標準 / 資訊保安
ISO/IEC 27001:2022
資訊保安管理體系
標準的完整參考資料,以及 ISTO 理解測驗與可下載的測驗大綱。全球最知名的資訊保安管理框架 — 協助機構管理網絡風險、保護資訊資產,並在人員、政策與技術各方面建立韌性。
70K+
全球已簽發證書數量
150+
使用 ISO 27001 的國家
#1
資訊保安標準
1. 關於 ISO 27001
ISO/IEC 27001 是全球最知名的資訊保安管理體系(ISMS)標準。它界定了 ISMS 必須符合的要求,為任何規模及所有行業的公司提供指引,以建立、實施、維持及持續改善資訊保安管理體系。透過遵循此標準,機構可管理財務資訊、知識產權、員工資料,以及第三方所託付資訊等資產的保安。
符合 ISO/IEC 27001 意味著機構已建立一套系統,以管理與其所擁有或處理的資料保安相關的風險,而此系統遵循標準所載的所有最佳實務與原則。它屬於更廣泛的 ISO/IEC 27000 系列,並透過共用的 Annex SL 高層次架構,輕易與 ISO 9001 等其他管理系統標準整合。
為何 ISO 27001 重要?
業務效益包括:
網絡韌性
橫跨人員、政策與技術的整全方法,協助機構抵禦網絡攻擊,並從中斷及資料外洩中迅速復原。
風險管理
該標準提供有系統的框架,在資訊保安風險演變成代價高昂的事故之前,加以識別、評估及處理。
利益相關方信任
驗證彰顯對資訊保安的真誠承諾,讓客戶、監管機構、投資者及供應鏈夥伴安心,確信資料獲得妥善保護。
持續改善
ISO 27001 鼓勵定期審核與檢討,使機構能因應不斷變化的威脅環境及日益嚴格的監管要求,調整其管制措施。
ISO 27001:2022 連同 2024 年修訂
ISO/IEC 27001:2022 將 Annex A 重組為四個管制主題,而 Amendment 1:2024 加入了氣候變化考量。我們的測驗大綱已緊貼現行要求 — 針對最新版本作好準備。
2. ISTO 針對 ISO/IEC 27001:2022 的理解測驗
本測驗專為 ISO 管理系統標準(「MSS」)專業人員而設,例如中高層管理人員、責任人(按條文 5.3 定義)、內部審核員、第三方驗證機構審核員,以及對 MSS 實施成效具關鍵作用的顧問/諮詢人員。這是一項多項選擇測驗,設有三項成果:
- 驗證考生對相關標準的理解
- 衡量考生在八(8)個 A·C·C·U·R·A·T·E 理解分析範疇的理解程度
- 在個人化分析報告中為考生的表現排名
考生可獲得甚麼
成就證書
可驗證的理解證明,附有專屬網址。
點擊放大 ↗
個人化分析報告
包含您在八個範疇的 A·C·C·U·R·A·T·E 理解分析,以及您相對於整體應試人群的百分位排名。
點擊放大 ↗
不僅止於理解
ISTO 測驗不僅著重於理解標準的要求,更旨在確保通過測驗者已展現對基礎管理系統原則、定義、適用範圍、區分明訂要求與未明訂要求,以及標準實務應用的認知。
公信力
ISO 27001 審核員/顧問/導師的僱主會發現 ISTO TOU 資格在其甄選過程中是良好的基準,因為 ISTO TOU 能提升員工整體的卓越表現與一致性。具備 ISTO TOU 憑證的課程導師,能為學員提供更準確、更完整的標準講解。
3. 理解測驗的結構
ISTO TOU 由多項選擇題組成,每題設有四(4)個選項,其中只有一(1)個為「最佳」選項。ISTO TOU 為限制式開卷網上測驗,惟考生可參閱相關 ISO 標準的未標註副本,此乃測驗期間唯一獲准使用的參考資料。在網上測驗中,除測驗視窗外,標準副本將於另一獨立視窗提供。
四個選項,一個最佳
每題均設有單一最佳答案。
限制式開卷,網上進行
在 ISTO 測驗平台上進行。
標準置於側邊視窗
參閱 ISO 27001 的未標註副本 — 唯一獲准使用的參考資料。
1) ISO/IEC 27001 的哪一條文訂明了資訊保安風險評鑑的要求?
題目總覽
第一級測驗與第二級測驗的分別
第一級測驗評核考生對 ISO 管理系統標準(MSS)基本原則及要求的理解。第二級則為全面性測驗,涵蓋原則、要求,以及在各種情境及業務範疇中的實施。
| Level 1 — Practitioner | Level 2 — Professional | |
|---|---|---|
| 等級 | 從業人員 | 專業人員 |
| 作答時間 | 120 分鐘 | 180 分鐘 |
| 題目數量 | 80 | 120 |
| 合格標準達到合格標準的考生將獲頒成就證書 | 60% | 70% |
| 優異標準達到優異標準的考生將獲頒優異成就證書 | 80% | 85% |
| A·C·C·U·R·A·T·E 理解分析所有考生將獲得一份報告,顯示其在星形圖中八(8)個範疇的理解程度及相對排名 | ✓ 包含報告 | ✓ 包含報告 |
測驗部分細分
題目在各等級之間的分佈情況。
SECTION 1
20 題
原則與定義、適用範圍、條文 4.3
SECTION 2
30 題
基於條文 4、5、6、9 及 10 的管理系統要求(條文 4.3 除外)
SECTION 3
30 題
基於條文 7 及 8 的營運要求
SECTION 1
30 題
原則與定義、適用範圍、條文 4.3
SECTION 2
30 題
基於條文 4、5、6、9 及 10 的管理系統要求(條文 4.3 除外)
SECTION 3
30 題
基於條文 7 及 8 的營運要求
SECTION 4
30 題
六(6)個情境,每個情境設五(5)題,聚焦於實務層面
4. A·C·C·U·R·A·T·E 理解分析
根據 ISTO 的研究並獲 ISTO 技術顧問委員會認可,對 ISO 管理系統標準的理解程度可歸納為八(8)個理解範疇。
- Ac標準中與文件相關的實際(Actual)要求。
- Co概念(Concept)— 管理系統標準所依據的管理原則。當中包括標準所要求的活動順序。
- CISO 管理系統標準中特定要求的獨有條文(Clause)參考。
- U標準中未指明(Unspecified)的要求(即並不存在的要求)。
- R標準中某項要求(Requirement)(即要求的文字內容)。
- A標準的適用性(Applicability)。當中包括要求的意圖及標準的範圍。
- T標準中所使用的術語及定義(Terms and definitions)。一般而言,這些術語於每份 ISO 管理系統標準的第 3 條文中界定。就 ISO 9001 品質管理系統而言,術語及定義於 ISO 9000 標準中界定。
- E標準中與文件相關的錯誤(Erroneous)要求。
5. 測驗說明與大綱
兩個等級,提供七種語言版本。選擇要下載的文件。
Level 1 — Practitioner
Level 2 — Professional
6. 測驗語言供應情況
ISO/IEC 27001:2022
資訊保安管理體系
English
English
English, Español, Français, Portuguese, 中文 (HK), 中文 (PRC), 中文 (TW)
7. 資源與延伸閱讀
ISO/IEC 27001:2022 的新內容
標準更新 · 6 分鐘
第一級與第二級:哪個測驗適合您?
指南 · 4 分鐘
2024 年氣候變化修訂解說
標準更新 · 5 分鐘