# ISO 27001 MVP 首要 10 項安全措施 根據您提供的 ISO 27001:2022 評級問卷,我為您篩選出**最適合中小企業 MVP 階段**優先實施的 10 項控制措施。這些措施兼顧**合規性、實用性和可快速導入**的特點。 --- ## 🎯 選擇標準 1. **高影響力**:對資安防護效果顯著 2. **低實施門檻**:中小企業容易執行 3. **稽核必查**:ISO 27001 認證時的核心項目 4. **快速見效**:1-2 個月內可完成 --- ## 📋 MVP 首要 10 項安全措施 ### **1. ISO27001_006 - 資訊安全政策** **對應問卷:識別能力** #### 為何優先? - ISO 27001 的根基,稽核第一個檢查項目 - 定義組織資安管理方向 - 其他措施的依據文件 #### 要做的內容: - [ ] **制定資訊安全政策文件** - 高階主管核准(必須有總經理簽名) - 明確定義資安目標和範圍 - 符合法規要求(如 GDPR、個資法) - [ ] **政策應包含的內容** ``` 1. 資安目標(保護客戶資料、確保營運持續) 2. 適用範圍(全公司/特定部門) 3. 角色與責任(誰負責資安) 4. 法規遵循聲明 5. 違反政策的處罰措施 6. 政策審查週期(至少每年一次) ``` - [ ] **發布與溝通** - 全員簽署「已閱讀並理解政策」聲明 - 放在公司內部網站/共享資料夾 - 新進員工報到時必讀 #### 系統功能需求: - 文件管理模組:儲存政策版本 - 電子簽核流程:政策核准記錄 - 通知系統:政策更新時通知全員 --- ### **2. ISO27001_038 - 資訊及其他相關聯資產之清冊** **對應問卷:識別能力** #### 為何優先? - 「不知道有什麼資產,就無法保護」 - 風險評估的基礎 - 稽核必查:資產清單完整性 #### 要做的內容: - [ ] **建立資產清冊表** - **硬體資產**:伺服器、電腦、網路設備、儲存設備 - **軟體資產**:作業系統、應用程式、授權 - **資料資產**:資料庫、客戶資料、財務資料 - **人員資產**:關鍵人員名單 - **服務資產**:雲端服務(AWS、Google Workspace) - [ ] **資產屬性欄位**(每項資產必填) ``` - 資產編號(唯一識別碼) - 資產名稱 - 資產類型 - 資產擁有者(部門主管) - 資產管理者(實際使用者) - 所在位置(機房/辦公室/雲端) - CIA 等級(機密性/完整性/可用性:高/中/低) - 購置日期 - 狀態(使用中/閒置/報廢) ``` - [ ] **定期更新機制** - 每季度審查一次 - 新增/異動/報廢時立即更新 - 指派資產管理員 #### 系統功能需求: - 資產管理模組(Milestone 2 已涵蓋) - 匯入/匯出 Excel 功能 - 資產變更歷史記錄 --- ### **3. ISO27001_045 - 身分管理** **對應問卷:防護能力** #### 為何優先? - 存取控制的基礎 - 防止未授權存取 - 稽核會檢查帳號管理流程 #### 要做的內容: - [ ] **帳號生命週期管理** ``` 1. 帳號開通: - 新進員工申請表(部門主管簽核) - 依職務分配權限 - 記錄開通日期 2. 帳號變更: - 職務調動時重新審核權限 - 記錄變更原因 3. 帳號停用/刪除: - 離職當天立即停用 - 30 天後刪除帳號 - 資料移交程序 ``` - [ ] **帳號命名規則** - 統一格式(如:firstname.lastname) - 禁止共用帳號 - 服務帳號(Service Account)需特別管理 - [ ] **定期審查** - 每半年審查一次所有帳號 - 清理閒置帳號(90 天未登入) - 產生審查報告 #### 系統功能需求: - 使用者管理模組 - 權限申請與核准流程 - 帳號審查報表(列出所有帳號及最後登入時間) --- ### **4. ISO27001_046 - 鑑別資訊(密碼管理)** **對應問卷:防護能力** #### 為何優先? - 最常見的攻擊入口 - 容易實施且效果顯著 - 稽核必查項目 #### 要做的內容: - [ ] **密碼強度政策** ``` - 最小長度:12 字元 - 必須包含:大寫、小寫、數字、特殊符號 - 禁止使用:常見密碼(123456、password) - 禁止使用:個人資訊(生日、姓名) - 定期更換:每 90 天 - 歷史密碼:不得重複使用最近 5 次密碼 ``` - [ ] **密碼管理規範** - 初始密碼必須立即更改 - 禁止在多個系統使用相同密碼 - 禁止書寫密碼於紙張或電腦檔案 - 建議使用密碼管理工具(如 1Password、Bitwarden) - [ ] **多因素驗證(MFA)** - 關鍵系統強制啟用(郵件、VPN、雲端服務) - 使用 Google Authenticator 或 Authy - [ ] **登入失敗處理** - 連續失敗 5 次鎖定帳號 30 分鐘 - 記錄失敗登入嘗試 #### 系統功能需求: - 密碼複雜度驗證(前端 + 後端) - 密碼加密儲存(bcrypt 或 Argon2) - MFA 整合(TOTP) - 登入日誌記錄 --- ### **5. ISO27001_044 - 存取控制** **對應問卷:防護能力** #### 為何優先? - 確保「對的人存取對的資料」 - 最小權限原則(Least Privilege) - 防止內部威脅 #### 要做的內容: - [ ] **存取控制政策** ``` 1. 最小權限原則: - 只給業務所需的最小權限 - 預設拒絕,明確授權 2. 職務區隔(Segregation of Duties): - 開發人員不得存取正式環境 - 財務人員不得同時負責收款與記帳 ``` - [ ] **權限分級制度** ``` Level 1 - 一般使用者: - 存取自己的檔案 - 使用辦公軟體 Level 2 - 部門管理者: - 存取部門共享資料 - 核准部門內請假 Level 3 - 系統管理員: - 系統配置 - 帳號管理 Level 4 - 超級管理員: - 全系統權限(最多 2-3 人) ``` - [ ] **權限申請流程** - 填寫「權限申請單」 - 部門主管核准 - IT 部門執行 - 記錄申請原因和時間 - [ ] **定期權限審查** - 每季度審查特權帳號 - 每半年審查所有權限 - 移除不必要的權限 #### 系統功能需求: - RBAC(角色基礎存取控制) - 權限申請與核准工作流 - 權限審查報表 --- ### **6. ISO27001_069 - 資訊安全認知及教育訓練** **對應問卷:防護能力** #### 為何優先? - 「人」是最大的資安漏洞 - 提升全員資安意識 - 稽核會要求提供訓練記錄 #### 要做的內容: - [ ] **新進員工訓練(報到第一週)** ``` 必修課程(1-2 小時): - 資訊安全政策介紹 - 密碼管理 - 釣魚郵件識別 - 社交工程防範 - 資料分類與處理 - 事件通報流程 考核方式: - 線上測驗(80 分及格) - 簽署「資安宣導聲明書」 ``` - [ ] **年度資安訓練(全員)** ``` 頻率:每年至少 1 次 內容: - 最新資安威脅(勒索軟體、APT) - 案例分析(真實資安事件) - 政策更新 - 實作演練 形式: - 實體課程或線上課程 - 時間:2-4 小時 ``` - [ ] **釣魚郵件演練** ``` 頻率:每季度 1 次 流程: 1. 發送模擬釣魚郵件 2. 記錄點擊率 3. 點擊者立即顯示教育頁面 4. 產生報告並追蹤改善 ``` - [ ] **訓練記錄** - 姓名、訓練日期、課程名稱 - 測驗成績 - 簽到表/線上完課證明 #### 系統功能需求: - 訓練管理模組 - 線上測驗系統 - 訓練完成率儀表板 - 釣魚郵件演練工具(可用第三方如 Gophish) --- ### **7. ISO27001_101 - 資訊備份** **對應問卷:復原能力** #### 為何優先? - 勒索軟體攻擊時的救命稻草 - 確保營運持續性 - 稽核必查項目 #### 要做的內容: - [ ] **備份政策(3-2-1 原則)** ``` 3 份副本: - 1 份正本 - 2 份備份 2 種媒體: - 本地備份(NAS) - 雲端備份(AWS S3、Google Cloud) 1 份離線: - 至少 1 份備份離線或異地 - 防止勒索軟體加密備份 ``` - [ ] **備份頻率與範圍** ``` 關鍵系統: - 資料庫:每日全備份 + 每小時增量 - 檔案伺服器:每日全備份 - 配置檔案:每次變更後備份 一般系統: - 每週全備份 - 每日增量備份 ``` - [ ] **備份驗證** ``` 每月執行: - 隨機選擇備份檔案 - 執行還原測試 - 記錄測試結果 - 驗證資料完整性 每季度執行: - 完整系統還原演練 - 測試 RTO(復原時間目標) - 測試 RPO(復原點目標) ``` - [ ] **備份保存期限** ``` - 每日備份:保留 7 天 - 每週備份:保留 4 週 - 每月備份:保留 12 個月 - 年度備份:保留 7 年(依法規) ``` #### 系統功能需求: - 備份排程設定 - 備份狀態監控 - 備份驗證記錄 - 還原測試報告 --- ### **8. ISO27001_053 - 資訊安全事故管理** **對應問卷:防護能力** #### 為何優先? - 事件發生時有 SOP 可依循 - 減少損失和復原時間 - 稽核必查:事件處理流程 #### 要做的內容: - [ ] **事件分類與分級** ``` 嚴重性分級: Critical(嚴重): - 大量資料外洩 - 系統完全中斷 - 勒索軟體感染 → 2 小時內通報,立即處理 High(高): - 單一系統中斷 - 小規模資料外洩 - 惡意軟體感染 → 4 小時內通報,當日處理 Medium(中): - 帳號遭盜用 - 權限設定錯誤 → 8 小時內通報,3 日內處理 Low(低): - 政策違反 - 可疑活動 → 24 小時內通報,7 日內處理 ``` - [ ] **事件通報流程** ``` 1. 發現事件 ↓ 2. 立即通報(電話/郵件/系統) - 通報對象:資安負責人、IT 主管 - 24 小時熱線 ↓ 3. 初步評估(30 分鐘內) - 確認事件真實性 - 判斷嚴重性等級 ↓ 4. 啟動應變小組 - 依等級召集對應人員 ↓ 5. 遏制(Containment) - 隔離受影響系統 - 阻斷攻擊來源 ↓ 6. 根除(Eradication) - 移除惡意軟體 - 修補漏洞 ↓ 7. 復原(Recovery) - 系統還原 - 驗證功能 ↓ 8. 檢討改善 - 事件報告 - 改善措施 ``` - [ ] **事件記錄**(每個事件必填) ``` - 事件編號 - 發生時間 - 發現時間 - 通報時間 - 事件類型 - 嚴重性等級 - 影響範圍 - 處理人員 - 處理過程 - 根本原因 - 改善措施 - 結案時間 ``` - [ ] **演練計畫** ``` 桌面推演(每半年): - 模擬資安事件情境 - 測試通報流程 - 檢視應變 SOP 實際演練(每年): - 模擬勒索軟體攻擊 - 執行系統還原 - 驗證備援機制 ``` #### 系統功能需求: - 事件管理模組 - 事件通報表單(手機可用) - 事件處理追蹤 - 事件統計報表 --- ### **9. ISO27001_024 - 內部稽核** **對應問卷:識別能力** #### 為何優先? - ISO 27001 強制要求 - 發現問題並持續改善 - 外部稽核前的自我檢查 #### 要做的內容: - [ ] **年度稽核計畫** ``` 稽核頻率: - 全面內部稽核:每年 1 次(認證前必做) - 專項稽核:每半年 1 次 - 追蹤稽核:發現不符合項後 3 個月 稽核範圍: - 所有 ISO 27001 要求項目 - 93 項 Annex A 控制措施(依適用性) - 文件審查 - 技術查核 - 人員訪談 ``` - [ ] **稽核流程** ``` 1. 制定稽核計畫(稽核前 1 個月) - 稽核範圍 - 稽核日期 - 稽核員 - 受稽核部門 2. 通知受稽核單位(稽核前 2 週) 3. 準備稽核檢查表 - 依 ISO 27001 條文 - 列出查核重點 4. 執行稽核(1-3 天) - 開場會議 - 文件審查 - 現場查核 - 人員訪談 - 結束會議 5. 撰寫稽核報告(稽核後 1 週內) - 稽核發現 - 不符合項(NCR) - 觀察項 - 優點 6. 矯正措施(30 天內) - 根本原因分析 - 矯正措施計畫 - 執行與驗證 7. 追蹤稽核(90 天後) - 驗證矯正措施有效性 ``` - [ ] **稽核員要求** ``` - 需經過 ISO 27001 訓練 - 獨立性:不可稽核自己的工作 - 至少 2 人組成稽核小組 - 建議:外聘顧問協助首次稽核 ``` - [ ] **不符合項管理** ``` 分類: - Major(重大):違反法規或 ISO 要求 - Minor(輕微):部分未符合 - Observation(觀察):建議改善 處理: - 記錄不符合項 - 分析根本原因 - 制定矯正措施 - 執行並驗證 - 結案 ``` #### 系統功能需求: - 稽核計畫管理 - 稽核檢查清單(數位化) - 不符合項追蹤(NCR) - 稽核報告生成 --- ### **10. ISO27001_105 - 鐘訊同步(時間同步)** **對應問卷:防護能力** #### 為何優先? - 日誌分析的基礎 - 事件調查時確認時間序 - 技術實施簡單但常被忽略 #### 要做的內容: - [ ] **時間同步政策** ``` 要求: - 所有系統必須與標準時間源同步 - 時間誤差 < 1 秒 - 使用 UTC 或本地時區(需一致) - 禁止手動調整系統時間 ``` - [ ] **時間源設定** ``` Layer 1(最高優先): - 內部 NTP 伺服器(自建) Layer 2(次優先): - 公共 NTP 伺服器 - time.google.com - time.cloudflare.com - ntp.ubuntu.com 備援機制: - 至少設定 3 個 NTP 伺服器 - 自動切換 ``` - [ ] **各系統實作** **Linux 系統**: ```bash # 安裝 chrony sudo apt install chrony # 設定 /etc/chrony/chrony.conf server time.google.com iburst server time.cloudflare.com iburst server ntp.ubuntu.com iburst # 啟動服務 sudo systemctl enable chronyd sudo systemctl start chronyd # 驗證同步狀態 chronyc tracking ``` **Windows 系統**: ``` 方法 1:Group Policy(AD 環境) - 設定 GPO:Computer Configuration → Administrative Templates → System → Windows Time Service - 配置 NTP 伺服器 方法 2:命令列 w32tm /config /manualpeerlist:"time.google.com time.cloudflare.com" /syncfromflags:manual /reliable:YES /update w32tm /resync # 驗證 w32tm /query /status ``` **macOS 系統**: ```bash # 系統偏好設定 → 日期與時間 → 自動設定日期與時間 # 或命令列 sudo systemsetup -setnetworktimeserver time.apple.com sudo systemsetup -setusingnetworktime on ``` **網路設備**: ``` # Cisco ntp server time.google.com ntp server time.cloudflare.com # 驗證 show ntp status ``` - [ ] **監控與驗證** ``` 每週檢查: - 所有系統時間同步狀態 - 時間誤差是否 < 1 秒 工具: - 監控系統(Zabbix、Prometheus) - 自動告警(時間偏差 > 5 秒) 報表: - 時間同步狀態報表 - 異常系統清單 ``` - [ ] **文件記錄** ``` 必備文件: - 時間同步政策 - NTP 伺服器設定文件 - 系統清單(含 NTP 設定) - 同步驗證記錄 ``` #### 系統功能需求: - 文件管理:儲存時間同步政策 - 資產管理:記錄各系統 NTP 設定 - 監控整合:時間同步狀態追蹤(可選) --- ## 🔄 MVP 實施順序建議 ### **Week 1-2:文件與框架** 1. ✅ **資訊安全政策**(ISO27001_006) 2. ✅ **資產清冊**(ISO27001_038) ### **Week 3-4:存取控制** 3. ✅ **身分管理**(ISO27001_045) 4. ✅ **密碼管理**(ISO27001_046) 5. ✅ **存取控制**(ISO27001_044) ### **Week 5-6:技術防護** 6. ✅ **時間同步**(ISO27001_105) 7. ✅ **資訊備份**(ISO27001_101) ### **Week 7-8:人員與流程** 8. ✅ **資安訓練**(ISO27001_069) 9. ✅ **事故管理**(ISO27001_053) ### **Week 9-10:稽核與驗證** 10. ✅ **內部稽核**(ISO27001_024) --- ## 🚀 後續擴展(Post-MVP) 完成 MVP 10 項後,依序增加: - **Month 4**:供應商管理、雲端服務管理 - **Month 5**:實體安全、網路安全 - **Month 6**:變更管理、弱點管理 - **Month 7-9**:完整 93 項 Annex A 控制措施 根據你提供的《ISO27001:2022 資安評級問卷》內容,若目標是為中小企業打造一個「最小可行產品(MVP)」的 ISO 27001 落地系統,那第一階段(MVP)應專注於**「治理框架建立、資產盤點、帳號控管、風險評估、文件與稽核循環」**這幾個最具槓桿效益的基礎控制措施。 --- ## ✅ MVP 首要完成的 10 項 ISO 27001 安全措施(依落地優先順序) | 編號 | 對應題號 | 控制主題 | 實作內容(系統需能完成的工作) | 對應系統模組 | | ------ | ------------------------ | --------- | ------------------------------------------------------ | ----------- | | **1** | ISO27001_006 | 資訊安全政策 | 建立「資訊安全政策文件」模板,可自動填入公司名稱、範圍、負責人等基本欄位,並提供版本控管與核准簽核功能。 | 📄 文件管理模組 | | **2** | ISO27001_007 | 組織角色與權限 | 設定資訊安全職責(如:管理代表、稽核人員、資產擁有者),可指派人員、權限與稽核責任。 | 👥 人員與權限管理 | | **3** | ISO27001_038 | 資產清冊 | 可輸入與分類公司所有資訊資產(伺服器、筆電、雲端帳號、應用系統),自動產出「資產清冊」與「控制措施對應表」。 | 💾 資產管理模組 | | **4** | ISO27001_009 / 010 | 資安風險評鑑與處理 | 提供風險登錄表,可登錄威脅、影響、可能性,系統自動算出風險等級,並產出「風險處理計畫」。 | ⚖️ 風險管理模組 | | **5** | ISO27001_044 / 045 / 046 | 存取控制與身分管理 | 建立「帳號與權限登錄表」,支援 Keycloak / AD 匯入,並能生成「存取控制文件」;強制多因子驗證。 | 🔐 存取控管模組 | | **6** | ISO27001_095 | 防範惡意軟體 | 系統提供防毒策略樣板(含更新頻率、使用工具、稽核方式),並可記錄「防毒軟體部署情況」。 | 🧱 控制措施文件模組 | | **7** | ISO27001_101 | 資料備份 | 設定「資料備份政策」模板,可輸入週期、保留時間、驗證程序;自動提醒測試還原時程。 | 💽 備份管理模組 | | **8** | ISO27001_055 / 074 | 資安事件回應與通報 | 建立「事件通報流程」與「通報表單模板」,並能自動建立稽核紀錄(誰何時處理、通報對象)。 | 🚨 事件管理模組 | | **9** | ISO27001_024 / 064 | 內部稽核與獨立審查 | 建立稽核排程與紀錄(可自動通知、紀錄、上傳稽核報告),並輸出稽核清單模板。 | 🕵️ 稽核與排程模組 | | **10** | ISO27001_028 / 029 | 持續改善與矯正措施 | 建立「CAPA(矯正預防行動)」表單,可追蹤改善事項、到期日與執行進度。 | 🔄 改善追蹤模組 | --- ## 📘 實作建議分層(MVP 階段) ### **第一層:文件與架構** * 建立《資訊安全政策》《資產管理程序》《風險管理程序》《存取控制政策》四份模板。 * 所有模板以 Jinja2 + Markdown 儲存,可自動渲染為 PDF。 * 版本控管:Git + Django `reversion` 模組。 ### **第二層:資料與稽核循環** * 建立 4 張主表: `asset`, `user_role`, `risk_register`, `audit_record`。 * 每筆紀錄都能生成控制措施報告。 * 稽核排程:Celery 定時任務 → 每半年通知「內部稽核」。 ### **第三層:快速產出報告** * 一鍵匯出《ISO27001 控制項對應矩陣》。 * 自動顯示哪些控制項已有文件/負責人/稽核紀錄。 * 報表可視化(Metabase / Django-ReportBuilder)。 --- ## 🚀 最小可行產品(MVP)完成時的可交付成果 | 項目 | 說明 | | ----------- | ------------------------ | | ✅ ISO 文件模板庫 | 4~6 份常用政策文件,可自動生成 PDF | | ✅ 資產清冊 | 系統內可匯出 CSV / PDF | | ✅ 風險登錄表 | 具風險分級與狀態追蹤 | | ✅ 控制措施對應表 | 自動產生 ISO 控制項與現況對應 | | ✅ 內部稽核紀錄表 | 稽核項目、負責人、日期、狀態可查 | | ✅ 通報流程 | 資安事件表單與通報紀錄完成 | | ✅ CAPA | 可追蹤改善項目與執行進度 | | ✅ 匯出報表 | ISO27001 稽核文件組(ZIP 打包下載) | --- 是否要我幫你把這 10 項安全措施對應的「系統欄位與資料表設計(models.py 初稿 + ERD)」一起畫出? 這樣你可以直接用來開發 MVP 第一版。