ISO27001主任审核员教材参考幻灯片.ppt

1,ISO27001:2005信息安全管理系统-主导稽核员教材,,2,课程大纲,ISO27001:2005法规说明 附录A控制措施简介 资产评估 风险评鉴 风险处理 适用性声明书 稽核,3,ISO27001:2005法规说明,4,ISO27001:2005法规说明,BS7799：分为BS7799-1和BS7799-2两部份 BS7799-1:2005 / ISO17799:2005主要是做为参考文件，提供广泛性的安全控制措施，作为现行信息安全之最佳作业方法，其中包含11个控制措施章节，但不作为评鉴与验证标准 BS7799-2:2005 / ISO27001:2005系根据BS7799-1，提供信息安全管理系统(ISMS)之建立实施与书面化之具体要求，依据个别组织的需求，规定要实施之安全控制措施的要求5,ISO27001:2005法规说明,BS7799-1:2005 / ISO17799:2005 信息安全管理作业要点 用意是做为参考文件 提供广泛性的安全控制措施 现行信息安全之最佳作业方法 包含11个控制章节 无法作为评鉴与验证,6,ISO27001:2005法规说明,BS7799-2:2005 / ISO27001:2005 信息安全管理系统要求 根据BS7799-1:2005 ISMS之建立实施与文件化之具体要求 依据个别组织的需求，规定要实施之安全控制措施的要求。

7,ISO27001:2005法规说明,信息是一种资产，就像其它重要的企业资产依样，对组织具有价值，因此需要受到适当的保护8,ISO27001:2005法规说明,信息的类型 书写或打印于纸上 储存在电子媒体上 以邮寄或电子储存媒体传输 显示于企业影片上 言语-在对话中提出 不管信息的形式是什么，或者共享或储存的方式是什么，都应该受到适当的保护9,ISO27001:2005法规说明,信息安全 保护信息的机密性、完整性与可用性；另外，亦可包含如可鉴别性(真实性)、可归责性、不可否认性及可靠性等特性10,ISO27001:2005法规说明,机密性(Confidentiality) 信息不可被未经授权之个人、实体、流程所取得或揭露之特性 完整性(Integrity) 保护资产准确性和完整性之特性 可用性(Avaliability) 基于需要可由授权者存取及使用之特性11,ISO27001:2005法规说明,关键的成功因素(Critical success factors)经验显示，组织的信息安全能否成功实施，下列常为关键因素： 能反映营运目标的信息安全政策、目标及活动 与组织文化一致之实施、维护、监控、及改进信息安全的方法与框架。

来自所有管理阶层的实际支持和承诺 对信息安全要求、风险评鉴以及风险管理的深入了解 向全体管理人员、受雇人员、及相关人员有效推广信息安全以达到认知 资助信息安全管理活动 提供适切的认知、训练及教育 制定有效的信息安全事故管理过程 实施个用于评估ISMS的绩效及改进的回馈建议之量测系统12,ISO27001:2005法规说明,13,4. Information security management system,4.1 一般要求組織應在整體業務活動與所面臨風險下建立、實施、操作、監控、審查、維護及改進一文件化ISMS，為本國際標準之目的，所採用之過程以下圖所示之PDCA模式為基礎14,4.Information security management system,15,4.2 資訊安全管理系統之建立及管理,4.2.1 建立資訊安全管理系統組織應： 依據業務、組織、所在位置、資產及技術等特性，定義資訊安全管理系統之範圍及界限，並包括任何自範圍排除之細節及理由 依據業務、組織、所在位置、資產及技術等特性，定義資訊安全管理系統之政策，且： 包含設定目標之框架，並建立有關資訊安全之整體方向亦是與行動原則。

考慮企業及法律或法規要求，以及合約性的安全責任 與組織策略性之風險管理內容配合，使ISMS得以建立及維持 建立評估風險之標準，及被管理階層核准16,4.2 資訊安全管理系統之建立及管理,定義組織之風險評鑑辦法 鑑別一風險評鑑方法論，並適合其ISMS、已鑑別之企業資訊安全、以及法律與法規要求 發展可接受風險之標準以及鑑別風險至可接受的程度所選擇之風險評鑑方法論應確保產出可比較及可重複之結果 鑑別各項風險 鑑別ISMS控制範圍內之資產以及該資產之擁有者(owner)擁有者(owner)一詞係指已核准資產管理責任之個人或實體，針對資產之生產、開發、維護、使用及安全之管制擁有者(owner)一詞並不是指實際具有資產產權之人員17,4.2 資訊安全管理系統之建立及管理,分析及評估各項風險 鑑別並評估風險處理之選項方法 選擇控制目標及控制措施以處理風險： 應選擇並實施控制目標與控制措施，以符合風險評鑑與風險處理過程所鑑別之要求 控制目標與控制措施應於本標準之附錄A中加以選擇，為此過程的一部份並適當滿足所鑑別之要求18,4.2 資訊安全管理系統之建立及管理,所提出之殘餘風險須取得管理階層之核准 ISMS亦須獲得授權才能實施與操作 擬訂一份適用性聲明書，須包括下列： 於4.2.1節所選擇之管制目標與控制措施，其選擇之理由。

現行已實施之控制目標與控制措施 附錄A中任何排除之控制目標與控制措施，及其排除之正當理由19,4.2 資訊安全管理系統之建立及管理,4.2.2 資訊安全管理系統之實施與操作組織應 有系統的陳述一項風險處理計畫以鑑別適當管理措施、資源、權責及優先順序，以便管理資訊安全風險 實施風險處理計畫，以達到所鑑別的安全目標，計畫內容包括投資的考慮以及角色與責任的分派 實施4.2.1所選之控制措施以符合管制目標 定義如何測量所選擇控制措施或控制措施群組織有效，及具體說明如何使用這些測量來評估控制措施之有效性，並產出可比較即可再現的結果 實施訓練與認知計畫 管理ISMS作業 管理ISMS資源 實施能即時偵知安全事故，並予以回應安全事件處理之作業程序及其他控制措施20,4.2 資訊安全管理系統之建立及管理,4.2.3 資訊安全管理系統之監控及審查 執行監控與審查程序及其他控制措施，以便： 立即偵知系統處理結果之錯誤 立即鑑別企圖及已成功之安全破壞及事故 促使管理階層決定是否委託他人或藉由資訊技術之實施均已如預期般實行 使用指標幫助偵測安全事件並防止安全事故 決定所採取解決安全漏洞之措施是否有效 定期審查ISMS之有效性(包含符合ISMS政策、目標及控制措施之審查)，並考慮來自安全稽核、事件、來自有效性量測之結果、股東及利害關係團體之建議及回饋之結果。

測量控制措施有效性，以確認符合安全要求21,4.2 資訊安全管理系統之建立及管理,在規劃期間審查風險評鑑及審查殘餘風險，與鑑別之可接受風險等級，並考慮下列之變數： 組織 技術 企業目標及過程 已鑑別之威脅 控制措施實施有效性 外部事件，例如法律或法規環境之變化、合約責任之變化，以及社會環境之變化 在規劃期間執行內部ISMS稽核內部ISMS稽核有時稱為第一方稽核，是由組織自己或其代表基於內部目的所實施22,4.2 資訊安全管理系統之建立及管理,定期執行ISMS管理階層審查，以確保範圍保持適當，及ISMS過程之各項改進均已鑑別 考量監控與審查活動之發現，更新安全計畫 紀錄對ISMS之有效性或績效有衝擊之活動與事件23,4.2 資訊安全管理系統之建立及管理,4.2.4 維持及改進資訊安全管理系統組織應定期進行下述： 實施ISMS所鑑定之改進活動 依據第8.2及8.3節採取適當矯正及預防措施採用從其他組織及本身之安全經驗吸取教訓 以適切於情況的詳盡程度與所有利害相關團體就各項措施及改進活動進行溝通，並在適當時取得進行方式的同意 確保各項改進措施達到預期目標24,4.3 文件要求,4.3.1 一般要求文件應包括管理決策紀錄，確保相關活動可追溯至管理決策與政策，並確保所紀錄之結果是可再現的。

重要的是能夠證明所選擇之控制措施回溯至風險評鑑與風險處理過程結果，及回溯至ISMS政策及目標之關聯性資訊安全管理系統文件應包含： ISMS政策與安全目標之書面聲明 資訊安全管理系統之範圍 支援ISMS之相關程序書及控制措施 風險評鑑方法論之說明書 風險處理計畫,25,4.3 文件要求,組織為確保有效規畫、操作與控制資訊安全過程，及說明如何量測控制措施有效所需之書面程序 本國際標準要求之各紀錄 適用性聲明書 所有文件應依據ISMS之政策要求隨時可供取用26,4.3 文件要求,ISMS文件的廣度，其範圍和細節取決於： 產品和流程的複雜性 顧客和法規的要求 工業標準和規範 教育、經驗和訓練 勞動力的穩定性 過去發生的安全問題,27,4.3 文件要求,Level 1安全政策手冊為管理架構的摘要，其中包括了資訊安全政策和控制措施目標，以及適用性聲明書中所提及已實施的控制措施 Level 2程序程序用來實施所要求的控制措施，描述who、what 、when 、where等安全流程和不同部門間的控制措施28,4.3 文件要求,Level 3工作指導書、檢查清單、表格等解釋特殊工作和活動的細節，以及如何完成特定的工作。

包括詳細的工作指導書、表單、流程圖、服務標準和系統手冊等 Level 4紀錄紀錄活動實行以符合等級1、2和3文件要求的客觀證據可能是強制性的隱含在每個BS7799條款中例如：機房訪客登記簿、稽核記錄和存取授權等29,4.3 文件要求,4.3.2 文件管制ISMS所需之文件應受保護和管制應建立文件化程序，以界定所需之管理措施，用以： 在文件發行前核准其適切性 必要時，審查和更新並重新核准文件 確保文件之變更與最新改訂狀況已予以識別 確保在使用場所備有相關適用版次文件 確保文件保持易於閱讀並容易識別 確保有需要之人員均有文件可用，且依照其適用之傳遞、儲存及最終處理予以分類 確保外來原始文件已加以識別 確保文件分發已管制 防止失效文件被誤用 過期文件為任何目的需保留時，應予以適當識別30,4.3 文件要求,4.3.3 紀錄管制 為提供ISMS符合要求及有效運作之證據，所建立並維持之紀錄，應予以保護級管制ISMS應將相關法律或法規要求及合約責任列入考量 紀錄應清晰易讀，容易檢索及識別為了紀錄之鑑別、儲存、保護、檢索、保存期限及報廢，應建立文件化程序，以界定所需之管制所需之紀錄及其範圍應由管理過程加以決定。

紀錄應加以保存，如4.2節所述各項過程之績效，以及所有與ISMS有關之重大安全事故紀錄31,5.管理階層責任,5.1 管理階層承諾管理階層應藉由下列各項，對ISMS之建立、實施、操作、監控、審查、維護與改進之承諾提供證據： 建立一份ISMS政策 確保建立各項ISMS目標及計畫 為資訊安全建立角色與權責 向全組織傳達符合資訊安全目標、遵守資訊安全政策、在法律下要求之權責，以及持續改進之需求 提供充分資源以建立、實施、操作、監控、審查、維護與改進ISMS 決定可接風險之標準，以及可接受風險之等級 確保實施內部ISMS稽核 執行ISMS之管理階層審查32,5.2 資源管理,5.2.1 資源提供組織應決定並提供下列工作必要之資源： 建立、實施、操作、監控、審查、維護與改進ISMS 確保資訊安全程序足以支持企業的需求 藉由修改所有實行的控制措施，來維持適當的安全 5.2.2 訓練、認知及能力組織應確保在ISMS中規定有責任之所有員工，有能力藉由下述執行所要求的工作，包括： 決定執行影響ISMS工作之人員其所需之能力 提供訓練或採取其他措施(如：僱用具備能力之人員)，以滿足該需求 評估所提供訓練及所採取措施之有效性。

維持教育、訓練、技巧、經驗及資格之紀錄 組織亦應確保所有相關人員已認知其所從事的資訊安全活動。