ISO 27001 vs ISO 27002 差異比較：該選哪個？完整解析

「ISO 27001 和 ISO 27002，到底差在哪？」

這是很多人剛接觸資安標準時的疑問。

簡單說：

• ISO 27001 可以認證，是「要求」
• ISO 27002 不能認證，是「指引」

但這樣說太簡略。這篇文章會完整說明兩者的差異，以及整個 ISO 27000 系列家族。

完整的 ISO 27001 介紹，請參考 ISO 27001 完整指南。

---

快速比較表

先看重點：

項目	ISO 27001	ISO 27002
性質	要求標準（Requirements）	指引標準（Guidelines）
可否認證	✅ 可以	❌ 不行
內容	ISMS 框架 + 控制措施清單	控制措施的詳細實作指引
用途	建立管理系統、取得認證	實作參考、技術指引
最新版本	2022	2022
頁數	約 30 頁	約 150 頁
附錄 A	列出 93 項控制措施（清單）	93 項控制措施的詳細說明

一句話總結：

• ISO 27001 告訴你「要做什麼」
• ISO 27002 告訴你「怎麼做」

---

ISO 27001 詳解

標準定位

ISO 27001 是資訊安全管理系統（ISMS）的要求標準。

它規定了：

• 建立 ISMS 的要求
• 實施 ISMS 的要求
• 維護 ISMS 的要求
• 持續改進 ISMS 的要求

核心結構：

部分	內容
條文本文（Clause 4-10）	ISMS 框架的要求
附錄 A	93 項控制措施清單

條文本文是「必須」遵守的要求。 附錄 A 的控制措施需要評估適用性。

認證價值

ISO 27001 可以認證，這是它最大的價值。

認證的好處：

好處	說明
商業門檻	很多客戶、標案要求有證書
信任背書	第三方驗證，比自己說可信
國際認可	全球通用的標準
法規遵循	可滿足某些法規的資安要求

認證流程：

1. 建立 ISMS
2. 運行一段時間
3. 申請認證稽核
4. 通過後取得證書
5. 每年監督稽核

適用對象

需要 ISO 27001 的人：

對象	原因
想取得認證的企業	這是唯一可認證的標準
負責導入的人員	要知道標準要求什麼
資安管理者	要依據標準建立管理系統
稽核員	稽核依據就是這個標準

---

ISO 27002 詳解

標準定位

ISO 27002 是控制措施的實作指引。

它提供：

• 每項控制措施的詳細說明
• 為什麼要做（目的）
• 可以怎麼做（指引）
• 其他參考資訊

結構：

每項控制措施都有：

欄位	內容
控制措施	控制措施的定義
目的	為什麼要實施這項控制
指引	如何實施的建議
其他資訊	額外的參考資料

2022 版還新增了屬性標籤：

• 控制類型（預防、偵測、矯正）
• 資安屬性（機密性、完整性、可用性）
• 網路安全概念
• 運作能力
• 安全領域

與 27001 的關係

ISO 27002 是 ISO 27001 的「說明書」。

舉例：

ISO 27001 附錄 A 說：「5.15 存取控制」

這只告訴你「要做存取控制」，但沒說怎麼做。

ISO 27002 的 5.15 則詳細說明：

• 存取控制的目的是什麼
• 應該考慮哪些面向
• 具體可以怎麼實施
• 相關的參考資訊

頁數對比：

標準	頁數	控制措施說明
ISO 27001 附錄 A	約 10 頁	只有控制措施名稱
ISO 27002	約 150 頁	每項控制措施都有詳細說明

如何使用 27002

使用時機：

情境	如何用
寫 SOP 時	參考指引，設計具體做法
不知道怎麼做時	查閱對應的控制措施說明
稽核準備時	確認做法是否符合指引精神
教育訓練時	作為教材參考

重要提醒：

• ISO 27002 是「指引」，不是「要求」
• 你不需要完全照做
• 可以根據公司實際情況調整
• 只要能達到控制目的即可

---

兩者如何搭配使用

導入流程中的應用

階段	用 27001	用 27002
規劃	了解 ISMS 框架要求	了解控制措施的意圖
風險評鑑	依據 6.1.2 執行	參考控制措施分類
選擇控制措施	從附錄 A 選擇	了解每項的詳細內容
撰寫文件	確保符合條文要求	參考指引設計做法
實施	依據條文要求	參考指引落實
稽核	稽核依據是 27001	稽核員會參考 27002 判斷

實務建議

1. 先讀 ISO 27001

了解整體框架和要求，這是基礎。

2. 用 ISO 27002 當參考書

遇到不知道怎麼做的控制措施時再查。

3. 不用照抄

27002 的指引是建議，不是規定。根據公司實際情況調整。

4. 稽核時的準備

稽核員會問：「你們怎麼做 XX 控制？」

你的回答只要能說明「做了、有效果」就好，不需要跟 27002 一字不差。

---

ISO 27000 系列家族

ISO 27001 和 27002 只是 ISO 27000 系列的一部分。

ISO 27000：詞彙與概念

用途： 定義 ISMS 相關的術語

內容：

• 資訊安全的定義
• ISMS 的定義
• 各種專有名詞解釋

特色： 免費下載（ISO 官網）

ISO 27003：ISMS 實施指南

用途： 如何實施 ISO 27001

內容：

• 導入 ISMS 的步驟
• 各條文的實施指引
• 實務案例

適合： 第一次導入 ISMS 的人

ISO 27004：量測指南

用途： 如何量測 ISMS 的效果

內容：

• 績效指標的設計
• 量測方法
• 報告方式

適合： 想建立資安 KPI 的人

ISO 27005：風險管理指南

用途： 如何做資訊安全風險管理

內容：

• 風險評鑑方法論
• 風險識別、分析、評估
• 風險處理選項
• 風險溝通

適合： 負責風險評鑑的人

重點： ISO 27001 只說「要做風險評鑑」，27005 詳細說明「怎麼做」。風險評鑑的實務操作，可以參考 ISMS 建置實務指南 中的說明。

ISO 27007：稽核指南

用途： 如何稽核 ISMS

內容：

• 稽核計畫
• 稽核執行
• 稽核報告
• 稽核員能力

適合： 內部稽核員、準備考 LA 的人

ISO 27701：隱私資訊管理

用途： 擴展 ISO 27001 以涵蓋隱私保護

內容：

• 隱私資訊管理系統（PIMS）
• 個資處理者的要求
• 個資控管者的要求

適合： 需要符合 GDPR 或個資法的企業

重要： ISO 27701 是 ISO 27001 的擴展，必須先有 27001 才能加掛 27701。

系列標準總覽

標準	用途	可否認證
ISO 27000	詞彙定義	❌
ISO 27001	ISMS 要求	✅
ISO 27002	控制措施指引	❌
ISO 27003	實施指南	❌
ISO 27004	量測指南	❌
ISO 27005	風險管理指南	❌
ISO 27006	認證機構要求	❌
ISO 27007	稽核指南	❌
ISO 27701	隱私管理	✅（擴展）

---

FAQ：常見問題

Q1: 我只需要買哪個標準？

如果要認證： 至少要買 ISO 27001

建議： ISO 27001 + ISO 27002

ISO 27002 雖然不是必須，但實作時非常有用。

Q2: ISO 27002 可以單獨認證嗎？

不行。

ISO 27002 是指引，不是要求標準，沒有「認證」的概念。

只有 ISO 27001 可以認證。

Q3: 做完 ISO 27001 還要做 ISO 27002 嗎？

ISO 27002 不是用來「做」的。

它是參考資料，在導入 ISO 27001 的過程中會用到。

不是另外一個要「做完」的標準。

Q4: ISO 27005 是必須的嗎？

不是必須，但很有用。

ISO 27001 只說要做風險評鑑，沒說怎麼做。 ISO 27005 提供詳細的方法論。

如果你不知道怎麼做風險評鑑，可以參考 27005。

---

下一步

理解 ISO 27001 和 ISO 27002 的差異後，你可以：

1. 如果要認證：專注在 ISO 27001 的要求
2. 如果要實作：用 ISO 27002 當參考書
3. 如果要做風險評鑑：參考 ISO 27005
4. 如果要處理個資：考慮 ISO 27701

想深入了解 ISO 27000 系列？歡迎聯繫我們，讓專家為你解答。

---

延伸閱讀

• 完整標準介紹，請見 ISO 27001 完整指南
• 條文詳細解讀，請見 ISO 27001 條文詳細解讀
• ISMS 實務建置，請見 ISMS 建置實務指南
• 2022 版改版重點，請見 ISO 27001:2022 改版重點詳解

---

參考資料

• ISO 27001:2022 官方標準
• ISO 27002:2022 官方標準
• ISO 27000:2018 免費下載
• ISO 27005:2022 風險管理
• ISO 27701:2019 隱私管理