ISO27001：2022信息安全管理标准解析

信息安全管理制度国际标准(ISO27001:2022)解析2023Agenda(ISO27001:2022)新版ISO27001新版ISO27001新版ISO27001()八月20233关于信息安全管理系统(ISO27001:2022)2700127001名稱異動資訊安全管理制度國際標準簡介八月資訊安全管理制度國際標準簡介八月2023PAGE5ISO/IECISO/IEC27001:2013Informationtechnology—Securitytechniques—InformationsecuritymanagementRequirements資訊科技—安全技術—資訊安全管理系統要求標準名稱修改ISO/IEC標準名稱修改ISO/IEC27001:2022Informationsecurity,cybersecurityandprivacyprotection—Informationsecuritymanagementsystems-Requirements資訊安全、網宇安全和隱私保護——資訊安全管理系統要求PAGEPAGE6控制類別控制類別數量由控制類別控制類別數量由14類整併為4大類A.5資訊安全政策A.7人力資源安全A.6資訊安全組織A.8資產管理A.9存取控制A.10密碼技術體與環境安全A.12A.13A.14系統之取得、開發與維護供應商管理資訊安全事故管理營運持續管理之資訊安全面向遵循性資訊安全管理制度國際標準簡介ISO27001:2013ISO/IECISO/IECÏDIS27001:202237Controls8Controls5.組織控制14Controls34Controls八月2023資訊安全管理制度國際標準簡介八月資訊安全管理制度國際標準簡介八月2023PAGE7控制项目数量由原先114个控制项目调整为93个控制项目NewContols说明詳⾒下⼀章節介紹

由原先⼀個或多個控制項⽬整合成⼀個控制項⽬将列于后附投影片114114個控制項目11個新增控制項目22個控制項目重命名24個控制項目整併93個控制項目ISO/IEC27001:2013

ISO/IEC27001:2022将列于后附投影片ISO/IEC27001:2022控制措施數量控制措施數量(整合合併24項)資訊安全管理制度國際標準簡介八月資訊安全管理制度國際標準簡介八月2023PAGE8控制措施數量控制措施數量(改變名稱22項)資訊安全管理制度國際標準簡介八月資訊安全管理制度國際標準簡介八月2023PAGE9新版ISO27001主条文新增要求与控制措施简介主条文新增要求信息安全管理制度国际标准简介

202311資訊安全管理制度國際標準簡介資訊安全管理制度國際標準簡介2023PAGE12本文异动说明ISMS本文异动内容4组织全景异动三条内容5领导作为异动二条内容6规划异动三条内容7支援異動⼀條內容8运作異動⼀條內容9绩效评估異動⼀條內容10改善異動⼀條內容4.14.1瞭解組織及其全景資訊安全管理制度國際標準簡介資訊安全管理制度國際標準簡介2023PAGE13說明：因應說明：因應ISO31000已更新為2018版而調整，對現行作業無顯著影響。组织应决定与其目的有关且影响达成其信息安全管理系统预期成果能力之外部及内部议题。备考：决定此等议题，系指建立于CNS31000之5.4.1中所考量的组织外部及内部全景。4.24.2瞭解關注方之需要及期望資訊安全管理制度國際標準簡介資訊安全管理制度國際標準簡介2023PAGE14 ISO27001:2013 4.2了解利害关系者的需求与期望组织应决定：ISMS有关的利害关系者；以及这些利害关系者对信息安全之要求。

ISO27001:2022 4.2了解关注方之需要及期望组织应决定下列事项：与信息安全管理系统有关之关注各方。此等关注方之相关要求事项。此等要求事项中之哪些要求事项，将透过信息安全管理系统(ISMS)因应。法规要求事项，以及契约义务。4.44.4資訊安全管理系統資訊安全管理制度國際標準簡介資訊安全管理制度國際標準簡介2023PAGE15 ISO27001:2013 4.4信息安全管理系统组织应依据本标准的要求以建立、实施、维护和持续改进ISMS。

ISO27001:2022 4.4组织依本标准之要求事项，建立、实作、维持及持续改善信息安全管理系统，包括所需过程及其互动。5.15.1領導及承諾資訊安全管理制度國際標準簡介資訊安全管理制度國際標準簡介2023PAGE16說明：強調「營運說明：強調「營運(Business)」可擴大解釋為組織之核心活動(附錄A將持續出現此字眼)备考：本标准所提及之〝营运〞，能广义诠释为对组织存在目的具核心意义之该等活动。5.35.3組織角色、責任及權限資訊安全管理制度國際標準簡介資訊安全管理制度國際標準簡介2023PAGE17說明：強調於組織內進行職責與授權溝通。說明：強調於組織內進行職責與授權溝通。备考：最高管理阶层亦可指派报告组织内资讯安全管理系统绩效之责任及权限。6.16.1因應風險及機會之行動資訊安全管理制度國際標準簡介資訊安全管理制度國際標準簡介2023PAGE18說明：從全面的資安控制清單說明：從全面的資安控制清單(alistofcomprehensiveinformationsecuritycontrols)改成可能的資安控制清單(alistofpossibleinformationsecuritycontrols)，僅為用詞上的改變，對現行輔導實務作業應無影響。变更针6.1.3附录A之用词：2.A包含可能之A，以确保未忽略必要的信息安全控制措施。6.26.2資訊安全目標及其達成之規劃資訊安全管理制度國際標準簡介資訊安全管理制度國際標準簡介2023PAGE19 ISO27001:2013 6.2信息安全目标与达成之规划组织应在相关的功能与层级中建立信息安全目标。信息安全目标应：a)與資訊安全政策⼀致；b)可测量如果可行时与处理结果；

ISO27001:2022 6.2信息安全目标及其达成之规划组织应于各相关部门及层级建立信息安全目标。信息安全目标应满足下列事项：與資訊安全政策⼀致。可量测(若可行)。风险评鉴及风险处理的结果。受监视。被传达。于适切时，更新之。以文件化信息提供。6.36.3變更之規劃資訊安全管理制度國際標準簡介資訊安全管理制度國際標準簡介2023PAGE20說明：新增條款說明：新增條款「當組織決定需要對資訊安全管理系統變更時，應以規劃之方式執行變更」於以往的ISMS條文中並未強調PDCA從Action（例如：矯正措施）回到Planning（例如：內外部議題識別、利害相關團體要求識別、風險情境識別、風險處理方式、適用性聲明、資安目標等）的流程，新增之6.3即為填補該空缺。此條款，建議將此條款寫入資安政策作上則可以於管理審查會議簡報及變更性。当组织决定需要对信息安全管理系统变更时，应以规划之方式执行变更。7.47.4溝通或傳達資訊安全管理制度國際標準簡介資訊安全管理制度國際標準簡介2023PAGE21 ISO27001:2013 组织应决定与ISMS有关的内部与外部沟通之需求，包含：a)沟通什么；b)何时沟通；c)和谁沟通；谁应沟通；以及

ISO27001:2022 组织应决定，相关于信息安全管理系统之内部及外部沟通或传达的需要，包括下列事项：沟通或传达事项。沟通或传达时间。沟通或传达对象。沟通或传达方式。8.18.1運作之規劃及控制資訊安全管理制度國際標準簡介資訊安全管理制度國際標準簡介2023PAGE22 ISO27001:2013 8.1运作的规划与控管组织应规划、实施与控管可符合信息安全要求，及实施在条文6.1所决定的行动。组织也应实施计划，以达成在条文6.2所决定的信息安全目标。组织应依照计划实现过程所必需的信心程度，保存文件化信息。以减轻任何不良影响。组织应确认委外之过程是被建立及控管。

ISO27001:2022 8.1运作之规划及控制6中所决定的行动：依准则实作过程之控制措施。以达成其过程已依规划执行之信心。组织应控制所规划之变更，并审查非预期变更的后果，必要时采取行动以减轻任何负面效果。组织应确保与信息安全管理系统相关外部所提供之过程、产品或服务受控制。9.19.1監督、量測、分析及評估資訊安全管理制度國際標準簡介資訊安全管理制度國際標準簡介2023PAGE23 ISO27001:2013 9.1监督、量测、分析与评估组织应评估信息安全的绩效与ISMS的有效性，并决定：…组织应保存适当的文件化信息，以作为监督与量测结果的证据。

ISO27001:2022 组织应决定下列事项：以确保有效的结果。所选择之方法宜产生适于比较及可重制视为有效的结果。应执行监督及量测之时间。应执行监督及量测之人员。监督及量测结果应分析及评估之时间。应执行分析及评估此等结果之人员。应具备文件化信息，作为结果之证据。系统之有效性。要求架構變更要求架構變更(9.29.3)資訊安全管理制度國際標準簡介資訊安全管理制度國際標準簡介2023PAGE24 ISO27001:2013 9.2内部稽核9.3管理阶层审查

ISO27001:2022 9.2内部稽核9.3管理审查9.3.2新增输入事项：c)及期望的变更。要求架構變更要求架構變更(10.改善)資訊安全管理制度國際標準簡介資訊安全管理制度國際標準簡介2023PAGE25 ISO27001:2013 10.1不符合事项与矫正措施10.2持续改善

ISO27001:2022 10.1持续改善10.2不符合事项及矫正措施控制措施简介信息安全管理制度国际标准简介

202326§§5組織控制措施資訊安全管理制度國際標準簡介資訊安全管理制度國際標準簡介2023PAGE27信息安全政策：信息安全政策及主题特定政策应予以定义，由管理阶层核可、发布、传达予相关人员及相关关注方，且其系知悉，并依规划期间及发生重大变更时审查。信息安全之角色与责任：应根据组织需要，定义并配置信息安全之角色及责任。职务区隔：冲突之职务及冲突的责任范围应予以区隔。管理阶层责任：管理阶层应要求所有人员工，依组织所建立信息安全政策、主题特定政策及程序，实施信息安全。与权责机关之联系：组织应建立并维持与相关权责机关之联系。与特殊关注群组之联系：组织应建立并维持与各特殊关注群组或其他各专家安全论坛及专业协会之联系。威胁情资：应搜集并分析与信息安全威胁相关之信息，以产生威胁情资。项目管理之信息安全：信息安全应整合入项目管理中。信息及其他相关联资产之清册：应制作并维护信息及其他相关联资产(包括拥有者)之清册。可接受使用信息及其他相关联资产：应识别、书面记录及实作对处置信息及其他相关联资产之可接受使用的规则及程序。资产之归还：适切时，人员及其他关注方于其聘用、契约或协议变更或终止时，应归还其持有之所有组织资产。信息之分类分级：信息应依组织之信息安全需要，依机密性、完整性、可用性及相关关注方要求事项分类分级。信息之标示：應依組織所採⽤之資訊分類分級⽅案，發展及實作⼀套適切的資訊標⽰程序。信息传送：应备妥信息传送规则、程序或协议，用于组织内及组织与其他各方间之所有形式的传送设施。存取控制：应依营运及信息安全要求事项，建立并实作对信息及其他相关联资产之实体及逻辑存取控制的规则。身分管理：应管理身份之整个生命周期。鉴别信息：鉴别信息之配置及管理应由管理过程控制，包括告知人员关于鉴别信息的适切处理。存取权限：应依组织之存取控制的主题政策及规则，提供规定、审查、修改及删除对信息及其他相关联资产之存取权限。供应者关系中之信息安全：应定义并实作过程及程序，管理与供应者产品或服务之使用相关联的信息安全风险。于供应者协议中阐明信息安全：应依供应者关系之形式，建立相关的信息安全要求事项，并与各供应者议定。管理ICT供应链中之信息安全：应定义并实作过程及程序，管理与ICT产品及服务供应链相关联之信息安全风险。供应者服务之监视、审查及变更管理：组织应定期监控、审查、评估及管理供应者信息安全实务作法及服务交付之变更。使用云端服务之信息安全：应依组织之信息安全要求事项，建立获取、使用、管理及退出云端服务的过程。信息安全事故管理规划及准备：组织应藉由定义、建立并沟通或传达信息安全事故管理过程、角色及责任，规划并准备管理信息安全事故。信息之评鉴及决策：组织应评鉴信息安全事件，并判定是否将其归类为信息安全事故。对信息安全事故之回应：应依书面记录程序，回应信息安全事故。由信息安全事故中学习：应使用由信息安全事故中所获得之知识，加强及改善信息安全控制措施。证据之收集：组织应建立并实作程序，用以识别、搜集、获取及保存与信息安全事件相关之证据。中断期间之信息安全：组织应规划，如何于中断期间维持信息安全于适切等级。营运持续之ICT备妥性：应依营运持续目标及ICT资持续之要求事项，规划、实作、维护及测试ICT备妥性。法律、法令、法规及契约要求事项：应识别、书面记录及保持更新信息安全相关法律、法令、法规、及契约之要求事项，以及组织为符合此等要求事项的作法。智慧财产权：该组织应实作适切程序，以保护智慧财产权。纪录之保护：应保护记录，免于遗失、毁损、伪造、未经授权存取及未经授权发布。隐私及PII保护：组织应依适用之法律、法规及契约的要求事项，识别并符合关于隐私保护及PII保护之要求事项。信息安全之独立审查：应依规划之期间或当发生重大变更时，独立审查组织对管理信息安全的作法及其实作(包括员工、过程及技术)。信息安全政策、规则及标准之遵循性：应定期审查组织信息安全政策、主题特定政策、规则及标准之遵循性。书面纪录之运作程序：应书面纪录信息处理设施之运作程序，并使所有需要的人员均可取得。§§6人員控制措施資訊安全管理制度國際標準簡介資訊安全管理制度國際標準簡介2023PAGE33筛选：，并宜相称于营运要求事项，其将存取之信息的分类分级及所察觉之风险。聘用契约协议应叙明人员及组织对信息安全之责任。奖惩过程：应明确订定并传达奖惩过程，以对违反信息安全政策之人员及其他相关关注方采取行动。应对相关人员工及其他关注方定义、施行并传达于聘用终止或变更后，仍保持有效之信息安全责任及义务。远端工作：应实作安全措施，当人员于远端工作时，保护于组织场所外之存取、处理或储存之信息。组织应提供机制，供人员透过适切之管道，及时通报所观察到或可疑的信息安全事件。§§7實體控制措施資訊安全管理制度國際標準簡介資訊安全管理制度國際標準簡介2023PAGE357.1实体安全周界：应定义及使用安全周界，以保护收容信息和其他相关联资产之区域。7.2实体进入：保全区域应藉由适切之进入控制措施及进出点加以保护。保全办公室、房间及设施：应设计办公室、房间及设施之实体安全并实作之。实体安全监视：应持续监视场所，防止未经授权之实体进出。防范实体及环境威胁：应设计并实作防范实体及环境威胁(诸如天然灾害及其他对基础设施之蓄意或非蓄意的实体威胁)之措施。于安全区域内工作：应制定和实施于安全区域内工作之安全措施。桌面净空及荧幕净空：应定义对纸本及可移除式储存媒体之桌面净空规则，以及对信息处理设施的荧幕净空规则，并适切实施之。7.8设备安置及保护：设备应安全安置并受保护。7.9场所外资产之安全：应保护场域外资产。储存媒体：储存媒体应依组织之分类分级方案及处理要求事项，于其获取、使用、运送及汰除的整个生命周期内进行管理。支援之公用服务事业：应保护信息处理设施免于电源失效，以及因支援之公用服务事业失效，所导致的其他中断。布缆安全：应保护传送电源、资料或支援信息服务之缆线，以防范窃听、干扰或破坏。设备维护：应正确维护设备，以确保信息之可用性、完整性及机密性。设备汰除或重新使用之保全：应查证包含储存媒体之设备项目，以确保于汰除或重新使用前，所有敏感性资料及具使用授权的软件已移除或安全覆写。§§8技術控制措施資訊安全管理制度國際標準簡介資訊安全管理制度國際標準簡介2023PAGE37使用者端点装置：应保护储存于使用者端点装置，由使用者端点装置处理或经由使用者端点装置可存取之信息。特殊存取权限：应限制并管理特殊存取权限之配置及使用。信息存取限制：应依已建立之关于存取控制的主题特定政策，限制对信息及其他相关联资产之存取。对原始码之存取：应适切管理对原始码、开发工具及软件函式库之读写存取。安全鉴别：安全鉴别技术及程序应依信息存取限制及关于存取控制之主题特定政策实作。容量管理：资源之使用应受监视及调整，以符合目前容量要求及预期容量要求。防范恶意软件：应实作防范恶意软件之措施，并由适切的使用者认知支援之。技术脆弱性管理：应取得关于使用中之信息系统的技术脆弱性信息，并应评估组织对此等脆弱性之暴露，且应采取适切措施。组态管理：应建立、书面记录、实作、监视并审查硬件、软件、服务及网络之组态(包括安全组态)。信息删除：当于信息系统、装置或所有其他存储媒体中之信息不再属必要时，应删除之。资料遮蔽：应使用资料遮蔽，依据组织关于存取之主题特定政策及其他相关的主题特定政策，以及营运要求事项，并将适用法令纳入考量。资料泄露预防：应将资料泄露预防措施，套用置处理、储存或传输敏感性信息之系统、网络及所有其他装置。信息备份：应依议定之关于备份的主题特定政策，维护信息、软件及系统之备份复本，并定期测试之。信息处理设施实作应充分多备(redundancy)，以符合可用性之要求事项。存录：纪录活动、异常、错误及其他相关事件之日志，应产生、储存、保护及分析之。监视活动：应监视网络、系统及应用之异常行为，并采取适切措施，以评估潜在信息安全事故。钟讯同步：组织所使用信息处理系统之钟讯，应与经认可的时间源同步。应限制并严密控制可能篡越系统及应用程序之控制措施的公用程序之使用。应实作各项程序及措施，以安全管理对运作中系统安装软件。网络安全：应受保全、管理及控制网络与网络装置，以保护系统及应用程序中之信息。网络服务之安全：应识别、实作及监视网络服务之安全机制、服务等级及服务要求事项。网络区隔：应区隔组织网络中各群组之信息服务、使用者及信息系统。网页过滤：应管理对外部网站之存取，以降低暴露于恶意内容。密码技术之使用：应定义并实作有效使用密码技术之规则(包括密码金钥管理)。应建立并施行安全开发软件及系统之规则。开发或获取应用系统时，应识别、规定并核可信息安全要求事项。应建立、书面记录及维护工程化安全系统之原则，并套用于所有信息系统开发活动。安全程序设计：软件开发应施行安全程序设计原则。应于开发生命周期中定义并实作安全测试过程。委外开发：组织应指引、监视及审查与委外系统开发相关活动。应区隔开发环境、测试环境与生产环境，并保全之。变更管理：信息处理设施及信息系统之变更，应遵循变更管理程序之。测试信息：应适切选择、保护及管理测试信息。涉及运作中系统之评鉴的稽核测试及其他保证活动，应于测试者与适切管理阶层间规划并议定。新增控制项信息安全管理制度国际标准简介

202343資訊安全管理制度國際標準簡介資訊安全管理制度國際標準簡介2023PAGE44增加的控制项目-5.7威胁情资控制措施宜蒐集並分析與資訊安全威脅相關之資訊，以產生威脅情資。控制措施宜蒐集並分析與資訊安全威脅相關之資訊，以產生威脅情資。目的提供對組織威脅環境之認知，以便採取適切的減緩措施。目的提供對組織威脅環境之認知，以便採取適切的減緩措施。指引蒐集並分析有關既有或新出現威脅之資訊，以便用於下列事項：指引蒐集並分析有關既有或新出現威脅之資訊，以便用於下列事項：實務做法TCT、CE等增加的控制項目增加的控制項目-5.23使用雲端服務之資訊安全資訊安全管理制度國際標準簡介資訊安全管理制度國際標準簡介2023PAGE45控制措施 宜依組織之資訊安全要求事項，建立獲取、使用、管理及退出雲端服務的過程。控制措施宜依組織之資訊安全要求事項，建立獲取、使用、管理及退出雲端服務的過程。目的規定並管理使用雲端服務之資訊安全性。目的規定並管理使用雲端服務之資訊安全性。指引組織宜建立使用雲端服務之主題特定政策，並向所有相關關注方溝通或傳達。組織宜定義並溝通或傳達其預期作法的延伸或⼀部分(指引組織宜建立使用雲端服務之主題特定政策，並向所有相關關注方溝通或傳達。組織宜定義並溝通或傳達其預期作法的延伸或⼀部分(參照521及522)聯之資訊安全風險。其可能為組織如何管理外部各方所提供服務之既有實務做法增加的控制項目增加的控制項目-5.30營運持續之ICT備妥性資訊安全管理制度國際標準簡介資訊安全管理制度國際標準簡介2023PAGE46控制措施 宜依營運持續目標及控制措施宜依營運持續目標及CT持續之要求事項，規劃、實作、維護及測試CT((ICTInformationandCommunication目的確保於中斷期間，組織之資訊及其他相關聯資產的可用性。目的確保於中斷期間，組織之資訊及其他相關聯資產的可用性。指引組織宜確保下列事項：指引組織宜確保下列事項：ICTICTICT實務做法訂定ICT實務做法訂定ICT)。增加的控制項目增加的控制項目-7.4實體安全監視資訊安全管理制度國際標準簡介資訊安全管理制度國際標準簡介2023PAGE47控制措施 宜持續監視控制措施宜持續監視場所，防止未經授權之實體進出。目的偵目的偵測並阻止未經授權之實體進出。指引應持續監控對容納關鍵系統之建築物：指引應持續監控對容納關鍵系統之建築物：a)安裝影像監控系統，例如閉路電視，以查看並記錄對組織場域內外敏感區域的存取b)根據相關適用標準安裝並定期測試接觸、聲音或移動偵測器以觸發入侵者警報c)使用這些警報覆蓋所有對外出入口和可存取的窗戶。無人區應隨時保持可告警狀態實務做法安裝門禁、監控及警報系統實務做法安裝門禁、監控及警報系統執行進出管制、定期查核、告警事件處理、記錄保存系統應定期測試監控安全建議修訂實體環境程序書增加的控制項目增加的控制項目-8.9組態管理資訊安全管理制度國際標準簡介資訊安全管理制度國際標準簡介2023PAGE48控制措施 應建立、書控制措施應建立、書面記錄、實作、監視並審查硬體、軟體、服務及網路之組態(包括安全組態)。目的確保目的確保硬體、軟體、服務及網路於所要求安全設定下正常運行，且組態未遭未經授權或不正確變更而更改。指引組織宜定指引組織宜定義並實作過程及工具，以於硬體、軟體、服務（例:雲端服務）及網路、新安裝之系統，以及運作中系統的整個生命週期內，施行所定義之組態（包括安全組態）。實務做法進行資產實務做法進行資產盤時清態類。建立各項組態確認各項基態增加的控制項目增加的控制項目-8.10資訊刪除資訊安全管理制度國際標準簡介資訊安全管理制度國際標準簡介2023PAGE49控制措施 當於資訊系統、裝置或所有其他存儲媒體中之資訊不再屬必要時，應刪除之。控制措施當於資訊系統、裝置或所有其他存儲媒體中之資訊不再屬必要時，應刪除之。目的防止敏感性資訊之非必要暴露，並遵循資訊刪除的法律、法令、法規及契約要求。目的防止敏感性資訊之非必要暴露，並遵循資訊刪除的法律、法令、法規及契約要求。指引刪除系統、應用程式及服務上之資訊時，宜考量下列事項：指引刪除系統、應用程式及服務上之資訊時，宜考量下列事項：(a)依營運要求，並考量相關法律及法規，選擇刪除方法（例:電子覆寫或密碼式抹除）。(b)將刪除之結果記錄下來，作為證據。(c)使用資訊刪除之服務供應者時，向其取得資訊刪除的證據。實務做法進行資產盤點時應清點資訊保存週期。實務做法進行資產盤點時應清點資訊保存週期。建立各類型資料刪除方式、週期及記錄格式。執行刪除並保存紀錄。建議修訂資訊資產管理程序書，或新增資訊管理程序書增加的控制項目增加的控制項目-8.11資料遮蔽資訊安全管理制度國際標準簡介資訊安全管理制度國際標準簡介2023PAGE50控制措施 應使用資料遮蔽，依據組織關於存取之主題特定政策及其他相關的主題特定政策，以及營運要求事項，並將適用法令納入考量。控制措施應使用資料遮蔽，依據組織關於存取之主題特定政策及其他相關的主題特定政策，以及營運要求事項，並將適用法令納入考量。目的限制內含PII敏感性資料的暴露，並遵循法律、法令、法規及契約要求目的限制內含PII敏感性資料的暴露，並遵循法律、法令、法規及契約要求指引於考量敏感性資料（例:PII）之保護的情況下，組織宜考量使用諸如資料遮蔽、假名化或匿名化等技術隱藏此種資料。指引於考量敏感性資料（例:PII）之保護的情況下，組織宜考量使用諸如資料遮蔽、假名化或匿名化等技術隱藏此種資料。假名化或匿名化技術可以隱藏I，偽裝I當事人之真實身份或其他敏感性資訊，切斷PII與I當事人身份間的連結，或其他敏感性資訊之間的連結。實務做法進行資產盤點時應確認資訊是否進行遮蔽。實務做法進行資產盤點時應確認資訊是否進行遮蔽。建立各類型資料遮蔽方式及記錄格式。執行遮蔽並保存紀錄。建議修訂資訊資產管理程序書，或新增資訊管理程序書增加的控制項目增加的控制項目-8.12資料洩露預防資訊安全管理制度國際標準簡介資訊安全管理制度國際標準簡介2023PAGE51控制措施 應將資料洩露預防措施，套用置處理、儲存或傳輸敏感性資訊之系統、網路及所有其他裝置。控制措施應將資料洩露預防措施，套用置處理、儲存或傳輸敏感性資訊之系統、網路及所有其他裝置。目的偵測並防止個人或系統未經授權揭露及擷取資訊。目的偵測並防止個人或系統未經授權揭露及擷取資訊。指引組織宜考量下列事項以降低資料洩露之風險：指引組織宜考量下列事項以降低資料洩露之風險：(a)識別資訊並將其分類分級，以防範洩露（例:個人資訊、定價模型及產品設計）。(b)監視資料洩漏管道（例:電子郵件、檔案傳送、行動裝置及和可擕式儲存裝置）。(c)採取措施以防止資訊洩露（例:隔離包含敏感性資訊之電子郵件）。實務做法進行資產盤點時應識別及分類。實務做法進行資產盤點時應識別及分類。整合各項資訊洩漏防護措施。利用控制措施屬性，管控資訊保護做法。建議修訂資訊資產管理程序書，或新增資訊管理程序書增加的控制項目增加的控制項目-8.16監視活動資訊安全管理制度國際標準簡介資訊安全管理制度國際標準簡介2023PAGE52控制措施 應監視網路、系統及應用之異常行為，並採取適切措施，以評估潛在資訊安全事故。控制措施應監視網路、系統及應用之異常行為，並採取適切措施，以評估潛在資訊安全事故。目的偵測異常行為及潛在資訊安全事故。目的偵測異常行為及潛在資訊安全事故。指引指引宜使用經由監視工具進行之持續監視。宜依組織之需要及能力，即時或定期進行監視。宜將異常事件傳達予關注方，以改善下列活動：稽核、安全評估、脆弱性掃描及監視（參照5.25）。宜備妥程序，以及時方式，回應源自監視系統之正向指標，以極少化不利事件（參照5.26）對資訊安全的影響。實務做法檢討現有監控工具，若有不足宜購置相關工具。實務做法檢討現有監控工具，若有不足宜購置相關工具。整合監控、漏洞及資安事件通報。針對監控紀錄執行分析、處理及運用。修訂資安事件程序書、作業安全程序書。增加的控制項目增加的控制項目-8.23網頁過濾資訊安全管理制度國際標準簡介資訊安全管理制度國際標準簡介2023PAGE53控制措施 應管理對外部網站之存取，以降低暴露於惡意內容。控制措施應管理對外部網站之存取，以降低暴露於惡意內容。目的保護系統免受惡意軟體之危害，並防止存取未經授權的網頁資源。指引目的保護系統免受惡意軟體之危害，並防止存取未經授權的網頁資源。指引網站之IP位址或網域。某些瀏覽器及防惡意軟體技術，自動執行此項操作或可設定組態以執行此項操作。組織宜識別員工宜或不宜存取之網站型式。所有限制。實務做法檢討現有防火牆或網路控制工具，依照指引執行相關設定。實務做法檢討現有防火牆或網路控制工具，依照指引執行相關設定。教育訓練教材中應放入本項控制措施。定期檢討各項限制規則，並更新規則。修訂網路安全程序書。增加的控制項目增加的控制項目-8.28安全程式設計資訊安全管理制度國際標準簡介資訊安全管理制度國際標準簡介2023PAGE54控制措施 軟體開發應施行安全程式設計原則。控制措施軟體開發應施行安全程式設計原則。目的確保軟體目的確保軟體係安全的撰寫，從而降低軟體中潛在資訊安全脆弱性之數量。指引組織宜建立全組織之過程，提供安全程式設計的良好治理。宜建立最低安全基準，並套用之。此外，此類指引組織宜建立全組織之過程，提供安全程式設計的良好治理。宜建立最低安全基準，並套用之。此外，此類過程及治理宜延伸至涵蓋源自第三方之軟體組件及開放原始碼軟體。組織宜監視真實世界之威脅以關於軟體脆弱性的最新建議及資訊，以透過持續改善及學習，引導組織之安全程式設計原則。此可能有助於確保實作有效之安全程式設計實務作法，以對抗快速變更的威脅形勢。實務做法檢討現有軟體開發流程，將安全要求導入開發過程中。實務做法檢討現有軟體開發流程，將安全要求導入開發過程中。管控各項元件含第三方之安全性。執行必要的測試及安全性檢測工作。結合構型管理。修訂資訊系統開發維護程序書。新版ISO27001控制措施转版秘诀大公开1.1.了解變化資訊安全管理制度國際標準簡介資訊安全管理制度國際標準簡介2023PAGE562.2.教育訓練資訊安全管理制度國際標準簡介資訊安全管理制度國際標準簡介2023PAGE57IISO27001022基礎認知控制措施實作變更說明ISISO2