ISO 27001 條文解讀:四階文件、控制措施與實作指南【完整版】
ISO 27001 條文解讀:四階文件、控制措施與實作指南【完整版】
ISO 27001 的標準文件,只有薄薄 30 頁。
但看不懂。
條文寫得像法律條文,每個字都認識,連在一起就不知道在說什麼。
這篇文章用白話解釋每一條的重點,幫你真正理解 ISO 27001 在要求什麼。
完整的 ISO 27001 介紹,請參考 ISO 27001 完整指南。
ISO 27001 架構概覽
條文本文(Clause 4-10)
ISO 27001 的主體分成兩部分:
- 條文本文(Clause 4-10):告訴你管理系統要怎麼建
- 附錄 A:列出 93 項控制措施
條文本文的架構:
| 條文 | 名稱 | 重點內容 |
|---|---|---|
| Clause 4 | 組織全景 | 了解組織內外部環境 |
| Clause 5 | 領導 | 高層的承諾與責任 |
| Clause 6 | 規劃 | 風險評鑑、目標設定 |
| Clause 7 | 支援 | 資源、能力、文件管理 |
| Clause 8 | 運作 | 實際執行控制措施 |
| Clause 9 | 績效評估 | 監控、內部稽核、管理審查 |
| Clause 10 | 改進 | 不符合處理、持續改進 |
附錄 A(控制措施)
附錄 A 列出 93 項控制措施,分成四大主題:
| 主題 | 項數 | 範例 |
|---|---|---|
| 組織控制 | 37 項 | 資訊安全政策、角色與責任 |
| 人員控制 | 8 項 | 人員篩選、意識訓練 |
| 實體控制 | 14 項 | 實體安全、設備保護 |
| 技術控制 | 34 項 | 存取控制、加密、備份 |
PDCA 循環對應關係
ISO 27001 建立在 PDCA(Plan-Do-Check-Act)循環上。
| PDCA | 對應條文 | 意義 |
|---|---|---|
| Plan(規劃) | Clause 4, 5, 6 | 了解環境、取得承諾、規劃怎麼做 |
| Do(執行) | Clause 7, 8 | 準備資源、實際執行 |
| Check(檢查) | Clause 9 | 監控成效、稽核驗證 |
| Act(行動) | Clause 10 | 處理問題、持續改進 |
重點: 這是一個循環,不是做一次就結束。每年都要持續執行。
條文本文逐章解讀
Clause 4:組織全景
原文重點: 理解組織及其環境
白話說:
在開始建 ISMS 之前,你要先搞清楚幾件事:
4.1 了解組織及其環境
問自己:
- 公司的業務是什麼?
- 面臨哪些內部挑戰?(人力不足、預算有限)
- 面臨哪些外部挑戰?(法規要求、市場競爭)
4.2 了解利害關係人的需求與期望
| 利害關係人 | 可能的需求 |
|---|---|
| 客戶 | 資料安全、服務可用 |
| 員工 | 清楚的政策、適當的訓練 |
| 主管機關 | 法規遵循 |
| 股東 | 風險控管、商譽保護 |
4.3 決定 ISMS 的範圍
不是整間公司都要納入。要決定:
- 哪些部門?
- 哪些服務?
- 哪些地點?
- 哪些系統?
4.4 ISMS 及其流程
要建立、實施、維護、持續改進 ISMS。
Clause 5:領導
原文重點: 領導與承諾
白話說:
沒有老闆支持,ISMS 做不起來。
5.1 領導與承諾
高階管理層要做的事:
- 公開表態支持 ISMS
- 確保有足夠的資源(人、錢、時間)
- 把資安融入日常營運
- 支持相關人員執行職責
5.2 政策
要制定一份「資訊安全政策」:
- 說明公司對資安的承諾
- 包含目標或設定目標的框架
- 承諾符合要求、持續改進
- 讓員工都知道這份政策
5.3 角色、責任與權限
要明確指派:
- 誰負責 ISMS 的整體運作
- 誰負責向高層報告
- 各部門/人員的資安職責
Clause 6:規劃
原文重點: 處理風險與機會的行動
白話說:
這是 ISMS 的核心——風險評鑑。
6.1 處理風險與機會的行動
6.1.1 總則
要識別:
- 哪些因素可能讓 ISMS 達不到目標(風險)
- 哪些因素可以幫助達成目標(機會)
6.1.2 資訊安全風險評鑑
這是最重要的步驟:
| 步驟 | 內容 |
|---|---|
| 1. 識別資產 | 列出要保護的資訊資產 |
| 2. 識別威脅 | 可能對資產造成傷害的事件 |
| 3. 識別弱點 | 可能被威脅利用的弱點 |
| 4. 評估影響 | 如果發生,後果有多嚴重 |
| 5. 評估可能性 | 發生的機率有多高 |
| 6. 計算風險值 | 影響 × 可能性 |
| 7. 排序優先級 | 決定先處理哪些風險 |
6.1.3 資訊安全風險處理
對於每個風險,你可以選擇:
| 處理方式 | 說明 | 範例 |
|---|---|---|
| 降低 | 實施控制措施降低風險 | 安裝防火牆 |
| 轉移 | 把風險轉給別人 | 買資安保險 |
| 避免 | 不做這件事 | 不提供某項服務 |
| 接受 | 接受風險存在 | 風險很低,不處理 |
6.2 資訊安全目標與達成規劃
要設定具體的資安目標,例如:
- 資安事件減少 X%
- 員工訓練完成率 100%
- 系統可用性 99.9%
6.3 變更的規劃(2022 版新增)
ISMS 要變更時,要有計劃地進行。
Clause 7:支援
原文重點: 讓 ISMS 運作所需的資源
白話說:
有了計畫,需要資源來執行。
7.1 資源
公司要提供足夠的:
- 人力
- 預算
- 時間
- 工具
7.2 能力
負責資安工作的人要有足夠的能力:
- 透過教育、訓練、經驗取得
- 要保留能力的證據(證書、訓練紀錄)
7.3 認知
所有員工都要知道:
- 公司的資訊安全政策
- 自己在 ISMS 中的角色
- 不遵守的後果
7.4 溝通
要決定:
- 溝通什麼(內容)
- 何時溝通(時機)
- 跟誰溝通(對象)
- 誰負責溝通(負責人)
- 如何溝通(方式)
7.5 文件化資訊
ISMS 需要文件來支撐:
- 標準要求的文件
- 組織自己認為需要的文件
- 文件要受到控制(版本、審核、發布)
Clause 8:運作
原文重點: 運作規劃與控制
白話說:
前面都是計畫,這裡是實際動手做。
8.1 運作規劃與控制
要實施 Clause 6 規劃的內容:
- 執行風險處理計畫
- 實施選定的控制措施
- 控制計畫性變更
- 管理外包流程
8.2 資訊安全風險評鑑
要定期重新執行風險評鑑:
- 至少每年一次
- 發生重大變更時
- 發生資安事件後
8.3 資訊安全風險處理
執行風險處理計畫,保留處理結果的紀錄。
Clause 9:績效評估
原文重點: 監控與量測
白話說:
做了之後要檢查有沒有用。
9.1 監控、量測、分析與評估
要監控:
- 資安目標有沒有達成
- 控制措施有沒有效果
- ISMS 流程是否正常運作
9.2 內部稽核
定期自己查自己:
| 項目 | 要求 |
|---|---|
| 頻率 | 至少每年一次 |
| 範圍 | 涵蓋所有 ISMS 流程 |
| 稽核員 | 要有獨立性(不能稽核自己負責的工作) |
| 結果 | 要記錄、要追蹤改善 |
9.3 管理審查
高層要定期審查 ISMS:
輸入(要看的資料):
- 上次審查的追蹤事項
- 內外部環境變化
- 稽核結果
- 資安績效
- 改進機會
輸出(要決定的事):
- 是否需要變更 ISMS
- 資源是否足夠
- 下一步行動
Clause 10:改進
原文重點: 不符合與持續改進
白話說:
發現問題要改,沒問題也要更好。
10.1 不符合與矯正措施
發現不符合時:
- 立即處理:控制問題、減少影響
- 分析原因:找出根本原因
- 採取矯正:防止再次發生
- 驗證效果:確認矯正有效
- 更新文件:必要時更新風險評鑑、ISMS
10.2 持續改進
ISMS 要持續變得更好,不是維持現狀就好。
四階文件系統
ISO 27001 會產出大量文件,通常分成四階。
第一階:政策(Policy)
性質: 最高層級的文件,說明「為什麼做」和「大方向」
範例:
- 資訊安全政策
- 存取控制政策
- 密碼政策
- 遠端工作政策
特點:
- 由高階管理層核准
- 內容簡短、原則性
- 變更頻率低
第二階:程序(Procedure)
性質: 說明「做什麼」和「誰做」
範例:
- 風險評鑑程序
- 事件管理程序
- 存取控制程序
- 變更管理程序
特點:
- 跨部門適用
- 說明流程步驟
- 定義角色責任
第三階:作業指導書(Work Instruction)
性質: 說明「怎麼做」的詳細步驟
範例:
- 備份作業 SOP
- 帳號申請 SOP
- 防火牆設定指引
- 事件通報指引
特點:
- 針對特定任務
- 步驟詳細具體
- 包含截圖、範例
第四階:表單紀錄(Records)
性質: 證明你有做的證據
範例:
- 風險登錄表
- 稽核紀錄
- 訓練簽到表
- 變更申請單
- 事件處理紀錄
特點:
- 每次活動都要留紀錄
- 稽核員會看
- 要妥善保存
必備文件清單
ISO 27001 明確要求的文件:
| 條文 | 必備文件 |
|---|---|
| 4.3 | ISMS 範圍文件 |
| 5.2 | 資訊安全政策 |
| 6.1.2 | 風險評鑑程序 |
| 6.1.3 | 風險處理計畫 |
| 6.1.3 | 適用性聲明(SoA) |
| 6.2 | 資訊安全目標 |
| 7.2 | 能力證據 |
| 7.5 | 文件化資訊 |
| 8.1 | 運作規劃與控制 |
| 8.2 | 風險評鑑結果 |
| 8.3 | 風險處理結果 |
| 9.1 | 監控與量測結果 |
| 9.2 | 內部稽核紀錄 |
| 9.3 | 管理審查紀錄 |
| 10.1 | 不符合與矯正措施紀錄 |
附錄 A 控制措施重點
2022 版把 93 項控制措施分成四大主題。
組織控制(37項)
涵蓋組織層面的管理控制:
| 編號 | 控制措施 | 重點 |
|---|---|---|
| 5.1 | 資訊安全政策 | 要有、要公布、要定期審查 |
| 5.2 | 角色與責任 | 明確指派 |
| 5.3 | 職責分離 | 避免一人掌控太多權限 |
| 5.7 | 威脅情報 | 主動蒐集威脅資訊(新增) |
| 5.9 | 資訊及資產清冊 | 列出所有資產 |
| 5.15 | 存取控制 | 誰能存取什麼 |
| 5.23 | 雲端服務安全 | 雲端使用管理(新增) |
人員控制(8項)
涵蓋人員相關的控制:
| 編號 | 控制措施 | 重點 |
|---|---|---|
| 6.1 | 人員篩選 | 背景調查 |
| 6.2 | 僱用條款 | 合約中包含資安責任 |
| 6.3 | 資安意識訓練 | 全員都要懂 |
| 6.4 | 懲處程序 | 違規要有後果 |
| 6.5 | 離職/調職 | 權限收回 |
| 6.6 | 保密協議 | NDA |
實體控制(14項)
涵蓋實體環境的控制:
| 編號 | 控制措施 | 重點 |
|---|---|---|
| 7.1 | 實體安全邊界 | 門禁 |
| 7.2 | 實體進入控制 | 誰能進去 |
| 7.4 | 實體安全監控 | 監視器、感應器(新增) |
| 7.8 | 設備安置 | 放在安全的地方 |
| 7.10 | 儲存媒體 | USB、硬碟的管理 |
| 7.14 | 設備處置 | 報廢時要清除資料 |
技術控制(34項)
涵蓋技術面的控制:
| 編號 | 控制措施 | 重點 |
|---|---|---|
| 8.1 | 使用者端點裝置 | 筆電、手機的安全 |
| 8.5 | 安全認證 | 登入驗證 |
| 8.7 | 惡意軟體防護 | 防毒 |
| 8.8 | 技術弱點管理 | 漏洞修補 |
| 8.9 | 組態管理 | 系統設定管理(新增) |
| 8.12 | 資料外洩防護 | DLP(新增) |
| 8.13 | 備份 | 資料備份 |
| 8.15 | 日誌 | 系統日誌記錄 |
| 8.24 | 密碼學使用 | 加密 |
更多 2022 版的變更細節,請參考 ISO 27001:2022 改版重點詳解。
適用性聲明(SoA)撰寫
SoA 是什麼
SoA(Statement of Applicability)是 ISO 27001 最重要的文件之一。
用途:
- 列出附錄 A 的 93 項控制措施
- 說明每項是否適用
- 不適用的要說明理由
- 適用的要說明實施狀況
如何判斷適用性
每項控制措施都要問:
-
風險相關嗎? 這項控制措施是否能處理我們識別的風險?
-
法規要求嗎? 法規或合約是否要求這項控制?
-
業務需要嗎? 業務營運是否需要這項控制?
如果以上任一答案是「是」,這項控制就適用。
排除控制措施的合理理由
不適用的控制措施,要有合理的理由。
可接受的理由:
| 理由 | 範例 |
|---|---|
| 技術不存在 | 公司沒有無線網路,所以無線安全控制不適用 |
| 業務不涉及 | 公司沒有軟體開發,所以安全開發控制不適用 |
| 外包處理 | 機房由 IDC 管理,實體安全由 IDC 負責 |
| 風險可接受 | 風險評鑑結果顯示風險極低 |
不可接受的理由:
- 「沒預算」
- 「太麻煩」
- 「不知道怎麼做」
SoA 範例格式
| 編號 | 控制措施 | 適用 | 理由/實施狀況 |
|---|---|---|---|
| 5.1 | 資訊安全政策 | 是 | 已制定並公布,每年審查 |
| 5.7 | 威脅情報 | 是 | 訂閱 TWCERT/CC 警訊 |
| 7.6 | 安全區域工作 | 否 | 公司無設立安全區域 |
| 8.28 | 安全程式碼開發 | 否 | 公司無軟體開發業務 |
FAQ:條文常見問題
Q1: 一定要買 ISO 27001 標準文件嗎?
不是必須,但強烈建議。
- 官方標準約 5,000 元
- 網路上有很多非官方版本,但可能不完整或過時
- 如果要認證,建議買正版
Q2: 文件可以用現有的嗎?
可以。ISO 27001 不要求特定格式。
如果現有文件已經涵蓋要求的內容,可以直接使用,不需要另外建立。
Q3: 稽核員會逐條檢查嗎?
會。稽核員會針對每個條文和適用的控制措施進行稽核。
但不會每項都看很深,會根據風險和抽樣來決定深度。
Q4: 控制措施做不完怎麼辦?
分階段處理:
- 先識別哪些是高風險、必須立即做的
- 其他列入改善計畫,逐步完成
- 稽核員會看你有沒有計畫,不會要求全部完成
Q5: 小公司也需要這麼多文件嗎?
不一定。
ISO 27001 沒有規定文件的數量或格式。小公司可以簡化,只要內容涵蓋要求即可。
例如:多個政策可以合併成一份「資訊安全政策」。
下一步
ISO 27001 的條文看起來複雜,但只要理解背後的邏輯,就會發現它是一套很系統化的框架。
如果你正在準備導入或認證,建議:
- 先讀懂條文的意圖
- 對照公司現況做差距分析
- 制定行動計畫
- 逐步建立文件和實施控制措施
條文太多,不知從何下手?歡迎聯繫我們,讓我們協助你解讀條文、規劃導入策略。
延伸閱讀
- 完整標準介紹,請見 ISO 27001 完整指南
- 2022 版變更,請見 ISO 27001:2022 改版重點詳解
- 27002 實作指引,請見 ISO 27001 與 27002 差異比較
- ISMS 實務建置,請見 ISMS 建置實務指南
參考資料
相關文章
ISO 27001:2022 新版改版重點:控制措施變更與轉版時程完整解析
ISO 27001:2022 改了什麼?完整解析新版控制措施變更、四大主題分類、轉版時程,企業須在 2025 年 10 月前完成轉版!
ISO 27001ISO 27001 完整指南:定義、條文、導入與認證全攻略【2025 最新】
ISO 27001 是什麼?本文完整解析 ISO 27001 資訊安全管理標準,包含導入費用、認證流程、2022 新版改版重點,幫助企業快速掌握 ISMS 建置要點。
ISO 27001ISO 27001 ISMS 資訊安全管理系統實務指南:從零開始建立
ISMS 是什麼?如何從零開始建立資訊安全管理系統?完整解析 ISMS 建置 8 大步驟、內部稽核實務、管理審查要點。