Back to [晟楊顧問有限公司](/RDBRqlGSTweMmQ5RRqZLrQ) <br> # 關於 ISO 27001:2022 ISO 27001:2022 是國際標準組織（ISO）所制定的資訊安全管理系統（Information Security Management System, ISMS）標準的最新版本，原先的 2013 版本在 2025 10/31 後過期，單位必需事先準備好轉版動作。 ISO 27001:2022 提供了一個框架和方法，透過制定本文與附錄A，協助單位在組織管理(前者)與實際管控(後者)上，都能有明確的遵循標準、並且透過這個標準，就能建立可靠、有效並能永續經營的資訊安全管理系統。 ISO 27001:2022 的主要目標是協助單位實施以下項目： 1. 資訊安全政策：確定組織的資訊安全政策和目標。 2. 風險評估：識別和評估資訊資產所面臨的風險。 3. 資訊安全控制：實施適當的資訊安全控制措施以減少風險。 4. 供應商管理：確保與供應商的合作符合組織的資訊安全要求。 5. 監測和評估：定期監測和評估資訊安全管理系統的有效性。 6. 持續改進：通過學習和改進來不斷提升資訊安全管理體系。 <br> 2022 版較 2013 版而言，本文的差異不大，附錄 A 則是做了簡化並新增了部份項目。但由於差異極有限，所以我們目前都是建議直接導入 2022 的版本，無需先導 2013 再轉 2022，造成單位專案成本與人力成本的無謂浪費。 <br> 關於 ISO 27001 的輔導經驗，可以參考：[輔導經驗談](https://hackmd.io/GoKj_l4AT6Kd83xn1rUc4w?both) <br> # 輔導方式 <BR> 對於輔導這件事，我們本著三項原則： 1. <font color=red>**客制化是客戶利益最大化的重點：**</font> 顧問會跟同仁們說明所有文件範本與表單，並帶著同仁逐一進行客制化修改。 我們絕對不會僅僅交付範本、或是僅進行簡要說明，那是種不負責任的行為。 2. <font color=red>**顧問的價值體現於輔導服務品質：**</font> 文件討論、營運持續計劃與各種改善措施，顧問都會提供規劃與實作建議。 除了 ISO 27001 合規性外，也會依據單位特性與資安實務，提出可行方案給單位參考。 3. <font color=red>**能獨立運作，制度導入才算成功：**</font> 顧問在輔導過程中，會以「單位日後獨立運作」為目標，提供全方位的建議與諮商。 不會為了持續獲利，而讓單位陷入「不能沒有顧問」的狀況。 實務上不太可能透過一次導入，就讓相關人員可以獨立維護，所以我們提供三年的輔導服務。 <BR> ISO 27001 輔導方式摘要如下表所示： <div class="foo" style="width:1600px"> |項次|輔導項目|項目重點|補充說明| |:--:|:--|:--|:--| |1|建立制度|透過逐一討論範本，建立客制化的 ISMS|教育訓練: <u></uISO>ISO 27001 條文</u>與<u>一般資安認知訓練</u>，共二次| |2|盤點作業|資產與帳號盤點…等作業進。顧問協助確認成果。|| |3|風險管理作業|風險評估與回應作業。|| |4|營運持續演練|顧問協助並陪同進行營運持續演練，並提供改善建議。|教育訓練: 營運持續計劃| |5|內部稽核作業|顧問引領進行內部稽核作業。|教育訓練: 內部稽核| |6|管理審查會議|顧問協助進行管理審查會議。|| </div> <br> # 服務規畫與配套措施 <BR> ## 輔導方案 <BR> 下表的三種方案是晟楊顧問的制式 ISO 27001 輔導規劃模式，實際方式會配合專案與您的需求調整。 <BR> <div class="foo" style="width:1600px"> |方案|方案名稱|方案目標|專案期程|教育訓練|內稽輔導|外稽陪同與回應| |:--:|:-- |:-- |:--: |:-- |:--:|:--:| |A|ISO27001:2022 建置案 | * 建置 ISMS <BR> * 取得第一年證書 |<font color=red>4-6個月</font> | * 第一年 4 次 |僅第一年|<font color=red>僅第一年</font>| |B|ISO27001:2022 建置與維護| * 建置 ISMS <BR> * 取得第一年證書 <BR> * <font color=red> 取得第二、三年證書</font>|<font color=red>3年</font> | * 第一年 4 次 <br> * <font color=red>第二、三年各 1 次</font>|僅第一年|<font color=red>三年都有</font>| |C|ISO 27001:2022 轉版| * 通過轉版驗證| <font color=red>2天</font> | * 1 次(轉版條文說明)|<font color=red>無</font>|<font color=red>無</font>| </div> <BR> ## 配套選項 如方案 A 與 B 外，您亦可額外選購下列服務： <BR> <div class="foo" style="width:1600px"> |服務|方案名稱|內容|優點|缺點|適用方案| |:--:|:--|:--|:--|:--|:--:| |1|內部稽核協助|內部稽核改由顧問執行| * 節省內部人力 <BR> * 主管可取得客觀內稽報告| * 顧問人力費用 <BR> |A,B| |2|定期到場輔導|顧問每季或每半年到場檢核 ISMS 維運現況並協助維護| * 保證 ISMS 維運品質 <BR> * 權責人員可接受更完善的訓練與協助| * 顧問人力費用 <BR> |B| </div> <BR> # FAQ <br> # 輔導實績 <br> 請參考我們的[輔導實績](/xl_uyXzBQnqnkP3RMym6AQ) <br>