【正文】 ? 稽核報(bào)告應(yīng)易讀的。 稽核報(bào)告 ? 報(bào)告最少應(yīng)包括下列資訊： ? 稽核發(fā)現(xiàn)的摘要 ? 稽核的區(qū)域 ? BS77992 / ISO27001:2023的稽核條款 ? 不符合事項(xiàng)報(bào)告 ? 相關(guān)的觀察事項(xiàng) ? 被稽核方的工作頭銜或被稽核部門(mén)的名稱(chēng) (不要記錄姓名 ) 稽核報(bào)告 ? 用清楚的方式記錄不符合事項(xiàng)，讓被稽核方能了解和解讀。 ? 建議 ─ 當(dāng)收到可接受的矯正措施的計(jì)畫(huà)。 寫(xiě)一份不 符合事項(xiàng)報(bào)告 ? 報(bào)告 依據(jù) ISO27001條款 要求，應(yīng)定時(shí)執(zhí)行權(quán)限審查及依據(jù)使用者註冊(cè)程序 UR1 01/11/01說(shuō)明使用者註冊(cè)其狀態(tài)需被審查和 3個(gè)月的有效性。 ? 系統(tǒng)、控制措施或程序的完全失效。 而且表示一個(gè)無(wú)法接受的風(fēng)險(xiǎn)，可能將被組織的利害關(guān)係人察覺(jué)到。 ? 被包含標(biāo)準(zhǔn)條款的引用 不符合事項(xiàng) ? 不符合事項(xiàng)： 與 BS77992 / ISO27001:2023的要求相反的情形，某一特定的要求並未被履行。引導(dǎo)被稽核方以得到答案。 稽核問(wèn)題 ? 開(kāi)放式 ─ 這些問(wèn)題需要更多的諮詢(xún)而非傴”是”或“不是”。 ? 適當(dāng)?shù)膯?wèn)題有助於達(dá)成稽核目標(biāo)。 ? 檢查表應(yīng)被以溝通運(yùn)作和流程的形式來(lái)準(zhǔn)備。 檢查表的準(zhǔn)備 ? 將標(biāo)準(zhǔn)條文轉(zhuǎn)換成問(wèn)題。 ? 確認(rèn)稽核員和被稽核方都了解。 ? 抽樣大小應(yīng)取決於信心是否能被確保。 客觀證據(jù) ? 資訊、紀(jì)錄或事實(shí)的聲明 ? 也許是定性或定量 ? 一個(gè)資訊安全系統(tǒng)要素的存在和實(shí)施 ? 基於觀察、測(cè)量或測(cè)詴 ? 能夠被驗(yàn)證的 獲得客觀證據(jù)的技巧 ? 面談 ? 觀察 ? 抽樣 ? 審查文件 ? 審查紀(jì)錄 ? 總結(jié)、分析和評(píng)估 抽樣 ? 從主要的活動(dòng)中選出有代表性的樣本。 ? 計(jì)畫(huà)必頇反映 ISMS的範(fàn)圍。 ? 稽核計(jì)畫(huà)應(yīng)該要包含主要的控制措施。 ? 主導(dǎo)稽核員 (Lead Auditor) 一個(gè)被指定管理安全稽核的稽核員。 稽核階段 2 ─ 實(shí)施稽核 ? 主要活動(dòng) ? 訪問(wèn) ISMS的所有權(quán)人和使用者 ? 審查高、中或低風(fēng)險(xiǎn)區(qū)域 ? 安全目標(biāo)及標(biāo)的 ? 安全和管理審查 ? 系統(tǒng)中核心文件的連結(jié) ? 報(bào)告發(fā)現(xiàn)事項(xiàng)和做出最後是否發(fā)證之建議 稽核員的類(lèi)型 ? 第三方稽核員 ─為獨(dú)立驗(yàn)證機(jī)構(gòu)。 稽核階段 1 ─ 文件審查 ? 目標(biāo) 為稽核計(jì)畫(huà) (階段 2)提供重點(diǎn)，藉此了解組織安全政策和目標(biāo)中 ISMS的背景脈絡(luò)，尤其是為了稽核所做的準(zhǔn)備聲明。 ? 文化、社會(huì)限制 ? 時(shí)間，有些要求無(wú)法現(xiàn)在實(shí)施。 ? 它可能會(huì)被潛在的商業(yè)夥伴所要求持有的獨(dú)立文件，或是成為驗(yàn)證機(jī)構(gòu)所頒發(fā)證書(shū)的附加資訊，因此它有可能會(huì)是公開(kāi)的資訊。 ? 幫助監(jiān)控已實(shí)施控制措施的效果。 風(fēng)險(xiǎn)處理 ? 控制措施的選擇 ? 風(fēng)險(xiǎn) ? 要求的保證程度 (即強(qiáng)度 ) ? 成本 ? 實(shí)施的容易性 ? 服務(wù) ? 法律和法規(guī)的要求 ? 客戶(hù)和其它的合約要求 風(fēng)險(xiǎn)處理 ? 成本 ? 預(yù)算限制。 ? 持續(xù)的審查威脅和脆弱性。 課程大綱 ? ISO27001:2023法規(guī)說(shuō)明 ? 附錄 A控制措施簡(jiǎn)介 ? 資產(chǎn)評(píng)估 ? 風(fēng)險(xiǎn)評(píng)鑑 ? 風(fēng)險(xiǎn)處理 ? 適用性聲明書(shū) ? 稽核 風(fēng)險(xiǎn)處理 ? 風(fēng)險(xiǎn)處理 ─計(jì)畫(huà) 風(fēng)險(xiǎn)處理計(jì)畫(huà)是定義行動(dòng)以降低 無(wú)法接受的風(fēng)險(xiǎn) ，和實(shí)施所需的控制措施以保護(hù)資訊的一種合作文件。 ? 蓄意的威脅 ? 意外的威脅 ? 威脅頻率 風(fēng)險(xiǎn)評(píng)鑑 ? 脆弱性 ? 脆弱性是組織資訊安全的漏洞或弱點(diǎn)。 ? 資產(chǎn)容易受到許多威脅， 這些威脅來(lái)自於利用脆弱性 。 ? 評(píng)鑑上述之全面的風(fēng)險(xiǎn)結(jié)果。 風(fēng)險(xiǎn)評(píng)鑑 ? 風(fēng)險(xiǎn)評(píng)鑑過(guò)程 ? 鑑別資產(chǎn)和指派資產(chǎn)價(jià)值 。 [ C] ? 這也表示選擇與文件化之風(fēng)險(xiǎn)評(píng)鑑方法論，可使風(fēng)險(xiǎn)評(píng)鑑產(chǎn)生 可比較與可重複 (再現(xiàn) )的結(jié)果。 ? BS7799的實(shí)施和驗(yàn)證是基於正式風(fēng)險(xiǎn)評(píng)鑑的結(jié)果。 ? 是什麼樣的系統(tǒng)？ 1– 4或是低到非常高 ? 這是風(fēng)險(xiǎn)評(píng)鑑過(guò)程中極為重要的部份。 ? 軟體資產(chǎn) ─ 如應(yīng)用程式、系統(tǒng)軟體等。是組織直接賦予價(jià)值且需要被保護(hù)的。 ? 預(yù)防措施之優(yōu)先順序應(yīng)依據(jù)風(fēng)險(xiǎn)評(píng)鑑之結(jié)果加以決定。 ? 決定並實(shí)施所需之措施。 ? 在 ISMS內(nèi)的書(shū)面程序應(yīng)該定義： ? 鑑別不符合事項(xiàng) ? 確定原因 ? 評(píng)估避免復(fù)發(fā)所需的活動(dòng) ? 確定和實(shí)施矯正措施 ? 紀(jì)錄結(jié)果 ? 審查行動(dòng)的有效性 8. ISMS之改進(jìn) ? 預(yù)防措施 為防止不符合事項(xiàng)發(fā)生，組織應(yīng)決定措施，消除 ISMS要求之潛在不符合事項(xiàng)之原因，以防止其發(fā)生。 ? 更新風(fēng)險(xiǎn)評(píng)鑑及風(fēng)險(xiǎn)處理計(jì)畫(huà)。 ? 先前管理階層審查之跟催措施。 ? 可用以改進(jìn)組織 ISMS績(jī)效及有效性之技術(shù)、產(chǎn)品或程序。審查應(yīng)包含改進(jìn)時(shí)機(jī)之評(píng)估，以及 ISMS變更之需求， 含資訊安全政策與資訊安全目標(biāo) 。應(yīng)以書(shū)面程序予以界定?；藴?zhǔn)則、範(fàn)圍、頻率及方法應(yīng)予以界定。 ? 評(píng)估所提供訓(xùn)練及所採(cǎi)取措施之有效性。 ? 確保資訊安全程序足以支持企業(yè)的需求。 ? 決定可接風(fēng)險(xiǎn)之標(biāo)準(zhǔn)，以及可接受風(fēng)險(xiǎn)之等級(jí)。 ? 確保建立各項(xiàng) ISMS目標(biāo)及計(jì)畫(huà)。為了紀(jì)錄之鑑別、儲(chǔ)存、保護(hù)、檢索、保存期限及報(bào)廢， 應(yīng)建立文件化程序 ，以界定所需之管制。 ? 過(guò)期文件為任何目的需保留時(shí)，應(yīng)予以適當(dāng)識(shí)別。 ? 確保有需要之人員均有文件可用，且依照其適用之傳遞、儲(chǔ)存及最終處理予以分類(lèi)。 ? 必要時(shí)，審查和更新並重新核準(zhǔn)文件?？赡苁菑?qiáng)制性的隱含在每個(gè) BS7799條款中。 ? Level 2– 程序 程序用來(lái)實(shí)施所要求的控制措施，描述 who、what 、 when 、 where等安全流程和不同部門(mén)間的控制措施。 ? 本國(guó)際標(biāo)準(zhǔn)要求之各紀(jì)錄。 ? 確保各項(xiàng)改進(jìn)措施達(dá)到預(yù)期目標(biāo)。 資訊安全管理系統(tǒng)之建立及管理 ? 維持及改進(jìn)資訊安全管理系統(tǒng) 組織應(yīng)定期進(jìn)行下述： ? 實(shí)施 ISMS所鑑定之 改進(jìn)活動(dòng) 。 ? 在規(guī)劃期間執(zhí)行內(nèi)部 ISMS稽核 內(nèi)部 ISMS稽核有時(shí)稱(chēng)為第一方稽核，是由組織自己或其代表基於內(nèi)部目的所實(shí)施。 ? 決定所採(cǎi)取解決安全漏洞之措施是否有效。 資訊安全管理系統(tǒng)之建立及管理 ? 資訊安全管理系統(tǒng)之監(jiān)控及審查 ? 執(zhí)行監(jiān)控與審查程序及其他控制措施，以便： ? 立即偵知系統(tǒng)處理結(jié)果之錯(cuò)誤。 ? 實(shí)施訓(xùn)練與認(rèn)知計(jì)畫(huà)。 資訊安全管理系統(tǒng)之建立及管理 ? 資訊安全管理系統(tǒng)之實(shí)施與操作 組織應(yīng) ? 有系統(tǒng)的陳述一項(xiàng) 風(fēng)險(xiǎn)處理計(jì)畫(huà) 以鑑別適當(dāng)管理措施、資源、權(quán)責(zé)及優(yōu)先順序，以便管理資訊安全風(fēng)險(xiǎn)。 ? 控制目標(biāo)與控制措施應(yīng)於本標(biāo)準(zhǔn)之附錄 A中加以選擇，為此過(guò)程的一部份並適當(dāng)滿(mǎn)足所鑑別之要求。 ? 鑑別各項(xiàng)風(fēng)險(xiǎn) ? 鑑別 ISMS控制範(fàn)圍內(nèi)之資產(chǎn)以及該資產(chǎn)之 擁有者 (owner)。 ? 建立評(píng)估風(fēng)險(xiǎn)之標(biāo)準(zhǔn)，及被管理階層核準(zhǔn)。 security management system 資訊安全管理系統(tǒng)之建立及管理 ? 建立資訊安全管理系統(tǒng) 組織應(yīng)： ? 依據(jù)業(yè)務(wù)、組織、所在位置、資產(chǎn)及技術(shù)等特性，定義資訊安全管理系統(tǒng)之 範(fàn)圍及界限 ，並包括任何自範(fàn)圍排除之細(xì)節(jié)及理由。 ? 提供適切的認(rèn)知、訓(xùn)練及教育。 ? 來(lái)自所有管理階層的實(shí)際支持和承諾。 ?完整性 (Integrity) ?保護(hù)資產(chǎn)準(zhǔn)確性和完整性之特性。 ISO27001:2023法規(guī)說(shuō)明 ?信息是一種資產(chǎn)，就像其它重要的企業(yè)資產(chǎn)依樣，對(duì)組織具有價(jià)值，因此需要受到適當(dāng)?shù)谋Ｗo(hù)。ISO27001:2023 信息安全管理系統(tǒng) 主導(dǎo)稽核員教材 課程大綱 ? ISO27001:2023法規(guī)說(shuō)明 ?附錄 A控制措施簡(jiǎn)介 ?資產(chǎn)評(píng)估 ?風(fēng)險(xiǎn)評(píng)鑒 ?風(fēng)險(xiǎn)處理 ?適用性聲明書(shū) ?稽核 ISO27001:2023法規(guī)說(shuō)明 ISMS標(biāo)準(zhǔn) /指南 ISO27001 serial (2023~) 2023 2023~2023 Before 2023 信息安全 管理系統(tǒng)要求 ISO27001 ISO27001:2023 (BS77992:2023) BS77992:2023 BS77992:1999 信息安全 管理作業(yè)要點(diǎn) ISO27002 (after April 2023) ISO17799:2023 (BS77991:2023) ISO17799:2023 BS77991:1999 ISO27001:2023法規(guī)說(shuō)明 ? BS7799：分為 BS77991和 BS77992兩部份 ? BS77991:2023 / ISO17799:2023 主要是做為參考文件，提供廣泛性的安全控制措施，作為現(xiàn)行信息安全之最佳作業(yè)方法，其中包含 11個(gè)控制措施章節(jié)，但不作為評(píng)鑒與驗(yàn)證標(biāo)準(zhǔn)。 ISO27001:2023法規(guī)說(shuō)明 ? 信息的類(lèi)型 ?書(shū)寫(xiě)或打印于紙上 ?儲(chǔ)存在電子媒體上 ?以郵寄或電子儲(chǔ)存媒體傳輸 ?顯示于企業(yè)影片