【文章內(nèi)容簡(jiǎn)介】 ISO27001:2023(BS77992:2023) 控制措施 ISO27001:2023(BS77992:2023) 控制措施 ? 不是所有的控制措施都與每種情況相關(guān)，也無(wú)法考量到所有的當(dāng)?shù)丨h(huán)境或技術(shù)限制，或以適合組織內(nèi)每位潛在使用者形式呈現(xiàn)。 課程大綱 ? ISO27001:2023法規(guī)說(shuō)明 ? 附錄 A控制措施簡(jiǎn)介 ? 資產(chǎn)評(píng)估 ? 風(fēng)險(xiǎn)評(píng)鑑 ? 風(fēng)險(xiǎn)處理 ? 適用性聲明書(shū) ? 稽核 資產(chǎn)評(píng)估 ? BS7799要求所有資產(chǎn)的詳細(xì)清冊(cè)應(yīng)被制定和維護(hù)，以及這些資產(chǎn)的可歸責(zé)應(yīng)被定義。 資產(chǎn)評(píng)估 ? 何謂資產(chǎn)？ 資產(chǎn)就是對(duì)組織有價(jià)值的任何事物。是組織直接賦予價(jià)值且需要被保護(hù)的。 必頇是 相關(guān)於 ISMS的範(fàn)圍 。 資產(chǎn)評(píng)估 ? ISMS資 產(chǎn)分類可分為： ? 資訊資產(chǎn) ─ 如資料檔案、使用手冊(cè)等。 ? 書(shū)面文件 ─ 如合約書(shū)、指南等。 ? 軟體資產(chǎn) ─ 如應(yīng)用程式、系統(tǒng)軟體等。 ? 實(shí)體資產(chǎn) ─ 如電腦、磁碟片等。 ? 人員 ─ 員工 ? 公司形象與聲望 ? 服務(wù) ─ 如通訊、技術(shù)等。 資產(chǎn)評(píng)估 ? 資產(chǎn)價(jià)值和潛在衝擊 ? 組織已經(jīng)鑑別其資訊資產(chǎn)的價(jià)值嗎？ ? 決定每個(gè)資產(chǎn)價(jià)值是決定一個(gè)有效率安全政策的第一步。 ? 是什麼樣的系統(tǒng)？ 1– 4或是低到非常高 ? 這是風(fēng)險(xiǎn)評(píng)鑑過(guò)程中極為重要的部份。 資產(chǎn)評(píng)估 ? 資產(chǎn)價(jià)值 ? 對(duì)於 BS7799:2023/ISO27001:2023來(lái)說(shuō)，資產(chǎn)並不一定包括組織內(nèi)一般視為有價(jià)值的所有事物。 ? 組織必頇自行決定哪些資產(chǎn)的缺乏或降級(jí)可能實(shí)際影響產(chǎn)品或服務(wù)的交付。 課程大綱 ? ISO27001:2023法規(guī)說(shuō)明 ? 附錄 A控制措施簡(jiǎn)介 ? 資產(chǎn)評(píng)估 ? 風(fēng)險(xiǎn)評(píng)鑑 ? 風(fēng)險(xiǎn)處理 ? 適用性聲明書(shū) ? 稽核 風(fēng)險(xiǎn)評(píng)鑑 ? 安全風(fēng)險(xiǎn) 安全風(fēng)險(xiǎn)是指 特定威脅 利用 脆弱性 ，造成資產(chǎn)或資訊資產(chǎn)損失或損毀的潛在可能。 ? BS7799的實(shí)施和驗(yàn)證是基於正式風(fēng)險(xiǎn)評(píng)鑑的結(jié)果。 ? 評(píng)鑑風(fēng)險(xiǎn) 資訊保護(hù)是基於防範(fàn)營(yíng)運(yùn)資訊之風(fēng)險(xiǎn)，此為本國(guó)際標(biāo)準(zhǔn)的基礎(chǔ)，使組織能夠採(cǎi)取適當(dāng)?shù)陌踩刂拼胧? 若安全控制措施太少，則營(yíng)運(yùn)資訊會(huì)暴露在各種風(fēng)險(xiǎn)當(dāng)中；若太多則會(huì)導(dǎo)致企業(yè)負(fù)擔(dān)過(guò)多的成本。 風(fēng)險(xiǎn)評(píng)鑑 ? 組織必頇定義 (並製成文件 )其風(fēng)險(xiǎn)評(píng)鑑的方法。 [ C] ? 這也表示選擇與文件化之風(fēng)險(xiǎn)評(píng)鑑方法論，可使風(fēng)險(xiǎn)評(píng)鑑產(chǎn)生 可比較與可重複 (再現(xiàn) )的結(jié)果。 [ D] ? 現(xiàn)在風(fēng)險(xiǎn)評(píng)鑑規(guī)定必頇有計(jì)畫(huà)地定期進(jìn)行審查，並且讓管理階層審查更新的風(fēng)險(xiǎn)評(píng)鑑與風(fēng)險(xiǎn)處理計(jì)畫(huà)。 [ B] ? 此活動(dòng)必頇至少一年執(zhí)行一次，是 ISMS管理審查的一部份。[] 風(fēng)險(xiǎn)評(píng)鑑 ? 在稽核的過(guò)程中，稽核員會(huì)注意所選用之控制措施予風(fēng)險(xiǎn)處理過(guò)程之間的關(guān)係， 這些控制措施需溯及風(fēng)險(xiǎn)評(píng)鑑的結(jié)果，並溯及 ISMS的政策與目標(biāo) 。 風(fēng)險(xiǎn)評(píng)鑑 ? 風(fēng)險(xiǎn)評(píng)鑑過(guò)程 ? 鑑別資產(chǎn)和指派資產(chǎn)價(jià)值 。 ? 鑑別資產(chǎn)的相關(guān)威脅和評(píng)鑑它們的可能性。 ? 鑑別脆弱性和評(píng)鑑它們可能如何被利用。 ? 鑑別如何藉由控制措施的實(shí)施以提供保護(hù)。 ? 評(píng)鑑上述之全面的風(fēng)險(xiǎn)結(jié)果。 風(fēng)險(xiǎn)評(píng)鑑 ? 威脅 ? 宣告意圖造成損害、痛苦或不幸。 ? 可能造成一個(gè)有害的事件，且這事件可能對(duì)系統(tǒng)、組織和資產(chǎn)造成傷害。 ? 蓄意的或是意外的，人為的或是天災(zāi)的。 ? 資產(chǎn)容易受到許多威脅， 這些威脅來(lái)自於利用脆弱性 。 風(fēng)險(xiǎn)評(píng)鑑 ? 威脅 ? 天災(zāi) ─ 洪水、暴風(fēng)、地震和閃電等。 ? 人為 ─ 人員短缺、錯(cuò)誤維護(hù)、使用者操作錯(cuò)誤等。 ? 科技的 ─ 網(wǎng)路故障、流量超過(guò)負(fù)荷、硬體故障等。 ? 蓄意的威脅 ? 意外的威脅 ? 威脅頻率 風(fēng)險(xiǎn)評(píng)鑑 ? 脆弱性 ? 脆弱性是組織資訊安全的漏洞或弱點(diǎn)。 ? 脆弱性本身並不會(huì)造成傷害，而是可能允許威脅影響資產(chǎn)的一種或多種情況。 ? 脆弱性如果沒(méi)有適當(dāng)管理，將促使威脅形成。 風(fēng)險(xiǎn)評(píng)鑑 ? 脆弱性 ? 關(guān)鍵人員的缺席 ? 不穩(wěn)定的動(dòng)力 ? 未保護(hù)的電纜線 ? 安全意識(shí)的缺乏 ? 密碼權(quán)限的錯(cuò)誤分配 ? 安全訓(xùn)練的不足 ? 未安裝防火牆 ? 未鎖的門(mén) 風(fēng)險(xiǎn)評(píng)鑑 ? 風(fēng)險(xiǎn)評(píng)鑑的工具和方法 Q:BS7799建議什麼工具？ A:風(fēng)險(xiǎn)評(píng)鑑應(yīng)該鑑別對(duì)組織資產(chǎn)的 威脅、脆弱性和衝擊 ，而且應(yīng)該決定 風(fēng)險(xiǎn)程度 。 課程大綱 ? ISO27001:2023法規(guī)說(shuō)明 ? 附錄 A控制措施簡(jiǎn)介 ? 資產(chǎn)評(píng)估 ? 風(fēng)險(xiǎn)評(píng)鑑 ? 風(fēng)險(xiǎn)處理 ? 適用性聲明書(shū) ? 稽核 風(fēng)險(xiǎn)處理 ? 風(fēng)險(xiǎn)處理 ─計(jì)畫(huà) 風(fēng)險(xiǎn)處理計(jì)畫(huà)是定義行動(dòng)以降低 無(wú)法接受的風(fēng)險(xiǎn) ，和實(shí)施所需的控制措施以保護(hù)資訊的一種合作文件。 風(fēng)險(xiǎn)處理 ? 風(fēng)險(xiǎn)處理 ─方向 ? 避免風(fēng)險(xiǎn) ? 降低風(fēng)險(xiǎn)到可接受程度 ? 轉(zhuǎn)移風(fēng)險(xiǎn) ? 接受剩餘的風(fēng)險(xiǎn) 風(fēng)險(xiǎn)處理 ? 可接受風(fēng)險(xiǎn)的等級(jí) ? 要達(dá)到完全的風(fēng)險(xiǎn)是不可能的。 ? 總是有剩餘的風(fēng)險(xiǎn)。 ? 什麼樣程度的剩餘風(fēng)險(xiǎn)能為組織所接受？ 風(fēng)險(xiǎn)處理 ? 需考量的因素有： ? 地點(diǎn) ? 已存在的安全 ? 攻擊者的數(shù)量 ? 可用的設(shè)施 ? 累積的機(jī)會(huì) ? 宣傳層次 ? 營(yíng)運(yùn)持續(xù)計(jì)劃 風(fēng)險(xiǎn)處理 ? 風(fēng)險(xiǎn)處理的步驟 ? 定義一個(gè)可接受的 殘餘風(fēng)險(xiǎn) 等級(jí)。 ? 持續(xù)的審查威脅和脆弱性。 ? 對(duì)已存在之安全控制措施的審查。 ? 應(yīng)用其它安全控制措施，如 BS7799。 ? 導(dǎo)入政策和程序。 風(fēng)險(xiǎn)處理 ? 控制措施的選擇 ? 風(fēng)險(xiǎn) ? 要求的保證程度 (即強(qiáng)度 ) ? 成本 ? 實(shí)施的容易性 ? 服務(wù) ? 法律和法規(guī)的要求 ? 客戶和其它的合約要求 風(fēng)險(xiǎn)處理 ? 成本 ? 預(yù)算限制。 ? 用控制措施的成本是否會(huì)超過(guò)資產(chǎn)本身的價(jià)值？ ? 也許必頇選擇”最佳價(jià)值”範(fàn)圍內(nèi)的控制措施。 風(fēng)險(xiǎn)處理 ? 實(shí)施的容易性 ? 環(huán)境是否支援控制措施？ ? 控制措施需要多久才有辦法開(kāi)始實(shí)施？ ? 控制措施是否立即可用的？ 風(fēng)險(xiǎn)處理 ? 服務(wù) ? 可獲得的技術(shù)是否能夠管理控制措施？ ? 是否能夠立即的升級(jí)？ ? 設(shè)備是否有當(dāng)?shù)毓こ處熁騾f(xié)力廠商的支援？ 風(fēng)險(xiǎn)處理 ? 客戶和其它合約的要求 ? 安全篩選 ? 受限制的存取 ? 實(shí)體的安全邊界 ? 資料儲(chǔ)存 ? 加密 ? 數(shù)位簽章 風(fēng)險(xiǎn)處理 ? 最佳作業(yè)的控制措施 ? 資訊安全政策文件 ? 資訊安全責(zé)任的分配 ? 資訊安全教育和訓(xùn)練 ? 應(yīng)用系統(tǒng)的正確處理 ? 技術(shù)脆弱點(diǎn)管理 ? 營(yíng)運(yùn)持續(xù)管理 ? 管理資訊安全事故和改善 風(fēng)險(xiǎn)處理 ? 測(cè)量控制措施的有效性 ? 與 ，用以監(jiān)控 ISMS的有效性。 ? 在規(guī)劃期間審查風(fēng)險(xiǎn)評(píng)鑑及審查剩餘風(fēng)險(xiǎn)與鑑別之可接受風(fēng)險(xiǎn)等級(jí)，以考慮控制措施實(shí)施有效性之變化。 ? 幫助監(jiān)控已實(shí)施控制措施的效果。 風(fēng)險(xiǎn)處理 ? 風(fēng)險(xiǎn)評(píng)鑑過(guò)程 ? 資產(chǎn)鑑別與價(jià)值評(píng)估 ? 威脅的鑑別 ? 脆弱性的鑑別 ? 衝擊的評(píng)估 ? 營(yíng)運(yùn)風(fēng)險(xiǎn) ? 風(fēng)險(xiǎn)的分級(jí) ? 風(fēng)險(xiǎn)管理過(guò)程 ? 現(xiàn)有的安全控制措施審查 ? 新安全控制措施的鑑別 ? 政策與程序 ? 實(shí)施與風(fēng)險(xiǎn)降低 ? 風(fēng)險(xiǎn)可接受度 (殘餘風(fēng)險(xiǎn) ) 課程大綱 ? ISO27001:2023法規(guī)說(shuō)明 ? 附錄 A控制措施簡(jiǎn)介 ? 資產(chǎn)評(píng)估 ? 風(fēng)險(xiǎn)評(píng)鑑 ? 風(fēng)險(xiǎn)處理 ? 適用性聲明 ? 稽核 適用性聲明 ? 是組織選擇適合其企業(yè)營(yíng)運(yùn)需求的目標(biāo)與控制措施評(píng)論。 ? 聲明也將記錄任何控制措施的排除。 ? 聲明是展示組織如何控制風(fēng)險(xiǎn)的文件，應(yīng)該沒(méi)有太多的細(xì)節(jié)能夠讓想要破壞安全的人取得寶貴的資訊。 ? 它可能會(huì)被潛在的商業(yè)夥伴所要求持有的獨(dú)立文件，或是成為驗(yàn)證機(jī)構(gòu)所頒發(fā)證書(shū)的附加資訊，因此它有可能會(huì)是公開(kāi)的資訊。 適用性聲明 ? 適合其企業(yè)需求的目標(biāo)與控制措施評(píng)論。 ? 證明哪些控制措施是相關(guān)的 ? 紀(jì)錄哪些不相關(guān)的控制措施 ? 風(fēng)險(xiǎn)評(píng)鑑將決定哪一些控制措施應(yīng)該被實(shí)施 ? 是完整文件審查的一部份 ? 將幫助決定最後評(píng)鑑階段的稽核計(jì)畫(huà) 適用性聲明 ? 如果要求未被實(shí)施，為什麼？ ? 風(fēng)險(xiǎn)因未暴露而未被確認(rèn) ? 預(yù)算、財(cái)務(wù)限制 ? 環(huán)境影響防護(hù)措施，如氣候、空間等。 ? 技術(shù)，有些措施是技術(shù)上不可行的。 ? 文化、社會(huì)限制 ? 時(shí)間，有些要求無(wú)法現(xiàn)在實(shí)施。 ? 其它 課程大綱 ? ISO27001:2023法規(guī)說(shuō)明 ? 附錄 A控制措施簡(jiǎn)介 ? 資產(chǎn)評(píng)估 ? 風(fēng)險(xiǎn)評(píng)鑑 ? 風(fēng)險(xiǎn)處理 ? 適用性聲明 ? 稽核 稽核 ? 至少需執(zhí)行兩個(gè)階段而且都頇見(jiàn)別隊(duì) BS77992和ISO27001:2023的符合性。 ? 稽核階段 1 ─ 文件審查 審查 ISMS核