【正文】 上 ?言語 在對話中提出 ?不管信息的形式是什么，或者共享或儲(chǔ)存的方式是什么，都應(yīng)該受到適當(dāng)?shù)谋Ｗo(hù)。 ?可用性 (Avaliability) ?基于需要可由授權(quán)者存取及使用之特性。 ? 對信息安全要求、風(fēng)險(xiǎn)評(píng)鑒以及風(fēng)險(xiǎn)管理的深入了解。 ? 制定有效的信息安全事故管理過程。 ? 依據(jù)業(yè)務(wù)、組織、所在位置、資產(chǎn)及技術(shù)等特性，定義資訊安全管理系統(tǒng)之政策，且： ? 包含設(shè)定目標(biāo)之框架，並建立有關(guān)資訊安全之整體方向亦是與行動(dòng)原則。 資訊安全管理系統(tǒng)之建立及管理 ? 定義組織之風(fēng)險(xiǎn)評(píng)鑑辦法 ? 鑑別一風(fēng)險(xiǎn)評(píng)鑑方法論，並適合其 ISMS、已鑑別之企業(yè)資訊安全、以及法律與法規(guī)要求。 擁有者 (owner)一詞係指已核準(zhǔn)資產(chǎn)管理責(zé)任之個(gè)人或?qū)嶓w，針對資產(chǎn)之生產(chǎn)、開發(fā)、維護(hù)、使用及安全之管制。 資訊安全管理系統(tǒng)之建立及管理 ? 所提出之殘餘風(fēng)險(xiǎn)頇取得 管理階層 之核準(zhǔn) ? ISMS亦 頇獲得授權(quán) 才能實(shí)施與操作 ? 擬訂一份適用性聲明書，頇包括下列： ? 於 ，其選擇之理由。 ? 實(shí)施風(fēng)險(xiǎn)處理計(jì)畫，以達(dá)到所鑑別的安全目標(biāo)，計(jì)畫內(nèi)容包括投資的考慮以及角色與責(zé)任的分派。 ? 管理 ISMS作業(yè)。 ? 立即鑑別企圖及已成功之安全破壞及事故。 ? 定期審查 ISMS之有效性 (包含符合 ISMS政策、目標(biāo)及控制措施之審查 )，並考慮來自安全稽核、事件、來自有效性量測之結(jié)果、股東及利害關(guān)係團(tuán)體之建議及回饋之結(jié)果。 資訊安全管理系統(tǒng)之建立及管理 ? 定期執(zhí)行 ISMS管理階層審查，以確保範(fàn)圍保持適當(dāng)，及 ISMS過程之各項(xiàng)改進(jìn)均已鑑別。 ? 依據(jù)第 。 文件要求 ? 一般要求 文件應(yīng)包括管理決策紀(jì)錄，確保相關(guān)活動(dòng)可追溯至管理決策與政策，並確保所紀(jì)錄之結(jié)果是可再現(xiàn)的。 ? 適用性聲明書。 文件要求 ? Level 3– 工作指導(dǎo)書、檢查清單、表格等 解釋特殊工作和活動(dòng)的細(xì)節(jié)，以及如何完成特定的工作。例如：機(jī)房訪客登記簿、稽核記錄和存取授權(quán) …等。 ? 確保文件之變更與最新改訂狀況已予以識(shí)別。 ? 確保外來原始文件已加以識(shí)別。 文件要求 ? 紀(jì)錄管制 ? 為提供 ISMS符合要求及有效運(yùn)作之證據(jù)，所建立並維持之紀(jì)錄，應(yīng)予以保護(hù)級(jí)管制。 所需之紀(jì)錄及其範(fàn)圍應(yīng)由管理過程加以決定。 ? 為資訊安全建立角色與權(quán)責(zé)。 ? 確保實(shí)施內(nèi)部 ISMS稽核 。 ? 藉由修改所有實(shí)行的控制措施，來維持適當(dāng)?shù)陌踩? ? 維持教育、訓(xùn)練、技巧、經(jīng)驗(yàn)及資格之紀(jì)錄。 稽核人員的選擇與稽核的執(zhí)行應(yīng)確?；诉^程的客觀及公平。 ? 被稽核區(qū)域管理階層之責(zé)任，應(yīng)確保採行措施沒有不當(dāng)之延誤，以消除所發(fā)現(xiàn)之不符合與其原因。 審查結(jié)果應(yīng)予以清楚的文件化，紀(jì)錄應(yīng)予以維持。 ? 預(yù)防與矯正措施之狀況。 ? 可能影響 ISMS之任何變更。 ? 未因應(yīng)可能影響 ISMS之內(nèi)部或外部事件，必要時(shí)將影響資訊安全之程序及控制措施予以修訂，包括 ? 營運(yùn)需求 ? 安全需求 ? 影響既有營運(yùn)需求之營運(yùn)過程 ? 法令或法規(guī)要求 ? 合約責(zé)任 ? 風(fēng)險(xiǎn)等級(jí)風(fēng)險(xiǎn)可接受程度之標(biāo)準(zhǔn) ? 資源需求。所採取之預(yù)防措施應(yīng)與潛在問題之影響相稱。 ? 紀(jì)錄所採取措施之結(jié)果。 課程大綱 ? ISO27001:2023法規(guī)說明 ? 附錄 A控制措施簡介 ? 資產(chǎn)評(píng)估 ? 風(fēng)險(xiǎn)評(píng)鑑 ? 風(fēng)險(xiǎn)處理 ? 適用性聲明書 ? 稽核 ISO27001:2023(BS77992:2023) 控制措施 ISO27001:2023(BS77992:2023) 控制措施 ISO27001:2023(BS77992:2023) 控制措施 ISO27001:2023(BS77992:2023) 控制措施 ISO27001:2023(BS77992:2023) 控制措施 ISO27001:2023(BS77992:2023) 控制措施 ISO27001:2023(BS77992:2023) 控制措施 ISO27001:2023(BS77992:2023) 控制措施 ISO27001:2023(BS77992:2023) 控制措施 ISO27001:2023(BS77992:2023) 控制措施 ISO27001:2023(BS77992:2023) 控制措施 ISO27001:2023(BS77992:2023) 控制措施 ISO27001:2023(BS77992:2023) 控制措施 ISO27001:2023(BS77992:2023) 控制措施 ISO27001:2023(BS77992:2023) 控制措施 ISO27001:2023(BS77992:2023) 控制措施 ISO27001:2023(BS77992:2023) 控制措施 ? 不是所有的控制措施都與每種情況相關(guān)，也無法考量到所有的當(dāng)?shù)丨h(huán)境或技術(shù)限制，或以適合組織內(nèi)每位潛在使用者形式呈現(xiàn)。 必頇是 相關(guān)於 ISMS的範(fàn)圍 。 ? 實(shí)體資產(chǎn) ─ 如電腦、磁碟片等。 資產(chǎn)評(píng)估 ? 資產(chǎn)價(jià)值 ? 對於 BS7799:2023/ISO27001:2023來說，資產(chǎn)並不一定包括組織內(nèi)一般視為有價(jià)值的所有事物。 ? 評(píng)鑑風(fēng)險(xiǎn) 資訊保護(hù)是基於防範(fàn)營運(yùn)資訊之風(fēng)險(xiǎn)，此為本國際標(biāo)準(zhǔn)的基礎(chǔ)，使組織能夠採取適當(dāng)?shù)陌踩刂拼胧?[ D] ? 現(xiàn)在風(fēng)險(xiǎn)評(píng)鑑規(guī)定必頇有計(jì)畫地定期進(jìn)行審查，並且讓管理階層審查更新的風(fēng)險(xiǎn)評(píng)鑑與風(fēng)險(xiǎn)處理計(jì)畫。 ? 鑑別資產(chǎn)的相關(guān)威脅和評(píng)鑑它們的可能性。 風(fēng)險(xiǎn)評(píng)鑑 ? 威脅 ? 宣告意圖造成損害、痛苦或不幸。 風(fēng)險(xiǎn)評(píng)鑑 ? 威脅 ? 天災(zāi) ─ 洪水、暴風(fēng)、地震和閃電等。 ? 脆弱性本身並不會(huì)造成傷害，而是可能允許威脅影響資產(chǎn)的一種或多種情況。 風(fēng)險(xiǎn)處理 ? 風(fēng)險(xiǎn)處理 ─方向 ? 避免風(fēng)險(xiǎn) ? 降低風(fēng)險(xiǎn)到可接受程度 ? 轉(zhuǎn)移風(fēng)險(xiǎn) ? 接受剩餘的風(fēng)險(xiǎn) 風(fēng)險(xiǎn)處理 ? 可接受風(fēng)險(xiǎn)的等級(jí) ? 要達(dá)到完全的風(fēng)險(xiǎn)是不可能的。 ? 對已存在之安全控制措施的審查。 ? 用控制措施的成本是否會(huì)超過資產(chǎn)本身的價(jià)值？ ? 也許必頇選擇”最佳價(jià)值”範(fàn)圍內(nèi)的控制措施。 風(fēng)險(xiǎn)處理 ? 風(fēng)險(xiǎn)評(píng)鑑過程 ? 資產(chǎn)鑑別與價(jià)值評(píng)估 ? 威脅的鑑別 ? 脆弱性的鑑別 ? 衝擊的評(píng)估 ? 營運(yùn)風(fēng)險(xiǎn) ? 風(fēng)險(xiǎn)的分級(jí) ? 風(fēng)險(xiǎn)管理過程 ? 現(xiàn)有的安全控制措施審查 ? 新安全控制措施的鑑別 ? 政策與程序 ? 實(shí)施與風(fēng)險(xiǎn)降低 ? 風(fēng)險(xiǎn)可接受度 (殘餘風(fēng)險(xiǎn) ) 課程大綱 ? ISO27001:2023法規(guī)說明 ? 附錄 A控制措施簡介 ? 資產(chǎn)評(píng)估 ? 風(fēng)險(xiǎn)評(píng)鑑 ? 風(fēng)險(xiǎn)處理 ? 適用性聲明 ? 稽核 適用性聲明 ? 是組織選擇適合其企業(yè)營運(yùn)需求的目標(biāo)與控制措施評(píng)論。 適用性聲明 ? 適合其企業(yè)需求的目標(biāo)與控制措施評(píng)論。 ? 其它 課程大綱 ? ISO27001:2023法規(guī)說明 ? 附錄 A控制措施簡介 ? 資產(chǎn)評(píng)估 ? 風(fēng)險(xiǎn)評(píng)鑑 ? 風(fēng)險(xiǎn)處理 ? 適用性聲明 ? 稽核 稽核 ? 至少需執(zhí)行兩個(gè)階段而且都頇見別隊(duì) BS77992和ISO27001:2023的符合性。 稽核階段 1 ─ 文件審查 ? 主要活動(dòng) ? 審查 ISMS管理架構(gòu) ? 確定 ISMS範(fàn)圍 ? 風(fēng)險(xiǎn)評(píng)鑑和管理 ? 適用性聲明 ? 安全政策和支援的關(guān)鍵程序 ? 發(fā)現(xiàn)結(jié)果的正式報(bào)告 ? 對組織解釋階段 2 稽核階段 2 ─ 實(shí)施稽核 ? 目標(biāo) ? 證明組織遵守本身的政策、目標(biāo)和程序。 ? 第二方稽核員 ─有從屬關(guān)係之組織。 ? 客戶 (Client) 被稽核的組織。 ? 每個(gè)活動(dòng)的稽核應(yīng)該要包括適當(dāng)?shù)?BS7799從屬條款，包括附錄 A。 ? 稽核必頇被計(jì)畫，以縮小對營運(yùn)的干擾。 ? 給予高風(fēng)險(xiǎn)區(qū)域優(yōu)先權(quán)。 ? 必頇代表活動(dòng)的稽核。 ? 責(zé)任在控制全部區(qū)域的被稽核方。 ? 運(yùn)用這些問題和安全手冊 ─ ?計(jì)畫查看什麼和尋找的證據(jù) ?考慮抽樣大小 ? 準(zhǔn)備檢查表 稽核檢查表 ? 稽核檢查表的準(zhǔn)備。 ? 檢查表不應(yīng)有“是”或“否”的答案。 ? 被稽核方應(yīng)不要因?yàn)閱栴}種類而感到威脅。 ? 封閉式 ─ 這些問題應(yīng)該誘出示或不是的答案。 稽核面談 ? 使用溝通技巧 ? 使用適當(dāng)?shù)姆Q呼和語言，如：資深主管、技術(shù)人員。 ? 直接與安全政策相關(guān) ? 違反資訊管理安全標(biāo)準(zhǔn) ? 違反系統(tǒng)程序或工作指示 ? 違反法律上的要求 次要 (輕微 )不符合事項(xiàng) ? 定義 在一個(gè)隔離的情形中，有一些適用控制措施的要求方面沒有被滿足，因此產(chǎn)生一些關(guān)於對保護(hù)敏感資料的機(jī)密性、完整性和可用性測量之適當(dāng)性的質(zhì)疑。 也是指整個(gè)系統(tǒng)控制措施或程序的失效。 ? 極高數(shù)量的不符合事項(xiàng)集中在標(biāo)準(zhǔn)中某一要素或是部門。 因 Fred在第一次的設(shè)定後已歷經(jīng) 18個(gè)月仍是有效。 ? 部分的再稽核 ─ 主要不符合事項(xiàng)在某一區(qū)域找到，但系統(tǒng)的其它部