保持領先一步。

新版ISO 27001預計將於2022年10月底發佈。它將以ISO 27002:2022中的新控制措施為主題，要求組織重新評估其已完成的風險評估，並確定是否需要實施新的風險處理方法。