國際標準組織 (International Organization for Standardization) 已於2005年10月15日宣布ISO27001資訊安全管理國際標準,提供企業建置資訊安全管理導入的國際標準規範。以往各國企業導入資訊安全管理系統時,大都採用BS7799(發展自英國)之規範,國內也有公部門、企業及學校單位已經取得BS7799認證。而ISO27001則是由BS7799延伸整合而成之國際標準。
在全球資訊化時代,人與電腦、網路之關係益趨緊密、電子交易日趨普及。各個企業與政府機關為減少人力、物力、財力之成本,無不相繼採用電腦資訊化作業。但也因此衍生出的一些資訊安全或網路犯罪問題,利用電腦或網路從事犯罪行為,更有日漸增加之趨勢。
何謂資訊安全?
資訊對組織而言就是一種資產,和其他重要的營運資產一樣有價值,因此需要持續給予妥善保護。資訊安全可保護資訊不受各種威脅,確保持續營運、將營運損失降到最低、得到最豐厚的投資報酬率及商機。
資訊存在的方式有許多種,可以列印或書面表示、可以用電子方式儲存、可以用郵寄或是電子郵件傳送、也可以用影片播放或以口頭說明。然而,無論資訊的形式為何,何種方式與他人共享或儲存,都應以適當的方式加以保護。
資訊安全之目的為達成:
1.機密性 (Confidentiality),確保只有經授權的人才能存取資訊
2.完整性 (Integrity),保護資訊與處理方法的正確性與完整性
3.可用性 (Availability),確保經授權的使用者在需要時可以取得資訊及相關資產
要達到資訊安全就必須實施適當的控制措施,譬如資訊安全政策、實務規範、程序、組織架構及軟體功能,為了達成營運既定的安全目標,就必須建立這些控制措施。
通過資訊安全管理的驗證等同於公開宣告組織對資訊控管的能力,但卻不必擔心洩漏內部的相關程序。目的在於建立起資訊安全標準的通用基準強化資訊安全管理的運用增進組織內部運作的互信與自信。
資訊安全驗證的好處?
對組織內而言,可衡量安全性,是一套管制的方法,可據以設定目標,為組織資訊安全標準的依據。
對組織外而言,可成為業界的共同參考基準點;針對合作夥伴的要求,可作為投標的資格要求;為法規的要求,可為服務項目。
隨著網路時代的躍進,網際網路、電子商務發展迅速,民眾購物、獲取資訊、食衣住行育樂之習慣已逐漸融入其中,此皆拜開放性系統發展之賜。只是,開放性系統也提供有心人許多『方便之門』,於是病毒、駭客混雜其中,入侵網站,散佈病毒、竄改網頁、竊取機密、癱瘓系統...等惡劣行徑,形成資訊化揮之不去的陰影。曾於國內猖狂一時之電話詐財、恐嚇取財乃至『中獎』通知,追究其原因,其一大部分即來自不肖員工自企業內部將資料庫中之客戶資料攜出,當然也包含駭客 (Hacker) 入侵資料庫攫取資料再販售給不法組織。而資訊業者則不甘示弱,於是加/解密認證技術、防火牆之軟/硬體、防毒偵測程式等技術也紛紛出籠。「資訊安全」之攻防戰於焉展開,確保組織資訊之安全已成為所有組織必須努力之目標。
ISO27001之推出,將取代BS7799-2而成為資訊安全管理之標準,同時成為第三方稽核時之依據基礎。ISO27001如同新版之ISO14001,條文之制訂基本上亦能與ISO9001整合,提供組織建立、實現、經營、監控、檢閱,保持和改善一個資訊安全管理系統的一個模式。