ISO/IEC 27001 是資訊安全管理系統(ISMS)的國際標準,現行 2022 年版以 4 大主題、93 項控制措施重組附錄 A(組織、人員、實體、技術),舊 2013 版證書已於 2025 年 10 月底全面退場——市場上的有效證書如今都是 2022 版。它的商業地位無可替代:跨國大廠供應商審查、政府與金融投標、雲端服務客戶盡調,27001 都是第一張被要求出示的證書;在 AI 算力供應鏈中,NVIDIA、Microsoft、AWS 等對硬體與服務供應商的資安要求同樣以它為基準。對台灣廠商,27001 不是「要不要做」的選擇題,而是「什麼時候做、用多少成本做對」的工程題。
2022 版的實質變化
附錄 A 從 114 項控制重組為 93 項並新增 11 項(威脅情資、雲端服務安全、資料遮罩、資料外洩防護、安全編碼等),反映雲端化與供應鏈攻擊的現實。已持有舊版制度的組織不是重做,而是控制對映與差距補強;新導入者直接以 2022 版建制。
風險評鑑與 SoA 是審查重心
稽核員與客戶盡調真正細看的是風險評鑑方法論的一致性與 SoA(適用性聲明)的合理性——每一項不適用的控制都要站得住腳。積穗科研以 ERM 風險語言建立評鑑框架,讓 27001 的風險登錄與企業層風險地圖互通,一次建置兩層受益。
作為制度地基的槓桿價值
27001 是最多標準的掛載地基:27701(隱私)、22301(營運持續)、42001(AI 管理)都共用其管理系統骨架。先把 27001 做紮實,後續每張證書的增量成本都大幅下降——這是取證順序規劃的核心邏輯。
対象となる企業
- 被客戶要求出示 ISMS 證書的供應商
- AI/HPC 供應鏈的硬體與服務廠商
- 參與政府、金融、跨國投標的企業
- 規劃 27701/42001/22301 多標整合的組織
よくある質問
現在導入是 2022 版嗎?舊版證書還有效嗎?
一律以 ISO/IEC 27001:2022 導入。2013 版證書的過渡期已於 2025 年 10 月 31 日屆滿,市場有效證書均為 2022 版。
導入要多久?
視範圍與既有制度成熟度,典型 4–8 個月(差距分析→制度建置→內稽與管審→第一階段/第二階段驗證)。有既有 IT 治理基礎可明顯縮短。
93 項控制都要做嗎?
不是。透過風險評鑑決定適用性並寫入 SoA,不適用者敘明理由。重點是邏輯一致、證據可稽,而非全包。
和 SOC 2 怎麼選?
看客戶市場:美系客戶(尤其 SaaS 採購)常指名 SOC 2 報告,國際與歐亞供應鏈普遍認 27001。兩者控制高度重疊,先做其一再延伸另一的增量成本低,積穗科研協助以共用證據庫一次支撐兩軌。