【正文】 明書 ? 稽核 風險評鑑 ? 安全風險 安全風險是指 特定威脅 利用 脆弱性 ，造成資產或資訊資產損失或損毀的潛在可能。[] 風險評鑑 ? 在稽核的過程中，稽核員會注意所選用之控制措施予風險處理過程之間的關係， 這些控制措施需溯及風險評鑑的結果，並溯及 ISMS的政策與目標 。 ? 蓄意的或是意外的，人為的或是天災的。 風險評鑑 ? 脆弱性 ? 關鍵人員的缺席 ? 不穩(wěn)定的動力 ? 未保護的電纜線 ? 安全意識的缺乏 ? 密碼權限的錯誤分配 ? 安全訓練的不足 ? 未安裝防火牆 ? 未鎖的門 風險評鑑 ? 風險評鑑的工具和方法 Q:BS7799建議什麼工具？ A:風險評鑑應該鑑別對組織資產的 威脅、脆弱性和衝擊 ，而且應該決定 風險程度 。 ? 導入政策和程序。 ? 聲明是展示組織如何控制風險的文件，應該沒有太多的細節(jié)能夠讓想要破壞安全的人取得寶貴的資訊。 ? 稽核階段 2 ─ 實施稽核 在現場進行，對政策、程序、和目標的有效性進行審查。 稽核專有名詞解釋 ? 稽核員 (Auditor) 一個有資格去執(zhí)行安全稽核的人。 階段 2：稽核計劃 ? 第二階段的稽核計畫應該在第一階段完成時，且在第二階段開始前完成。 ? 稽核員必頇決定大小和選擇。 ─ 打勾的方式 ─ 問卷 ? 將檢查表準備成備忘錄形式。 首次會議 ─ 考量點 ? 介紹 ─ 紀錄 ? 營造稽核的氣氛 ? 確認稽核的目的和範圍 ? 審查和確認稽核計畫 ? 稽核小組的引導人員分配 ? 稽核方法的溝通 ? 報告方法 ? 確認稽核是基於抽樣方法 ? 保密 ? 結束會議時間 ? 後勤 ? 限制 ? 澄清 稽核參加人員 ? 稽核小組 ? 稽核小組組長及組員 ? 見習稽核員及見習主導稽核員 ? 觀察員 ? 翻譯員、專家 ? 見證人 ? 被稽核方 ? 引導人員 ? 部門主管及員工 ? 觀察員、見習人員 ? 顧問 執(zhí)行稽核 ? 進入稽核區(qū)域 ? 引導人員介紹 ? 解釋你想要看什麼東西 ? 做必要深度的調查 ? 如果未發(fā)現問題，繼續(xù)下一步 ? 不要不停地堅持稽核直到發(fā)現問題為止 和人溝通的技巧 ? 讓被稽核者放輕鬆 ? 訪問簡短的問題 ? 表現正面的態(tài)度，包括語氣聲調、肢體語言和臉部表情 ? 微笑和眼神的接觸 ? 避免打斷 ? 避免即席的和高傲的言詞 ? 給予適當的讚美 ? 詢問和聆聽 ? 表示興趣 ? 機智和有禮貌的 ? 顯示耐心和理解力 ? 除掉你的個人問題 ? 記得說謝謝和請 ? 詢問正確的人 ? 當你不理解時不要說你理解 稽核的控制 ? 檢查表是僕人而不是主人 ? 如果出現潛在的稽核線索，可決定 ? 不予理睬 ? 紀錄下來，供以後再稽核 ? 立即跟進 ? 可能影響抽樣大小 ? 可能影響稽核計畫 ? 可能影響稽核計畫 稽核詢問技巧 ? 稽核面談的品質大都取決於稽核員的詢問技巧。 ? 引導式 ─ 用來迅速獲得答案。 次要 (輕微 )不符合事項的範例 ? 觀察到某人未遵守桌面淨空政策 ? 在某種場合中某些訪客離開大樓時未依規(guī)定登記 ? 遺失對於網路存取的正式核可 ? 備份的紀錄未在一天內完成 ? 未鑑別所有權人的資料存在檔案中 主要 (嚴重 )不符合事項 ? 定義 失敗的實施或遵守一個或多個 BS77992適用的控制措施條款，因此產生關於對保護敏感資料的機密性、完整性和可用性測量之適當性的嚴重質疑。 沒有證據顯示對於 Fred狀態(tài)的審查， Fred在第一次的設定後已歷經 18個月仍是有效?；诵〗M頇對某一階段再重新稽核一次。 結束會議 ? 稽核小組組長準備和運作一個議程和控制會議 ? 出席者 ? 感謝 ? 目標 /範圍 ? 報告系統(tǒng) ? 限制 ? 機密性 ? 稽核總結報告 ? 建議 ? 同意 ? 澄清 ? 離開 跟蹤行動 ? 被稽核方接收不符合事項報告 ? 準備矯正措施計畫 ? 將計劃 (如果有的話 )提交給稽核員 ? 稽核員評估回應 ? 被稽核方實施計劃 ? 被稽核方評估有效性 ? 如有必要，被稽核方修改計畫 ? 被稽核方文件變更 ? 稽核員驗證實施情況和有效性 ? 紀錄 (稽核員和被稽核方 )採取的所有措施 持續(xù)稽核循環(huán) ? 一年兩次稽核 ? 結束上次所發(fā)現不符合事項 ? 審查風險評鑑的有效性 ? 審查適用性聲明的有效性 ? 安全政策 ? 管理審查 ? 安全事故 ? 政策和程序的有效實施 謝謝觀看 /歡迎下載 BY FAITH I MEAN A VISION OF GOOD ONE CHERISHES AND THE ENTHUSIASM THAT PUSHES ONE TO SEEK ITS FULFILLMENT REGARDLESS OF OBSTACLES. BY FAITH I BY FAITH 。 ? 部分的再稽核 ─ 主要不符合事項在某一區(qū)域找到，但系統(tǒng)的其它部分仍有效的運作。 ? 極高數量的不符合事項集中在標準中某一要素或是部門。 ? 直接與安全政策相關 ? 違反資訊管理安全標準 ? 違反系統(tǒng)程序或工作指示 ? 違反法律上的要求 次要 (輕微 )不符合事項 ? 定義 在一個隔離的情形中，有一些適用控制措施的要求方面沒有被滿足，因此產生一些關於對保護敏感資料的機密性、完整性和可用性測量之適當性的質疑。 ? 封閉式 ─ 這些問題應該誘出示或不是的答案。 ? 檢查表不應有“是”或“否”的答案。 ? 責任在控制全部區(qū)域的被稽核方。 ? 給予高風險區(qū)域優(yōu)先權。 ? 每個活動的稽核應該要包括適當的 BS7799從屬條款，包括附錄 A。 ? 第二方稽核員 ─有從屬關係之組織。 ? 其它 課程大綱 ? ISO27001:2023法規(guī)說明 ? 附錄 A控制措施簡介 ? 資產評估 ? 風險評鑑 ? 風險處理 ? 適用性聲明 ? 稽核 稽核 ? 至少需執(zhí)行兩個階段而且都頇見別隊 BS77992和ISO27001:2023的符合性。 風險處理 ? 風險評鑑過程 ? 資產鑑別與價值評估 ? 威脅的鑑別 ? 脆弱性的鑑別 ? 衝擊的評估 ? 營運風險 ? 風險的分級 ? 風險管理過程 ? 現有的安全控制措施審查 ? 新安全控制措施的鑑別 ? 政策與程序 ? 實施與風險降低 ? 風險可接受度 (殘餘風險 ) 課程大綱 ? ISO27001:2023法規(guī)說明 ? 附錄 A控制措施簡介 ? 資產評估 ? 風險評鑑 ? 風險處理 ? 適用性聲明 ? 稽核 適用性聲明 ? 是組織選擇適合其企業(yè)營運需求的目標與控制措施評論。 ? 對已存在之安全控制措施的審查。 ? 脆弱性本身並不會造成傷害，而是可能允許威脅影響資產的一種或多種情況。 風險評鑑 ? 威脅 ? 宣告意圖造成損害、痛苦或不幸。 [ D] ? 現在風險評鑑規(guī)定必頇有計畫地定期進行審查，並且讓管理階層審查更新的風險評鑑與風險處理計畫。 資產評估 ? 資產價值 ? 對於 BS7799:2023/ISO27001:2023來說，資產並不一定包括組織內一般視為有價值的所有事物。 必頇是 相關於 ISMS的範圍 。 ? 紀錄所採取措施之結果。 ? 未因應可能影響 ISMS之內部或外部事件，必要時將影響資訊安全之程序及控制措施予以修訂，包括 ? 營運需求 ? 安全需求 ? 影響既有營運需求之營運過程 ? 法令或法規(guī)要求 ? 合約責任 ? 風險等級風險可接受程度之標準 ? 資源需求。 ? 預防與矯正措施之狀況。 ? 被稽核區(qū)域管理階層之責任，應確保採行措施沒有不當之延誤，以消除所發(fā)現之不符合與其原因。 ? 維持教育、訓練、技巧、經驗及資格之紀錄。 ? 確保實施內部 ISMS稽核 。 所需之紀錄及其範圍應由管理過程加以決定。 ? 確保外來原始文件已加以識別。例如：機房訪客登記簿、稽核記錄和存取授權 …等。 ? 適用性聲明書。 ? 依據第 。 ? 定期審查 ISMS之有效性 (包含符合 ISMS政策、目標及控制措施之審查 )，並考慮來自安全稽核、事件、來自有效性量測之結果、股東及利害關係團體之建議及回饋之結果。 ? 管理 ISMS作業(yè)。 資訊安全管理系統(tǒng)之建立及管理 ? 所提出之殘餘風險頇取得 管理階層 之核準 ? ISMS亦 頇獲得授權 才能實施與操作 ? 擬訂一份適用性聲明書，頇包括下列： ? 於 ，其選擇之理由。 資訊安全管理系統(tǒng)之建立及管理 ? 定義組織之風險評鑑辦法 ? 鑑別一風險評鑑方法論，並適合其 ISMS、已鑑別之企業(yè)資訊安全、以及法