資訊安全與個資隱私的認證 - ISO 27001 與 ISO 27701 介紹

ISO 是國際標準化組織(International Organization for Standardization)的縮寫,ISO 成立於 1947 年 2 月 23 日,負責制定全世界工商業國際標準。

ISO 27001:資訊安全管理系統

ISO 27001 是目前國際上使用最廣泛,且最完整的檢驗資訊安全管理系統 (Information Security Management System, ISMS) 標準。透過 ISO 27001 標準,能協助組織管理與降低資訊上所面臨的各種威脅與風險,是現今國際科技大廠上游供應鏈廠商稽核要點之一。

什麼是 ISO 27001?7大要點滿足文件資料認證標準 — 資通電腦隱私保鑣

提升資訊安全管理系統,降低資安威脅與弱點風險

ISMS 服務除了主管機關、法令法規要求以外,仍有企業為了管控自身內部資安議題以及提升同業競爭力,主動積極尋找解決方案,因此資訊安全管理制度透過流程式方法進行導入作業,可透過有效管理制度及風險管理,識別出組織內外部相關威脅與弱點並有效降低及管控,發生資安事件時也能快速還原及處置。

圖為 KryptoGO 通過的 ISO 27001 認證

ISO 27701:隱私資訊管理系統

隨著個人資料保護法施行,國際間如歐盟亦於 2018 年開始 GDPR 個資保護法令。如何打造既符合個人資料保護法要求,且又達到國際水準的個人資訊管理系統已是全球化過程中不可或缺的環節。

ISO 27701 是植基於 ISO 27001 資訊安全管理標準之上的隱私資訊管理標準。其於 2019 年 8 月正式公布後,提供企業組織在蒐集、處理或儲存個人隱私資訊時的管理與保護依據。透過以資訊安全管理為基礎,協助現行組織流程中確認個人隱私資訊處理符合法令法規要求,並進而完整保護個人資料的安全。

ISO 27701 隱私資訊管理 | BSI

提升個資保護管理制度,遵循個資法及 GDPR 法規要求

PIMS 治理輔導服務除了主管機關、法令法規要求以外,仍有企業為了管控自身內部員工資料及客戶資料,主動積極尋找解決方案,因此個人資料保護管理制度透過業務流程與活動方法進行導入作業,可透過識別個人資料流向,並有效管理個資流程包含蒐集、處理、利用等風險管理,識別出組織內外部相關需管控之處。

圖為:KryptoGO 通過的 ISO 27701 認證

如何確認 ISO 證書的有效性? - 稽核與認證

資通安全專業證照中的 ISO 27001、ISO 27701等相關證照的有效性與證照發證單位被資安法接受與否的資格,可由 TAF 與 IAF 官網來進行對應的查詢:

  • IAF 是國際認可論壇(International Accreditation Forum)的縮寫,成立於1993年,現有 97 個成員機構,是由世界各國的認可機構、認證機構及其用戶共同組成的國際認可合作組織。目標是通過促進各國統一實施認證認可國際標準,建立多邊互認體系,促進全球貿易便利化,實現「一次認可,全球通行」。
  • TAF 是全國認證基金會(Taiwan Accreditation Foundation)的縮寫,為順應符合世界貿易組織(WTO)、亞太經濟合作組織(APEC)符合性評鑑制度之發展環境,將經濟部標準檢驗局中華民國實驗室認證體系(CNLA)及經濟部中華民國認證委員會(CNAB)兩者業務合併,由經濟部、國營事業、公設財團法人及民營機構等單位,於2003年9月17日捐助成立。

ISO 的驗證稽核單位,TAF 認可的驗證機構名錄可以在這裡查詢:

https://www.bsmi.gov.tw/wSite/public/Data/f1437634507694.pdf

KryptoGO 選擇的 TCIC 為 TAF 認可的驗證機構之一:環奧國際驗證有限公司(TCIC)為 ISO 第三方驗證機構,創立於2003年,總部位在加拿大不列顛哥倫比亞省;於台北、香港、上海地區設有辦公機構且建立了當地的服務團隊,也是歐盟奧地利驗證機構 ─ CIS 與 Quality Austria 在太平洋地區的授權合作夥伴與直屬分支機構,素以第三方獨立公正的驗證與評鑑服務享譽於國際。