【正文】 ? 稽核報告應易讀的。 稽核報告 ? 報告最少應包括下列資訊： ? 稽核發(fā)現(xiàn)的摘要 ? 稽核的區(qū)域 ? BS77992 / ISO27001:2023的稽核條款 ? 不符合事項報告 ? 相關的觀察事項 ? 被稽核方的工作頭銜或被稽核部門的名稱 (不要記錄姓名 ) 稽核報告 ? 用清楚的方式記錄不符合事項，讓被稽核方能了解和解讀。 ? 建議 ─ 當收到可接受的矯正措施的計畫。 寫一份不 符合事項報告 ? 報告 依據(jù) ISO27001條款 要求，應定時執(zhí)行權限審查及依據(jù)使用者註冊程序 UR1 01/11/01說明使用者註冊其狀態(tài)需被審查和 3個月的有效性。 ? 系統(tǒng)、控制措施或程序的完全失效。 而且表示一個無法接受的風險，可能將被組織的利害關係人察覺到。 ? 被包含標準條款的引用 不符合事項 ? 不符合事項： 與 BS77992 / ISO27001:2023的要求相反的情形，某一特定的要求並未被履行。引導被稽核方以得到答案。 稽核問題 ? 開放式 ─ 這些問題需要更多的諮詢而非傴”是”或“不是”。 ? 適當?shù)膯栴}有助於達成稽核目標。 ? 檢查表應被以溝通運作和流程的形式來準備。 檢查表的準備 ? 將標準條文轉換成問題。 ? 確認稽核員和被稽核方都了解。 ? 抽樣大小應取決於信心是否能被確保。 客觀證據(jù) ? 資訊、紀錄或事實的聲明 ? 也許是定性或定量 ? 一個資訊安全系統(tǒng)要素的存在和實施 ? 基於觀察、測量或測詴 ? 能夠被驗證的 獲得客觀證據(jù)的技巧 ? 面談 ? 觀察 ? 抽樣 ? 審查文件 ? 審查紀錄 ? 總結、分析和評估 抽樣 ? 從主要的活動中選出有代表性的樣本。 ? 計畫必頇反映 ISMS的範圍。 ? 稽核計畫應該要包含主要的控制措施。 ? 主導稽核員 (Lead Auditor) 一個被指定管理安全稽核的稽核員。 稽核階段 2 ─ 實施稽核 ? 主要活動 ? 訪問 ISMS的所有權人和使用者 ? 審查高、中或低風險區(qū)域 ? 安全目標及標的 ? 安全和管理審查 ? 系統(tǒng)中核心文件的連結 ? 報告發(fā)現(xiàn)事項和做出最後是否發(fā)證之建議 稽核員的類型 ? 第三方稽核員 ─為獨立驗證機構。 稽核階段 1 ─ 文件審查 ? 目標 為稽核計畫 (階段 2)提供重點，藉此了解組織安全政策和目標中 ISMS的背景脈絡，尤其是為了稽核所做的準備聲明。 ? 文化、社會限制 ? 時間，有些要求無法現(xiàn)在實施。 ? 它可能會被潛在的商業(yè)夥伴所要求持有的獨立文件，或是成為驗證機構所頒發(fā)證書的附加資訊，因此它有可能會是公開的資訊。 ? 幫助監(jiān)控已實施控制措施的效果。 風險處理 ? 控制措施的選擇 ? 風險 ? 要求的保證程度 (即強度 ) ? 成本 ? 實施的容易性 ? 服務 ? 法律和法規(guī)的要求 ? 客戶和其它的合約要求 風險處理 ? 成本 ? 預算限制。 ? 持續(xù)的審查威脅和脆弱性。 課程大綱 ? ISO27001:2023法規(guī)說明 ? 附錄 A控制措施簡介 ? 資產(chǎn)評估 ? 風險評鑑 ? 風險處理 ? 適用性聲明書 ? 稽核 風險處理 ? 風險處理 ─計畫 風險處理計畫是定義行動以降低 無法接受的風險 ，和實施所需的控制措施以保護資訊的一種合作文件。 ? 蓄意的威脅 ? 意外的威脅 ? 威脅頻率 風險評鑑 ? 脆弱性 ? 脆弱性是組織資訊安全的漏洞或弱點。 ? 資產(chǎn)容易受到許多威脅， 這些威脅來自於利用脆弱性 。 ? 評鑑上述之全面的風險結果。 風險評鑑 ? 風險評鑑過程 ? 鑑別資產(chǎn)和指派資產(chǎn)價值 。 [ C] ? 這也表示選擇與文件化之風險評鑑方法論，可使風險評鑑產(chǎn)生 可比較與可重複 (再現(xiàn) )的結果。 ? BS7799的實施和驗證是基於正式風險評鑑的結果。 ? 是什麼樣的系統(tǒng)？ 1– 4或是低到非常高 ? 這是風險評鑑過程中極為重要的部份。 ? 軟體資產(chǎn) ─ 如應用程式、系統(tǒng)軟體等。是組織直接賦予價值且需要被保護的。 ? 預防措施之優(yōu)先順序應依據(jù)風險評鑑之結果加以決定。 ? 決定並實施所需之措施。 ? 在 ISMS內(nèi)的書面程序應該定義： ? 鑑別不符合事項 ? 確定原因 ? 評估避免復發(fā)所需的活動 ? 確定和實施矯正措施 ? 紀錄結果 ? 審查行動的有效性 8. ISMS之改進 ? 預防措施 為防止不符合事項發(fā)生，組織應決定措施，消除 ISMS要求之潛在不符合事項之原因，以防止其發(fā)生。 ? 更新風險評鑑及風險處理計畫。 ? 先前管理階層審查之跟催措施。 ? 可用以改進組織 ISMS績效及有效性之技術、產(chǎn)品或程序。審查應包含改進時機之評估，以及 ISMS變更之需求， 含資訊安全政策與資訊安全目標 。應以書面程序予以界定?；藴蕜t、範圍、頻率及方法應予以界定。 ? 評估所提供訓練及所採取措施之有效性。 ? 確保資訊安全程序足以支持企業(yè)的需求。 ? 決定可接風險之標準，以及可接受風險之等級。 ? 確保建立各項 ISMS目標及計畫。為了紀錄之鑑別、儲存、保護、檢索、保存期限及報廢， 應建立文件化程序 ，以界定所需之管制。 ? 過期文件為任何目的需保留時，應予以適當識別。 ? 確保有需要之人員均有文件可用，且依照其適用之傳遞、儲存及最終處理予以分類。 ? 必要時，審查和更新並重新核準文件。可能是強制性的隱含在每個 BS7799條款中。 ? Level 2– 程序 程序用來實施所要求的控制措施，描述 who、what 、 when 、 where等安全流程和不同部門間的控制措施。 ? 本國際標準要求之各紀錄。 ? 確保各項改進措施達到預期目標。 資訊安全管理系統(tǒng)之建立及管理 ? 維持及改進資訊安全管理系統(tǒng) 組織應定期進行下述： ? 實施 ISMS所鑑定之 改進活動 。 ? 在規(guī)劃期間執(zhí)行內(nèi)部 ISMS稽核 內(nèi)部 ISMS稽核有時稱為第一方稽核，是由組織自己或其代表基於內(nèi)部目的所實施。 ? 決定所採取解決安全漏洞之措施是否有效。 資訊安全管理系統(tǒng)之建立及管理 ? 資訊安全管理系統(tǒng)之監(jiān)控及審查 ? 執(zhí)行監(jiān)控與審查程序及其他控制措施，以便： ? 立即偵知系統(tǒng)處理結果之錯誤。 ? 實施訓練與認知計畫。 資訊安全管理系統(tǒng)之建立及管理 ? 資訊安全管理系統(tǒng)之實施與操作 組織應 ? 有系統(tǒng)的陳述一項 風險處理計畫 以鑑別適當管理措施、資源、權責及優(yōu)先順序，以便管理資訊安全風險。 ? 控制目標與控制措施應於本標準之附錄 A中加以選擇，為此過程的一部份並適當滿足所鑑別之要求。 ? 鑑別各項風險 ? 鑑別 ISMS控制範圍內(nèi)之資產(chǎn)以及該資產(chǎn)之 擁有者 (owner)。 ? 建立評估風險之標準，及被管理階層核準。 security management system 資訊安全管理系統(tǒng)之建立及管理 ? 建立資訊安全管理系統(tǒng) 組織應： ? 依據(jù)業(yè)務、組織、所在位置、資產(chǎn)及技術等特性，定義資訊安全管理系統(tǒng)之 範圍及界限 ，並包括任何自範圍排除之細節(jié)及理由。 ? 提供適切的認知、訓練及教育。 ? 來自所有管理階層的實際支持和承諾。 ?完整性 (Integrity) ?保護資產(chǎn)準確性和完整性之特性。 ISO27001:2023法規(guī)說明 ?信息是一種資產(chǎn)，就像其它重要的企業(yè)資產(chǎn)依樣，對組織具有價值，因此需要受到適當?shù)谋Ｗo。ISO27001:2023 信息安全管理系統(tǒng) 主導稽核員教材 課程大綱 ? ISO27001:2023法規(guī)說明 ?附錄 A控制措施簡介 ?資產(chǎn)評估 ?風險評鑒 ?風險處理 ?適用性聲明書 ?稽核 ISO27001:2023法規(guī)說明 ISMS標準 /指南 ISO27001 serial (2023~) 2023 2023~2023 Before 2023 信息安全 管理系統(tǒng)要求 ISO27001 ISO27001:2023 (BS77992:2023) BS77992:2023 BS77992:1999 信息安全 管理作業(yè)要點 ISO27002 (after April 2023) ISO17799:2023 (BS77991:2023) ISO17799:2023 BS77991:1999 ISO27001:2023法規(guī)說明 ? BS7799：分為 BS77991和 BS77992兩部份 ? BS77991:2023 / ISO17799:2023 主要是做為參考文件，提供廣泛性的安全控制措施，作為現(xiàn)行信息安全之最佳作業(yè)方法，其中包含 11個控制措施章節(jié)，但不作為評鑒與驗證標準。 ISO27001:2023法規(guī)說明 ? 信息的類型 ?書寫或打印于紙上 ?儲存在電子媒體上 ?以郵寄或電子儲存媒體傳輸 ?顯示于企業(yè)影片