標準 / 資訊安全
ISO/IEC 27001:2022
資訊安全管理系統
標準的完整參考資料,加上 ISTO 理解測驗及可下載的測驗大綱。全球最知名的資訊安全管理架構 — 協助組織管理網路風險、保護資訊資產,並於人員、政策與技術各面向建立韌性。
70K+
全球核發的證書數量
150+
使用 ISO 27001 的國家
#1
資訊安全標準
1. 關於 ISO 27001
ISO/IEC 27001 是全球最知名的資訊安全管理系統(ISMS)標準。它定義 ISMS 必須符合的要求事項,為任何規模、各領域的公司提供建立、實施、維持並持續改進資訊安全管理系統的指引。透過遵循本標準,組織能管理財務資訊、智慧財產、員工資料,以及第三方所託付資訊等資產的安全。
符合 ISO/IEC 27001 意味著組織已建立一套系統,以管理與其所擁有或處理之資料安全相關的風險,且該系統遵循標準中所載的所有最佳實務與原則。本標準屬於更廣泛的 ISO/IEC 27000 系列,可透過共用的 Annex SL 高階結構,輕鬆與 ISO 9001 等其他管理系統標準整合。
為何 ISO 27001 如此重要?
業務效益包括:
網路韌性
橫跨人員、政策與技術的整體性方法,協助組織抵禦網路攻擊,並從中斷與資料外洩中迅速復原。
風險管理
本標準提供一套系統化架構,在資訊安全風險演變為高成本事故之前加以辨識、評估與處理。
利害相關者信任
驗證彰顯對資訊安全的真切承諾,讓客戶、監管機構、投資人及供應鏈夥伴安心,確信資料受到妥善保護。
持續改進
ISO 27001 所鼓勵的定期稽核與審查,使組織能因應不斷變化的威脅情勢與日趨嚴格的法規要求,調整其控制措施。
ISO 27001:2022 及其 2024 年修正案
ISO/IEC 27001:2022 將 Annex A 重新架構為四個控制主題,而 Amendment 1:2024 則新增了氣候變遷考量。我們的測驗大綱已追蹤現行的要求事項 — 依據最新版本做好準備。
2. ISTO 針對 ISO/IEC 27001:2022 的理解測驗
本測驗專為 ISO 管理系統標準(「MSS」)專業人員而開發,例如中高階管理人員、責任人(依條文 5.3 所定義)、內部稽核員、第三方驗證機構稽核員,以及對 MSS 實施成效具關鍵作用的顧問。這是一項選擇題測驗,設計有三種成果:
- 就考生對相應標準的理解進行驗證
- 衡量考生在八(8)個 A·C·C·U·R·A·T·E 理解分析領域的理解程度
- 在個人化分析報告中對考生的表現進行排名
考生可獲得的內容
成就證書
可驗證的理解證明,並附有專屬網址。
點擊放大 ↗
個人化分析報告
包含您於八個領域的 A·C·C·U·R·A·T·E 理解分析,以及您相對於測驗群體的百分位排名。
點擊放大 ↗
不僅止於理解
ISTO 測驗不僅著重於理解標準的要求事項,更旨在確保通過測驗者已展現對基礎管理系統原則、定義、適用性、區分要求事項與未規定要求事項,以及標準實務實施的知識。
公信力
ISO 27001 稽核員/顧問/講師的雇主會發現,ISTO TOU 資格在其甄選過程中是一項良好的基準,因為 ISTO TOU 為員工整體的卓越表現與一致性增添價值。具備 ISTO TOU 證書的課程講師,能為學員提供更精確且完整的標準解說。
3. 理解測驗的結構
ISTO TOU 由選擇題組成,每題有四(4)個選項,其中只有一(1)個代表「最佳」選項。ISTO TOU 為限制式開卷線上測驗,但考生在測驗期間可參閱一份未標註的相應 ISO 標準副本,這是唯一獲准使用的參考資料。在線上測驗中,除了測驗視窗外,標準副本將於另一獨立視窗中提供。
四個選項,一個最佳
每題均有單一最佳答案。
限制式開卷、線上
於 ISTO 測驗平台進行。
標準顯示於側邊視窗
參閱一份未標註的 ISO 27001 副本 — 唯一獲准使用的參考資料。
1) ISO/IEC 27001 的哪一條文規定了資訊安全風險評鑑的要求事項?
題目總覽
第 1 級測驗與第 2 級測驗的差異
第 1 級測驗評核考生對 ISO 管理系統標準(MSS)基本原則與要求事項的理解。第 2 級則為一項全面測驗,涵蓋原則、要求事項,以及在各種情境與業務領域中的實施。
| 第 1 級 — 從業人員 | 第 2 級 — 專業人員 | |
|---|---|---|
| 等級 | 從業人員 | 專業人員 |
| 作答時間 | 120 分鐘 | 180 分鐘 |
| 題目數量 | 80 | 120 |
| 合格標準達到合格標準的考生將獲頒成就證書 | 60% | 70% |
| 優異標準達到優異標準的考生將獲頒優異成就證書 | 80% | 85% |
| A·C·C·U·R·A·T·E 理解分析所有考生都將收到一份報告,顯示其於星形圖中八(8)個領域各自的理解程度與相對排名 | ✓ 含報告 | ✓ 含報告 |
測驗部分明細
題目於各級別中的分布方式。
第 1 部分
20 題
原則與定義、適用性、條文 4.3
第 2 部分
30 題
依據條文 4、5、6、9 及 10 的管理系統要求事項(條文 4.3 除外)
第 3 部分
30 題
依據條文 7 及 8 的營運要求事項
第 1 部分
30 題
原則與定義、適用性、條文 4.3
第 2 部分
30 題
依據條文 4、5、6、9 及 10 的管理系統要求事項(條文 4.3 除外)
第 3 部分
30 題
依據條文 7 及 8 的營運要求事項
第 4 部分
30 題
六(6)個情境,每個情境五(5)題,著重於實務層面
4. A·C·C·U·R·A·T·E 理解分析
根據 ISTO 的研究並經 ISTO 技術諮詢委員會認可,對 ISO 管理系統標準的理解程度可歸納為八(8)個理解領域。
- Ac標準中與文件相關的實際(Actual)要求事項。
- Co概念(Concept)——管理系統標準所依據的管理原則。這包括標準所要求的活動順序。
- CISO 管理系統標準中特定要求事項獨一無二的條文(Clause)參照。
- U標準中未規定(Unspecified)的要求事項(一項並不存在的要求事項)。
- R標準中某項特定的要求事項(Requirement)(即要求事項的文字內容)。
- A標準的適用性(Applicability)。這包括某項要求事項的意圖,以及標準的範圍。
- T標準中使用的術語與定義(Terms and definitions)。一般而言,這些定義於各 ISO 管理系統標準的條文 3。就 ISO 9001 品質管理系統而言,術語與定義則定義於 ISO 9000 標準中。
- E標準中與文件相關的錯誤(Erroneous)要求事項。
5. 測驗說明與大綱
兩個級別,提供七種語言版本。請選擇一份文件下載。
第 1 級 — 從業人員
第 2 級 — 專業人員
6. 測驗語言提供情況
ISO/IEC 27001:2022
資訊安全管理系統
English
English
English, Español, Français, Portuguese, 中文 (HK), 中文 (PRC), 中文 (TW)
7. 資源與延伸閱讀
ISO/IEC 27001:2022 有何新變化
標準更新 · 6 分鐘
第 1 級與第 2 級:哪項測驗適合您?
指南 · 4 分鐘
解析 2024 年氣候變遷修正案
標準更新 · 5 分鐘