【正文】 助小組及對小組簡報 ? 控制衝突和處理困難的情形 ? 執(zhí)行和控制所有的小組和被稽核者間的會議 ? 在稽核議題和 ISMS上做決定 ? 準時報告稽核的結果 ? 報告所遭遇的阻礙 ? 即時報告重大的不符合事項 ? 具備有效的溝通技巧 稽核員的責任 ? 支援小組組長 ? 需有準備的 ? 參與首次和結束會議 ? 完成指派的工作 ? 依照時間表完成稽核和稽核範圍 ? 記錄和支援所有發(fā)現 ? 及時向被稽核方通報有關情況 ? 完善地保存所有文件 ? 保守機密 ? 需客觀和合乎道德的 ? 追蹤矯正措施 稽核員的角色 ?獨立的和客觀的評鑒 ISMS ?沒有偏見和影響 ? ISMS的有效性 ?實施的程度 ?稽核的計劃和管理 ?記錄和報告發(fā)現 ?所有涉及稽核的當事人必須尊重稽核員的完整性和獨立性 稽核員的素質 ? 注重實際的 ? 理解複雜的狀況 ? 了解組織裡的交互關係 ? 遵守機密性要求 ? 專業(yè)的 ? 獨立的 ? 心胸開闊的 ? 成熟的 ? 具有明智的判斷 ? 具有分析技巧 ? 具洞察力 ? 堅韌的 安全稽核的利益 ? 為安全審查時資訊的關鍵來源 ? 展示資深管理階層的承諾 ? 改進人員認知、參與和動機 ? 提供持續(xù)改進的機會 ? 改善客戶信心和滿意度 ? 改進運作的表現 稽核目標 ? 審查安全系統對 BS7799的符合性 ? 審查 BS7799的實施程度 ? 審查系統的有效性和適切性，以符合安全政策和目標 ? 鑑別安全漏洞和弱點 ? 提供改進 ISMS的機會 ? 符合合約和法規(guī)的要求 ? 驗證需求 驗證流程 ? 詢問 ? 申請 ? 預評 (選擇性的 ) ? 文件審查 (階段 1) ? 六週為最大的間隔 (UKAS) ? 階段 2的正式評鑑 ? 頒發(fā)證書 ? 持續(xù)評鑑 ? 每三年部份階段 1和全部的階段 2審查 (UKAS) 稽核生命週期 ? 稽核的生命週期通常稱為 Planning 計畫 Execution 執(zhí)行 Recording 紀錄 Close out 結案 稽核計劃 考量點有： ? 組織的大小和性質 ? 員工數量 ? 系統複雜度 ?ISMS的範圍 ? 涉及的地點和數目 ? 資訊類型 ─ 文件或電子的 ? 文化 ? 語言 稽核計劃 準備流程： ? 決定目標 ? 決定稽核的持續(xù)時間和所需資源 ? 選擇小組 ? 與被稽核者聯絡 ─同意稽核日期 ? 貣草一份稽核計畫 ? 簡報小組 ? 準備檢查表 ? 鑑別特殊的要求 稽核計劃 ? BS7799稽核應該被計畫和處理，根據風險評鑑的結果和適用性聲明中鑑別的控制措施。 ? 客戶 (Client) 被稽核的組織。 稽核專有名詞解釋 ? 稽核員 (Auditor) 一個有資格去執(zhí)行安全稽核的人。 ? 第二方稽核員 ─有從屬關係之組織。 ? 測詴 ISMS的有效性。 稽核階段 1 ─ 文件審查 ? 主要活動 ? 審查 ISMS管理架構 ? 確定 ISMS範圍 ? 風險評鑑和管理 ? 適用性聲明 ? 安全政策和支援的關鍵程序 ? 發(fā)現結果的正式報告 ? 對組織解釋階段 2 稽核階段 2 ─ 實施稽核 ? 目標 ? 證明組織遵守本身的政策、目標和程序。 ? 稽核階段 2 ─ 實施稽核 在現場進行，對政策、程序、和目標的有效性進行審查。 ? 其它 課程大綱 ? ISO27001:2023法規(guī)說明 ? 附錄 A控制措施簡介 ? 資產評估 ? 風險評鑑 ? 風險處理 ? 適用性聲明 ? 稽核 稽核 ? 至少需執(zhí)行兩個階段而且都頇見別隊 BS77992和ISO27001:2023的符合性。 ? 技術，有些措施是技術上不可行的。 適用性聲明 ? 適合其企業(yè)需求的目標與控制措施評論。 ? 聲明是展示組織如何控制風險的文件，應該沒有太多的細節(jié)能夠讓想要破壞安全的人取得寶貴的資訊。 風險處理 ? 風險評鑑過程 ? 資產鑑別與價值評估 ? 威脅的鑑別 ? 脆弱性的鑑別 ? 衝擊的評估 ? 營運風險 ? 風險的分級 ? 風險管理過程 ? 現有的安全控制措施審查 ? 新安全控制措施的鑑別 ? 政策與程序 ? 實施與風險降低 ? 風險可接受度 (殘餘風險 ) 課程大綱 ? ISO27001:2023法規(guī)說明 ? 附錄 A控制措施簡介 ? 資產評估 ? 風險評鑑 ? 風險處理 ? 適用性聲明 ? 稽核 適用性聲明 ? 是組織選擇適合其企業(yè)營運需求的目標與控制措施評論。 ? 在規(guī)劃期間審查風險評鑑及審查剩餘風險與鑑別之可接受風險等級，以考慮控制措施實施有效性之變化。 ? 用控制措施的成本是否會超過資產本身的價值？ ? 也許必頇選擇”最佳價值”範圍內的控制措施。 ? 導入政策和程序。 ? 對已存在之安全控制措施的審查。 ? 什麼樣程度的剩餘風險能為組織所接受？ 風險處理 ? 需考量的因素有： ? 地點 ? 已存在的安全 ? 攻擊者的數量 ? 可用的設施 ? 累積的機會 ? 宣傳層次 ? 營運持續(xù)計劃 風險處理 ? 風險處理的步驟 ? 定義一個可接受的 殘餘風險 等級。 風險處理 ? 風險處理 ─方向 ? 避免風險 ? 降低風險到可接受程度 ? 轉移風險 ? 接受剩餘的風險 風險處理 ? 可接受風險的等級 ? 要達到完全的風險是不可能的。 風險評鑑 ? 脆弱性 ? 關鍵人員的缺席 ? 不穩(wěn)定的動力 ? 未保護的電纜線 ? 安全意識的缺乏 ? 密碼權限的錯誤分配 ? 安全訓練的不足 ? 未安裝防火牆 ? 未鎖的門 風險評鑑 ? 風險評鑑的工具和方法 Q:BS7799建議什麼工具？ A:風險評鑑應該鑑別對組織資產的 威脅、脆弱性和衝擊 ，而且應該決定 風險程度 。 ? 脆弱性本身並不會造成傷害，而是可能允許威脅影響資產的一種或多種情況。 ? 科技的 ─ 網路故障、流量超過負荷、硬體故障等。 風險評鑑 ? 威脅 ? 天災 ─ 洪水、暴風、地震和閃電等。 ? 蓄意的或是意外的，人為的或是天災的。 風險評鑑 ? 威脅 ? 宣告意圖造成損害、痛苦或不幸。 ? 鑑別如何藉由控制措施的實施以提供保護。 ? 鑑別資產的相關威脅和評鑑它們的可能性。[] 風險評鑑 ? 在稽核的過程中，稽核員會注意所選用之控制措施予風險處理過程之間的關係， 這些控制措施需溯及風險評鑑的結果，並溯及 ISMS的政策與目標 。 [ D] ? 現在風險評鑑規(guī)定必頇有計畫地定期進行審查，並且讓管理階層審查更新的風險評鑑與風險處理計畫。 風險評鑑 ? 組織必頇定義 (並製成文件 )其風險評鑑的方法。 ? 評鑑風險 資訊保護是基於防範營運資訊之風險，此為本國際標準的基礎，使組織能夠採取適當的安全控制措施。 課程大綱 ? ISO27001:2023法規(guī)說明 ? 附錄 A控制措施簡介 ? 資產評估 ? 風險評鑑 ? 風險處理 ? 適用性聲明書 ? 稽核 風險評鑑 ? 安全風險 安全風險是指 特定威脅 利用 脆弱性 ，造成資產或資訊資產損失或損毀的潛在可能。 資產評估 ? 資產價值 ? 對於 BS7799:2023/ISO27001:2023來說，資產並不一定包括組織內一般視為有價值的所有事物。 資產評估 ? 資產價值和潛在衝擊 ? 組織已經鑑別其資訊資產的價值嗎？ ? 決定每個資產價值是決定一個有效率安全政策的第一步。 ? 實體資產 ─ 如電腦、磁碟片等。 ? 書面文件 ─ 如合約書、指南等。 必頇是 相關於 ISMS的範圍 。 資產評估 ? 何謂資產？ 資產就是對組織有價值的任何事物。 課程大綱 ? ISO27001:2023法規(guī)說明 ? 附錄 A控制措施簡介 ? 資產評估 ? 風險評鑑 ? 風險處理 ? 適用性聲明書 ? 稽核 ISO27001:2023(BS77992:2023) 控制措施 ISO27001:2023(BS77992:2023) 控制措施 ISO27001:2023(BS77992:2023) 控制措施 ISO27001:2023(BS77992:2023) 控制措施 ISO27001:2023(BS77992:2023) 控制措施 ISO27001:2023(BS77992:2023) 控制措施 ISO27001:2023(BS77992:2023) 控制措施 ISO27001:2023(BS77992:2023) 控制措施 ISO27001:2023(BS77992:2023) 控制措