ISO/IEC 27001

ISO/IEC 27001，其名稱是《資訊科技—安全技術—資訊安全管理系統—要求》（Information technology — Security techniques — Information security management systems — Requirements）是資訊安全管理的國際標準。此標準一開始是由國際標準化組織（ISO）及国际电工委员会（IEC）在2005年聯合發佈^[1]，曾在2013年改版^[2]，最近一次改版是在2022年^[3]。其中有列出有關資訊安全管理系統（information security management system、ISMS）架構、實施、維護以及持續改善上的要求，目的是幫助組織可以使其保管的資訊資產更加安全^[4]。2017年時，歐洲有更新此標準，並且出版^[5]。組織若要符合此標準的要求，在成功完成一次內部審計後，可申請由合格的認證單位進行認證。

ISO/IEC 27001設計包括的範例不只是IT部門而已， ISO/IEC 27001會要求進行以下的管理：

系統性地檢驗組織的資訊安全風險，考慮其威脅、弱點以及影響。
設計、實現連貫而且全面的資訊安全控管套件，並且／或者其他的風險管理方案（例如風險避免或風險轉移）來處理無法接受的風險。
用總體管理的流程，在現有的基礎上，確認資訊安全管理控管可以持續的符合組織的資訊安全需求。

管理層為了認證的考量，會決定資訊安全管理系統（ISMS）的範圍，例如限制在單一的事業單位或是單一地區。ISO/IEC 27001可以針對個別部門的認證，也可以針對全公司的認證^[6]^[7]。

ISO/IEC 27000系列中的標準中可以提供設計、實現資訊安全管理系統以及其運作相關的指引，例如在有關資訊安全風險管理的ISO/IEC 27005（英语：ISO/IEC 27005）。

標準歷史

ISO/IEC 27001中有許多內容是源自英國標準BS 7799（英语：BS 7799）。

BS 7799是由BSI集團提出的標準^[8]。由英國貿易和工業部（英语：Department of Trade and Industry (United Kingdom)）在1995年時改寫，分為幾個部份。

BS7799的第一部份包括資訊安全管理的最佳實務，在1998年修訂。各國的標準機構針對其內容進行長期的討論，最後由ISO在2000年修訂為ISO/IEC 17799《資訊科技—資訊安全管理實務準則》（Information Technology - Code of practice for information security management）。在2005年6月再次修訂，最後在2007年7月整合在ISO 27000的系列標準中（ISO/IEC 27002）。

BS7799的第二部份最早是由BSI在1999年發佈，稱為BS 7799第二部《資訊安全管理系統—規範及使用指引》（Information Security Management Systems - Specification with guidance for use）。BS 7799-2注重如何實現資訊安全管理系統（ISMS），在BS 7799-2中稱為資訊管理結構及控制。這部份後來成為ISO/IEC 27001:2005。BS 7799第二部份後來在2005年11月被ISO修改為ISO/IEC 27001。

BS 7799第三部份是在2005年後發佈，包括了風險分析及管理，後來變成ISO/IEC 27001:2005。

BS標準中，很少內容有引用ISO/IEC 27001。

ISO/IEC 27001:2022 主要变化^[9]

ISO/IEC 27001 于2022年发布新版（ISO/IEC 27001:2022）。相较2013版，2022版的主要变化之一是附录A控制措施与 ISO/IEC 27002:2022 对齐：控制措施由原先的114项调整为93项，并将原本按14个领域的分类方式重组为4个主题类别（组织、人员、实体与技术）。^[10]

2022版亦对附录A控制措施进行新增、合并与更新（常见归纳为：11项新增、24项由既有控制合并、58项更新），并以更结构化的方式呈现控制信息（例如提供“目的”与“属性”等字段以利于映射与管理）。在管理体系条款方面，2022版增加了“变更策划（Planning of changes）”相关要求，以强调信息安全管理体系（ISMS）在发生变更时应进行计划化管理。^[11]

认证转换与过渡期

在 ISO/IEC 27001:2022 发布后，认可与认证体系对已按 ISO/IEC 27001:2013 获证的组织设置了向2022版转换（transition）的过渡安排。国际认可论坛（IAF）的强制性文件指出，过渡期通常自标准发布当月月底起算36个月，并明确规定转换完成的截止日期为2025年10月31日

AF 文件亦要求认证机构与获证组织在过渡期间进行差距分析，并在转换审核中更新相关文件（例如适用性声明 SoA），以证明信息安全管理体系符合 ISO/IEC 27001:2022 的要求。过渡期结束后，仍依据2013版的认证证书将按过渡规则处理（例如到期或撤销），实际处置方式以认可与认证体系的规定为准。^[12]

認證

許多認可註冊商（英语：Accredited Registrar）可以認證資訊安全管理系統是否符合ISO/IEC 27001^[13]。若是針對ISO/IEC 27001各國版本（例如日本的JIS Q 27001）的認證，在功能上等效於針對ISO/IEC 27001的認證。

有些國家會將認證管理系統的組織稱為「認證機構」（certification bodies），有些則稱為「登記機構」（registration bodies）、「評估及登記機構」（assessment and registration bodies）、「認證／登記機構」（certification/ registration bodies）等。

參考資料

^ ISO/IEC 27001 International Information Security Standard published. bsigroup.com. BSI. [21 August 2020]. （原始内容存档于2022-01-29）.
^ Bird, Katie. NEW VERSION OF ISO/IEC 27001 TO BETTER TACKLE IT SECURITY RISKS. iso.org. ISO. [21 August 2020]. （原始内容存档于2019-09-20）.
^ ISO/IEC. ISO/IEC 27001:2022. ISO.org. [2022-11-29]. （原始内容存档于2024-05-27）（英语）.
^ ISO/IEC 27001:2013. ISO. ISO. [9 July 2020]. （原始内容存档于2020-11-15）.
^ BS EN ISO/IEC 27001:2017 – what has changed?. www.bsigroup.com. BSI Group. [29 March 2018]. （原始内容存档于2019-12-22）.
^ 臺灣第四個全公司通過ISO 27001認證案例出爐. [2020-12-07]. （原始内容存档于2022-01-24）.
^ 台灣興起全民資安運動. [2020-12-07]. （原始内容存档于2022-01-24）.
^ Facts and figures. bsigroup.com. [2020-12-06]. （原始内容存档于2012-10-20）.
^ ISO/IEC 27001: What’s new in IT security?. ISO. International Organization for Standardization. 2022-10-25 [2026-02-17].
^ ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirements. ISO. International Organization for Standardization. 2022 [2026-02-17].
^ ISO/IEC 27001: What’s new in IT security?. ISO. 2022-10-25 [2026-02-17] （英语）.
^ IAF MD 26:2023 (Issue 2): Transition Requirements for ISO/IEC 27001:2022 (PDF) (报告). International Accreditation Forum (IAF). 2023-02-15 [2026-02-17].
^ Ferreira, Lindemberg Naffah; da Silva Constante, Silvana Maria; de Moraes Zebral, Alessandro Marcio; Braga, Rogerio Zupo; Alvarenga, Helenice; Ferreira, Soraya Naffah. ISO 27001 certification process of Electronic Invoice in the State of Minas Gerais. 2013 47th International Carnahan Conference on Security Technology (ICCST) (Medellin: IEEE). October 2013: 1–4 [2020-12-06]. ISBN 978-1-4799-0889-9. doi:10.1109/CCST.2013.6922072. （原始内容存档于2020-03-27）.

外部連結

ISO website（页面存档备份，存于互联网档案馆）

[1] ISO/IEC 27001 International Information Security Standard published. bsigroup.com. BSI. [21 August 2020]. （原始内容存档于2022-01-29）.

[2] Bird, Katie. NEW VERSION OF ISO/IEC 27001 TO BETTER TACKLE IT SECURITY RISKS. iso.org. ISO. [21 August 2020]. （原始内容存档于2019-09-20）.

[3] ISO/IEC. ISO/IEC 27001:2022. ISO.org. [2022-11-29]. （原始内容存档于2024-05-27）（英语）.

[4] ISO/IEC 27001:2013. ISO. ISO. [9 July 2020]. （原始内容存档于2020-11-15）.

[5] BS EN ISO/IEC 27001:2017 – what has changed?. www.bsigroup.com. BSI Group. [29 March 2018]. （原始内容存档于2019-12-22）.

[6] 臺灣第四個全公司通過ISO 27001認證案例出爐. [2020-12-07]. （原始内容存档于2022-01-24）.

[7] 台灣興起全民資安運動. [2020-12-07]. （原始内容存档于2022-01-24）.

[8] Facts and figures. bsigroup.com. [2020-12-06]. （原始内容存档于2012-10-20）.

[ISO_news_2022-9] ISO/IEC 27001: What’s new in IT security?. ISO. International Organization for Standardization. 2022-10-25 [2026-02-17].

[ISO27001_standard-10] ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirements. ISO. International Organization for Standardization. 2022 [2026-02-17].

[11] ISO/IEC 27001: What’s new in IT security?. ISO. 2022-10-25 [2026-02-17] （英语）.

[IAF_MD26_2023_issue2-12] IAF MD 26:2023 (Issue 2): Transition Requirements for ISO/IEC 27001:2022 (PDF) (报告). International Accreditation Forum (IAF). 2023-02-15 [2026-02-17].

[13] Ferreira, Lindemberg Naffah; da Silva Constante, Silvana Maria; de Moraes Zebral, Alessandro Marcio; Braga, Rogerio Zupo; Alvarenga, Helenice; Ferreira, Soraya Naffah. ISO 27001 certification process of Electronic Invoice in the State of Minas Gerais. 2013 47th International Carnahan Conference on Security Technology (ICCST) (Medellin: IEEE). October 2013: 1–4 [2020-12-06]. ISBN 978-1-4799-0889-9. doi:10.1109/CCST.2013.6922072. （原始内容存档于2020-03-27）.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

查论编 ISO標準
列表国际标准化组织的标准列表（英语：List of International Organization for Standardization standards）国际标准化组织拉丁化方案列表国际电工委员会标准列表（英语：List of IEC standards）
1–9999	1 2 3（英语：ISO 3） 4 5 6 7（英语：ISO 7） 9 16 17（英语：Renard series） 31 -0（英语：ISO 31-0） -1（英语：ISO 31-1） -3（英语：ISO 31-3） -4（英语：ISO 31-4） -5（英语：ISO 31-5） -6（英语：ISO 31-6） -7（英语：ISO 31-7） -8（英语：ISO 31-8） -10（英语：ISO 31-10） -11（英语：ISO 31-11） 68-1 128 216 217（英语：ISO 217） 226（英语：ISO 226） 228（英语：British Standard Pipe） 233 259 261 262 269 302（英语：Kappa number） 306（英语：Vicat softening point） 361 500（英语：Power take-off） 518 519 639 -1 -2 -3 -5 -6 646 657（英语：ISO 657） 668（英语：ISO 668） 690 704（英语：ISO 704） 732 764（英语：Antimagnetic watch） 838 843 860（英语：ISO 860） 898（英语：ISO 898） 965（英语：ISO 965） 999（英语：ISO 999） 1000 1004（英语：Magnetic ink character recognition） 1007 1073-1（英语：OCR-A font） 1073-2（英语：OCR-B） 1155 1413（英语：ISO 1413） 1538 1629（英语：ISO 1629） 1745（英语：ISO 1745） 1989 2014（英语：ISO 2014） 2015（英语：ISO 2015） 2022 2033（英语：ISO 2033） 2047（英语：ISO 2047） 2108 2145 2146（英语：ISO 2146） 2240 2281（英语：Water Resistant mark） 2533 2709（英语：ISO 2709） 2711（英语：ISO 2711） 2720 2788（英语：ISO 2788） 2848（英语：ISO 2848） 2852（英语：ISO 2852） 2921（英语：ISO 2921） 3029（英语：126 film） 3103 3166 -1 -2 -3 3297 3307（英语：ISO 3307） 3601 3602 3758 3864（英语：ISO 3864） 3901 3950 3977（英语：ISO 3977） 4031（英语：ISO 4031） 4157（英语：ISO 4157） 4165（英语：ISO 4165） 4217 4909（英语：ISO/IEC 4909） 5218 5426（英语：ISO 5426） 5427（英语：ISO 5427） 5428（英语：ISO 5428） 5725 5775（英语：ISO 5775） 5776（英语：ISO 5776） 5800 5807 5964（英语：ISO 5964） 6166 6344（英语：ISO 6344） 6346（英语：ISO 6346） 6373（英语：Minimal BASIC） 6385（英语：ISO 6385） 6425（英语：Water Resistant mark） 6429 6438 6523（英语：ISO 6523） 6709 6943（英语：ISO 6943） 7001 7002（英语：ISO 7002） 7010 7027（英语：ISO 7027） 7064（英语：ISO 7064） 7098 7185 7200（英语：ISO 7200） 7498 -1 7637 7736（英语：ISO 7736） 7810 7811（英语：ISO/IEC 7811） 7812 7813（英语：ISO/IEC 7813） 7816 7942（英语：Graphical Kernel System） 8000 8093 8178（英语：ISO 8178） 8217 8373 8571（英语：FTAM） 8583（英语：ISO 8583） 8601 8613（英语：Open Document Architecture） 8632 8651（英语：Graphical Kernel System） 8652（英语：ISO/IEC 8652） 8691（英语：ISO 8691） 8805/8806（英语：Graphical Kernel System） 8807（英语：Language Of Temporal Ordering Specification） 8820-5（英语：ISO/IEC 8820-5） 8859 -1 -2 -3 -4 -5 -6 -7 -8 -8-I（英语：ISO-8859-8-I） -9 -10 -11 -12 -13 -14 -15 -16 8879 9000/9001 9036（英语：ASMO 449） 9075 9126 9141 9227（英语：Salt spray test） 9241（英语：ISO 9241） 9293 9314 9362 9407 9496（英语：CHILL） 9506（英语：Manufacturing Message Specification） 9529（英语：ISO 9529） 9564（英语：ISO 9564） 9594 9660 9797-1（英语：ISO/IEC 9797-1） 9897（英语：ISO 9897） 9899 9945 9984 9985 9995
10000–19999	10006（英语：ISO 10006） 10007（英语：ISO 10007） 10116（英语：ISO/IEC 10116） 10118-3（英语：Whirlpool (cryptography)） 10160（英语：ISO 10160） 10161（英语：ISO 10161） 10165（英语：Guidelines for the Definition of Managed Objects） 10179 10206 10218（英语：ISO 10218） 10279（英语：Full BASIC） 10303 -11（英语：EXPRESS (data modeling language)） -21 -22（英语：ISO 10303-22） -28（英语：ISO 10303-28） -238（英语：STEP-NC） 10383（英语：ISO 10383） 10585 10589 10628（英语：ISO 10628） 10646 10664 10746（英语：RM-ODP） 10861（英语：Multibus） 10957 10962（英语：ISO 10962） 10967（英语：ISO/IEC 10967） 11073（英语：ISO/IEEE 11073） 11170（英语：ISO 11170） 11172 11179（英语：ISO/IEC 11179） 11404（英语：ISO/IEC 11404） 11544 11783（英语：ISO 11783） 11784（英语：ISO 11784 & 11785） 11785（英语：ISO 11784 & 11785） 11801 11889 11898 11940 -2（英语：ISO 11940-2） 11941（英语：ISO/TR 11941） 11941 (TR)（英语：ISO/TR 11941） 11992（英语：ISO 11992） 12006（英语：ISO 12006） 12052 12182（英语：ISO/IEC TR 12182） 12207（英语：ISO/IEC 12207） 12234-2（英语：TIFF/EP） 12620（英语：Linguistic categories） 13211 -1 -2 13216（英语：Isofix） 13250 13399（英语：ISO 13399） 13406-2（英语：ISO 13406-2） 13450（英语：110 film） 13485（英语：ISO 13485） 13490（英语：ISO 13490） 13567（英语：ISO 13567） 13568（英语：Z notation） 13584（英语：ISO 13584） 13616 13816 1381 14000 14031 14224（英语：ISO 14224） 14289（英语：PDF/UA） 14396 14443 14496 -2（英语：MPEG-4 Part 2） -3（英语：MPEG-4 Part 3） -6（英语：Delivery Multimedia Integration Framework） -10 -11（英语：MPEG-4 Part 11） -12（英语：MPEG-4 Part 12） -14 -17 -20 14617（英语：ISO 14617） 14644（英语：ISO 14644） 14649（英语：STEP-NC） 14651（英语：ISO 14651） 14698（英语：ISO 14698） 14764 14882 14971（英语：ISO 14971） 15022（英语：ISO 15022） 15189（英语：ISO 15189） 15288（英语：ISO/IEC 15288） 15291（英语：Ada Semantic Interface Specification） 15292（英语：ISO 15292） 15398（英语：ISO 15398） 15408 15444 -3（英语：Motion JPEG 2000） -9（英语：JPIP） 15445 15438 15504 15511 15686（英语：ISO 15686） 15693（英语：ISO/IEC 15693） 15706 -2 15707 15897（英语：ISO 15897） 15919 15924 15926（英语：ISO 15926） 15926 WIP（英语：ISO 15926 WIP） 15930（英语：PDF/X） 15938（英语：MPEG-7） 16023（英语：MaxiCode） 16262 16355-1 16485（英语：Mixed raster content） 16612-2（英语：PDF/VT） 16750 16949 (TS) 17024（英语：ISO/IEC 17024） 17025（英语：ISO/IEC 17025） 17100（英语：ISO 17100:2015） 17203 17369（英语：SDMX） 17442（英语：Legal Entity Identifier） 17506（英语：COLLADA） 17799 18004 18014（英语：ISO/IEC 18014） 18181 18245（英语：ISO 18245） 18629（英语：Process Specification Language） 18760（英语：SoftWare Hash IDentifier） 18916（英语：Photographic Activity Test） 19005 19011（英语：ISO 19011） 19092（英语：ISO 19092） -1（英语：ISO 19092-1） -2（英语：ISO 19092-2） 19114（英语：ISO 19114） 19115（英语：ISO 19115） 19125（英语：Simple feature access） 19136 19439（英语：ISO 19439） 19500 19501 19502 19503（英语：XML Metadata Interchange） 19505 19506（英语：Knowledge Discovery Metamodel） 19507（英语：Object Constraint Language） 19508 19509（英语：XML Metadata Interchange） 19510 19600（英语：ISO 19600） 19752（英语：ISO/IEC 19752） 19757（英语：RELAX NG） 19770（英语：ISO/IEC 19770） 19775-1 19794-5（英语：ISO/IEC 19794-5） 19831（英语：Cloud Infrastructure Management Interface）
20000+	20000 20022（英语：ISO 20022） 20121（英语：ISO 20121） 20400（英语：ISO 20400） 20802 20830 21000 21001（英语：ISO 21001） 21047（英语：International Standard Text Code） 21122（英语：JPEG XS） 21500（英语：ISO 21500） 21778 21827（英语：ISO/IEC 21827） 22000 22275 22300（英语：ISO 22300） 22301 22395（英语：ISO 22395） 22537 23000（英语：MPEG-A） 23003（英语：MPEG-D） 23008 23009 23090-3 23092（英语：MPEG-G） 23094-1（英语：Essential Video Coding） 23094-2（英语：LCEVC） 23270 23271 23360 23941（英语：Rectangular Micro QR Code） 24517（英语：PDF/E） 24613 24617（英语：ISO-TimeML） 24707（英语：Common Logic） 24728（英语：MicroPDF417） 24778 25178（英语：ISO 25178） 25422 25964（英语：ISO 25964） 26000 26262 26300 26324 27000系列 27000（英语：ISO/IEC 27000） 27001 27002 27005（英语：ISO/IEC 27005） 27006（英语：ISO/IEC 27006） 27729 28000（英语：ISO 28000） 29110（英语：ISO 29110） 29148 29199-2 29500
30000+	30170 31000（英语：ISO 31000） 32000 37001（英语：ISO 37001） 38500（英语：ISO/IEC 38500） 39075（英语：Graph Query Language） 40314 40500 42010（英语：ISO/IEC 42010） 45001 50001（英语：ISO 50001） 55000（英语：ISO 55000） 56000（英语：ISO 56000） 80000
参见： ISO标准所有前缀有“ISO”的页面

標準歷史

ISO/IEC 27001:2022 主要变化[9]

认证转换与过渡期

認證

相關條目

參考資料

外部連結

ISO/IEC 27001:2022 主要变化^[9]