ISO/IEC 27002 資訊安全控制措施實務準則

ISO/IEC 27002是一部資訊安全管理的國際實務準則（Code of Practice），其前身為ISO/IEC 17799。它並非用於驗證的標準，而是作為建置ISO/IEC 27001資訊安全管理系統（ISMS）時的實施指南。最新版本為2022年版，將控制措施重組為四大主題：組織（Organizational）、人員（People）、實體（Physical）與技術（Technological），共包含93項具體的控制措施。它與ISO/IEC 27001的主要區別在於，後者定義了ISMS的「要求」（What to do），而ISO/IEC 27002則提供了達成這些要求的「方法與指引」（How to do）。對台灣企業而言，遵循此準則的控制措施，有助於滿足《個人資料保護法》第27條所要求的「採取適當之安全措施」，為法規遵循提供具體實踐路徑。

企業應用ISO/IEC 27002通常遵循以下步驟：第一步，執行風險評鑑，依據ISO/IEC 27005等框架，識別、分析和評估組織面臨的資訊安全風險。第二步，選擇控制措施，根據風險評鑑的結果，從ISO/IEC 27002的93項控制措施中，選擇適用且必要的項目，並編製「適用性聲明書」（Statement of Applicability, SoA）。第三步，規劃與實施，為每項選定的控制措施制定詳細的政策、程序與實施計畫，並分配資源與責任。例如，台灣某金融科技公司為符合金融監督管理委員會（FSC）的資安要求，導入ISO/IEC 27002的存取控制與加密措施，成功將未經授權的存取事件降低了40%，並在年度監理機關審計中達到100%的合規通過率。

台灣企業導入ISO/IEC 27002主要面臨三大挑戰： 1. 資源限制：特別是中小企業，普遍缺乏專職資安人力與充足預算。對策是採用風險基礎方法，優先實施針對高風險領域的關鍵控制措施，並考慮委外資安維運服務（MSSP）以降低成本，預計3-6個月內完成核心建置。 2. 員工資安意識不足：員工可能視安全程序為額外負擔而抗拒改變。對策是爭取高階管理層的支持，由上而下推動資安文化，並定期舉辦釣魚郵件演練、資安教育訓練等，將資安內化為組織文化的一部分。 3. 法規對應複雜性：將ISO控制措施與台灣《個資法》、《資通安全管理法》等在地法規的具體要求進行精準對應，對法務與IT部門是一大挑戰。對策是建立法規遵循矩陣（Compliance Matrix），或尋求外部專家協助，確保所選控制措施能同時滿足國際標準與本地法規要求，避免合規落差。

積穗科研股份有限公司專注台灣企業ISO/IEC 27002相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact