【正文】 ISO27001:2023 信息安全管理系統(tǒng) 主導稽核員教材 課程大綱 ? ISO27001:2023法規(guī)說明 ?附錄 A控制措施簡介 ?資產(chǎn)評估 ?風險評鑒 ?風險處理 ?適用性聲明書 ?稽核 ISO27001:2023法規(guī)說明 ISMS標準 /指南 ISO27001 serial (2023~) 2023 2023~2023 Before 2023 信息安全 管理系統(tǒng)要求 ISO27001 ISO27001:2023 (BS77992:2023) BS77992:2023 BS77992:1999 信息安全 管理作業(yè)要點 ISO27002 (after April 2023) ISO17799:2023 (BS77991:2023) ISO17799:2023 BS77991:1999 ISO27001:2023法規(guī)說明 ? BS7799：分為 BS77991和 BS77992兩部份 ? BS77991:2023 / ISO17799:2023 主要是做為參考文件，提供廣泛性的安全控制措施，作為現(xiàn)行信息安全之最佳作業(yè)方法，其中包含 11個控制措施章節(jié)，但不作為評鑒與驗證標準。 ? BS77992:2023 / ISO27001:2023 系根據(jù) BS77991，提供信息安全管理系統(tǒng) (ISMS)之建立實施與書面化之具體要求，依據(jù)個別組織的需求，規(guī)定要實施之安全控制措施的要求。 ISO27001:2023法規(guī)說明 ? BS77991:2023 / ISO17799:2023 ?信息安全管理作業(yè)要點 ?用意是做為參考文件 ?提供廣泛性的安全控制措施 ?現(xiàn)行信息安全之最佳作業(yè)方法 ?包含 11個控制章節(jié) ?無法作為評鑒與驗證 ISO27001:2023法規(guī)說明 ? BS77992:2023 / ISO27001:2023 ?信息安全管理系統(tǒng)要求 ?根據(jù) BS77991:2023 ?ISMS之建立實施與文件化之具體要求 ?依據(jù)個別組織的需求，規(guī)定要實施之安全控制措施的要求。 ISO27001:2023法規(guī)說明 ?信息是一種資產(chǎn)，就像其它重要的企業(yè)資產(chǎn)依樣，對組織具有價值，因此需要受到適當?shù)谋Ｗo。 ISO27001:2023法規(guī)說明 ? 信息的類型 ?書寫或打印于紙上 ?儲存在電子媒體上 ?以郵寄或電子儲存媒體傳輸 ?顯示于企業(yè)影片上 ?言語 在對話中提出 ?不管信息的形式是什么，或者共享或儲存的方式是什么，都應該受到適當?shù)谋Ｗo。 ISO27001:2023法規(guī)說明 ?信息安全 ?保護信息的機密性、完整性與可用性；另外，亦可包含如可鑒別性 (真實性 )、可歸責性、不可否認性及可靠性等特性 。 ISO27001:2023法規(guī)說明 ?機密性 (Confidentiality) ?信息不可被未經(jīng)授權(quán)之個人、實體、流程所取得或揭露之特性。 ?完整性 (Integrity) ?保護資產(chǎn)準確性和完整性之特性。 ?可用性 (Avaliability) ?基于需要可由授權(quán)者存取及使用之特性。 ISO27001:2023法規(guī)說明 ? 關(guān)鍵的成功因素 (Critical success factors) 經(jīng)驗顯示，組織的信息安全能否成功實施，下列常為關(guān)鍵因素： ? 能反映營運目標的信息安全政策、目標及活動。 ? 與組織文化一致之實施、維護、監(jiān)控、及改進信息安全的方法與框架。 ? 來自所有管理階層的實際支持和承諾。 ? 對信息安全要求、風險評鑒以及風險管理的深入了解。 ? 向全體管理人員、受雇人員、及相關(guān)人員有效推廣信息安全以達到認知。 ? 資助信息安全管理活動。 ? 提供適切的認知、訓練及教育。 ? 制定有效的信息安全事故管理過程。 ? 實施ㄧ個用于評估 ISMS的績效及改進的回饋建議之量測系統(tǒng)。 ISO27001:2023法規(guī)說明 4. Information security management system ? 一般要求 組織 應在整體業(yè)務(wù)活動與所面臨風險下建立、實施、操作、監(jiān)控、審查、維護及改進一文件化ISMS，為本國際標準之目的，所採用之過程以下圖所示之 PDCA模式為基礎(chǔ)。 security management system 資訊安全管理系統(tǒng)之建立及管理 ? 建立資訊安全管理系統(tǒng) 組織應： ? 依據(jù)業(yè)務(wù)、組織、所在位置、資產(chǎn)及技術(shù)等特性，定義資訊安全管理系統(tǒng)之 範圍及界限 ，並包括任何自範圍排除之細節(jié)及理由。 ? 依據(jù)業(yè)務(wù)、組織、所在位置、資產(chǎn)及技術(shù)等特性，定義資訊安全管理系統(tǒng)之政策，且： ? 包含設(shè)定目標之框架，並建立有關(guān)資訊安全之整體方向亦是與行動原則。 ? 考慮企業(yè)及法律或法規(guī)要求，以及合約性的安全責任。 ? 與組織策略性之風險管理內(nèi)容配合，使 ISMS得以建立及維持。 ? 建立評估風險之標準，及被管理階層核準。 資訊安全管理系統(tǒng)之建立及管理 ? 定義組織之風險評鑑辦法 ? 鑑別一風險評鑑方法論，並適合其 ISMS、已鑑別之企業(yè)資訊安全、以及法律與法規(guī)要求。 ? 發(fā)展可接受風險之標準以及鑑別風險至可接受的程度。 所選擇之風險評鑑方法論應確保產(chǎn)出可比較及可重複之結(jié)果 。 ? 鑑別各項風險 ? 鑑別 ISMS控制範圍內(nèi)之資產(chǎn)以及該資產(chǎn)之 擁有者 (owner)。 擁有者 (owner)一詞係指已核準資產(chǎn)管理責任之個人或?qū)嶓w，針對資產(chǎn)之生產(chǎn)、開發(fā)、維護、使用及安全之管制。擁有者(owner)一詞並不是指實際具有資產(chǎn)產(chǎn)權(quán)之人員。 資訊安全管理系統(tǒng)之建立及管理 ? 分析及評估各項風險 ? 鑑別並評估風險處理之選項方法 ? 選擇控制目標及控制措施以處理風險： ? 應選擇並實施控制目標與控制措施 ，以符合風險評鑑與風險處理過程所鑑別之要求。 ? 控制目標與控制措施應於本標準之附錄 A中加以選擇，為此過程的一部份並適當滿足所鑑別之要求。 資訊安全管理系統(tǒng)之建立及管理 ? 所提出之殘餘風險頇取得 管理階層 之核準 ? ISMS亦 頇獲得授權(quán) 才能實施與操作 ? 擬訂一份適用性聲明書，頇包括下列： ? 於 ，其選擇之理由。 ? 現(xiàn)行已實施之控制目標與控制措施。 ? 附錄 A中任何排除之控制目標與控制措施，及其排除之正當理由。 資訊安全管理系統(tǒng)之建立及管理 ? 資訊安全管理系統(tǒng)之實施與操作 組織應 ? 有系統(tǒng)的陳述一項 風險處理計畫 以鑑別適當管理措施、資源、權(quán)責及優(yōu)先順序，以便管理資訊安全風險。 ? 實施風險處理計畫，以達到所鑑別的安全目標，計畫內(nèi)容包括投資的考慮以及角色與責任的分派。 ? 實施 。 ? 定義如何測量所選擇控制措施或控制措施群組織有效，及具體說明如何使用這些測量來評估控制措施之有效性，並產(chǎn)出可比較即可再現(xiàn)的結(jié)果。 ? 實施訓練與認知計畫。 ? 管理 ISMS作業(yè)。 ? 管理 ISMS資源。 ? 實施能即時偵知安全事故，並予以回應安全事件處理之作業(yè)程序及其他控制措施。 資訊安全管理系統(tǒng)之建立及管理 ? 資訊安全管理系統(tǒng)之監(jiān)控及審查 ? 執(zhí)行監(jiān)控與審查程序及其他控制措施，以便： ? 立即偵知系統(tǒng)處理結(jié)果之錯誤。 ? 立即鑑別企圖及已成功之安全破壞及事故。 ? 促使管理階層決定是否委託他人或藉由資訊技術(shù)之實施均已如預期般實行。 ? 使用指標幫助偵測安全事件並防止安全事故。 ? 決定所採取解決安全漏洞之措施是否有效。 ? 定期審查 ISMS之有效性 (包含符合 ISMS政策、目標及控制措施之審查 )，並考慮來自安全稽核、事件、來自有效性量測之結(jié)果、股東及利害關(guān)係團體之建議及回饋之結(jié)果。 ? 測量控制措施有效性，以確認符合安全要求。 資訊安全管理系統(tǒng)之建立及管理 ? 在規(guī)劃期間審查風險評鑑及審查殘餘風險，與鑑別之可接受風險等級，並考慮下列之變數(shù)： ? 組織 ? 技術(shù) ? 企業(yè)目標及過程 ? 已鑑別之威脅 ? 控制措施實施有效性 ? 外部事件，例如法律或法規(guī)環(huán)境之變化、合約責任之變化，以及社會環(huán)境之變化。 ? 在規(guī)劃期間執(zhí)行內(nèi)部 ISMS稽核 內(nèi)部 ISMS稽核有時稱為第一方稽核，是由組織自己或其代表基於內(nèi)部目的所實施。 資訊安全管理系統(tǒng)之建立及管理 ? 定期執(zhí)行 ISMS管理階層審查，以確保範圍保持適當，及 ISMS過程之各項改進均已鑑別。 ? 考量監(jiān)控與審查活動之發(fā)現(xiàn)，更新安全計畫。 ? 紀錄對 ISMS之有效性或績效有衝擊之活動與事件。 資訊安全管理系統(tǒng)之建立及管理 ? 維持及改進資訊安全管理系統(tǒng) 組織應定期進行下述： ? 實施 ISMS所鑑定之 改進活動 。 ? 依據(jù)第 。採用從其他組織及本身之安全經(jīng)驗吸取教訓。 ? 以適切於情況的詳盡程度與所有利害相關(guān)團體就各項措施及改進活動進行溝通，並在適當時取得進行方式的同意。 ? 確保各項改進措施達到預期目標。 文件要求 ? 一般要求 文件應包括管理決策紀錄，確保相關(guān)活動可追溯至管理決策與政策，並確保所紀錄之結(jié)果是可再現(xiàn)的。重要的是能夠證明所選擇之控制措施回溯至風險評鑑