ISO27014- 資訊安全-評估、指導、

ISO:27000 資安國際標準參考

EDMA： Evalue,Direct,Monitor

資安如何呈現績效？

風險地圖: 資源投入

 好的！ISO/IEC 27014 是關於資訊安全治理 (Governance of Information Security) 的國際標準。它的主要目的是提供組織在評估、指導、監控和溝通組織內資訊安全相關流程的概念、目標和過程的指南。

簡單來說，ISO 27014 著重於組織如何建立和維持一個有效的資訊安全治理框架，確保資訊安全策略與組織的目標一致，並能有效地管理資訊安全風險。

以下是 ISO 27014 的主要內容和核心概念：

核心原則 (Principles of Information Security Governance):

ISO 27014 強調了資訊安全治理的六大原則：

 * 建立全組織資訊安全 (Establish organization-wide information security): 資訊安全應該是整個組織的責任，而不僅僅是 IT 部門的職責。

 * 採用基於風險的方法 (Adopt a risk-based approach): 資訊安全決策應該基於對組織資訊資產和相關風險的評估。

 * 設定投資決策的方向 (Direct investment decisions): 資訊安全投資應該與組織的業務目標和風險管理策略相一致。

 * 確保符合內部和外部要求 (Ensure conformance with internal and external requirements): 組織需要遵守相關的法律法規、合約義務和內部政策。

 * 促進積極的資訊安全環境 (Promote a positive information security environment): 組織應該建立一種重視資訊安全的文化，提高員工的資訊安全意識。

 * 監控並評估資訊安全績效 (Review information security performance in relation to business outcomes): 組織需要建立機制來監控和評估資訊安全措施的有效性，並根據業務成果進行調整。

核心流程 (Processes of Information Security Governance):

為了實現上述原則，ISO 27014 定義了五個核心流程 (EDMCA 模型)：

 * 評估 (Evaluate): 評估組織的資訊安全需求、風險和當前狀態。這包括了解內外部環境、識別利害關係人及其需求、以及進行風險評估。

 * 指導 (Direct): 制定資訊安全策略、目標和方向，並分配相關的責任和權限。這包括制定政策、流程和控制措施，以及確保資源的有效分配。

 * 監控 (Monitor): 監控資訊安全措施的實施和有效性，並評估其是否符合既定的目標和策略。這包括收集和分析資訊安全績效數據，以及進行內部和外部稽核。

 * 溝通 (Communicate): 與組織內外的相關方溝通資訊安全治理的相關資訊，包括策略、目標、績效和風險。有效的溝通有助於提高意識和促進合作。

 * 保證 (Assure): 提供對資訊安全治理和管理體系有效性的保證。這可能涉及獨立的評估和稽核，以確保資訊安全措施能夠達成預期的結果。

目標受眾:

ISO 27014 主要適用於以下人員：

 * 負責組織資訊安全治理的最高管理層和治理機構。

 * 負責評估、指導和監控基於 ISO/IEC 27001 的資訊安全管理系統 (ISMS) 的人員。

 * 負責在治理範圍內但超出 ISMS 範圍的資訊安全管理的人員。

 * 所有類型和規模的組織。

總結來說，ISO 27014 提供了一個高層次的框架，幫助組織建立健全的資訊安全治理體系，確保資訊安全與業務目標協調一致，並有效地管理資訊安全風險。它強調了組織領導者的責任，以及將資訊安全融入到組織的整體管理和決策過程中的重要性。

希望這些資訊對您有幫助！