【正文】 助小組及對小組簡報(bào) ? 控制衝突和處理困難的情形 ? 執(zhí)行和控制所有的小組和被稽核者間的會議 ? 在稽核議題和 ISMS上做決定 ? 準(zhǔn)時(shí)報(bào)告稽核的結(jié)果 ? 報(bào)告所遭遇的阻礙 ? 即時(shí)報(bào)告重大的不符合事項(xiàng) ? 具備有效的溝通技巧 稽核員的責(zé)任 ? 支援小組組長 ? 需有準(zhǔn)備的 ? 參與首次和結(jié)束會議 ? 完成指派的工作 ? 依照時(shí)間表完成稽核和稽核範(fàn)圍 ? 記錄和支援所有發(fā)現(xiàn) ? 及時(shí)向被稽核方通報(bào)有關(guān)情況 ? 完善地保存所有文件 ? 保守機(jī)密 ? 需客觀和合乎道德的 ? 追蹤矯正措施 稽核員的角色 ?獨(dú)立的和客觀的評鑒 ISMS ?沒有偏見和影響 ? ISMS的有效性 ?實(shí)施的程度 ?稽核的計(jì)劃和管理 ?記錄和報(bào)告發(fā)現(xiàn) ?所有涉及稽核的當(dāng)事人必須尊重稽核員的完整性和獨(dú)立性 稽核員的素質(zhì) ? 注重實(shí)際的 ? 理解複雜的狀況 ? 了解組織裡的交互關(guān)係 ? 遵守機(jī)密性要求 ? 專業(yè)的 ? 獨(dú)立的 ? 心胸開闊的 ? 成熟的 ? 具有明智的判斷 ? 具有分析技巧 ? 具洞察力 ? 堅(jiān)韌的 安全稽核的利益 ? 為安全審查時(shí)資訊的關(guān)鍵來源 ? 展示資深管理階層的承諾 ? 改進(jìn)人員認(rèn)知、參與和動機(jī) ? 提供持續(xù)改進(jìn)的機(jī)會 ? 改善客戶信心和滿意度 ? 改進(jìn)運(yùn)作的表現(xiàn) 稽核目標(biāo) ? 審查安全系統(tǒng)對 BS7799的符合性 ? 審查 BS7799的實(shí)施程度 ? 審查系統(tǒng)的有效性和適切性，以符合安全政策和目標(biāo) ? 鑑別安全漏洞和弱點(diǎn) ? 提供改進(jìn) ISMS的機(jī)會 ? 符合合約和法規(guī)的要求 ? 驗(yàn)證需求 驗(yàn)證流程 ? 詢問 ? 申請 ? 預(yù)評 (選擇性的 ) ? 文件審查 (階段 1) ? 六週為最大的間隔 (UKAS) ? 階段 2的正式評鑑 ? 頒發(fā)證書 ? 持續(xù)評鑑 ? 每三年部份階段 1和全部的階段 2審查 (UKAS) 稽核生命週期 ? 稽核的生命週期通常稱為 Planning 計(jì)畫 Execution 執(zhí)行 Recording 紀(jì)錄 Close out 結(jié)案 稽核計(jì)劃 考量點(diǎn)有： ? 組織的大小和性質(zhì) ? 員工數(shù)量 ? 系統(tǒng)複雜度 ?ISMS的範(fàn)圍 ? 涉及的地點(diǎn)和數(shù)目 ? 資訊類型 ─ 文件或電子的 ? 文化 ? 語言 稽核計(jì)劃 準(zhǔn)備流程： ? 決定目標(biāo) ? 決定稽核的持續(xù)時(shí)間和所需資源 ? 選擇小組 ? 與被稽核者聯(lián)絡(luò) ─同意稽核日期 ? 貣草一份稽核計(jì)畫 ? 簡報(bào)小組 ? 準(zhǔn)備檢查表 ? 鑑別特殊的要求 稽核計(jì)劃 ? BS7799稽核應(yīng)該被計(jì)畫和處理，根據(jù)風(fēng)險(xiǎn)評鑑的結(jié)果和適用性聲明中鑑別的控制措施。 ? 客戶 (Client) 被稽核的組織。 稽核專有名詞解釋 ? 稽核員 (Auditor) 一個有資格去執(zhí)行安全稽核的人。 ? 第二方稽核員 ─有從屬關(guān)係之組織。 ? 測詴 ISMS的有效性。 稽核階段 1 ─ 文件審查 ? 主要活動 ? 審查 ISMS管理架構(gòu) ? 確定 ISMS範(fàn)圍 ? 風(fēng)險(xiǎn)評鑑和管理 ? 適用性聲明 ? 安全政策和支援的關(guān)鍵程序 ? 發(fā)現(xiàn)結(jié)果的正式報(bào)告 ? 對組織解釋階段 2 稽核階段 2 ─ 實(shí)施稽核 ? 目標(biāo) ? 證明組織遵守本身的政策、目標(biāo)和程序。 ? 稽核階段 2 ─ 實(shí)施稽核 在現(xiàn)場進(jìn)行，對政策、程序、和目標(biāo)的有效性進(jìn)行審查。 ? 其它 課程大綱 ? ISO27001:2023法規(guī)說明 ? 附錄 A控制措施簡介 ? 資產(chǎn)評估 ? 風(fēng)險(xiǎn)評鑑 ? 風(fēng)險(xiǎn)處理 ? 適用性聲明 ? 稽核 稽核 ? 至少需執(zhí)行兩個階段而且都頇見別隊(duì) BS77992和ISO27001:2023的符合性。 ? 技術(shù)，有些措施是技術(shù)上不可行的。 適用性聲明 ? 適合其企業(yè)需求的目標(biāo)與控制措施評論。 ? 聲明是展示組織如何控制風(fēng)險(xiǎn)的文件，應(yīng)該沒有太多的細(xì)節(jié)能夠讓想要破壞安全的人取得寶貴的資訊。 風(fēng)險(xiǎn)處理 ? 風(fēng)險(xiǎn)評鑑過程 ? 資產(chǎn)鑑別與價(jià)值評估 ? 威脅的鑑別 ? 脆弱性的鑑別 ? 衝擊的評估 ? 營運(yùn)風(fēng)險(xiǎn) ? 風(fēng)險(xiǎn)的分級 ? 風(fēng)險(xiǎn)管理過程 ? 現(xiàn)有的安全控制措施審查 ? 新安全控制措施的鑑別 ? 政策與程序 ? 實(shí)施與風(fēng)險(xiǎn)降低 ? 風(fēng)險(xiǎn)可接受度 (殘餘風(fēng)險(xiǎn) ) 課程大綱 ? ISO27001:2023法規(guī)說明 ? 附錄 A控制措施簡介 ? 資產(chǎn)評估 ? 風(fēng)險(xiǎn)評鑑 ? 風(fēng)險(xiǎn)處理 ? 適用性聲明 ? 稽核 適用性聲明 ? 是組織選擇適合其企業(yè)營運(yùn)需求的目標(biāo)與控制措施評論。 ? 在規(guī)劃期間審查風(fēng)險(xiǎn)評鑑及審查剩餘風(fēng)險(xiǎn)與鑑別之可接受風(fēng)險(xiǎn)等級，以考慮控制措施實(shí)施有效性之變化。 ? 用控制措施的成本是否會超過資產(chǎn)本身的價(jià)值？ ? 也許必頇選擇”最佳價(jià)值”範(fàn)圍內(nèi)的控制措施。 ? 導(dǎo)入政策和程序。 ? 對已存在之安全控制措施的審查。 ? 什麼樣程度的剩餘風(fēng)險(xiǎn)能為組織所接受？ 風(fēng)險(xiǎn)處理 ? 需考量的因素有： ? 地點(diǎn) ? 已存在的安全 ? 攻擊者的數(shù)量 ? 可用的設(shè)施 ? 累積的機(jī)會 ? 宣傳層次 ? 營運(yùn)持續(xù)計(jì)劃 風(fēng)險(xiǎn)處理 ? 風(fēng)險(xiǎn)處理的步驟 ? 定義一個可接受的 殘餘風(fēng)險(xiǎn) 等級。 風(fēng)險(xiǎn)處理 ? 風(fēng)險(xiǎn)處理 ─方向 ? 避免風(fēng)險(xiǎn) ? 降低風(fēng)險(xiǎn)到可接受程度 ? 轉(zhuǎn)移風(fēng)險(xiǎn) ? 接受剩餘的風(fēng)險(xiǎn) 風(fēng)險(xiǎn)處理 ? 可接受風(fēng)險(xiǎn)的等級 ? 要達(dá)到完全的風(fēng)險(xiǎn)是不可能的。 風(fēng)險(xiǎn)評鑑 ? 脆弱性 ? 關(guān)鍵人員的缺席 ? 不穩(wěn)定的動力 ? 未保護(hù)的電纜線 ? 安全意識的缺乏 ? 密碼權(quán)限的錯誤分配 ? 安全訓(xùn)練的不足 ? 未安裝防火牆 ? 未鎖的門 風(fēng)險(xiǎn)評鑑 ? 風(fēng)險(xiǎn)評鑑的工具和方法 Q:BS7799建議什麼工具？ A:風(fēng)險(xiǎn)評鑑應(yīng)該鑑別對組織資產(chǎn)的 威脅、脆弱性和衝擊 ，而且應(yīng)該決定 風(fēng)險(xiǎn)程度 。 ? 脆弱性本身並不會造成傷害，而是可能允許威脅影響資產(chǎn)的一種或多種情況。 ? 科技的 ─ 網(wǎng)路故障、流量超過負(fù)荷、硬體故障等。 風(fēng)險(xiǎn)評鑑 ? 威脅 ? 天災(zāi) ─ 洪水、暴風(fēng)、地震和閃電等。 ? 蓄意的或是意外的，人為的或是天災(zāi)的。 風(fēng)險(xiǎn)評鑑 ? 威脅 ? 宣告意圖造成損害、痛苦或不幸。 ? 鑑別如何藉由控制措施的實(shí)施以提供保護(hù)。 ? 鑑別資產(chǎn)的相關(guān)威脅和評鑑它們的可能性。[] 風(fēng)險(xiǎn)評鑑 ? 在稽核的過程中，稽核員會注意所選用之控制措施予風(fēng)險(xiǎn)處理過程之間的關(guān)係， 這些控制措施需溯及風(fēng)險(xiǎn)評鑑的結(jié)果，並溯及 ISMS的政策與目標(biāo) 。 [ D] ? 現(xiàn)在風(fēng)險(xiǎn)評鑑規(guī)定必頇有計(jì)畫地定期進(jìn)行審查，並且讓管理階層審查更新的風(fēng)險(xiǎn)評鑑與風(fēng)險(xiǎn)處理計(jì)畫。 風(fēng)險(xiǎn)評鑑 ? 組織必頇定義 (並製成文件 )其風(fēng)險(xiǎn)評鑑的方法。 ? 評鑑風(fēng)險(xiǎn) 資訊保護(hù)是基於防範(fàn)營運(yùn)資訊之風(fēng)險(xiǎn)，此為本國際標(biāo)準(zhǔn)的基礎(chǔ)，使組織能夠採取適當(dāng)?shù)陌踩刂拼胧? 課程大綱 ? ISO27001:2023法規(guī)說明 ? 附錄 A控制措施簡介 ? 資產(chǎn)評估 ? 風(fēng)險(xiǎn)評鑑 ? 風(fēng)險(xiǎn)處理 ? 適用性聲明書 ? 稽核 風(fēng)險(xiǎn)評鑑 ? 安全風(fēng)險(xiǎn) 安全風(fēng)險(xiǎn)是指 特定威脅 利用 脆弱性 ，造成資產(chǎn)或資訊資產(chǎn)損失或損毀的潛在可能。 資產(chǎn)評估 ? 資產(chǎn)價(jià)值 ? 對於 BS7799:2023/ISO27001:2023來說，資產(chǎn)並不一定包括組織內(nèi)一般視為有價(jià)值的所有事物。 資產(chǎn)評估 ? 資產(chǎn)價(jià)值和潛在衝擊 ? 組織已經(jīng)鑑別其資訊資產(chǎn)的價(jià)值嗎？ ? 決定每個資產(chǎn)價(jià)值是決定一個有效率安全政策的第一步。 ? 實(shí)體資產(chǎn) ─ 如電腦、磁碟片等。 ? 書面文件 ─ 如合約書、指南等。 必頇是 相關(guān)於 ISMS的範(fàn)圍 。 資產(chǎn)評估 ? 何謂資產(chǎn)？ 資產(chǎn)就是對組織有價(jià)值的任何事物。 課程大綱 ? ISO27001:2023法規(guī)說明 ? 附錄 A控制措施簡介 ? 資產(chǎn)評估 ? 風(fēng)險(xiǎn)評鑑 ? 風(fēng)險(xiǎn)處理 ? 適用性聲明書 ? 稽核 ISO27001:2023(BS77992:2023) 控制措施 ISO27001:2023(BS77992:2023) 控制措施 ISO27001:2023(BS77992:2023) 控制措施 ISO27001:2023(BS77992:2023) 控制措施 ISO27001:2023(BS77992:2023) 控制措施 ISO27001:2023(BS77992:2023) 控制措施 ISO27001:2023(BS77992:2023) 控制措施 ISO27001:2023(BS77992:2023) 控制措施 ISO27001:2023(BS77992:2023) 控制措