【正文】 個人、實體、流程所取得或揭露之特性。 ISO27001:2023法規(guī)說明 ? BS77991:2023 / ISO17799:2023 ?信息安全管理作業(yè)要點 ?用意是做為參考文件 ?提供廣泛性的安全控制措施 ?現(xiàn)行信息安全之最佳作業(yè)方法 ?包含 11個控制章節(jié) ?無法作為評鑒與驗證 ISO27001:2023法規(guī)說明 ? BS77992:2023 / ISO27001:2023 ?信息安全管理系統(tǒng)要求 ?根據(jù) BS77991:2023 ?ISMS之建立實施與文件化之具體要求 ?依據(jù)個別組織的需求，規(guī)定要實施之安全控制措施的要求。 ? BS77992:2023 / ISO27001:2023 系根據(jù) BS77991，提供信息安全管理系統(tǒng) (ISMS)之建立實施與書面化之具體要求，依據(jù)個別組織的需求，規(guī)定要實施之安全控制措施的要求。 ISO27001:2023法規(guī)說明 ?信息安全 ?保護信息的機密性、完整性與可用性；另外，亦可包含如可鑒別性 (真實性 )、可歸責(zé)性、不可否認性及可靠性等特性 。 ISO27001:2023法規(guī)說明 ? 關(guān)鍵的成功因素 (Critical success factors) 經(jīng)驗顯示，組織的信息安全能否成功實施，下列常為關(guān)鍵因素： ? 能反映營運目標的信息安全政策、目標及活動。 ? 向全體管理人員、受雇人員、及相關(guān)人員有效推廣信息安全以達到認知。 ? 實施ㄧ個用于評估 ISMS的績效及改進的回饋建議之量測系統(tǒng)。 ? 考慮企業(yè)及法律或法規(guī)要求，以及合約性的安全責(zé)任。 ? 發(fā)展可接受風(fēng)險之標準以及鑑別風(fēng)險至可接受的程度。擁有者(owner)一詞並不是指實際具有資產(chǎn)產(chǎn)權(quán)之人員。 ? 現(xiàn)行已實施之控制目標與控制措施。 ? 實施 。 ? 管理 ISMS資源。 ? 促使管理階層決定是否委託他人或藉由資訊技術(shù)之實施均已如預(yù)期般實行。 ? 測量控制措施有效性，以確認符合安全要求。 ? 考量監(jiān)控與審查活動之發(fā)現(xiàn)，更新安全計畫。採用從其他組織及本身之安全經(jīng)驗吸取教訓(xùn)。重要的是能夠證明所選擇之控制措施回溯至風(fēng)險評鑑與風(fēng)險處理過程結(jié)果，及回溯至 ISMS政策及目標之關(guān)聯(lián)性。 所有文件應(yīng)依據(jù) ISMS之政策要求隨時可供取用。包括詳細的工作指導(dǎo)書、表單、流程圖、服務(wù)標準和系統(tǒng)手冊 … 等。 文件要求 ? 文件管制 ISMS所需之文件應(yīng)受保護和管制。 ? 確保在使用場所備有相關(guān)適用版次文件。 ? 確保文件分發(fā)已管制。 ISMS應(yīng)將相關(guān)法律或法規(guī)要求及合約責(zé)任列入考量。 ? 紀錄應(yīng)加以保存，如 ，以及所有與ISMS有關(guān)之重大安全事故紀錄。 ? 向全組織傳達符合資訊安全目標、遵守資訊安全政策、在法律下要求之權(quán)責(zé)，以及持續(xù)改進之需求。 ? 執(zhí)行 ISMS之管理階層審查。 ? 訓(xùn)練、認知及能力 組織應(yīng)確保在 ISMS中規(guī)定有責(zé)任之所有員工，有能力藉由下述執(zhí)行所要求的工作，包括： ? 決定執(zhí)行影響 ISMS工作之人員其所需之能力。 組織亦應(yīng)確保所有相關(guān)人員已認知其所從事的資訊安全活動之相關(guān)性及重要性，以及他們?nèi)绾螌?ISMS之目標達成有所貢獻。另外， 稽核人員不應(yīng)稽核其本身的工作 。跟催活動應(yīng)包括所採行措施之查證，與查證結(jié)果之報告。 7. ISMS之管理階層審查 ? 審查輸入 管理階層審查輸入應(yīng)包括下列資訊： ? ISMS稽核與審查之結(jié)果。 ? 先前風(fēng)險評鑑未適切提出之脆弱性或威脅。 ? 改進之建議。 ? 測量控制措施有效性之改進 。 預(yù)防措施之文件化程序應(yīng)訂出以下要求： ? 鑑別潛在的不符合與其原因。 ? 審查所採用之預(yù)防措施。 課程大綱 ? ISO27001:2023法規(guī)說明 ? 附錄 A控制措施簡介 ? 資產(chǎn)評估 ? 風(fēng)險評鑑 ? 風(fēng)險處理 ? 適用性聲明書 ? 稽核 資產(chǎn)評估 ? BS7799要求所有資產(chǎn)的詳細清冊應(yīng)被制定和維護，以及這些資產(chǎn)的可歸責(zé)應(yīng)被定義。 資產(chǎn)評估 ? ISMS資 產(chǎn)分類可分為： ? 資訊資產(chǎn) ─ 如資料檔案、使用手冊等。 ? 人員 ─ 員工 ? 公司形象與聲望 ? 服務(wù) ─ 如通訊、技術(shù)等。 ? 組織必頇自行決定哪些資產(chǎn)的缺乏或降級可能實際影響產(chǎn)品或服務(wù)的交付。 若安全控制措施太少，則營運資訊會暴露在各種風(fēng)險當(dāng)中；若太多則會導(dǎo)致企業(yè)負擔(dān)過多的成本。 [ B] ? 此活動必頇至少一年執(zhí)行一次，是 ISMS管理審查的一部份。 ? 鑑別脆弱性和評鑑它們可能如何被利用。 ? 可能造成一個有害的事件，且這事件可能對系統(tǒng)、組織和資產(chǎn)造成傷害。 ? 人為 ─ 人員短缺、錯誤維護、使用者操作錯誤等。 ? 脆弱性如果沒有適當(dāng)管理，將促使威脅形成。 ? 總是有剩餘的風(fēng)險。 ? 應(yīng)用其它安全控制措施，如 BS7799。 風(fēng)險處理 ? 實施的容易性 ? 環(huán)境是否支援控制措施？ ? 控制措施需要多久才有辦法開始實施？ ? 控制措施是否立即可用的？ 風(fēng)險處理 ? 服務(wù) ? 可獲得的技術(shù)是否能夠管理控制措施？ ? 是否能夠立即的升級？ ? 設(shè)備是否有當(dāng)?shù)毓こ處熁騾f(xié)力廠商的支援？ 風(fēng)險處理 ? 客戶和其它合約的要求 ? 安全篩選 ? 受限制的存取 ? 實體的安全邊界 ? 資料儲存 ? 加密 ? 數(shù)位簽章 風(fēng)險處理 ? 最佳作業(yè)的控制措施 ? 資訊安全政策文件 ? 資訊安全責(zé)任的分配 ? 資訊安全教育和訓(xùn)練 ? 應(yīng)用系統(tǒng)的正確處理 ? 技術(shù)脆弱點管理 ? 營運持續(xù)管理 ? 管理資訊安全事故和改善 風(fēng)險處理 ? 測量控制措施的有效性 ? 與 ，用以監(jiān)控 ISMS的有效性。 ? 聲明也將記錄任何控制措施的排除。 ? 證明哪些控制措施是相關(guān)的 ? 紀錄哪些不相關(guān)的控制措施 ? 風(fēng)險評鑑將決定哪一些控制措施應(yīng)該被實施 ? 是完整文件審查的一部份 ? 將幫助決定最後評鑑階段的稽核計畫 適用性聲明 ? 如果要求未被實施，為什麼？ ? 風(fēng)險因未暴露而未被確認 ? 預(yù)算、財務(wù)限制 ? 環(huán)境影響防護措施，如氣候、空間等。 ? 稽核階段 1 ─ 文件審查 審查 ISMS核心要素。 ? 證明 ISMS遵照所有 ISMS標準或規(guī)範(fàn)文件的要求，而且達成組織的政策目標。 ? 第一方稽核員 ─自己的部門、單位。 ? 被稽核方 (Auditee) 組織中被稽核的人。 ? 稽核計畫的準備將因企業(yè)和公司的不同而有所差異。 ? 在稽核開始前，特殊的資源應(yīng)該在計畫中被鑑別。 ? 子控制措施應(yīng)被選擇。 ? 如果抽樣結(jié)果指出無不符合事項，進行下一步。 檢查表的好處 ? 使稽核目標清楚 ? 稽核計畫的證據(jù) ? 保持稽核節(jié)奏和連續(xù)性 ? 減少稽核員的偏見 ? 減少稽核流程中的工作負荷 檢查表的缺點 ? 如果檢查表示以下列形式呈現(xiàn)，則會失去價值。 ? 檢查表是一種確?；说纳疃群统掷m(xù)性的重要輔助工具。應(yīng)以備忘錄的形式來準備。問題種類應(yīng)使被稽核方感到自在。用來使用總結(jié)一連串的問題。 ? 面詴技巧的使用 ? 確保有適當(dāng)?shù)娜藛T可用 ? 表現(xiàn)興趣，隨時保持警覺 ? 顯示你的理解 ─ 不時的 ? 肢體語言的注意 ─ 正面的溝通 ? 聆聽 ─ 詴著不要打擾被稽核方 ? 解釋紀錄稽核筆記的方式 ? 隨時表現(xiàn)禮貌 ? 接近稽核面詴的完成時，總結(jié)發(fā)現(xiàn)和謝謝關(guān)心。 而且表示一個輕微的風(fēng)險，可能將被組織的利害關(guān)係人察覺到，被觀察到的一個單獨或偶發(fā)失誤，或隔離的意外事件。 主要 (嚴重 )不符合事項 ? 缺乏標準的某一個特別的要求，如政策或範(fàn)圍。 主要 (嚴重 )不符合事項的範(fàn)例 ? 沒有安全政策 ? 沒有安全事故管理系統(tǒng) ? 缺乏營運持續(xù)計劃 ? 沒有軟體授權(quán)管理 ? 沒有正式的系統(tǒng)來管理和更新 ISMS文件 確定事實 ? 獲得被稽核方的幫助 ? 討論關(guān)心的問題 ? 驗證發(fā)現(xiàn)的結(jié)果 ? 紀錄所有證據(jù) ? 確定為何是一個不符合或其他問題 ? 證明誰在現(xiàn)場 (如果相關(guān)的話 ) ─ 最好是註明職位 寫一份不 符合事項報告 ? 情況 使用者註冊程序 UR1 01/11/01說明使用者註冊其狀態(tài)需被審查和三個月的有效性。 紀錄不 符合事項 ? 紀錄事實 ─ 不要誇大發(fā)現(xiàn) ? 清楚敘述不符合事項是在哪裡發(fā)現(xiàn) ? 清楚敘述發(fā)現(xiàn)什麼 ? 為何它是一個不符合事項 ? 誰在那哩，目擊者為誰 ? 使用公司人員所了解的專用術(shù)語 ? 簡單扼要、有幫助的 考慮嚴重性 兩個問題需要被回答 ? 如果不符合事項未被矯而一直持續(xù)的錯誤下去，會發(fā)生什麼狀況？ ? 其發(fā)生狀況的可能性是什麼？ 稽核 ? 及時向被稽核方報告有關(guān)情形 為了使稽核有建設(shè)性、有幫助和專業(yè)： ? 要定期檢討稽核進度和發(fā)現(xiàn) ? 消除謠言 ? 建立良好的關(guān)係 ? 稽核流程中的判斷 對於證據(jù)不足的情況，必頇做出對被稽核方有利的判斷。 ? 全部再次稽核 ─ ISMS中不只一個區(qū)域發(fā)現(xiàn)重大缺失。 ? 紀錄觀