信息安全

国际信息安全标准顾问服务

国际信息安全标准辅导与验证包括：

• ISO / IEC 27001: Information Security Management System 信息安全管理系统
• ISO / IEC 20000: Information Technology Service Management System 信息服务管理系統
• ISO / IEC 22301: Business Continuity Management System 营运持续管理系统

管理制度

因应信息科技的高速发展，以及企业组织大量运用信息科技以协助营运及管理，信息科技所带来及衍伸的风险，是否被适当的鉴别及管控，成为企业组织管理的重要课题之一。透过判别隐藏的风险，并实施有效的管控机制与手段，是现今企业组织运用信息科技的重点管理表现。

整体而言，维持营运所需之信息的机密性、完整性、以及有效性已经成为组织做好信息安全管理的主要任务。但是许多组织的信息保护策略却只集中在信息技术（IT）基础建设的弱点上，对重要的信息资产却疏于妥善的照顾，形成了的一个存在于组织作业需求以及信息技术需求的鸿沟。

我们常常见到组织的信息技术员工并不被要求去了解组织的信息资产在营运任务或业务上的需求，重要的信息资产是否被适当的保护，或是重要的资源被运用到保护相对重要性不高的信息资产，其界线并不清楚。在这些情况下，组织的作业单位或业务单位以及信息技术单位之间对保护需求的理解时常无法一致。

信息安全管理系统即是透过有效的管理架构，协助企业组织建置一个对重要的信息资产做好完善保护的环境，避免威胁发生时，企业组织的重要信息资产被窃取或遭受破坏，造成损失。

SVITI 提供信息安全管理服务的主要内容，包括：

安全管理差异分析 :

本阶段为依据国际标准 ISO 27001，进行管理组织访谈及管理架构检视，并提供一份完整的分析报告，以图表及文字说明，明确指出企业组织在信息安全管理及控制措施中的优点，及应补强的重点项目。

信息安全管理制度整合、建置及/或改善：

依据安全管理差异分析，辅导所指派的项目同仁/团队规划工作执行计划，逐步导入适当的管理及控制措施，并针对现况及目标，协助各负责人员了解并熟悉标准、目标及要求作为，为信息安全标准验证前进行准备。

信息安全管理成熟度分析：

SVITI 参考美国卡内基美隆大学软件工程研究所研发的 CMMI 能力成熟度整合模式的评鉴制度，依据 ISO/IEC27001:2013 信息安全管理系统要求，设计信息安全管理制度成熟度调查工具，协助各单位针对各项管理要求，进行现况分析及落实度与成熟度分析，并逐年进行成熟度调查，进行改善比较分析，提供管理者了解改善重点及成果。

联系我们

如有任何问题，欢迎随时与我们联系！

关于我们

联系我们