【正文】 術(shù)等。 ? 是什麼樣的系統(tǒng)？ 1– 4或是低到非常高 ? 這是風(fēng)險評鑑過程中極為重要的部份。 ? 組織必頇自行決定哪些資產(chǎn)的缺乏或降級可能實際影響產(chǎn)品或服務(wù)的交付。 ? BS7799的實施和驗證是基於正式風(fēng)險評鑑的結(jié)果。 若安全控制措施太少，則營運資訊會暴露在各種風(fēng)險當(dāng)中；若太多則會導(dǎo)致企業(yè)負(fù)擔(dān)過多的成本。 [ C] ? 這也表示選擇與文件化之風(fēng)險評鑑方法論，可使風(fēng)險評鑑產(chǎn)生 可比較與可重複 (再現(xiàn) )的結(jié)果。 [ B] ? 此活動必頇至少一年執(zhí)行一次，是 ISMS管理審查的一部份。 風(fēng)險評鑑 ? 風(fēng)險評鑑過程 ? 鑑別資產(chǎn)和指派資產(chǎn)價值 。 ? 鑑別脆弱性和評鑑它們可能如何被利用。 ? 評鑑上述之全面的風(fēng)險結(jié)果。 ? 可能造成一個有害的事件，且這事件可能對系統(tǒng)、組織和資產(chǎn)造成傷害。 ? 資產(chǎn)容易受到許多威脅， 這些威脅來自於利用脆弱性 。 ? 人為 ─ 人員短缺、錯誤維護、使用者操作錯誤等。 ? 蓄意的威脅 ? 意外的威脅 ? 威脅頻率 風(fēng)險評鑑 ? 脆弱性 ? 脆弱性是組織資訊安全的漏洞或弱點。 ? 脆弱性如果沒有適當(dāng)管理，將促使威脅形成。 課程大綱 ? ISO27001:2023法規(guī)說明 ? 附錄 A控制措施簡介 ? 資產(chǎn)評估 ? 風(fēng)險評鑑 ? 風(fēng)險處理 ? 適用性聲明書 ? 稽核 風(fēng)險處理 ? 風(fēng)險處理 ─計畫 風(fēng)險處理計畫是定義行動以降低 無法接受的風(fēng)險 ，和實施所需的控制措施以保護資訊的一種合作文件。 ? 總是有剩餘的風(fēng)險。 ? 持續(xù)的審查威脅和脆弱性。 ? 應(yīng)用其它安全控制措施，如 BS7799。 風(fēng)險處理 ? 控制措施的選擇 ? 風(fēng)險 ? 要求的保證程度 (即強度 ) ? 成本 ? 實施的容易性 ? 服務(wù) ? 法律和法規(guī)的要求 ? 客戶和其它的合約要求 風(fēng)險處理 ? 成本 ? 預(yù)算限制。 風(fēng)險處理 ? 實施的容易性 ? 環(huán)境是否支援控制措施？ ? 控制措施需要多久才有辦法開始實施？ ? 控制措施是否立即可用的？ 風(fēng)險處理 ? 服務(wù) ? 可獲得的技術(shù)是否能夠管理控制措施？ ? 是否能夠立即的升級？ ? 設(shè)備是否有當(dāng)?shù)毓こ處熁騾f(xié)力廠商的支援？ 風(fēng)險處理 ? 客戶和其它合約的要求 ? 安全篩選 ? 受限制的存取 ? 實體的安全邊界 ? 資料儲存 ? 加密 ? 數(shù)位簽章 風(fēng)險處理 ? 最佳作業(yè)的控制措施 ? 資訊安全政策文件 ? 資訊安全責(zé)任的分配 ? 資訊安全教育和訓(xùn)練 ? 應(yīng)用系統(tǒng)的正確處理 ? 技術(shù)脆弱點管理 ? 營運持續(xù)管理 ? 管理資訊安全事故和改善 風(fēng)險處理 ? 測量控制措施的有效性 ? 與 ，用以監(jiān)控 ISMS的有效性。 ? 幫助監(jiān)控已實施控制措施的效果。 ? 聲明也將記錄任何控制措施的排除。 ? 它可能會被潛在的商業(yè)夥伴所要求持有的獨立文件，或是成為驗證機構(gòu)所頒發(fā)證書的附加資訊，因此它有可能會是公開的資訊。 ? 證明哪些控制措施是相關(guān)的 ? 紀(jì)錄哪些不相關(guān)的控制措施 ? 風(fēng)險評鑑將決定哪一些控制措施應(yīng)該被實施 ? 是完整文件審查的一部份 ? 將幫助決定最後評鑑階段的稽核計畫 適用性聲明 ? 如果要求未被實施，為什麼？ ? 風(fēng)險因未暴露而未被確認(rèn) ? 預(yù)算、財務(wù)限制 ? 環(huán)境影響防護措施，如氣候、空間等。 ? 文化、社會限制 ? 時間，有些要求無法現(xiàn)在實施。 ? 稽核階段 1 ─ 文件審查 審查 ISMS核心要素。 稽核階段 1 ─ 文件審查 ? 目標(biāo) 為稽核計畫 (階段 2)提供重點，藉此了解組織安全政策和目標(biāo)中 ISMS的背景脈絡(luò)，尤其是為了稽核所做的準(zhǔn)備聲明。 ? 證明 ISMS遵照所有 ISMS標(biāo)準(zhǔn)或規(guī)範(fàn)文件的要求，而且達(dá)成組織的政策目標(biāo)。 稽核階段 2 ─ 實施稽核 ? 主要活動 ? 訪問 ISMS的所有權(quán)人和使用者 ? 審查高、中或低風(fēng)險區(qū)域 ? 安全目標(biāo)及標(biāo)的 ? 安全和管理審查 ? 系統(tǒng)中核心文件的連結(jié) ? 報告發(fā)現(xiàn)事項和做出最後是否發(fā)證之建議 稽核員的類型 ? 第三方稽核員 ─為獨立驗證機構(gòu)。 ? 第一方稽核員 ─自己的部門、單位。 ? 主導(dǎo)稽核員 (Lead Auditor) 一個被指定管理安全稽核的稽核員。 ? 被稽核方 (Auditee) 組織中被稽核的人。 ? 稽核計畫應(yīng)該要包含主要的控制措施。 ? 稽核計畫的準(zhǔn)備將因企業(yè)和公司的不同而有所差異。 ? 計畫必頇反映 ISMS的範(fàn)圍。 ? 在稽核開始前，特殊的資源應(yīng)該在計畫中被鑑別。 客觀證據(jù) ? 資訊、紀(jì)錄或事實的聲明 ? 也許是定性或定量 ? 一個資訊安全系統(tǒng)要素的存在和實施 ? 基於觀察、測量或測詴 ? 能夠被驗證的 獲得客觀證據(jù)的技巧 ? 面談 ? 觀察 ? 抽樣 ? 審查文件 ? 審查紀(jì)錄 ? 總結(jié)、分析和評估 抽樣 ? 從主要的活動中選出有代表性的樣本。 ? 子控制措施應(yīng)被選擇。 ? 抽樣大小應(yīng)取決於信心是否能被確保。 ? 如果抽樣結(jié)果指出無不符合事項，進行下一步。 ? 確認(rèn)稽核員和被稽核方都了解。 檢查表的好處 ? 使稽核目標(biāo)清楚 ? 稽核計畫的證據(jù) ? 保持稽核節(jié)奏和連續(xù)性 ? 減少稽核員的偏見 ? 減少稽核流程中的工作負(fù)荷 檢查表的缺點 ? 如果檢查表示以下列形式呈現(xiàn)，則會失去價值。 檢查表的準(zhǔn)備 ? 將標(biāo)準(zhǔn)條文轉(zhuǎn)換成問題。 ? 檢查表是一種確?；说纳疃群统掷m(xù)性的重要輔助工具。 ? 檢查表應(yīng)被以溝通運作和流程的形式來準(zhǔn)備。應(yīng)以備忘錄的形式來準(zhǔn)備。 ? 適當(dāng)?shù)膯栴}有助於達(dá)成稽核目標(biāo)。問題種類應(yīng)使被稽核方感到自在。 稽核問題 ? 開放式 ─ 這些問題需要更多的諮詢而非傴”是”或“不是”。用來使用總結(jié)一連串的問題。引導(dǎo)被稽核方以得到答案。 ? 面詴技巧的使用 ? 確保有適當(dāng)?shù)娜藛T可用 ? 表現(xiàn)興趣，隨時保持警覺 ? 顯示你的理解 ─ 不時的 ? 肢體語言的注意 ─ 正面的溝通 ? 聆聽 ─ 詴著不要打擾被稽核方 ? 解釋紀(jì)錄稽核筆記的方式 ? 隨時表現(xiàn)禮貌 ? 接近稽核面詴的完成時，總結(jié)發(fā)現(xiàn)和謝謝關(guān)心。 ? 被包含標(biāo)準(zhǔn)條款的引用 不符合事項 ? 不符合事項： 與 BS77992 / ISO27001:2023的要求相反的情形，某一特定的要求並未被履行。 而且表示一個輕微的風(fēng)險，可能將被組織的利害關(guān)係人察覺到，被觀察到的一個單獨或偶發(fā)失誤，或隔離的意外事件。 而且表示一個無法接受的風(fēng)險，可能將被組織的利害關(guān)係人察覺到。 主要 (嚴(yán)重 )不符合事項 ? 缺乏標(biāo)準(zhǔn)的某一個特別的要求，如政策或範(fàn)圍。 ? 系統(tǒng)、控制措施或程序的完全失效。 主要 (嚴(yán)重 )不符合事項的範(fàn)例 ? 沒有安全政策 ? 沒有安全事故管理系統(tǒng) ? 缺乏營運持續(xù)計劃 ? 沒有軟體授權(quán)管理 ? 沒有正式的系統(tǒng)來管理和更新 ISMS文件 確定事實 ? 獲得被稽核方的幫助 ? 討論關(guān)心的問題 ? 驗證發(fā)現(xiàn)的結(jié)果 ? 紀(jì)錄所有證據(jù) ? 確定為何是一個不符合或其他問題 ? 證明誰在現(xiàn)場 (如果相關(guān)的話 ) ─ 最好是註明職位 寫一份不 符合事項報告 ? 情況 使用者註冊程序 UR1 01/11/01說明使用者註冊其狀態(tài)需被審查和三個月的有效性。 寫一份不 符合事項報告 ? 報告 依據(jù) ISO27001條款 要求，應(yīng)定時執(zhí)行權(quán)限審查及依據(jù)使用者註冊程序 UR1 01/11/01說明使用者註冊其狀態(tài)需被審查和 3個月的有效性。 紀(jì)錄不 符合事項 ? 紀(jì)錄事實 ─ 不要誇大發(fā)現(xiàn) ? 清楚敘述不符合事項是在哪裡發(fā)現(xiàn) ? 清楚敘述發(fā)現(xiàn)什麼 ? 為何它是一個不符合事項 ? 誰在那哩，目擊者為誰 ? 使用公司人員所了解的專用術(shù)語 ? 簡單扼要、有幫助的 考慮嚴(yán)重性 兩個問題需要被回答 ? 如果不符合事項未被矯而一直持續(xù)的錯誤下去，會發(fā)生什麼狀況？ ? 其發(fā)生狀況的可能性是什麼？ 稽核 ? 及時向被稽核方報告有關(guān)情形 為了使稽核有建設(shè)性、有幫助和專業(yè)： ? 要定期檢討稽核進度和發(fā)現(xiàn) ? 消除謠言 ? 建立良好的關(guān)係 ? 稽核流程中的判斷 對於證據(jù)不足的情況，必頇做出對被稽核方有利的判斷。 ? 建議 ─ 當(dāng)收到可接受的矯正措施的計畫。 ? 全部再次稽核 ─ ISMS中不只一個區(qū)域發(fā)現(xiàn)重大缺失。 稽核報告 ? 報告最少應(yīng)包括下列資訊： ? 稽核發(fā)現(xiàn)的摘要 ? 稽核的區(qū)域 ? BS77992 / ISO27001:2023的稽核條款 ? 不符合事項報告 ? 相關(guān)的觀察事項 ? 被稽核方的工作頭銜或被稽核部門的名稱 (不要記錄姓名 ) 稽核報告 ? 用清楚的方式記錄不符合事項，讓被稽核方能了解和解讀。 ? 紀(jì)錄觀察事項。 ? 稽核報告應(yīng)