【正文】 進(jìn)人員認(rèn)知、參與和動機(jī) ? 提供持續(xù)改進(jìn)的機(jī)會 ? 改善客戶信心和滿意度 ? 改進(jìn)運(yùn)作的表現(xiàn) 稽核目標(biāo) ? 審查安全系統(tǒng)對 BS7799的符合性 ? 審查 BS7799的實(shí)施程度 ? 審查系統(tǒng)的有效性和適切性，以符合安全政策和目標(biāo) ? 鑑別安全漏洞和弱點(diǎn) ? 提供改進(jìn) ISMS的機(jī)會 ? 符合合約和法規(guī)的要求 ? 驗(yàn)證需求 驗(yàn)證流程 ? 詢問 ? 申請 ? 預(yù)評 (選擇性的 ) ? 文件審查 (階段 1) ? 六週為最大的間隔 (UKAS) ? 階段 2的正式評鑑 ? 頒發(fā)證書 ? 持續(xù)評鑑 ? 每三年部份階段 1和全部的階段 2審查 (UKAS) 稽核生命週期 ? 稽核的生命週期通常稱為 Planning 計(jì)畫 Execution 執(zhí)行 Recording 紀(jì)錄 Close out 結(jié)案 稽核計(jì)劃 考量點(diǎn)有： ? 組織的大小和性質(zhì) ? 員工數(shù)量 ? 系統(tǒng)複雜度 ?ISMS的範(fàn)圍 ? 涉及的地點(diǎn)和數(shù)目 ? 資訊類型 ─ 文件或電子的 ? 文化 ? 語言 稽核計(jì)劃 準(zhǔn)備流程： ? 決定目標(biāo) ? 決定稽核的持續(xù)時間和所需資源 ? 選擇小組 ? 與被稽核者聯(lián)絡(luò) ─同意稽核日期 ? 貣草一份稽核計(jì)畫 ? 簡報(bào)小組 ? 準(zhǔn)備檢查表 ? 鑑別特殊的要求 稽核計(jì)劃 ? BS7799稽核應(yīng)該被計(jì)畫和處理，根據(jù)風(fēng)險評鑑的結(jié)果和適用性聲明中鑑別的控制措施。 稽核專有名詞解釋 ? 稽核員 (Auditor) 一個有資格去執(zhí)行安全稽核的人。 ? 測詴 ISMS的有效性。 ? 稽核階段 2 ─ 實(shí)施稽核 在現(xiàn)場進(jìn)行，對政策、程序、和目標(biāo)的有效性進(jìn)行審查。 ? 技術(shù)，有些措施是技術(shù)上不可行的。 ? 聲明是展示組織如何控制風(fēng)險的文件，應(yīng)該沒有太多的細(xì)節(jié)能夠讓想要破壞安全的人取得寶貴的資訊。 ? 在規(guī)劃期間審查風(fēng)險評鑑及審查剩餘風(fēng)險與鑑別之可接受風(fēng)險等級，以考慮控制措施實(shí)施有效性之變化。 ? 導(dǎo)入政策和程序。 ? 什麼樣程度的剩餘風(fēng)險能為組織所接受？ 風(fēng)險處理 ? 需考量的因素有： ? 地點(diǎn) ? 已存在的安全 ? 攻擊者的數(shù)量 ? 可用的設(shè)施 ? 累積的機(jī)會 ? 宣傳層次 ? 營運(yùn)持續(xù)計(jì)劃 風(fēng)險處理 ? 風(fēng)險處理的步驟 ? 定義一個可接受的 殘餘風(fēng)險 等級。 風(fēng)險評鑑 ? 脆弱性 ? 關(guān)鍵人員的缺席 ? 不穩(wěn)定的動力 ? 未保護(hù)的電纜線 ? 安全意識的缺乏 ? 密碼權(quán)限的錯誤分配 ? 安全訓(xùn)練的不足 ? 未安裝防火牆 ? 未鎖的門 風(fēng)險評鑑 ? 風(fēng)險評鑑的工具和方法 Q:BS7799建議什麼工具？ A:風(fēng)險評鑑應(yīng)該鑑別對組織資產(chǎn)的 威脅、脆弱性和衝擊 ，而且應(yīng)該決定 風(fēng)險程度 。 ? 科技的 ─ 網(wǎng)路故障、流量超過負(fù)荷、硬體故障等。 ? 蓄意的或是意外的，人為的或是天災(zāi)的。 ? 鑑別如何藉由控制措施的實(shí)施以提供保護(hù)。[] 風(fēng)險評鑑 ? 在稽核的過程中，稽核員會注意所選用之控制措施予風(fēng)險處理過程之間的關(guān)係， 這些控制措施需溯及風(fēng)險評鑑的結(jié)果，並溯及 ISMS的政策與目標(biāo) 。 風(fēng)險評鑑 ? 組織必頇定義 (並製成文件 )其風(fēng)險評鑑的方法。 課程大綱 ? ISO27001:2023法規(guī)說明 ? 附錄 A控制措施簡介 ? 資產(chǎn)評估 ? 風(fēng)險評鑑 ? 風(fēng)險處理 ? 適用性聲明書 ? 稽核 風(fēng)險評鑑 ? 安全風(fēng)險 安全風(fēng)險是指 特定威脅 利用 脆弱性 ，造成資產(chǎn)或資訊資產(chǎn)損失或損毀的潛在可能。 資產(chǎn)評估 ? 資產(chǎn)價值和潛在衝擊 ? 組織已經(jīng)鑑別其資訊資產(chǎn)的價值嗎？ ? 決定每個資產(chǎn)價值是決定一個有效率安全政策的第一步。 ? 書面文件 ─ 如合約書、指南等。 資產(chǎn)評估 ? 何謂資產(chǎn)？ 資產(chǎn)就是對組織有價值的任何事物。 ? 組織應(yīng)鑑別已變化之風(fēng)險及鑑別預(yù)防措施要求之焦點(diǎn)放在顯著變化之風(fēng)險上。 ? 評估採取預(yù)防發(fā)生不符合措施的需求。 8. ISMS之改進(jìn) ? 持續(xù)的改進(jìn) ? 尋求持續(xù)的改進(jìn) ? 透過下列改進(jìn) ISMS的有效性 ? 安全政策 ? 安全目標(biāo) ? 安全審查的結(jié)果 ? 安全稽核 ? 矯正措施 ? 預(yù)防措施 ? 管理審查 8. ISMS之改進(jìn) ? 矯正措施 ? 應(yīng)該採取措施以消除不合格的原因，避免復(fù)發(fā)。 7. ISMS之管理階層審查 ? 審查輸出 管理階層審查之輸出應(yīng)包括下列有關(guān)之任何決定與措施： ? ISMS有效性之改進(jìn)。 ? 來自有效性量測之結(jié)果 。 ? 來自利害相關(guān)團(tuán)體之回饋。 7. ISMS之管理階層審查 ? 概述 管理階層應(yīng)在規(guī)劃期間內(nèi) (至少一年一次 )，審查組織的ISMS，以確保其持續(xù)的適用性、適切性及有效性。 6. 內(nèi)部 ISMS稽核 ? 規(guī)劃與執(zhí)行稽核，及報(bào)告結(jié)果與維持紀(jì)錄之責(zé)任與要求。 6. 內(nèi)部 ISMS稽核 ? 組織應(yīng)定期進(jìn)行內(nèi)部 ISMS稽核已決定其控制措施目標(biāo)、過程及程序是否： ? 符合本標(biāo)準(zhǔn)及相關(guān)法律或管理的要求 ? 符合所識別的資訊安全要求 ? 有效的實(shí)作與維護(hù) ? 如預(yù)期的執(zhí)行 ? 稽核計(jì)畫應(yīng)事先規(guī)劃，考慮稽核的過程與區(qū)域之狀況及重要性，以及先前稽核的結(jié)果。 ? 提供訓(xùn)練或採取其他措施 (如：僱用具備能力之人員 )，以滿足該需求。 資源管理 ? 資源提供 組織應(yīng)決定並提供下列工作必要之資源： ? 建立、實(shí)施、操作、監(jiān)控、審查、維護(hù)與改進(jìn) ISMS。 ? 提供充分資源以建立、實(shí)施、操作、監(jiān)控、審查、維護(hù)與改進(jìn)ISMS。 ? 管理階層承諾 管理階層應(yīng)藉由下列各項(xiàng)，對 ISMS之建立、實(shí)施、操作、監(jiān)控、審查、維護(hù)與改進(jìn)之承諾提供證據(jù)： ? 建立一份 ISMS政策。 ? 紀(jì)錄應(yīng)清晰易讀，容易檢索及識別。 ? 防止失效文件被誤用。 ? 確保文件保持易於閱讀並容易識別。 應(yīng)建立文件化程序 ，以界定所需之管理措施，用以： ? 在文件發(fā)行前核準(zhǔn)其適切性。 ? Level 4– 紀(jì)錄 紀(jì)錄活動實(shí)行以符合等級 2和 3文件要求的客觀證據(jù)。 文件要求 ? ISMS文件的廣度，其範(fàn)圍和細(xì)節(jié)取決於： ?產(chǎn)品和流程的複雜性 ?顧客和法規(guī)的要求 ?工業(yè)標(biāo)準(zhǔn)和規(guī)範(fàn) ?教育、經(jīng)驗(yàn)和訓(xùn)練 ?勞動力的穩(wěn)定性 ?過去發(fā)生的安全問題 文件要求 ? Level 1– 安全政策手冊 為管理架構(gòu)的摘要，其中包括了資訊安全政策和控制措施目標(biāo)，以及適用性聲明書中所提及已實(shí)施的控制措施。 資訊安全管理系統(tǒng)文件應(yīng)包含： ? ISMS政策與安全目標(biāo)之書面聲明 ? 資訊安全管理系統(tǒng)之範(fàn)圍 ? 支援 ISMS之相關(guān)程序書及控制措施 ? 風(fēng)險評鑑方法論之說明書 ? 風(fēng)險處理計(jì)畫 文件要求 ? 組織為確保有效規(guī)畫、操作與控制資訊安全過程，及說明如何量測控制措施有效所需之書面程序 。 ? 以適切於情況的詳盡程度與所有利害相關(guān)團(tuán)體就各項(xiàng)措施及改進(jìn)活動進(jìn)行溝通，並在適當(dāng)時取得進(jìn)行方式的同意。 ? 紀(jì)錄對 ISMS之有效性或績效有衝擊之活動與事件。 資訊安全管理系統(tǒng)之建立及管理 ? 在規(guī)劃期間審查風(fēng)險評鑑及審查殘餘風(fēng)險，與鑑別之可接受風(fēng)險等級，並考慮下列之變數(shù)： ? 組織 ? 技術(shù) ? 企業(yè)目標(biāo)及過程 ? 已鑑別之威脅 ? 控制措施實(shí)施有效性 ? 外部事件，例如法律或法規(guī)環(huán)境之變化、合約責(zé)任之變化，以及社會環(huán)境之變化。 ? 使用指標(biāo)幫助偵測安全事件並防止安全事故。 ? 實(shí)施能即時偵知安全事故，並予以回應(yīng)安全事件處理之作業(yè)程序及其他控制措施。 ? 定義如何測量所選擇控制措施或控制措施群組織有效，及具體說明如何使用這些測量來評估控制措施之有效性，並產(chǎn)出可比較即可再現(xiàn)的結(jié)果。 ? 附錄 A中任何排除之控制目標(biāo)與控制措施，及其排除之正當(dāng)理由。 資訊安全管理系統(tǒng)之建立及管理 ? 分析及評估各項(xiàng)風(fēng)險 ? 鑑別並評估風(fēng)險處理之選項(xiàng)方法 ? 選擇控制目標(biāo)及控制措施以處理風(fēng)險： ? 應(yīng)選擇並實(shí)施控制目標(biāo)與控制措施 ，以符合風(fēng)險評鑑與風(fēng)險處理過程所鑑別之要求。 所選擇之風(fēng)險評鑑方法論應(yīng)確保產(chǎn)出可比較及可重複之結(jié)果 。 ? 與組織策略性之風(fēng)險管理內(nèi)容配合，使 ISMS得以建立及維持。 ISO27001:2023法規(guī)說明 4. Information security management system ? 一般要求 組織 應(yīng)在整體業(yè)務(wù)活動與所面臨風(fēng)險下建立、實(shí)施、操作、監(jiān)控、審查、維護(hù)及改進(jìn)一文件化ISMS，為本國際標(biāo)準(zhǔn)之目的，所採用之過程以下圖所示之 PDCA模式為基礎(chǔ)。 ? 資助信息安全管理活動。 ? 與組織文化一致之實(shí)施、維護(hù)、監(jiān)控、及改進(jìn)信息安全的方法與框架。 ISO27001:2023法規(guī)說明 ?機(jī)密性 (Confidentiality) ?信息不可被未經(jīng)授權(quán)之