當代社會科技發展迅速，讓人們享受到前所未有的便利，但資安風險也隨之增加。供應鏈攻擊、個人資料保護等議題也已經受到重視，資訊安全的重要性不言而喻，企業應該採取相應的措施保障企業資訊安全。ISO27001是建立資安管理制度的國際標準。許多單位已依此標準建立資訊安全管理制度。該標準在2022年更新版本，因應當前資安趨勢從原本 14 個領域 114 個控制措施，調整成為人員、組織、實體，技術等4個構面，93 個控制措施，除了將控制項目做了調整、修改或合併之外，並有新增11個控制項目。本文針對已獲得ISO27001:2013認證，而需要進行ISO27001:2022改版的單位。為了讓這些單位了解如何有效率地以最少的時間和公司成本完成轉版認證，並符合當地政府要求。本研究以新增控制項目為研究主題，用AHP層級分析法設計問卷訪問專家，並找出新增控制項目最佳導入程序，將結果建議給有轉版需求的企業該如何以最有效率的方式完成新增控制項目達到轉版要求。

As people enjoy convenience of information technologies, they also face information security risks. Recently, organizations are requested to establish information security management systems to enforce information security. In this case, organizations usually follow ISO27001 to establish their information security management system. The standard of ISO 27001 was updated in 2022. This study focuses on the organizations follow the 2013 version of ISO 27001 and wish to change their management systems to comply with the 2022 version. The ISO 27001 standard contains many recommended control measures. From the 2013 edition of ISO 27001 to the 2022 edition, one of the amendments is the adjustment of control measures. The 2022 edition of ISO 27001 has added 11 new control measures, and organizations aiming to comply with this standard need to incorporate procedures according to these 11 measures. Organizations have limited resources, so it's essential to allocate resources to the most critical control measures first. This study focuses on the new control items and uses the AHP hierarchical analysis method to design questionnaires for expert interviews. The study aims to find out the best introduction procedure for the new control items and provide suggestions for enterprises that need to do a version transfer on how to complete the new control items efficiently and effectively.

1.CIO Taiwan 編輯. (2022年11月7日). 睽違9年ISO27001轉版，保華資安首曝光轉版重點，這些禁忌不要犯! 擷取自 CIO Taiwan 網站: https://www.cio.com.tw/after-a-9-year-iso27001-version-the-first-exposure-of-the-bulgarian-capital-is-to-focus-on-the-release-and-these-taboos-are-not-to-be-made/
2.CIO.Taiwan. (2023年1月4日). 2023 CIO大調查報告. 擷取自 CIO Taiwan 網站: https://www.cio.com.tw/2023-cio-report-download/
3.IAF 技術委員會. (2023). 國際認證論壇對 ISO/IEC 27001:2022 轉版要求之強制文件. 財團法人全國認證基金會.
4.International Organization for Standardization. (2013). Information technology - Security techniques - Information security management systems—Requirements (ISO Standard No. 27001:2013). International Organization for Standardization;.
5.International Organization for Standardization. (2022). Information security, cybersecurity and privacy protection – Information security management systems – Requirements. Retrieved from https://www.iso.org/standard/27001
6.Leavitt, H. (1965). Applied organizational change in industry: Structural, technological and humanistic approaches.
7.Miller, G. A. (1956). The magical number seven, plus or minus two: Some limits on our capacity for processing information. Psychological Review, 63(2), pp. 81-97.
8.Rose, S., Borchert, O., Mitchell, S., & Connelly, S. (2020, 8). Zero trust architecture. NIST Special Publication(800-207). Retrieved from https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207.pdf
9.Saaty, T. L. (1980). The Analytic Hierarchy Process. Agricultural Economics Review(70), p. 34.
10.Saaty, T. L. (1990). Decision Making for Leaders: The Analytic Hierarchy Process for Decisions in a Complex World. RWS Publications.
11.SGS. (2023). ISO/IEC 27001:2022 轉版步驟. 擷取自 SGS網站: https://twap.sgs.com/trainsys/data/ISO%2027001%20轉版流程.pdf
12.TechNews. (2022年3月14日). 歐美企業無不注重的供應鏈安全，台灣TÜViT 顧問服務如何助台廠做好準備？. 擷取自 科技新報: https://technews.tw/2022/03/14/tuvit-service-cyber-security/
13.TofflerAlvin. (1970). Future Shock. Random House.
14.TSMC官網. (2023). 資訊安全. 擷取自 台灣積體電路股份有限公司 網站: https://investor.tsmc.com/chinese/information-security
15.UPAS優倍司. (2021年6月4日). 內網安全，盡在掌握. 擷取自 Medium網站: https://medium.com/upas/全面解析iso-27001資訊安全管理系統-3f0441f3ce40
16.Webcomm. (2021年3月31日). 新世代資安概念：零信任安全模型介紹(Zero Trust). 擷取自 偉康科技: https://www.webcomm.com.tw/blog/zero-trust-security-model/
17.王宏仁. (2018年8月10日). 深度剖析台積產線中毒大當機始末（上）. 擷取自 iThome 網站: https://www.ithome.com.tw/news/125098
18.王宏仁. (2018年8月10日). 深度剖析台積產線中毒大當機始末（下）. 擷取自 iThome 網站: https://www.ithome.com.tw/news/125101
19.多位作者. (2023年4月21日). 資訊及通訊科技. 擷取自 維基百科 網站: https://zh.wikipedia.org/wiki/信息及通信技术
20.行政院. (2021). 資通安全管理法及子法彙編.
21.行政院數位發展部. (2018). 資通安全法規彙編. 擷取自 https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030297
22.吳其勳. (2013年11月27日). 政府公開資安稽核是好的開始. 擷取自 iThome網站: https://www.ithome.com.tw/voice/84005
23.李宗南. (2022年3月29日). 漫談製造資安. 擷取自 台灣雲端物聯網產業協會: http://www.twcloud.org.tw/xmdoc/cont?xsmsid=0I249594489957008833&q=技術專家&sid=0M088597565639896893
24.周旺瑩. (2021). AHP和TOPSIS方法在選擇隱私控制措施的應用－以臺灣金融機構為例.
25.林育震. (2012年2月6日). 回歸資安本質 打造安全雲端運算. 擷取自 網管人 網站: https://www.netadmin.com.tw/netadmin/zh-tw/feature/7FCAF308DD8849D4B54C195E20F7D4C6
26.林裕洋. (2023年3月1日). 金融及服務業 IT 投資重點. 擷取自 CIO Taiwan 網站: https://www.cio.com.tw/focus-on-it-investment-in-finance-and-services/
27.林裕洋. (2023年3月1日). 製造業 IT 投資重點. 擷取自 CIO Taiwan 網站: https://www.cio.com.tw/manufacturing-it-investment-focus/
28.華航. (2023). 認驗證資訊. 擷取自 中華航空 網站: https://calec.china-airlines.com/csr/certification.html
29.黃彥棻. (2023年1月13日). 國外論壇公開華航會員資料，外洩名單包含賴清德、張忠謀和林志玲. 擷取自 iThome 網站: https://www.ithome.com.tw/news/155167
30.經濟部. (2023). 資訊安全、網宇安全及隱私保護- 資訊安全控制措施.
31.經濟部. (2023). 資訊安全、網宇安全及隱私保護- 資訊安全控制措施, 經濟部標準檢驗局，CNS 27002.
32.經濟部. (n.d.). 供應鏈資訊安全管理強化教戰手冊. 擷取自 https://www.acw.org.tw/UpFiles/供應鏈資訊安全強化_教戰手則.pdf
33.經濟部標準檢驗局. (2023). 資訊安全、網宇安全及隱私保護－資訊安全管理系統－要求事項.
34.榮泰生. (2023). Expert Choice在分析層級程序法(AHP)之應用(第二版). 五南出版社.
35.劉煥彥. (2021年12月28日). 台積電三天痛失26億元的教訓！ 如何從機台中毒慘劇　變成全球半導體設備資安標準的總司令？. 擷取自 今周刊 網站: https://www.businesstoday.com.tw/article/category/183015/post/202112280038/
36.編輯部. (2007年1月30日). 資訊管理. 擷取自 經理人月刊: https://www.managertoday.com.tw/articles/view/821
37.羅正漢. (2022年8月2日). ZTA 101. 擷取自 iThome網站: https://www.ithome.com.tw/tech/152241
38.羅正漢. (2023年2月6日). iRent資料庫暴露於公開網路不設防，引發大眾關注，配置錯誤問題應受更多重視. 擷取自 iThome 網站: https://www.ithome.com.tw/news/155392