了解 ISO 27001 和 ISO 27002 之間的差別

在當今數位時代，網路安全已成為企業不可忽視的風險。導入資訊安全管理系統（ISMS, Information Security Management System）可以幫助企業管理資訊安全風險，但對於某些企業來說，這可能是一個較為陌生的領域。ISO 27001（資訊安全管理）和 ISO 27002（資訊安全控制措施）這兩項標準能夠為企業提供重要指引，這兩者皆屬於 ISO/IEC 27000 系列標準，專為保護組織資訊資產而設計。

在比較這兩項標準之前，需先注意一個常見的誤解。雖然許多人簡稱這些標準為 ISO 27001 和 ISO 27002，但其正式名稱應為 ISO/IEC 27001 和 ISO/IEC 27002。這兩個標準由國際標準化組織（ISO）與國際電工委員會（IEC）共同制定與發布，因此標準名稱應為「ISO/IEC」。然而，業界普遍仍簡稱為 ISO 27001 和 ISO 27002。

要成功建立有效的資訊安全管理機制，了解 ISO/IEC 27001 和 ISO/IEC 27002 之間的差異至關重要。

什麼是 ISO/IEC 27001？

為了因應資訊安全威脅並符合國家或區域性法規，組織應建立資訊安全管理系統（ISMS）。ISO/IEC 27001 是目前最廣為認可的 ISMS 國際標準，其主要優勢包括：幫助組織建立資訊安全管理政策、目標與流程，了解如何管理重要的安全要素，實施必要的控制措施，並設定明確的目標以提升資訊安全性。

它採取全面性的方法來管理資訊安全，涵蓋範圍包括數位資訊、紙本文件、實體資產（如電腦和網絡），甚至員工的知識。需要解決的問題則涵蓋從員工能力發展到防範電腦詐騙的技術保護措施。

ISO/IEC 27001 設計時已考慮與其他國際管理系統標準的相容性和協調性，因此可輕鬆整合至現有的管理系統和業務流程，即使是不同領域的管理系統亦可兼容。

什麼是 ISO/IEC 27002？

實施資訊安全管理系統（ISMS）時，了解涉及的威脅和風險是重要的一環。ISO/IEC 27001 要求組織鑑別資訊安全風險並選擇適當的控制措施來應對。然而，對於中小企業來說，如果員工的專業不在 IT 領域，這可能會是一項艱鉅的挑戰。即使是擁有 IT 部門的大型組織，也可能無法全面掌握所有潛在風險。

ISO/IEC 27001 的附錄 A 提供了一份包含 93 項安全控制措施的清單，組織可據此進行考量。然而，該標準對於具體應用方式的指引相對較少。

ISO/IEC 27002 作為 ISO/IEC 27001 的補充指導標準，進一步詳述了附錄 A 中的安全控制措施，並提供資訊安全控制的最佳實踐守則。它為組織在啟動、實施、維護及改善資訊安全管理方面提供了指引和通用原則。

ISO/IEC 27001 與 ISO/IEC 27002 有何不同？

ISO/IEC 27001 和 ISO/IEC 27002 的主要區別在於側重點與應用方式。ISO/IEC 27001 是可驗證的標準，規範了 ISMS 的要求，包括建立、實施、維護及持續改進資訊安全管理系統。通過 ISO/IEC 27001 驗證的組織能夠向利害相關者證明其對資訊安全的重視，這不僅能讓客戶與商業夥伴更有信心，也能確保組織符合法規要求。

ISO/IEC 27002 則不是可驗證的標準，而是一份全面的指導文件，提供資訊安全控制措施的最佳實踐，適用於組織的 ISMS。它涵蓋了關鍵的網路安全領域，如存取控制、加密技術、人力資源安全、事件應變等。透過參考 ISO/IEC 27002 的指引，企業可以主動管理資安風險，防止機密資訊遭受未授權存取或遺失。

企業應該何時使用這兩個標準？

ISO/IEC 27001 適用於希望建立正式的 ISMS 並透過獨立的第三方驗證來證明符合資訊安全最佳實務的組織。對許多組織而言，這甚至是進入市場的「門票」，因為客戶與合作夥伴希望確保其數據受到妥善保護。此外，該標準還有助於提升企業韌性，確保業務連續性。

ISO/IEC 27002 最適合作為參考，用於根據 ISO/IEC 27001 的要求，在資訊安全管理系統（ISMS）內選擇並實施控制措施。它特別適用於希望提升資訊安全管理實務，但不一定要獲得驗證的組織。 即使不尋求 ISO/IEC 27001 驗證，採用 ISO/IEC 27002 中規範的控制措施，仍能為組織提供一定程度的網路安全防護。

這兩個標準會定期更新，以適應資訊安全領域快速發展的威脅與需求，確保組織能夠因應最新的挑戰。