【正文】 或打印于紙上 ?儲(chǔ)存在電子媒體上 ?以郵寄或電子儲(chǔ)存媒體傳輸 ?顯示于企業(yè)影片上 ?言語(yǔ) 在對(duì)話中提出 ?不管信息的形式是什么，或者共享或儲(chǔ)存的方式是什么，都應(yīng)該受到適當(dāng)?shù)谋Ｗo(hù)。 ISO27001:2023法規(guī)說(shuō)明 ? BS77991:2023 / ISO17799:2023 ?信息安全管理作業(yè)要點(diǎn) ?用意是做為參考文件 ?提供廣泛性的安全控制措施 ?現(xiàn)行信息安全之最佳作業(yè)方法 ?包含 11個(gè)控制章節(jié) ?無(wú)法作為評(píng)鑒與驗(yàn)證 ISO27001:2023法規(guī)說(shuō)明 ? BS77992:2023 / ISO27001:2023 ?信息安全管理系統(tǒng)要求 ?根據(jù) BS77991:2023 ?ISMS之建立實(shí)施與文件化之具體要求 ?依據(jù)個(gè)別組織的需求，規(guī)定要實(shí)施之安全控制措施的要求。ISO27001:2023 信息安全管理系統(tǒng) 主導(dǎo)稽核員教材 課程大綱 ? ISO27001:2023法規(guī)說(shuō)明 ?附錄 A控制措施簡(jiǎn)介 ?資產(chǎn)評(píng)估 ?風(fēng)險(xiǎn)評(píng)鑒 ?風(fēng)險(xiǎn)處理 ?適用性聲明書(shū) ?稽核 ISO27001:2023法規(guī)說(shuō)明 ISMS標(biāo)準(zhǔn) /指南 ISO27001 serial (2023~) 2023 2023~2023 Before 2023 信息安全 管理系統(tǒng)要求 ISO27001 ISO27001:2023 (BS77992:2023) BS77992:2023 BS77992:1999 信息安全 管理作業(yè)要點(diǎn) ISO27002 (after April 2023) ISO17799:2023 (BS77991:2023) ISO17799:2023 BS77991:1999 ISO27001:2023法規(guī)說(shuō)明 ? BS7799：分為 BS77991和 BS77992兩部份 ? BS77991:2023 / ISO17799:2023 主要是做為參考文件，提供廣泛性的安全控制措施，作為現(xiàn)行信息安全之最佳作業(yè)方法，其中包含 11個(gè)控制措施章節(jié)，但不作為評(píng)鑒與驗(yàn)證標(biāo)準(zhǔn)。 ? BS77992:2023 / ISO27001:2023 系根據(jù) BS77991，提供信息安全管理系統(tǒng) (ISMS)之建立實(shí)施與書(shū)面化之具體要求，依據(jù)個(gè)別組織的需求，規(guī)定要實(shí)施之安全控制措施的要求。 ISO27001:2023法規(guī)說(shuō)明 ?信息是一種資產(chǎn)，就像其它重要的企業(yè)資產(chǎn)依樣，對(duì)組織具有價(jià)值，因此需要受到適當(dāng)?shù)谋Ｗo(hù)。 ISO27001:2023法規(guī)說(shuō)明 ?信息安全 ?保護(hù)信息的機(jī)密性、完整性與可用性；另外，亦可包含如可鑒別性 (真實(shí)性 )、可歸責(zé)性、不可否認(rèn)性及可靠性等特性 。 ?完整性 (Integrity) ?保護(hù)資產(chǎn)準(zhǔn)確性和完整性之特性。 ISO27001:2023法規(guī)說(shuō)明 ? 關(guān)鍵的成功因素 (Critical success factors) 經(jīng)驗(yàn)顯示，組織的信息安全能否成功實(shí)施，下列常為關(guān)鍵因素： ? 能反映營(yíng)運(yùn)目標(biāo)的信息安全政策、目標(biāo)及活動(dòng)。 ? 來(lái)自所有管理階層的實(shí)際支持和承諾。 ? 向全體管理人員、受雇人員、及相關(guān)人員有效推廣信息安全以達(dá)到認(rèn)知。 ? 提供適切的認(rèn)知、訓(xùn)練及教育。 ? 實(shí)施ㄧ個(gè)用于評(píng)估 ISMS的績(jī)效及改進(jìn)的回饋建議之量測(cè)系統(tǒng)。 security management system 資訊安全管理系統(tǒng)之建立及管理 ? 建立資訊安全管理系統(tǒng) 組織應(yīng)： ? 依據(jù)業(yè)務(wù)、組織、所在位置、資產(chǎn)及技術(shù)等特性，定義資訊安全管理系統(tǒng)之 範(fàn)圍及界限 ，並包括任何自範(fàn)圍排除之細(xì)節(jié)及理由。 ? 考慮企業(yè)及法律或法規(guī)要求，以及合約性的安全責(zé)任。 ? 建立評(píng)估風(fēng)險(xiǎn)之標(biāo)準(zhǔn)，及被管理階層核準(zhǔn)。 ? 發(fā)展可接受風(fēng)險(xiǎn)之標(biāo)準(zhǔn)以及鑑別風(fēng)險(xiǎn)至可接受的程度。 ? 鑑別各項(xiàng)風(fēng)險(xiǎn) ? 鑑別 ISMS控制範(fàn)圍內(nèi)之資產(chǎn)以及該資產(chǎn)之 擁有者 (owner)。擁有者(owner)一詞並不是指實(shí)際具有資產(chǎn)產(chǎn)權(quán)之人員。 ? 控制目標(biāo)與控制措施應(yīng)於本標(biāo)準(zhǔn)之附錄 A中加以選擇，為此過(guò)程的一部份並適當(dāng)滿足所鑑別之要求。 ? 現(xiàn)行已實(shí)施之控制目標(biāo)與控制措施。 資訊安全管理系統(tǒng)之建立及管理 ? 資訊安全管理系統(tǒng)之實(shí)施與操作 組織應(yīng) ? 有系統(tǒng)的陳述一項(xiàng) 風(fēng)險(xiǎn)處理計(jì)畫(huà) 以鑑別適當(dāng)管理措施、資源、權(quán)責(zé)及優(yōu)先順序，以便管理資訊安全風(fēng)險(xiǎn)。 ? 實(shí)施 。 ? 實(shí)施訓(xùn)練與認(rèn)知計(jì)畫(huà)。 ? 管理 ISMS資源。 資訊安全管理系統(tǒng)之建立及管理 ? 資訊安全管理系統(tǒng)之監(jiān)控及審查 ? 執(zhí)行監(jiān)控與審查程序及其他控制措施，以便： ? 立即偵知系統(tǒng)處理結(jié)果之錯(cuò)誤。 ? 促使管理階層決定是否委託他人或藉由資訊技術(shù)之實(shí)施均已如預(yù)期般實(shí)行。 ? 決定所採(cǎi)取解決安全漏洞之措施是否有效。 ? 測(cè)量控制措施有效性，以確認(rèn)符合安全要求。 ? 在規(guī)劃期間執(zhí)行內(nèi)部 ISMS稽核 內(nèi)部 ISMS稽核有時(shí)稱為第一方稽核，是由組織自己或其代表基於內(nèi)部目的所實(shí)施。 ? 考量監(jiān)控與審查活動(dòng)之發(fā)現(xiàn)，更新安全計(jì)畫(huà)。 資訊安全管理系統(tǒng)之建立及管理 ? 維持及改進(jìn)資訊安全管理系統(tǒng) 組織應(yīng)定期進(jìn)行下述： ? 實(shí)施 ISMS所鑑定之 改進(jìn)活動(dòng) 。採(cǎi)用從其他組織及本身之安全經(jīng)驗(yàn)吸取教訓(xùn)。 ? 確保各項(xiàng)改進(jìn)措施達(dá)到預(yù)期目標(biāo)。重要的是能夠證明所選擇之控制措施回溯至風(fēng)險(xiǎn)評(píng)鑑與風(fēng)險(xiǎn)處理過(guò)程結(jié)果，及回溯至 ISMS政策及目標(biāo)之關(guān)聯(lián)性。 ? 本國(guó)際標(biāo)準(zhǔn)要求之各紀(jì)錄。 所有文件應(yīng)依據(jù) ISMS之政策要求隨時(shí)可供取用。 ? Level 2– 程序 程序用來(lái)實(shí)施所要求的控制措施，描述 who、what 、 when 、 where等安全流程和不同部門(mén)間的控制措施。包括詳細(xì)的工作指導(dǎo)書(shū)、表單、流程圖、服務(wù)標(biāo)準(zhǔn)和系統(tǒng)手冊(cè) … 等。可能是強(qiáng)制性的隱含在每個(gè) BS7799條款中。 文件要求 ? 文件管制 ISMS所需之文件應(yīng)受保護(hù)和管制。 ? 必要時(shí)，審查和更新並重新核準(zhǔn)文件。 ? 確保在使用場(chǎng)所備有相關(guān)適用版次文件。 ? 確保有需要之人員均有文件可用，且依照其適用之傳遞、儲(chǔ)存及最終處理予以分類。 ? 確保文件分發(fā)已管制。 ? 過(guò)期文件為任何目的需保留時(shí)，應(yīng)予以適當(dāng)識(shí)別。 ISMS應(yīng)將相關(guān)法律或法規(guī)要求及合約責(zé)任列入考量。為了紀(jì)錄之鑑別、儲(chǔ)存、保護(hù)、檢索、保存期限及報(bào)廢， 應(yīng)建立文件化程序 ，以界定所需之管制。 ? 紀(jì)錄應(yīng)加以保存，如 ，以及所有與ISMS有關(guān)之重大安全事故紀(jì)錄。 ? 確保建立各項(xiàng) ISMS目標(biāo)及計(jì)畫(huà)。 ? 向全組織傳達(dá)符合資訊安全目標(biāo)、遵守資訊安全政策、在法律下要求之權(quán)責(zé)，以及持續(xù)改進(jìn)之需求。 ? 決定可接風(fēng)險(xiǎn)之標(biāo)準(zhǔn)，以及可接受風(fēng)險(xiǎn)之等級(jí)。 ? 執(zhí)行 ISMS之管理階層審查。 ? 確保資訊安全程序足以支持企業(yè)的需求。 ? 訓(xùn)練、認(rèn)知及能力 組織應(yīng)確保在 ISMS中規(guī)定有責(zé)任之所有員工，有能力藉由下述執(zhí)行所要求的工作，包括： ? 決定執(zhí)行影響 ISMS工作之人員其所需之能力。 ? 評(píng)估所提供訓(xùn)練及所採(cǎi)取措施之有效性。 組織亦應(yīng)確保所有相關(guān)人員已認(rèn)知其所從事的資訊安全活動(dòng)之相關(guān)性及重要性，以及他們?nèi)绾螌?duì) ISMS之目標(biāo)達(dá)成有所貢獻(xiàn)?；藴?zhǔn)則、範(fàn)圍、頻率及方法應(yīng)予以界定。另外， 稽核人員不應(yīng)稽核其本身的工作 。應(yīng)以書(shū)面程序予以界定。跟催活動(dòng)應(yīng)包括所採(cǎi)行措施之查證，與查證結(jié)果之報(bào)告。審查應(yīng)包含改進(jìn)時(shí)機(jī)之評(píng)估，以及 ISMS變更之需求， 含資訊安全政策與資訊安全目標(biāo) 。 7. ISMS之管理階層審查 ? 審查輸入 管理階層審查輸入應(yīng)包括下列資訊： ? ISMS稽核與審查之結(jié)果。 ? 可用以改進(jìn)組織 ISMS績(jī)效及有效性之技術(shù)、產(chǎn)品或程序。 ? 先前風(fēng)險(xiǎn)評(píng)鑑未適切提出之脆弱性或威脅。 ? 先前管理階層審查之跟催措施。 ? 改進(jìn)之建議。 ? 更新風(fēng)險(xiǎn)評(píng)鑑及風(fēng)險(xiǎn)處理計(jì)畫(huà)。 ? 測(cè)量控制措施有效性之改進(jìn) 。 ? 在 ISMS內(nèi)的書(shū)面程序應(yīng)該定義： ? 鑑別不符合事項(xiàng) ? 確定原因 ? 評(píng)估避免復(fù)發(fā)所需的活動(dòng) ? 確定和實(shí)施矯正措施 ? 紀(jì)錄結(jié)果 ? 審查行動(dòng)的有效性 8. ISMS之改進(jìn) ? 預(yù)防措施 為防止不符合事項(xiàng)發(fā)生，組織應(yīng)決定措施，消除 ISMS要求之潛在不符合事項(xiàng)之原因，以防止其發(fā)生。 預(yù)防措施之文件化程序應(yīng)訂出以下要求： ? 鑑別潛在的不符合與其原因。 ? 決定並實(shí)施所需之措施。 ? 審查所採(cǎi)用之預(yù)防措施。 ? 預(yù)防措施之優(yōu)先順序應(yīng)依據(jù)風(fēng)險(xiǎn)評(píng)鑑之結(jié)果加以決定。 課程大綱 ? ISO27001:2023法規(guī)說(shuō)明 ? 附錄 A控制措施簡(jiǎn)介 ? 資產(chǎn)評(píng)估 ? 風(fēng)險(xiǎn)評(píng)鑑 ? 風(fēng)險(xiǎn)處理 ? 適用性聲明書(shū) ? 稽核 資產(chǎn)評(píng)估 ? BS7799要求所有資產(chǎn)的詳細(xì)清冊(cè)應(yīng)被制定和維護(hù)，以及這些資產(chǎn)的可歸責(zé)應(yīng)被定義。是組織直接賦予價(jià)值且需要被保護(hù)的。 資產(chǎn)評(píng)估 ? ISMS資 產(chǎn)分類可分為： ? 資訊資產(chǎn) ─ 如資料檔案、使用手冊(cè)等。 ? 軟體資產(chǎn) ─ 如應(yīng)用程式、系統(tǒng)軟體等。 ? 人員 ─ 員工 ? 公司形象與聲望 ? 服務(wù) ─ 如通訊、技