ISO 27001 導入完整流程指南

前言：為什麼企業需要 ISO 27001？

ISO 27001 是全球最廣泛採用的資訊安全管理系統（ISMS, Information Security Management System）標準。它提供一套系統化的方法，協助企業識別、評估與管理資訊安全風險。

對台灣企業而言，導入 ISO 27001 的驅動力通常來自以下幾個面向：

• 客戶要求：越來越多大型企業在供應商評選時，將 ISO 27001 認證列為必要條件
• 法規遵循：《資通安全管理法》要求特定機構建立 ISMS，ISO 27001 是最被認可的框架
• 投標加分：政府標案與大型企業採購案中，ISO 27001 證書是重要的評分項目
• 實質安全：系統化地管理資安風險，降低資料外洩、勒索軟體等事件的發生機率
• 企業形象：向客戶與合作夥伴展示對資訊安全的重視與承諾

一、ISO 27001:2022 版本重點

ISO 27001 在 2022 年發布了最新版本（ISO 27001:2022），主要變更包括：

• 附錄 A 的控制措施從 114 項重新整理為 93 項，分為 4 大類（組織、人員、實體、技術）
• 新增 11 項控制措施，包含威脅情報、雲端服務安全、ICT 準備度等
• 更強調風險導向思維與持續改善
• 與 ISO 27002:2022 對齊，每項控制措施新增屬性標記（預防/偵測/矯正）

四大控制類別

類別	控制措施數	涵蓋範圍
組織控制（Organizational）	37 項	政策、角色、資產管理、供應商關係、事件管理
人員控制（People）	8 項	背景查核、教育訓練、保密協議、遠端工作
實體控制（Physical）	14 項	安全區域、設備保護、媒體處置、監控
技術控制（Technological）	34 項	存取控制、加密、安全開發、弱點管理、日誌

二、PDCA 循環：ISMS 的核心運作模式

ISO 27001 的管理系統建立在 PDCA（Plan-Do-Check-Act）循環之上，這是一個持續改善的迭代流程：

Plan（規劃）

• 定義 ISMS 的範疇（Scope）：哪些部門、系統、地點納入管理
• 建立資訊安全政策（Information Security Policy）
• 進行風險評估（Risk Assessment）與風險處置（Risk Treatment）
• 選擇適用的控制措施並撰寫適用性聲明（SoA, Statement of Applicability）

Do（執行）

• 實施風險處置計畫中的控制措施
• 執行員工資安教育訓練與意識提升
• 部署技術性控制措施（防火牆、EDR、加密、備份等）
• 建立事件回應程序並進行演練

Check（檢查）

• 監控與量測控制措施的有效性
• 執行內部稽核（Internal Audit）
• 管理階層審查（Management Review）
• 分析資安事件與不符合項

Act（改善）

• 針對不符合項採取矯正措施
• 更新風險評估（因環境變化、新威脅等）
• 持續改善 ISMS 的有效性
• 準備下一輪 PDCA 循環

三、導入流程：從零到取得認證

以下是一個典型的 ISO 27001 導入時程，適用於 50-300 人規模的台灣企業：

階段一：啟動與差距分析（第 1-2 個月）

• 取得管理層承諾：ISO 27001 的成功關鍵在於高層的支持與資源投入。需要正式的管理層決議與專案預算
• 組建專案團隊：指定 ISMS 管理代表（通常是 IT 主管或資安長），組建跨部門推動小組
• 差距分析（Gap Analysis）：對照 ISO 27001 條文與附錄 A 控制措施，盤點企業現況與標準要求之間的差距
• 制定導入計畫：根據差距分析結果，排定優先順序與時程

階段二：風險評估與處置（第 2-4 個月）

• 資產盤點：識別所有資訊資產（硬體、軟體、資料、人員、場所、服務）
• 威脅與弱點分析：對每項資產識別可能的威脅（駭客攻擊、天災、人為疏失）與現有弱點
• 風險評估：計算風險值（通常為 影響度 x 可能性），決定風險等級
• 風險處置：對每個不可接受的風險，選擇處置方式——降低（導入控制措施）、轉移（保險/委外）、避免（停止該活動）或接受（管理層書面接受）
• 適用性聲明（SoA）：列出附錄 A 中 93 項控制措施的適用性與理由

階段三：文件建立與控制措施實施（第 3-7 個月）

ISO 27001 要求的必要文件包括：

文件名稱	說明	標準條文
ISMS 範疇文件	明確定義 ISMS 涵蓋的範圍	4.3
資訊安全政策	組織的資安最高方針	5.2
風險評估方法論	如何識別、分析、評價風險	6.1.2
風險評估報告	風險評估的結果	6.1.2
風險處置計畫	對不可接受風險的處置方式	6.1.3
適用性聲明（SoA）	93 項控制措施的適用性	6.1.3 d)
資訊安全目標	可量測的資安目標	6.2
能力證據	教育訓練紀錄	7.2
作業程序文件	各項控制措施的 SOP	8.1
內部稽核紀錄	稽核計畫、報告、發現	9.2
管理審查紀錄	管理層會議記錄	9.3
不符合與矯正措施	問題記錄與改善追蹤	10.2

同時需要實施技術性控制措施，常見項目包括：

• 存取控制：Active Directory 群組原則、MFA、特權帳號管理
• 加密：磁碟加密（BitLocker）、傳輸加密（TLS 1.3）、郵件加密
• 備份：3-2-1 備份策略、定期還原測試
• 日誌管理：集中式日誌收集、保留至少 6 個月
• 弱點管理：定期弱點掃描與修補流程
• 事件回應：資安事件通報流程與應變演練

階段四：內部稽核與管理審查（第 7-9 個月）

• 內部稽核員培訓：至少 2 名人員完成 ISO 27001 內稽員訓練課程
• 執行內部稽核：依據稽核計畫，對所有條文與適用控制措施進行稽核
• 不符合處理：對稽核發現的不符合項，進行根因分析並採取矯正措施
• 管理審查會議：由最高管理層主持，審查 ISMS 運作成效、風險變化、改善機會

階段五：認證稽核（第 9-12 個月）

• 選擇認證機構：台灣常見的認證機構包括 BSI、SGS、TUV、AFNOR 等
• Stage 1 稽核（文件審查）：認證機構審查 ISMS 文件是否完備，確認組織是否已準備好進入 Stage 2
• Stage 2 稽核（現場稽核）：認證機構到企業現場，驗證 ISMS 的實際運作是否符合標準要求。通常需 3-5 個稽核人日
• 改善與發證：若有不符合項，需在約定時間內完成改善。所有不符合項關閉後，即可取得 ISO 27001 認證證書

四、成本與時程預估

以一家 100 人規模的台灣企業為例：

費用項目	預估金額	說明
顧問輔導費	NT$400,000 - 800,000	依範疇大小與複雜度而定
內稽員訓練	NT$15,000 - 25,000/人	2-3 天課程，至少培訓 2 人
認證稽核費	NT$200,000 - 350,000	Stage 1 + Stage 2，依認證機構而定
技術措施建置	NT$200,000 - 1,000,000	視現有資安基礎而定
年度維持費	NT$100,000 - 200,000/年	監督稽核 + 持續改善
首年總計	NT$850,000 - 2,200,000	含顧問、訓練、稽核、技術

導入時程通常為 9-12 個月，若企業已有一定的資安基礎（如已部署防火牆、EDR、備份），可縮短至 6-8 個月。

五、常見失敗原因與避免策略

• 管理層不參與：ISO 27001 不只是 IT 部門的事，需要管理層的持續參與。確保至少季度一次的管理審查，且有實質決策。
• 為了認證而做文件：寫了一堆沒人執行的文件，稽核過了但實際資安沒改善。文件必須反映真實作業流程，而非為了應付稽核而虛構。
• 範疇定太大：第一次導入不需要涵蓋全公司。建議從核心業務單位開始，取得經驗後再擴展範疇。
• 忽略人員意識：再好的技術控制也擋不住一封釣魚郵件的點擊。定期的資安意識訓練與社交工程演練是必要的。
• 沒有持續改善：取得認證後就鬆懈，等到監督稽核前才臨時補資料。ISMS 是持續運作的系統，不是一次性專案。

六、自己做 vs 聘請顧問？

這是企業最常問的問題之一。以下是兩種方式的比較：

面向	自行導入	聘請顧問
時程	12-18 個月	6-12 個月
成本	人力成本為主	顧問費 + 人力成本
風險	走彎路、遺漏要求	較低，有經驗指引
知識轉移	自行摸索，學習曲線陡	顧問帶教，快速上手
稽核準備	不確定性高	顧問熟悉稽核重點

我們的建議：首次導入建議聘請顧問。顧問的價值不只在於文件模板，更在於豐富的稽核經驗——知道稽核員會問什麼、看什麼。後續的維持與改善，則可由內部團隊自行執行。

結論：ISO 27001 是一段旅程，不是目的地

ISO 27001 認證證書不是終點，而是資訊安全管理旅程的起點。真正的價值在於透過系統化的方法，讓資安從「有做就好」提升到「做得好、持續改善」。

對於正在考慮導入 ISO 27001 的企業，我們建議：先做差距分析了解現況、取得管理層承諾、從合理的範疇開始、搭配專業顧問加速進程。一步步走，12 個月內取得認證並非難事。