【正文】 施 ISO27001:2023(BS77992:2023) 控制措施 ISO27001:2023(BS77992:2023) 控制措施 ISO27001:2023(BS77992:2023) 控制措施 ISO27001:2023(BS77992:2023) 控制措施 ISO27001:2023(BS77992:2023) 控制措施 ISO27001:2023(BS77992:2023) 控制措施 ISO27001:2023(BS77992:2023) 控制措施 ISO27001:2023(BS77992:2023) 控制措施 ? 不是所有的控制措施都與每種情況相關(guān)，也無法考量到所有的當(dāng)?shù)丨h(huán)境或技術(shù)限制，或以適合組織內(nèi)每位潛在使用者形式呈現(xiàn)。 ? 組織應(yīng)鑑別已變化之風(fēng)險及鑑別預(yù)防措施要求之焦點放在顯著變化之風(fēng)險上。 ? 紀(jì)錄所採取措施之結(jié)果。 ? 評估採取預(yù)防發(fā)生不符合措施的需求。所採取之預(yù)防措施應(yīng)與潛在問題之影響相稱。 8. ISMS之改進(jìn) ? 持續(xù)的改進(jìn) ? 尋求持續(xù)的改進(jìn) ? 透過下列改進(jìn) ISMS的有效性 ? 安全政策 ? 安全目標(biāo) ? 安全審查的結(jié)果 ? 安全稽核 ? 矯正措施 ? 預(yù)防措施 ? 管理審查 8. ISMS之改進(jìn) ? 矯正措施 ? 應(yīng)該採取措施以消除不合格的原因，避免復(fù)發(fā)。 ? 未因應(yīng)可能影響 ISMS之內(nèi)部或外部事件，必要時將影響資訊安全之程序及控制措施予以修訂，包括 ? 營運需求 ? 安全需求 ? 影響既有營運需求之營運過程 ? 法令或法規(guī)要求 ? 合約責(zé)任 ? 風(fēng)險等級風(fēng)險可接受程度之標(biāo)準(zhǔn) ? 資源需求。 7. ISMS之管理階層審查 ? 審查輸出 管理階層審查之輸出應(yīng)包括下列有關(guān)之任何決定與措施： ? ISMS有效性之改進(jìn)。 ? 可能影響 ISMS之任何變更。 ? 來自有效性量測之結(jié)果 。 ? 預(yù)防與矯正措施之狀況。 ? 來自利害相關(guān)團(tuán)體之回饋。 審查結(jié)果應(yīng)予以清楚的文件化，紀(jì)錄應(yīng)予以維持。 7. ISMS之管理階層審查 ? 概述 管理階層應(yīng)在規(guī)劃期間內(nèi) (至少一年一次 )，審查組織的ISMS，以確保其持續(xù)的適用性、適切性及有效性。 ? 被稽核區(qū)域管理階層之責(zé)任，應(yīng)確保採行措施沒有不當(dāng)之延誤，以消除所發(fā)現(xiàn)之不符合與其原因。 6. 內(nèi)部 ISMS稽核 ? 規(guī)劃與執(zhí)行稽核，及報告結(jié)果與維持紀(jì)錄之責(zé)任與要求。 稽核人員的選擇與稽核的執(zhí)行應(yīng)確?；诉^程的客觀及公平。 6. 內(nèi)部 ISMS稽核 ? 組織應(yīng)定期進(jìn)行內(nèi)部 ISMS稽核已決定其控制措施目標(biāo)、過程及程序是否： ? 符合本標(biāo)準(zhǔn)及相關(guān)法律或管理的要求 ? 符合所識別的資訊安全要求 ? 有效的實作與維護(hù) ? 如預(yù)期的執(zhí)行 ? 稽核計畫應(yīng)事先規(guī)劃，考慮稽核的過程與區(qū)域之狀況及重要性，以及先前稽核的結(jié)果。 ? 維持教育、訓(xùn)練、技巧、經(jīng)驗及資格之紀(jì)錄。 ? 提供訓(xùn)練或採取其他措施 (如：僱用具備能力之人員 )，以滿足該需求。 ? 藉由修改所有實行的控制措施，來維持適當(dāng)?shù)陌踩? 資源管理 ? 資源提供 組織應(yīng)決定並提供下列工作必要之資源： ? 建立、實施、操作、監(jiān)控、審查、維護(hù)與改進(jìn) ISMS。 ? 確保實施內(nèi)部 ISMS稽核 。 ? 提供充分資源以建立、實施、操作、監(jiān)控、審查、維護(hù)與改進(jìn)ISMS。 ? 為資訊安全建立角色與權(quán)責(zé)。 ? 管理階層承諾 管理階層應(yīng)藉由下列各項，對 ISMS之建立、實施、操作、監(jiān)控、審查、維護(hù)與改進(jìn)之承諾提供證據(jù)： ? 建立一份 ISMS政策。 所需之紀(jì)錄及其範(fàn)圍應(yīng)由管理過程加以決定。 ? 紀(jì)錄應(yīng)清晰易讀，容易檢索及識別。 文件要求 ? 紀(jì)錄管制 ? 為提供 ISMS符合要求及有效運作之證據(jù)，所建立並維持之紀(jì)錄，應(yīng)予以保護(hù)級管制。 ? 防止失效文件被誤用。 ? 確保外來原始文件已加以識別。 ? 確保文件保持易於閱讀並容易識別。 ? 確保文件之變更與最新改訂狀況已予以識別。 應(yīng)建立文件化程序 ，以界定所需之管理措施，用以： ? 在文件發(fā)行前核準(zhǔn)其適切性。例如：機(jī)房訪客登記簿、稽核記錄和存取授權(quán) …等。 ? Level 4– 紀(jì)錄 紀(jì)錄活動實行以符合等級 2和 3文件要求的客觀證據(jù)。 文件要求 ? Level 3– 工作指導(dǎo)書、檢查清單、表格等 解釋特殊工作和活動的細(xì)節(jié)，以及如何完成特定的工作。 文件要求 ? ISMS文件的廣度，其範(fàn)圍和細(xì)節(jié)取決於： ?產(chǎn)品和流程的複雜性 ?顧客和法規(guī)的要求 ?工業(yè)標(biāo)準(zhǔn)和規(guī)範(fàn) ?教育、經(jīng)驗和訓(xùn)練 ?勞動力的穩(wěn)定性 ?過去發(fā)生的安全問題 文件要求 ? Level 1– 安全政策手冊 為管理架構(gòu)的摘要，其中包括了資訊安全政策和控制措施目標(biāo)，以及適用性聲明書中所提及已實施的控制措施。 ? 適用性聲明書。 資訊安全管理系統(tǒng)文件應(yīng)包含： ? ISMS政策與安全目標(biāo)之書面聲明 ? 資訊安全管理系統(tǒng)之範(fàn)圍 ? 支援 ISMS之相關(guān)程序書及控制措施 ? 風(fēng)險評鑑方法論之說明書 ? 風(fēng)險處理計畫 文件要求 ? 組織為確保有效規(guī)畫、操作與控制資訊安全過程，及說明如何量測控制措施有效所需之書面程序 。 文件要求 ? 一般要求 文件應(yīng)包括管理決策紀(jì)錄，確保相關(guān)活動可追溯至管理決策與政策，並確保所紀(jì)錄之結(jié)果是可再現(xiàn)的。 ? 以適切於情況的詳盡程度與所有利害相關(guān)團(tuán)體就各項措施及改進(jìn)活動進(jìn)行溝通，並在適當(dāng)時取得進(jìn)行方式的同意。 ? 依據(jù)第 。 ? 紀(jì)錄對 ISMS之有效性或績效有衝擊之活動與事件。 資訊安全管理系統(tǒng)之建立及管理 ? 定期執(zhí)行 ISMS管理階層審查，以確保範(fàn)圍保持適當(dāng)，及 ISMS過程之各項改進(jìn)均已鑑別。 資訊安全管理系統(tǒng)之建立及管理 ? 在規(guī)劃期間審查風(fēng)險評鑑及審查殘餘風(fēng)險，與鑑別之可接受風(fēng)險等級，並考慮下列之變數(shù)： ? 組織 ? 技術(shù) ? 企業(yè)目標(biāo)及過程 ? 已鑑別之威脅 ? 控制措施實施有效性 ? 外部事件，例如法律或法規(guī)環(huán)境之變化、合約責(zé)任之變化，以及社會環(huán)境之變化。 ? 定期審查 ISMS之有效性 (包含符合 ISMS政策、目標(biāo)及控制措施之審查 )，並考慮來自安全稽核、事件、來自有效性量測之結(jié)果、股東及利害關(guān)係團(tuán)體之建議及回饋之結(jié)果。 ? 使用指標(biāo)幫助偵測安全事件並防止安全事故。 ? 立即鑑別企圖及已成功之安全破壞及事故。 ? 實施能即時偵知安全事故，並予以回應(yīng)安全事件處理之作業(yè)程序及其他控制措施。 ? 管理 ISMS作業(yè)。 ? 定義如何測量所選擇控制措施或控制措施群組織有效，及具體說明如何使用這些測量來評估控制措施之有效性，並產(chǎn)出可比較即可再現(xiàn)的結(jié)果。 ? 實施風(fēng)險處理計畫，以達(dá)到所鑑別的安全目標(biāo)，計畫內(nèi)容包括投資的考慮以及角色與責(zé)任的分派。 ? 附錄 A中任何排除之控制目標(biāo)與控制措施，及其排除之正當(dāng)理由。 資訊安全管理系統(tǒng)之建立及管理 ? 所提出之殘餘風(fēng)險頇取得 管理階層 之核準(zhǔn) ? ISMS亦 頇獲得授權(quán) 才能實施與操作 ? 擬訂一份適用性聲明書，頇包括下列： ? 於 ，其選擇之理由。 資訊安全管理系統(tǒng)之建立及管理 ? 分析及評估各項風(fēng)險 ? 鑑別並評估風(fēng)險處理之選項方法 ? 選擇控制目標(biāo)及控制措施以處理風(fēng)險： ? 應(yīng)選擇並實施控制目標(biāo)與控制措施 ，以符合風(fēng)險評鑑與風(fēng)險處理過程所鑑別之要求。 擁有者 (owner)一詞係指已核準(zhǔn)資產(chǎn)管理責(zé)任之個人或?qū)嶓w，針對資產(chǎn)之生產(chǎn)、開發(fā)、維護(hù)、使用及安全之管制。 所選擇之風(fēng)險評鑑方法論應(yīng)確保產(chǎn)出可比較及可重複之結(jié)果 。 資訊安全管理系統(tǒng)之建立及管理 ? 定義組織之風(fēng)險評鑑辦法 ? 鑑別一風(fēng)險評鑑方法論，並適合其 ISMS、已鑑別之企業(yè)資訊安全、以及法律與法規(guī)要求。 ? 與組織策略性之風(fēng)險管理內(nèi)容配合，使 ISMS得以建立及維持。 ? 依據(jù)業(yè)務(wù)、組織、所在位置、資產(chǎn)及技術(shù)等特性，定義資訊安全管理系統(tǒng)之政策，且： ? 包含設(shè)定目標(biāo)之框架，並建立有關(guān)資訊安全之整體方向亦是與行動原則。 ISO27001:2023法規(guī)說明 4. Information security management system ? 一般要求 組織 應(yīng)在整體業(yè)務(wù)活動與所面臨風(fēng)險下建立、實施、操作、監(jiān)控、審查、維護(hù)及改進(jìn)一文件化ISMS，為本國際標(biāo)準(zhǔn)之目的，所採用之過程以下圖所示之 PDCA模式為基礎(chǔ)。 ? 制定有效的信息安全事故管理過程。 ? 資助信息安全管理活動。 ? 對信息安全要求、風(fēng)險評鑒以及風(fēng)險管理的深入了解。 ? 與組織文化一致之實施、維護(hù)、監(jiān)控、及改進(jìn)信息安全的方法與框架。 ?可用性 (Avaliability) ?基于需要可由授權(quán)者存取及使用之特性。 ISO27001:2023法規(guī)說明 ?機(jī)密性 (Confidentiality) ?信息不可被未經(jīng)授權(quán)之個人、實體、流程所取得或揭露之特性。 ISO27001:2023法規(guī)說明 ? 信息的類型 ?書寫