【正文】 ? 紀(jì)錄觀察事項(xiàng)。 紀(jì)錄不 符合事項(xiàng) ? 紀(jì)錄事實(shí) ─ 不要誇大發(fā)現(xiàn) ? 清楚敘述不符合事項(xiàng)是在哪裡發(fā)現(xiàn) ? 清楚敘述發(fā)現(xiàn)什麼 ? 為何它是一個(gè)不符合事項(xiàng) ? 誰(shuí)在那哩，目擊者為誰(shuí) ? 使用公司人員所了解的專用術(shù)語(yǔ) ? 簡(jiǎn)單扼要、有幫助的 考慮嚴(yán)重性 兩個(gè)問(wèn)題需要被回答 ? 如果不符合事項(xiàng)未被矯而一直持續(xù)的錯(cuò)誤下去，會(huì)發(fā)生什麼狀況？ ? 其發(fā)生狀況的可能性是什麼？ 稽核 ? 及時(shí)向被稽核方報(bào)告有關(guān)情形 為了使稽核有建設(shè)性、有幫助和專業(yè)： ? 要定期檢討稽核進(jìn)度和發(fā)現(xiàn) ? 消除謠言 ? 建立良好的關(guān)係 ? 稽核流程中的判斷 對(duì)於證據(jù)不足的情況，必頇做出對(duì)被稽核方有利的判斷。 主要 (嚴(yán)重 )不符合事項(xiàng) ? 缺乏標(biāo)準(zhǔn)的某一個(gè)特別的要求，如政策或範(fàn)圍。 ? 面詴技巧的使用 ? 確保有適當(dāng)?shù)娜藛T可用 ? 表現(xiàn)興趣，隨時(shí)保持警覺(jué) ? 顯示你的理解 ─ 不時(shí)的 ? 肢體語(yǔ)言的注意 ─ 正面的溝通 ? 聆聽(tīng) ─ 詴著不要打擾被稽核方 ? 解釋紀(jì)錄稽核筆記的方式 ? 隨時(shí)表現(xiàn)禮貌 ? 接近稽核面詴的完成時(shí)，總結(jié)發(fā)現(xiàn)和謝謝關(guān)心。問(wèn)題種類應(yīng)使被稽核方感到自在。 ? 檢查表是一種確?；说纳疃群统掷m(xù)性的重要輔助工具。 ? 如果抽樣結(jié)果指出無(wú)不符合事項(xiàng)，進(jìn)行下一步。 ? 在稽核開(kāi)始前，特殊的資源應(yīng)該在計(jì)畫(huà)中被鑑別。 ? 被稽核方 (Auditee) 組織中被稽核的人。 ? 證明 ISMS遵照所有 ISMS標(biāo)準(zhǔn)或規(guī)範(fàn)文件的要求，而且達(dá)成組織的政策目標(biāo)。 ? 證明哪些控制措施是相關(guān)的 ? 紀(jì)錄哪些不相關(guān)的控制措施 ? 風(fēng)險(xiǎn)評(píng)鑑將決定哪一些控制措施應(yīng)該被實(shí)施 ? 是完整文件審查的一部份 ? 將幫助決定最後評(píng)鑑階段的稽核計(jì)畫(huà) 適用性聲明 ? 如果要求未被實(shí)施，為什麼？ ? 風(fēng)險(xiǎn)因未暴露而未被確認(rèn) ? 預(yù)算、財(cái)務(wù)限制 ? 環(huán)境影響防護(hù)措施，如氣候、空間等。 風(fēng)險(xiǎn)處理 ? 實(shí)施的容易性 ? 環(huán)境是否支援控制措施？ ? 控制措施需要多久才有辦法開(kāi)始實(shí)施？ ? 控制措施是否立即可用的？ 風(fēng)險(xiǎn)處理 ? 服務(wù) ? 可獲得的技術(shù)是否能夠管理控制措施？ ? 是否能夠立即的升級(jí)？ ? 設(shè)備是否有當(dāng)?shù)毓こ處熁騾f(xié)力廠商的支援？ 風(fēng)險(xiǎn)處理 ? 客戶和其它合約的要求 ? 安全篩選 ? 受限制的存取 ? 實(shí)體的安全邊界 ? 資料儲(chǔ)存 ? 加密 ? 數(shù)位簽章 風(fēng)險(xiǎn)處理 ? 最佳作業(yè)的控制措施 ? 資訊安全政策文件 ? 資訊安全責(zé)任的分配 ? 資訊安全教育和訓(xùn)練 ? 應(yīng)用系統(tǒng)的正確處理 ? 技術(shù)脆弱點(diǎn)管理 ? 營(yíng)運(yùn)持續(xù)管理 ? 管理資訊安全事故和改善 風(fēng)險(xiǎn)處理 ? 測(cè)量控制措施的有效性 ? 與 ，用以監(jiān)控 ISMS的有效性。 ? 總是有剩餘的風(fēng)險(xiǎn)。 ? 人為 ─ 人員短缺、錯(cuò)誤維護(hù)、使用者操作錯(cuò)誤等。 ? 鑑別脆弱性和評(píng)鑑它們可能如何被利用。 若安全控制措施太少，則營(yíng)運(yùn)資訊會(huì)暴露在各種風(fēng)險(xiǎn)當(dāng)中；若太多則會(huì)導(dǎo)致企業(yè)負(fù)擔(dān)過(guò)多的成本。 ? 人員 ─ 員工 ? 公司形象與聲望 ? 服務(wù) ─ 如通訊、技術(shù)等。 課程大綱 ? ISO27001:2023法規(guī)說(shuō)明 ? 附錄 A控制措施簡(jiǎn)介 ? 資產(chǎn)評(píng)估 ? 風(fēng)險(xiǎn)評(píng)鑑 ? 風(fēng)險(xiǎn)處理 ? 適用性聲明書(shū) ? 稽核 資產(chǎn)評(píng)估 ? BS7799要求所有資產(chǎn)的詳細(xì)清冊(cè)應(yīng)被制定和維護(hù)，以及這些資產(chǎn)的可歸責(zé)應(yīng)被定義。 預(yù)防措施之文件化程序應(yīng)訂出以下要求： ? 鑑別潛在的不符合與其原因。 ? 改進(jìn)之建議。 7. ISMS之管理階層審查 ? 審查輸入 管理階層審查輸入應(yīng)包括下列資訊： ? ISMS稽核與審查之結(jié)果。另外， 稽核人員不應(yīng)稽核其本身的工作 。 ? 訓(xùn)練、認(rèn)知及能力 組織應(yīng)確保在 ISMS中規(guī)定有責(zé)任之所有員工，有能力藉由下述執(zhí)行所要求的工作，包括： ? 決定執(zhí)行影響 ISMS工作之人員其所需之能力。 ? 向全組織傳達(dá)符合資訊安全目標(biāo)、遵守資訊安全政策、在法律下要求之權(quán)責(zé)，以及持續(xù)改進(jìn)之需求。 ISMS應(yīng)將相關(guān)法律或法規(guī)要求及合約責(zé)任列入考量。 ? 確保在使用場(chǎng)所備有相關(guān)適用版次文件。包括詳細(xì)的工作指導(dǎo)書(shū)、表單、流程圖、服務(wù)標(biāo)準(zhǔn)和系統(tǒng)手冊(cè) … 等。重要的是能夠證明所選擇之控制措施回溯至風(fēng)險(xiǎn)評(píng)鑑與風(fēng)險(xiǎn)處理過(guò)程結(jié)果，及回溯至 ISMS政策及目標(biāo)之關(guān)聯(lián)性。 ? 考量監(jiān)控與審查活動(dòng)之發(fā)現(xiàn)，更新安全計(jì)畫(huà)。 ? 促使管理階層決定是否委託他人或藉由資訊技術(shù)之實(shí)施均已如預(yù)期般實(shí)行。 ? 實(shí)施 。擁有者(owner)一詞並不是指實(shí)際具有資產(chǎn)產(chǎn)權(quán)之人員。 ? 考慮企業(yè)及法律或法規(guī)要求，以及合約性的安全責(zé)任。 ? 向全體管理人員、受雇人員、及相關(guān)人員有效推廣信息安全以達(dá)到認(rèn)知。 ISO27001:2023法規(guī)說(shuō)明 ?信息安全 ?保護(hù)信息的機(jī)密性、完整性與可用性；另外，亦可包含如可鑒別性 (真實(shí)性 )、可歸責(zé)性、不可否認(rèn)性及可靠性等特性 。 ISO27001:2023法規(guī)說(shuō)明 ? BS77991:2023 / ISO17799:2023 ?信息安全管理作業(yè)要點(diǎn) ?用意是做為參考文件 ?提供廣泛性的安全控制措施 ?現(xiàn)行信息安全之最佳作業(yè)方法 ?包含 11個(gè)控制章節(jié) ?無(wú)法作為評(píng)鑒與驗(yàn)證 ISO27001:2023法規(guī)說(shuō)明 ? BS77992:2023 / ISO27001:2023 ?信息安全管理系統(tǒng)要求 ?根據(jù) BS77991:2023 ?ISMS之建立實(shí)施與文件化之具體要求 ?依據(jù)個(gè)別組織的需求，規(guī)定要實(shí)施之安全控制措施的要求。 ? 與組織文化一致之實(shí)施、維護(hù)、監(jiān)控、及改進(jìn)信息安全的方法與框架。 ISO27001:2023法規(guī)說(shuō)明 4. Information security management system ? 一般要求 組織 應(yīng)在整體業(yè)務(wù)活動(dòng)與所面臨風(fēng)險(xiǎn)下建立、實(shí)施、操作、監(jiān)控、審查、維護(hù)及改進(jìn)一文件化ISMS，為本國(guó)際標(biāo)準(zhǔn)之目的，所採(cǎi)用之過(guò)程以下圖所示之 PDCA模式為基礎(chǔ)。 所選擇之風(fēng)險(xiǎn)評(píng)鑑方法論應(yīng)確保產(chǎn)出可比較及可重複之結(jié)果 。 ? 附錄 A中任何排除之控制目標(biāo)與控制措施，及其排除之正當(dāng)理由。 ? 實(shí)施能即時(shí)偵知安全事故，並予以回應(yīng)安全事件處理之作業(yè)程序及其他控制措施。 資訊安全管理系統(tǒng)之建立及管理 ? 在規(guī)劃期間審查風(fēng)險(xiǎn)評(píng)鑑及審查殘餘風(fēng)險(xiǎn)，與鑑別之可接受風(fēng)險(xiǎn)等級(jí)，並考慮下列之變數(shù)： ? 組織 ? 技術(shù) ? 企業(yè)目標(biāo)及過(guò)程 ? 已鑑別之威脅 ? 控制措施實(shí)施有效性 ? 外部事件，例如法律或法規(guī)環(huán)境之變化、合約責(zé)任之變化，以及社會(huì)環(huán)境之變化。 ? 以適切於情況的詳盡程度與所有利害相關(guān)團(tuán)體就各項(xiàng)措施及改進(jìn)活動(dòng)進(jìn)行溝通，並在適當(dāng)時(shí)取得進(jìn)行方式的同意。 文件要求 ? ISMS文件的廣度，其範(fàn)圍和細(xì)節(jié)取決於： ?產(chǎn)品和流程的複雜性 ?顧客和法規(guī)的要求 ?工業(yè)標(biāo)準(zhǔn)和規(guī)範(fàn) ?教育、經(jīng)驗(yàn)和訓(xùn)練 ?勞動(dòng)力的穩(wěn)定性 ?過(guò)去發(fā)生的安全問(wèn)題 文件要求 ? Level 1– 安全政策手冊(cè) 為管理架構(gòu)的摘要，其中包括了資訊安全政策和控制措施目標(biāo)，以及適用性聲明書(shū)中所提及已實(shí)施的控制措施。 應(yīng)建立文件化程序 ，以界定所需之管理措施，用以： ? 在文件發(fā)行前核準(zhǔn)其適切性。 ? 防止失效文件被誤用。 ? 管理階層承諾 管理階層應(yīng)藉由下列各項(xiàng)，對(duì) ISMS之建立、實(shí)施、操作、監(jiān)控、審查、維護(hù)與改進(jìn)之承諾提供證據(jù)： ? 建立一份 ISMS政策。 資源管理 ? 資源提供 組織應(yīng)決定並提供下列工作必要之資源： ? 建立、實(shí)施、操作、監(jiān)控、審查、維護(hù)與改進(jìn) ISMS。 6. 內(nèi)部 ISMS稽核 ? 組織應(yīng)定期進(jìn)行內(nèi)部 ISMS稽核已決定其控制措施目標(biāo)、過(guò)程及程序是否： ? 符合本標(biāo)準(zhǔn)及相關(guān)法律或管理的要求 ? 符合所識(shí)別的資訊安全要求 ? 有效的實(shí)作與維護(hù) ? 如預(yù)期的執(zhí)行 ? 稽核計(jì)畫(huà)應(yīng)事先規(guī)劃，考慮稽核的過(guò)程與區(qū)域之狀況及重要性，以及先前稽核的結(jié)果。 7. ISMS之管理階層審查 ? 概述 管理階層應(yīng)在規(guī)劃期間內(nèi) (至少一年一次 )，審查組織的ISMS，以確保其持續(xù)的適用性、適切性及有效性。 ? 來(lái)自有效性量測(cè)之結(jié)果 。 8. ISMS之改進(jìn) ? 持續(xù)的改進(jìn) ? 尋求持續(xù)的改進(jìn) ? 透過(guò)下列改進(jìn) ISMS的有效性 ? 安全政策 ? 安全目標(biāo) ? 安全審查的結(jié)果 ? 安全稽核 ? 矯正措施 ? 預(yù)防措施 ? 管理審查 8. ISMS之改進(jìn) ? 矯正措施 ? 應(yīng)該採(cǎi)取措施以消除不合格的原因，避免復(fù)發(fā)。 ? 組織應(yīng)鑑別已變化之風(fēng)險(xiǎn)及鑑別預(yù)防措施要求之焦點(diǎn)放在顯著變化之風(fēng)險(xiǎn)上。 ? 書(shū)面文件 ─ 如合約書(shū)、指南等。 課程大綱 ? ISO27001:2023法規(guī)說(shuō)明 ? 附錄 A控制措施簡(jiǎn)介 ? 資產(chǎn)評(píng)估 ? 風(fēng)險(xiǎn)評(píng)鑑 ? 風(fēng)險(xiǎn)處理 ? 適用性聲