ISO 27001:2013 的風險評鑑，更多地參考了 ISO 31000 有關風險管理的作法。

如果你是要引入跟建立 ISO 27001:2013，則風險評鑑的建立可以參考 ISO 31000 的作法；如果是轉版的話，也要看你的組織內對於風險評鑑方法的態度，是否要大加改革？或是沿用原先2005的風險評鑑方式(以資訊資產的風險為討論基礎)？ 閱讀全文 →

所謂定期追查，就是外部稽核單位 (eg SGS、BSI 等) 定期來做追查

此時必須特別注意，請務必針對上次開立的缺失進行補強工作，所有上次提出的矯正計畫，都必須確實完成，相關紀錄也都需文件化，除非你能夠說服稽核員你採用了一個新計畫，而且新計畫比舊計畫更好。 閱讀全文 →

主條文 7.4 要求組織必須針對溝通傳達這件事情下功夫，7.4是一個總體的要求，但除此之外，其他像主條文 5.3、6.2以及控制項A5.1、A7.2.3、A7.3 等部分，都有提到，要求組織要針對這些部份去訂出溝通傳達的辦法。 閱讀全文 →

10 年前，智慧型的行動裝置還沒有如此的普遍，因此當時以行動裝置來操縱各種資訊行為還不是主流，也就沒有對行動裝置相關規範做一定程度的要求

閱讀全文 →

所謂專案，就是特定的一段時間內，以特定的資源(包含人力)去完成的一或多項任務，即為專案。

當然，若過評估，確認組織不會以專案型態運作，請自行在適用性聲明書中排除之。

閱讀全文 →

主條文 6.2 要求組織必須要設定資安目標，還要訂定待辦事項、量測方法等等細節，來確保資安目標確實有被達成。 閱讀全文 →

因應主條文 9.1

閱讀全文 →

需針對組織的全景做通盤考量

不一定要納入表單，但是要有考量、列舉以及討論的結果呈現出來 閱讀全文 →

ISO 27001 有所謂的主條文 跟 Annex (控制項)

閱讀全文 →

觀念或許不盡正確，此系列轉版筆記僅為實作過程中個人的理解，提供大家參考

閱讀全文 →