ISO/IEC 27001：2022 資訊安全管理系統 Information Security Management System , ISMS

ISO 27001:2022 資訊安全管理系統（Information Security Management System，ISMS），共包含2份標準：

• ISO 27001: 2022《資訊安全管理系統：要求》(Information security,cybersecurity and privacy protection- Information security management systems- Requirements)
• ISO 27002: 2022《資訊安全管理系統：指南、一般原則》(Information security,cybersecurity and privacy protection- information security controls)

ISO 27001: 2022 是一套國際通用的資訊安全管理工具和制度。以呼應全球對於資訊安全風險之因應措施，以及控制並降低資訊安全事件所帶來的威脅和衝擊。因此，ISO 27001：2013 也提供所有類型的組織，包含商業企業、政府機構和非營利組織，都能建立資訊安全管理系統。將全名拆解來看，可分為三部份逐一解讀：

• ISO：指的是國際標準組織（International Organization for Standardization）。
• 27001：至今已成立65年的ISO，歷年來已針對不同業產業製定不同者的品質標準，並為不同的品質系統命名。因此，「27001」並無數字上的特殊意義。
• 2022：代表這套系統是由 ISO 在 2022 年公佈的新版條文。上一個版本為 2013 年發佈。

實施 ISO 27001 之益處

ISO 27001 是資訊安全領域的管理系統標準，能夠有效保護企業的資訊資源安全，保護資訊化進程健康、有序、可持續發展。當企業通過了ISO 27001 的認證，就代表企業的資訊安全管理已經建立了一套科學有效的管理體系作為保障。而企業ISO 27001 認證的好處包括：

1. 通過 ISO 27001 驗證，能保證和證明組織內對資訊安全的承諾。導入資訊安全管理系統就可以透過資安風險評估及 ISO 27002 要求建立組織所需資訊管理制度。
2. 提升資安管理技術及增強資安管理制度。
3. 通過 ISO 27001 驗證，可改善企業業績、消除客戶不信任感。ISO 27001 資訊安全管理系統驗證可以增進企業間電子電子商務往來的信用度，建立起網站和貿易夥伴之間的互相信任，隨著企業間的電子交流的增加通過資訊安全管理的記錄可以看到資訊安全管理明顯的利益，並為廣大用戶和服務提供商提供一個基礎的設備管理。同時，把企業的干擾因素降到最小，創造更大收益。
4. 通過 ISO 27001 驗證，能夠向政府證明企業對相關法律法規的符合性。在台灣，《個資法》亦呼應此說法。《個資法》第29條規定：「非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此限。」。有保存有個人資料檔案者的組織，導入 ISO 27001 更有必要性。