ISO27001主任审核员教材

*,#,按一下以編輯母片標題樣式,按一下以編輯母片,第二層,第三層,第四層,第五層,*,ISO27001:2005,信息安全管理系统,-,主导稽核员教材,课程大,纲,纲,ISO27001:2005法规说,明,明,附录A控制措,施,施简介,资产评,估,估,风险评,鉴,鉴,风险处,理,理,适用性,声,声明书,稽核,ISO27001:2005法规说,明,明,ISMS,标准,/,指南,ISO27001 serial (2005),2005,20002002,Before 2000,信息安全管理系统要求,ISO27001,ISO27001:2005(BS7799-2:2005),BS7799-2:2002,BS7799-2:1999,信息安全管理作业要点,ISO27002(after April 2007),ISO17799:2005(BS7799-1:2005),ISO17799:2000,BS7799-1:1999,ISO27001:2005法规说,明,明,BS7799：分为BS7799,-,-1和BS7799,-,-2两部份,BS7799,-,-1:2005 /ISO17799,:,:2005主要是,做,做为参,考,考文件,，,，提供,广,广泛性,的,的安全,控,控制措,施,施，作,为,为现行,信,信息安,全,全之最,佳,佳作业,方,方法，,其,其中包,含,含11个控制,措,措施章,节,节，但,不,不作为,评,评鉴与,验,验证标,准,准。,BS7799,-,-2:2005 /ISO27001,:,:2005系根据BS7799,-,-1，提供,信,信息安,全,全管理,系,系统(ISMS)之建立,实,实施与,书,书面化,之,之具体,要,要求，,依,依据个,别,别组织,的,的需求,，,，规定,要,要实施,之,之安全,控,控制措,施,施的要,求,求。,ISO27001:2005法规说,明,明,BS7799,-,-1:2005 /ISO17799,:,:2005,信息安,全,全管理,作,作业要,点,点,用意是,做,做为参,考,考文件,提供广,泛,泛性的,安,安全控,制,制措施,现行信,息,息安全,之,之最佳,作,作业方,法,法,包含11个控制,章,章节,无法作,为,为评鉴,与,与验证,ISO27001:2005法规说,明,明,BS7799,-,-2:2005 /ISO27001,:,:2005,信息安,全,全管理,系,系统要,求,求,根据BS7799,-,-1:2005,ISMS之建立,实,实施与,文,文件化,之,之具体,要,要求,依据个,别,别组织,的,的需求,，,，规定,要,要实施,之,之安全,控,控制措,施,施的要,求,求。,ISO27001:2005法规说,明,明,信息是,一,一种资,产,产，就,像,像其它,重,重要的,企,企业资,产,产依样,，,，对组,织,织具有,价,价值，,因,因此需,要,要受到,适,适当的,保,保护。,ISO27001:2005法规说,明,明,信息的,类,类型,书写或,打,打印于,纸,纸上,储存在,电,电子媒,体,体上,以邮寄,或,或电子,储,储存媒,体,体传输,显示于,企,企业影,片,片上,言语-在对话,中,中提出,不管信,息,息的形,式,式是什,么,么，或,者,者共享,或,或储存,的,的方式,是,是什么,，,，都应,该,该受到,适,适当的,保,保护。,ISO27001:2005法规说,明,明,信息安,全,全,保护信,息,息的机,密,密性、,完,完整性,与,与可用,性,性；另,外,外，亦,可,可包含,如,如可鉴,别,别性(真实性)、可归,责,责性、,不,不可否,认,认性及,可,可靠性,等,等特性。,ISO27001:2005法规说,明,明,机密性(Confidentiality),信息不,可,可被未,经,经授权,之,之个人,、,、实体,、,、流程,所,所取得,或,或揭露,之,之特性,。,。,完整性(Integrity),保护资,产,产准确,性,性和完,整,整性之,特,特性。,可用性(Avaliability),基于需,要,要可由,授,授权者,存,存取及,使,使用之,特,特性。,ISO27001:2005法规说,明,明,关键的,成,成功因,素,素(Criticalsuccessfactors)经验显,示,示，组,织,织的信,息,息安全,能,能否成,功,功实施,，,，下列,常,常为关,键,键因素,：,：,能反映,营,营运目,标,标的信,息,息安全,政,政策、,目,目标及,活,活动。,与组织,文,文化一,致,致之实,施,施、维,护,护、监,控,控、及,改,改进信,息,息安全,的,的方法,与,与框架,。,。,来自所,有,有管理,阶,阶层的,实,实际支,持,持和承,诺,诺。,对信息,安,安全要,求,求、风,险,险评鉴,以,以及风,险,险管理,的,的深入,了,了解。,向全体,管,管理人,员,员、受,雇,雇人员,、,、及相,关,关人员,有,有效推,广,广信息,安,安全以,达,达到认,知,知。,资助信,息,息安全,管,管理活,动,动。,提供适,切,切的认,知,知、训,练,练及教,育,育。,制定有,效,效的信,息,息安全,事,事故管,理,理过程,。,。,实施,个,个用于,评,评估ISMS的绩效,及,及改进,的,的回馈,建,建议之,量,量测系,统,统。,ISO27001:2005法规说,明,明,4.Informationsecuritymanagement system,4.1一般要,求,求組織應在整,體,體業務,活,活動與,所,所面臨,風,風險下,建,建立、,實,實施、,操,操作、,監,監控、,審,審查、,維,維護及,改,改進一,文,文件化ISMS，為本,國,國際標,準,準之目,的,的，所,採,採用之,過,過程以,下,下圖所,示,示之PDCA模式為,基,基礎。,4.Information security managementsystem,4.2資訊安,全,全管理,系,系統之,建,建立及,管,管理,4.2,.,.1建立資,訊,訊安全,管,管理系,統,統組織應,：,：,依據業,務,務、組,織,織、所,在,在位置,、,、資產,及,及技術,等,等特性,，,，定義,資,資訊安,全,全管理,系,系統之範圍及,界,界限，並包,括,括任何,自,自範圍,排,排除之,細,細節及,理,理由。,依據業,務,務、組,織,織、所,在,在位置,、,、資產,及,及技術,等,等特性,，,，定義,資,資訊安,全,全管理,系,系統之,政,政策，,且,且：,包含設,定,定目標,之,之框架,，,，並建,立,立有關,資,資訊安,全,全之整,體,體方向,亦,亦是與,行,行動原,則,則。,考慮企,業,業及法,律,律或法,規,規要求,，,，以及,合,合約性,的,的安全,責,責任。,與組織,策,策略性,之,之風險,管,管理內,容,容配合,，,，使ISMS得以建,立,立及維,持,持。,建立評,估,估風險,之,之標準,，,，及被,管,管理階,層,層核准,。,。,4.2資訊安,全,全管理,系,系統之,建,建立及,管,管理,定義組,織,織之風,險,險評鑑,辦,辦法,鑑別一,風,風險評,鑑,鑑方法,論,論，並,適,適合其ISMS、已鑑,別,別之企,業,業資訊,安,安全、,以,以及法,律,律與法,規,規要求,。,。,發展可,接,接受風,險,險之標,準,準以及,鑑,鑑別風,險,險至可,接,接受的,程,程度。所選擇,之,之風險,評,評鑑方,法,法論應,確,確保產,出,出可比,較,較及可,重,重複之,結,結果。,鑑別各,項,項風險,鑑別ISMS控制範,圍,圍內之,資,資產以,及,及該資,產,產之擁有者(owner)。擁有者(owner)一詞係,指,指已核,准,准資產,管,管理責,任,任之個,人,人或實,體,體，針,對,對資產,之,之生產,、,、開發,、,、維護,、,、使用,及,及安全,之,之管制,。,。擁有,者,者(owner,),)一詞並,不,不是指,實,實際具,有,有資產,產,產權之,人,人員。,4.2資訊安,全,全管理,系,系統之,建,建立及,管,管理,分析及,評,評估各,項,項風險,鑑別並,評,評估風,險,險處理,之,之選項,方,方法,選擇控,制,制目標,及,及控制,措,措施以,處,處理風,險,險：,應選擇,並,並實施,控,控制目,標,標與控,制,制措施，以符,合,合風險,評,評鑑與,風,風險處,理,理過程,所,所鑑別,之,之要求,。,。,控制目,標,標與控,制,制措施,應,應於本,標,標準之,附,附錄A中加以,選,選擇，,為,為此過,程,程的一,部,部份並,適,適當滿,足,足所鑑,別,別之要,求,求。,4.2資訊安,全,全管理,系,系統之,建,建立及,管,管理,所提出,之,之殘餘,風,風險須,取,取得管理階,層,層之核准,ISMS亦須獲得,授,授權才能實,施,施與操,作,作,擬訂一,份,份適用,性,性聲明,書,書，須,包,包括下,列,列：,於4.2,.,.1節所選,擇,擇之管,制,制目標,與,與控制,措,措施，,其,其選擇,之,之理由,。,。,現行已,實,實施之,控,控制目,標,標與控,制,制措施,。,。,附錄A中任何,排,排除之,控,控制目,標,標與控,制,制措施,，,，及其,排,排除之,正,正當理,由,由。,4.2資訊安,全,全管理,系,系統之,建,建立及,管,管理,4.2,.,.2資訊安,全,全管理,系,系統之,實,實施與,操,操作組織應,有系統,的,的陳述,一,一項風險處,理,理計畫以鑑別,適,適當管,理,理措施,、,、資源,、,、權責,及,及優先,順,順序，,以,以便管,理,理資訊,安,安全風,險,險。,實施風,險,險處理,計,計畫，,以,以達到,所,所鑑別,的,的安全,目,目標，,計,計畫內,容,容包括,投,投資的,考,考慮以,及,及角色,與,與責任,的,的分派,。,。,實施4.2,.,.1所選之,控,控制措,施,施以符,合,合管制,目,目標。,定義如,何,何測量,所,所選擇,控,控制措,施,施或控,制,制措施,群,群組織,有,有效，,及,及具體,說,說明如,何,何使用,這,這些測,量,量來評,估,估控制,措,措施之,有,有效性,，,，並產,出,出可比,較,較即可,再,再現的,結,結果。,實施訓,練,練與認,知,知計畫,。,。,管理ISMS作業。,管理ISMS資源。,實施能,即,即時偵,知,知安全,事,事故，,並,並予以,回,回應安,全,全事件,處,處理之,作,作業程,序,序及其,他,他控制,措,措施。,4.2資訊安,全,全管理,系,系統之,建,建立及,管,管理,4.2,.,.3資訊安,全,全管理,系,系統之,監,監控及,審,審查,執行監,控,控與審,查,查程序,及,及其他,控,控制措,施,施，以,便,便：,立即偵,知,知系統,處,處理結,果,果之錯,誤,誤。,立即鑑,別,別企圖,及,及已成,功,功之安,全,全破壞,及,及事故,。,。,促使管,理,理階層,決,決定是,否,否委託,他,他人或,藉,藉由資,訊,訊技術,之,之實施,均,均已如,預,預期般,實,實行。,使用指,標,標幫助,偵,偵測安,全,全事件,並,並防止,安,安全事,故,故。,決定所,採,採取解,決,決安全,漏,漏洞之,措,措施是,否,否有效,。,。,定期審,查,查ISMS之有效,性,性(包含符,合,合ISMS政策、,目,目標及,控,控制措,施,施之審,查,查)，並考,慮,慮來自,安,安全稽,核,核、事,件,件、來,自,自有效,性,性量測,之,之結果,、,、股東,及,及利害,關,關係團,體,體之建,議,議及回,饋,饋之結,果,果。,測量控,制,制措施,有,有效性,，,，以確,認,認符合,安,安全要,求,求。,4.2資訊安,全,全管理,系,系統之,建,建立及,管,管理,在規劃,期,期間審,查,查風險,評,評鑑及,審,審查殘,餘,餘風險,，,，與鑑,別,別之可,接,接受風,險,險等級,，,，並考,慮,慮下列,之,之變數,：,：,組織,技術,企業目,標,標及過,程,程,已鑑別,之,之威脅,控制措,施,施實施,有,有效性,外部事,件,件，例,如,如法律,或,或法規,環,環境之,變,變化、,合,合約責,任,任之變,化,化，以,及,及社會,環,環境之,變,變化。,在規劃,期,期間執,行,行內部ISMS稽核內部ISMS稽核有,時,時稱為,第,第一方,稽,稽核，,是,是由組,織,織自己,或,或其代,表,表基於,內,內部目,的,的所實,施,施。,4.2資訊安,全,全管理,系,系統之,建,建立及,管,管理,定期執,行,行ISMS管理階,層,層審查,，,，以確,保,保範圍,保,保持適,當,當，及ISMS過程之,各,各項改,進,進均已,鑑,鑑別。,考量監,控,控與審,查,查活動,之,之發現,，,，更新,安,安全計,畫,畫。,紀錄對ISMS之有效,性,性或績,效,效有衝,擊,擊之活,動,動與事,件,件。,4.2資訊安,全,全管理,系,系統之,建,建立及,管,管理,4.2,.,.4維持及,改,改進資,訊,訊安全,管,管理系,統,統組織應,定,定期進,行,行下述,：,：,實施ISMS所鑑定,之,之改進活,動,動。,依據第8.2及8.3節採取,適,適當矯,正,正及預,防,防措施,。,。採用,從,從其他,組,組織及,本,本身之,安,安全經,驗,驗吸取,教,教訓。,以適切,於,於情況,的,的詳盡,程,程度與,所,所有利,害,害相關,團,團體就,各,各項措,施,施及改,進,進活動,進,進行溝,通,通，並,在,在適當,時,時取得,進,進行方,式,式的同,意,意。,確保各,項,項改進,措,措施達,到,到預期,目,目標。,4.3文件要,求,求,4.3,.,.1一般要,求,求文件應,包,包括管,理,理決策,紀,紀錄，,確,確保相,關,關活動,可,可追溯,至,至管理,決,決策與,政,政策，,並,並確保,所,所紀錄,之,之結果,是,是可再,現,現的。,重,重要的,是,是能夠,證,證明所,選,選擇之,控,控制措,施,施回溯,至,至風險,評,評鑑與,風,風險處,理,理過程,結,結果，,及,及回溯,至,至ISMS政策及,目,目標之,關,關聯性,。,。資訊安,全,全管理,系,系統文,件,件應包,含,含：,ISMS政策與,安,安全目,標,標之書,面,面聲明,資訊安,全,全管理,系,系統之,範,範圍,支援ISMS之相關,程,程序書,及,及控制,措,措施,風險評,鑑,鑑方法,論,論之說,明,明書,風險處,理,理計畫,4.3文件要,求,求,組織為,確,確保有,效,效規畫,、,、操作,與,與控制,資,資訊安,全,全過程,，,，及說明如,何,何量測,控,控制措,施,施有效,所,所需之,書,書面程,序,序。,本國際,標,標準要,求,求之各,紀,紀錄。,適用性,聲,聲明書,。,。,所有文,件,件應依,據,據ISMS之政策,要,要求隨,時,時可供,取,取用。,4.3文件要,求,求,ISMS文件的,廣,廣度，,其,其範圍,和,和細節,取,取決於,：,：,產品和,流,流程的,複,複雜性,顧客和,法,法規的,要,要求,工業標,準,準和規,範,範,教育、,經,經驗和,訓,訓練,勞動力,的,的穩定,性,性,過去發,生,生的安,全,全問題,4.3文件要,求,求,Level1安全政,策,策手冊為管理,架,架構的,摘,摘要，,其,其中包,括,括了資,訊,訊安全,政,政策和,控,控制措,施,施目標,，,，以及,適,適用性,聲,聲明書,中,中所提,及,及已實,施,施的控,制,制措施,。,。,Level2程序程序用,來,來實施,所,所要求,的,的控制,措,措施，,描,描述who、what、when、where等安全,流,流程和,不,不同部,門,門間的,控,控制措,施,施。,4.3文件要,求,求,Level3工作指,導,導書、,檢,檢查清,單,單、表,格,格等解釋特,殊,殊工作,和,和活動,的,的細節,，,，以及,如,如何完,成,成特定,的,的工作,。,。包括,詳,詳細的,工,工作指,導,導書、,表,表單、,流,流程圖,、,、服務,標,標準和,系,系統手,冊,冊等。,Level4紀錄紀錄活,動,動實行,以,以符合,等,等級1、2和3文件要,求,求的客,觀,觀證據,。,。可能,是,是強制,性,性的隱,含,含在每,個,個BS7799條款中,。,。例如,：,：機房,訪,訪客登,記,記簿、,稽,稽核記,錄,錄和存,取,取授權等。,4.3文件要,求,求,4.3,.,.2文件管,制,制ISMS所需之,文,文件應,受,受保護,和,和管制,。,。應建立,文,文件化,程,程序，以界,定,定所需,之,之管理,措,措施，,用,用以：,在文件,發,發行前,核,核准其,適,適切性,。,。,必要時,，,，審查,和,和更新,並,並重新,核,核准文,件,件。,確保文,件,件之變,更,更與最,新,新改訂,狀,狀況已,予,予以識,別,別。,確保在,使,使用場,所,所備有,相,相關適,用,用版次,文,文件。,確保文,件,件保持,易,易於閱,讀,讀並容,易,易識別,。,。,確保有,需,需要之,人,人員均,有,有文件,可,可用，,且,且依照,其,其適用,之,之傳遞,、,、儲存,及,及最終,處,處理予,以,以分類,。,。,確保外,來,來原始,文,文件已,加,加以識,別,別。,確保文,件,件分發,已,已管制,。,。,防止失,效,效文件,被,被誤用,。,。,過期文,件,件為任,何,何目的,需,需保留,時,時，應,予,予以適,當,當識別,。,。,4.3文件要,求,求,4.3,.,.3紀錄管,制,制,為提供ISMS符合要,求,求及有,效,效運作,之,之證據,，,，所建,立,立並維,持,持之紀,錄,錄，應,予,予以保,護,護級管,制,制。ISMS應將相,關,關法律,或,或法規,要,要求及,合,合約責,任,任列入,考,考量。,紀錄應,清,清晰易,讀,讀，容,易,易檢索,及,及識別,。,。為了,紀,紀錄之,鑑,鑑別、,儲,儲存、,保,保護、,檢,檢索、,保,保存期,限,限及報,廢,廢，應建立,文,文件化,程,程序，以界,定,定所需,之,之管制,。,。所需之,紀,紀錄及,其,其範圍,應,應由管,理,理過程,加,加以決,定,定。,紀錄應,加,加以保,存,存，如4.2節所述,各,各項過,程,程之績,效,效，以,及,及所有,與,與ISMS有關之,重,重大安,全,全事故,紀,紀錄。,5.管理階,層,層責任,5.1管理階,層,層承諾管理階,層,層應藉,由,由下列,各,各項，,對,對ISMS之建立,、,、實施,、,、操作,、,、監控,、,、審查,、,、維護,與,與改進,之,之承諾,提,提供證,據,據：,建立一,份,份ISMS政策。,確保建,立,立各項ISMS目標及,計,計畫。,為資訊,安,安全建,立,立角色,與,與權責,。,。,向全組,織,織傳達,符,符合資,訊,訊安全,目,目標、,遵,遵守資,訊,訊安全,政,政策、,在,在法律,下,下要求,之,之權責,，,，以及,持,持續改,進,進之需,求,求。,提供充,分,分資源,以,以建立,、,、實施,、,、操作,、,、監控,、,、審查,、,、維護,與,與改進ISMS。,決定可,接,接風險,之,之標準,，,，以及,可,可接受,風,風險之,等,等級。,確保實,施,施內部ISMS稽核。,執行ISMS之管理,階,階層審,查,查。,5.2資源管,理,理,5.2,.,.1資源提,供,供組織應,決,決定並,提,提供下,列,列工作,必,必要之,資,資源：,建立、,實,實施、,操,操作、,監,監控、,審,審查、,維,維護與,改,改進ISMS。,確保資,訊,訊安全,程,程序足,以,以支持,企,企業的,需,需求。,藉由修,改,改所有,實,實行的,控,控制措,施,施，來,維,維持適,當,當的安,全,全。,5.2,.,.2訓練、,認,認知及,能,能力組織應,確,確保在ISMS中規定,有,有責任,之,之所有,員,員工，,有,有能力,藉,藉由下,述,述執行,所,所要求,的,的工作,，,，包括,：,：,決定執,行,行影響ISMS工作之,人,人員其,所,所需之,能,能力。,提供訓,練,練或採,取,取其他,措,措施(如：僱,用,用具備,能,能力之,人,人員)，以滿,足,足該需,求,求。,評估所,提,提供訓,練,練及所,採,採取措,施,施之有,效,效性。,維持教,育,育、訓,練,練、技,巧,巧、經,驗,驗及資,格,格之紀,錄,錄。,組織亦,應,應確保,所,所有相,關,關人員,已,已認知,其,其所從,事,事的資,訊,訊安全,活,活動之,相,相關性,及,及重要,性,性，以,及,及他們,如,如何對ISMS之目標,達,達成有,所,所貢獻,。,。,6.內部ISMS稽核,組織應,定,定期進,行,行內部ISMS稽核已,決,決定其,控,控制措,施,施目標,、,、過程,及,及程序,是,是否：,符合本,標,標準及,相,相關法,律,律或管,理,理的要,求,求,符合所,識,識別的,資,資訊安,全,全要求,有效的,實,實作與,維,維護,如預期,的,的執行,稽核計,畫,畫應事,先,先規劃,，,，考慮,稽,稽核的,過,過程與,區,區域之,狀,狀況及,重,重要性,，,，以及,先,先前稽,核,核的結,果,果。稽,核,核準則,、,、範圍,、,、頻率,及,及方法,應,應予以,界,界定。稽核人,員,員的選,擇,擇與稽,核,核的執,行,行應確,保,保稽核,過,過程的,客,客觀及,公,公平。,另,另外，稽核人,員,員不應,稽,稽核其,本,本身的,工,工作。,6.內部ISMS稽核,規劃與,執,執行稽,核,核，及,報,報告結,果,果與維,持,持紀錄,之,之責任,與,與要求,。,。應以,書,書面程,序,序予以,界,界定。,被稽核,區,區域管,理,理階層,之,之責任,，,，應確,保,保採行,措,措施沒,有,有不當,之,之延誤,，,，以消,除,除所發,現,現之不,符,符合與,其,其原因,。,。跟催,活,活動應,包,包括所,採,採行措,施,施之查,證,證，與,查,查證結,果,果之報,告,告。,7.ISMS之管理,階,階層審,查,查,7.1概述管理階,層,層應在,規,規劃期,間,間內(至少一,年,年一次)，審查,組,組織的ISMS，以確,保,保其持,續,續的適,用,用性、,適,適切性,及,及有效,性,性。審,查,查應包,含,含改進,時,時機之,評,評估，,以,以及ISMS變更之,需,需求，含資訊,安,安全政,策,策與資,訊,訊安全,目,目標。審查結,果,果應予,以,以清楚,的,的文件,化,化，紀,錄,錄應予,以,以維持,。,。,7.ISMS之管理,階,階層審,查,查,7.2審查輸,入,入管理階,層,層審查,輸,輸入應,包,包括下,列,列資訊,：,：,ISMS稽核與,審,審查之,結,結果。,來自利,害,害相關,團,團體之,回,回饋。,可用以,改,改進組,織,織ISMS績效及,有,有效性,之,之技術,、,、產品,或,或程序,。,。,預防與,矯,矯正措,施,施之狀,況,況。,先前風,險,險評鑑,未,未適切,提,提出之,脆,脆弱性,或,或威脅,。,。,來自有,效,效性量,測,測之結,果,果。,先前管,理,理階層,審,審查之,跟,跟催措,施,施。,可能影,響,響ISMS之任何,變,變更。,改進之,建,建議。,7.ISMS之管理,階,階層審,查,查,7.3審查輸,出,出管理階,層,層審查,之,之輸出,應,應包括,下,下列有,關,關之任,何,何決定,與,與措施,：,：,ISMS有效性,之,之改進,。,。,更新風,險,險評鑑,及,及風險,處,處理計,畫,畫。,未因應,可,可能影,響,響ISMS之內部,或,或外部,事,事件，,必,必要時,將,將影響,資,資訊安,全,全之程,序,序及控,制,制措施,予,予以修,訂,訂，包,括,括,營運需,求,求,安全需,求,求,影響既,有,有營運,需,需求之,營,營運過,程,程,法令或,法,法規要,求,求,合約責,任,任,風險等,級,級風險,可,可接受,程,程度之,標,標準,資源需,求,求。,測量控,制,制措施,有,有效性,之,之改進。,8.ISMS之改進,8.1持續的,改,改進,尋求持,續,續的改,進,進,透過下,列,列改進ISMS的有效,性,性,安全政,策,策,安全目,標,標,安全審,查,查的結,果,果,安全稽,核,核,矯正措,施,施,預防措,施,施,管理審,查,查,8.ISMS之改進,8.2矯正措,施,施,應該採,取,取措施,以,以消除,不,不合格,的,的原因,，,，避免,復,復發。,在ISMS內的書,面,面程序,應,應該定,義,義：,鑑別不,符,符合事,項,項,確定原,因,因,評估避,免,免復發,所,所需的,活,活動,確定和,實,實施矯,正,正措施,紀錄結,果,果,審查行,動,動的有,效,效性,8.ISMS之改進,8.3預防措,施,施為防止,不,不符合,事,事項發,生,生，組,織,織應決,定,定措施,，,，消除ISMS要求之,潛,潛在不,符,符合事,項,項之原,因,因，以,防,防止其,發,發生。,所,所採取,之,之預防,措,措施應,與,與潛在,問,問題之,影,影響相,稱,稱。預防措,施,施之文,件,件化程,序,序應訂,出,出以下,要,要求：,鑑別潛,在,在的不,符,符合與,其,其原因,。,。,評估採,取,取預防,發,發生不,符,符合措,施,施的需,求,求。,決定並,實,實施所,需,需之措,施,施。,紀錄所,採,採取措,施,施之結,果,果。,審查所,採,採用之,預,預防措,施,施。,組織應,鑑,鑑別已,變,變化之,風,風險及,鑑,鑑別預,防,防措施,要,要求之,焦,焦點放,在,在顯著,變,變化之,風,風險上,。,。,預防措,施,施之優,先,先順序,應,應依據,風,風險評,鑑,鑑之結,果,果加以,決,決定。,課程大,綱,綱,ISO27001:2005法規說,明,明,附錄A控制措,施,施簡介,資產評,估,估,風險評,鑑,鑑,風險處,理,理,適用性,聲,聲明書,稽核,ISO27001:2005(BS7799-2:2005,),) 控,制,制措施,ISO27001:2005(BS7799-2:2005,),) 控,制,制措施,ISO27001:2005(BS7799-2:2005,),) 控,制,制措施,ISO27001:2005(BS7799-2:2005,),) 控,制,制措施,ISO27001:2005(BS7799-2:2005,),) 控,制,制措施,ISO27001:2005(BS7799-2:2005,),) 控,制,制措施,ISO27001:2005(BS7799-2:2005,),) 控,制,制措施,ISO27001:2005(BS7799-2:2005,),) 控,制,制措施,ISO27001:2005(BS7799-2:2005,),) 控,制,制措施,ISO27001:2005(BS7799-2:2005,),) 控,制,制措施,ISO27001:2005(BS7799-2:2005,),) 控,制,制措施,ISO27001:2005(BS7799-2:2005,),) 控,制,制措施,ISO27001:2005(BS7799-2:2005,),) 控,制,制措施,ISO27001:2005(BS7799-2:2005,),) 控,制,制措施,ISO27001:2005(BS7799-2:2005,),) 控,制,制措施,ISO27001:2005(BS7799-2:2005,),) 控,制,制措施,ISO27001:2005(BS7799-2:2005,),)控制措,施,施,不是所,有,有的控,制,制措施,都,都與每,種,種情況,相,相關，,也,也無法,考,考量到,所,所有的,當,當地環,境,境或技,術,術限制,，,，或以,適,適合組,織,織內每,位,位潛在,使,使用者,形,形式呈,現,現。,課程大,綱,綱,ISO27001:2005法規說,明,明,附錄A控制措,施,施簡介,資產評,估,估,風險評,鑑,鑑,風險處,理,理,適用性,聲,聲明書,稽核,資產評,估,估,BS7799要求所,有,有資產,的,的詳細,清,清冊應,被,被制定,和,和維護,，,，以及,這,這些資,產,產的可,歸,歸責應,被,被定義,。,。,資產評,估,估,何謂資,產,產？資產就,是,是對組,織,織有價,值,值的任,何,何事物,。,。是組,織,織直接,賦,賦予價,值,值且需,要,要被保,護,護的。必須是相關於ISMS的範圍。,資產評,估,估,ISMS資產分類,可,可分為,：,：,資訊資,產,產 ,如,如資,料,料檔案,、,、使用,手,手冊等,。,。,書面文,件,件 ,如,如合,約,約書、,指,指南等,。,。,軟體資,產,產 ,如,如應,用,用程式,、,、系統,軟,軟體等,。,。,實體資,產,產 ,如,如電,腦,腦、磁,碟,碟片等,。,。,人員, 員,工,工,公司形,象,象與聲,望,望,服務, 如,通,通訊、,技,技術等,。,。,資產評,估,估,資產價,值,值和潛,在,在衝擊,組織已,經,經鑑別,其,其資訊,資,資產的,價,價值嗎,？,？,決定每,個,個資產,價,價值是,決,決定一,個,個有效,率,率安全,政,政策的,第,第一步,。,。,是什麼,樣,樣的系,統,統？14或是低,到,到非常,高,高,這是風,險,險評鑑,過,過程中,極,極為重,要,要的部,份,份。,資產評,估,估,資產價,值,值,對於BS7799,:,:2005/ISO27001:2005來說，,資,資產並,不,不一定,包,包括組,織,織內一,般,般視為,有,有價值,的,的所有,事,事物。,組織必,須,須自行,決,決定哪,些,些資產,的,的缺乏,或,或降級,可,可能實,際,際影響,產,產品或,服,服務的,交,交付。,課程大,綱,綱,ISO27001:2005法規說,明,明,附錄A控制措,施,施簡介,資產評,估,估,風險評,鑑,鑑,風險處,理,理,適用性,聲,聲明書,稽核,風險評,鑑,鑑,安全風,險,險安全風,險,險是指特定威,脅,脅利用脆弱性，造成,資,資產或,資,資訊資,產,產損失,或,或損毀,的,的潛在,可,可能。,BS7799的實施,和,和驗證,是,是基於,正,正式風,險,險評鑑,的,的結果,。,。,評鑑風,險,險資訊保,護,護是基,於,於防範,營,營運資,訊,訊之風,險,險，此,為,為本國,際,際標準,的,的基礎,，,，使組,織,織能夠,採,採取適,當,當的安,全,全控制,措,措施。若安全,控,控制措,施,施太少,，,，則營,運,運資訊,會,會暴露,在,在各種,風,風險當,中,中；若,太,太多則,會,會導致,企,企業負,擔,擔過多,的,的成本,。,。,風險評,鑑,鑑,組織必,須,須定義(並製成,文,文件)其風險,評,評鑑的,方,方法。4.2.1C,這也表,示,示選擇,與,與文件,化,化之風,險,險評鑑,方,方法論,，,，可使,風,風險評,鑑,鑑產生可比較,與,與可重,複,複(再現)的結果,。,。4.2.1C和4.2,.,.3D,現在風,險,險評鑑,規,規定必,須,須有計,畫,畫地定,期,期進行,審,審查，,並,並且讓,管,管理階,層,層審查,更,更新的,風,風險評,鑑,鑑與風,險,險處理,計,計畫。7.3 B,此活動,必,必須至,少,少一年,執,執行一,次,次，是ISMS管理審,查,查的一,部,部份。7.1,風險評,鑑,鑑,在稽核,的,的過程,中,中，稽,核,核員會,注,注意所,選,選用之,控,控制措,施,施予風,險,險處理,過,過程之,間,間的關,係,係，這些控,制,制措施,需,需溯及,風,風險評,鑑,鑑的結,果,果，並,溯,溯及ISMS的政策,與,與目標。,風險評,鑑,鑑,風險評,鑑,鑑過程,鑑別資,產,產和指,派,派資產,價,價值。,鑑別資,產,產的相,關,關威脅,和,和評鑑,它,它們的,可,可能性,。,。,鑑別脆,弱,弱性和,評,評鑑它,們,們可能,如,如何被,利,利用。,鑑別如,何,何藉由,控,控制措,施,施的實,施,施以提,供,供保護,。,。,評鑑上,述,述之全,面,面的風,險,險結果,。,。,風險評,鑑,鑑,威脅,宣告意,圖,圖造成,損,損害、,痛,痛苦或,不,不幸。,可能造,成,成一個,有,有害的,事,事件，,且,且這事,件,件可能,對,對系統,、,、組織,和,和資產,造,造成傷,害,害。,蓄意的,或,或是意,外,外的，,人,人為的,或,或是天,災,災的。,資產容,易,易受到,許,許多威,脅,脅，這些威,脅,脅來自,於,於利用,脆,脆弱性。,風險評,鑑,鑑,威脅,天災, 洪,水,水、暴,風,風、地,震,震和閃,電,電等。,人為, 人,員,員短缺,、,、錯誤,維,維護、,使,使用者,操,操作錯,誤,誤等。,科技的,網,網路故,障,障、流,量,量超過,負,負荷、,硬,硬體故,障,障等。,蓄意的,威,威脅,意外的,威,威脅,威脅頻,率,率,風險評,鑑,鑑,脆弱性,脆弱性,是,是組織,資,資訊安,全,全的漏,洞,洞或弱,點,點。,脆弱性,本,本身並,不,不會造,成,成傷害,，,，而是,可,可能允,許,許威脅,影,影響資,產,產的一,種,種或多,種,種情況,。,。,脆弱性,如,如果沒,有,有適當,管,管理，,將,將促使,威,威脅形,成,成。,風險評,鑑,鑑,脆弱性,關鍵人,員,員的缺,席,席,不穩定,的,的動力,未保護,的,的電纜,線,線,安全意,識,識的缺,乏,乏,密碼權,限,限的錯,誤,誤分配,安全訓,練,練的不,足,足,未安裝,防,防火牆,未鎖的,門,門,風險評,鑑,鑑,風險評,鑑,鑑的工,具,具和方,法,法,Q:BS7799建議什,麼,麼工具,？,？,A:風險評,鑑,鑑應該,鑑,鑑別對,組,組織資,產,產的威脅、,脆,脆弱性,和,和衝擊，而且,應,應該決,定,定風險程,度,度。,課程大,綱,綱,ISO27001:2005法規說,明,明,附錄A控制措,施,施簡介,資產評,估,估,風險評,鑑,鑑,風險處,理,理,適用性,聲,聲明書,稽核,風險處,理,理,風險處,理,理計,畫,畫風險處,理,理計畫,是,是定義,行,行動以,降,降低無法接,受,受的風,險,險，和實,施,施所需,的,的控制,措,措施以,保,保護資,訊,訊的一,種,種合作,文,文件。,風險處,理,理,風險處,理,理方,向,向,避免風,險,險,降低風,險,險到可,接,接受程,度,度,轉移風,險,險,接受剩,餘,餘的風,險,險,風險處,理,理,可接受,風,風險的,等,等級,要達到,完,完全的,風,風險是,不,不可能,的,的。,總是有,剩,剩餘的,風,風險。,什麼樣,程,程度的,剩,剩餘風,險,險能為,組,組織所,接,接受？,風險處,理,理,需考量,的,的因素,有,有：,地點,已存在,的,的安全,攻擊者,的,的數量,可用的,設,設施,累積的,機,機會,宣傳層,次,次,營運持,續,續計劃,風險處,理,理,風險處,理,理的步,驟,驟,定義一,個,個可接,受,受的殘餘風,險,險等級。,持續的,審,審查威,脅,脅和脆,弱,弱性。,對已存,在,在之安,全,全控制,措,措施的,審,審查。,應用其,它,它安全,控,控制措,施,施，如BS7799。,導入政,策,策和程,序,序。,風險處,理,理,控制措,施,施的選,擇,擇,風險,要求的,保,保證程,度,度(即強度),成本,實施的,容,容易性,服務,法律和,法,法規的,要,要求,客戶和,其,其它的,合,合約要,求,求,風險處,理,理,成本,預算限,制,制。,用控制,措,措施的,成,成本是,否,否會超,過,過資產,本,本身的,價,價值？,也許必,須,須選擇”最佳價,值,值”範,圍,圍內的,控,控制措,施,施。,風險處,理,理,實施的,容,容易性,環境是,否,否支援,控,控制措,施,施？,控制措,施,施需要,多,多久才,有,有辦法,開,開始實,施,施？,控制措,施,施是否,立,立即可,用,用的？,風險處,理,理,服務,可獲得,的,的技術,是,是否能,夠,夠管理,控,控制措,施,施？,是否能,夠,夠立即,的,的升級,？,？,設備是,否,否有當,地,地工程,師,師或協,力,力廠商,的,的支援,？,？,風險處,理,理,客戶和,其,其它合,約,約的要,求,求,安全篩,選,選,受限制,的,的存取,實體的,安,安全邊,界,界,資料儲,存,存,加密,數位簽,章,章,風險處,理,理,最佳作,業,業的控,制,制措施,資訊安,全,全政策,文,文件,資訊安,全,全責任,的,的分配,資訊安,全,全教育,和,和訓練,應用系,統,統的正,確,確處理,技術脆,弱,弱點管,理,理,營運持,續,續管理,管理資,訊,訊安全,事,事故和,改,改善,風險處,理,理,測量控,制,制措施,的,的有效,性,性,與4.2,.,.2連接，,用,用以監,控,控ISMS的有效,性,性。,在規劃,期,期間審,查,查風險,評,評鑑及,審,審查剩,餘,餘風險,與,與鑑別,之,之可接,受,受風險,等,等級，,以,以考慮,控,控制措,施,施實施,有,有效性,之,之變化,。,。,幫助監,控,控已實,施,施控制,措,措施的,效,效果。,風險處,理,理,風險評,鑑,鑑過程,資產鑑,別,別與價,值,值評估,威脅的,鑑,鑑別,脆弱性,的,的鑑別,衝擊的,評,評估,營運風,險,險,風險的,分,分級,風險管,理,理過程,現有的,安,安全控,制,制措施,審,審查,新安全,控,控制措,施,施的鑑,別,別,政策與,程,程序,實施與,風,風險降,低,低,風險可,接,接受度(殘餘風,險,險),課程大,綱,綱,ISO27001:2005法規說,明,明,附錄A控制措,施,施簡介,資產評,估,估,風險評,鑑,鑑,風險處,理,理,適用性,聲,聲明,稽核,適用性,聲,聲明,是組織,選,選擇適,合,合其企,業,業營運,需,需求的,目,目標與,控,控制措,施,施評論,。,。,聲明也,將,將記錄,任,任何控,制,制措施,的,的排除,。,。,聲明是,展,展示組,織,織如何,控,控制風,險,險的文,件,件，應,該,該沒有,太,太多的,細,細節能,夠,夠讓想,要,要破壞,安,安全的,人,人取得,寶,寶貴的,資,資訊。,它可能,會,會被潛,在,在的商,業,業夥伴,所,所要求,持,持有的,獨,獨立文,件,件，或,是,是成為,驗,驗證機,構,構所頒,發,發證書,的,的附加,資,資訊，,因,因此它,有,有可能,會,會是公,開,開的資,訊,訊。,適用性,聲,聲明,適合其,企,企業需,求,求的目,標,標與控,制,制措施,評,評論。,證明哪,些,些控制,措,措施是,相,相關的,紀錄哪,些,些不相,關,關的控,制,制措施,風險評,鑑,鑑將決,定,定哪一,些,些控制,措,措施應,該,該被實,施,施,是完整,文,文件審,查,查的一,部,部份,將幫助,決,決定最,後,後評鑑,階,階段的,稽,稽核計,畫,畫,適用性,聲,聲明,如果要,求,求未被,實,實施，,為,為什麼,？,？,風險因,未,未暴露,而,而未被,確,確認,預算、,財,財務限,制,制,環境影,響,響防護,措,措施，,如,如氣候,、,、空間,等,等。,技術，,有,有些措,施,施是技,術,術上不,可,可行的,。,。,文化、,社,社會限,制,制,時間，,有,有些要,求,求無法,現,現在實,施,施。,其它,課程大,綱,綱,ISO27001:2005法規說,明,明,附錄A控制措,施,施簡介,資產評,估,估,風險評,鑑,鑑,風險處,理,理,適用性,聲,聲明,稽核,稽核,至少需,執,執行兩,個,個階段,而,而且都,須,須見別,隊,隊BS7799,-,-2和ISO27001:2005的符合,性,性。,稽核階,段,段1 文件審,查,查審查ISMS核心要,素,素。,稽核階,段,段2 實施稽,核,核在現場,進,進行，,對,對政策,、,、程序,、,、和目,標,標的有,效,效性進,行,行審查,。,。,稽核階,段,段1 文件審,查,查,目標為稽核,計,計畫(階段2)提供重,點,點，藉,此,此了解,組,組織安,全,全政策,和,和目標,中,中ISMS的背景,脈,脈絡，,尤,尤其是,為,為了稽,核,核所做,的,的準備,聲,聲明。,稽核階,段,段1 文件審,查,查,主要活,動,動,審查ISMS管理架,構,構,確定ISMS範圍,風險評,鑑,鑑和管,理,理,適用性,聲,聲明,安全政,策,策和支,援,援的關,鍵,鍵程序,發現結,果,果的正,式,式報告,對組織,解,解釋階,段,段2,稽核階,段,段2 實施稽,核,核,目標,證明組,織,織遵守,本,本身的,政,政策、,目,目標和,程,程序。,證明ISMS遵照所,有,有ISMS標準或,規,規範文,件,件的要,求,求，而,且,且達成,組,組織的,政,政策目,標,標。,測試ISMS的有效,性,性。,稽核階,段,段2 實施稽,核,核,主要活,動,動,訪問ISMS的所有,權,權人和,使,使用者,審查高,、,、中或,低,低風險,區,區域,安全目,標,標及標,的,的,安全和,管,管理審,查,查,系統中,核,核心文,件,件的連,結,結,報告發,現,現事項,和,和做出,最,最後是,否,否發證,之,之建議,稽核員,的,的類型,第三方,稽,稽核員,為獨,立,立驗證,機,機構。,第二方,稽,稽核員,有從,屬,屬關係,之,之組織,。,。,第一方,稽,稽核員,自己,的,的部門,、,、單位,。,。,稽核專,有,有名詞,解,解釋,稽核員(Auditor)一個有,資,資格去,執,執行安,全,全稽核,的,的人。,主導稽,核,核員(LeadAuditor)一個被,指,指定管,理,理安全,稽,稽核的,稽,稽核員,。,。,客戶(Client)被稽核,的,的組織,。,。,被稽核,方,方(Auditee)組織中,被,被稽核,的,的人。,主導稽,核,核員的,責,責任,在階段1之前指,派,派,計劃和,管,管理所,有,有的稽,核,核階段,執行階,段,段1的稽核,協助小,組,組及對,小,小組簡,報,報,控制衝,突,突和處,理,理困難,的,的情形,執行和,控,控制所,有,有的小,組,組和被,稽,稽核者,間,間的會,議,議,在稽核,議,議題和ISMS上做決,定,定,準時報,告,告稽核,的,的結果,報告所,遭,遭遇的,阻,阻礙,即時報,告,告重大,的,的不符,合,合事項,具備有,效,效的溝,通,通技巧,稽核員,的,的責任,支援小,組,組組長,需有準,備,備的,參與首,次,次和結,束,束會議,完成指,派,派的工,作,作,依照時,間,間表完,成,成稽核,和,和稽核,範,範圍,記錄和,支,支援所,有,有發現,及時向,被,被稽核,方,方通報,有,有關情,況,況,完善地,保,保存所,有,有文件,保守機,密,密,需客觀,和,和合乎,道,道德的,追蹤矯,正,正措施,稽核員,的,的角色,独立的,和,和客观,的,的评鉴ISMS,没有偏,见,见和影,响,响,ISMS的有效,性,性,实施的,程,程度,稽核的,计,计划和,管,管理,记录和,报,报告发,现,现,所有涉,及,及稽核,的,的当事,人,人必须,尊,尊重稽,核,核员的,完,完整性,和,和独立,性,性,稽核員,的,的素質,注重實,際,際的,理解複,雜,雜的狀,況,況,了解組,織,織裡的,交,交互關,係,係,遵守機,密,密性要,求,求,專業的,獨立的,心胸開,闊,闊的,成熟的,具有明,智,智的判,斷,斷,具有分,析,析技巧,具洞察,力,力,堅韌的,安全稽,核,核的利,益,益,為安全,審,審查時,資,資訊的,關,關鍵來,源,源,展示資,深,深管理,階,階層的,承,承諾,改進人,員,員認知,、,、參與,和,和動機,提供持,續,續改進,的,的機會,改善客,戶,戶信心,和,和滿意,度,度,改進運,作,作的表,現,現,稽核目,標,標,審查安,全,全系統,對,對BS7799的符合,性,性,審查BS7799的實施,程,程度,審查系,統,統的有,效,效性和,適,適切性,，,，以符,合,合安全,政,政策和,目,目標,鑑別安,全,全漏洞,和,和弱點,提供改,進,進ISMS的機會,符合合,約,約和法,規,規的要,求,求,驗證需,求,求,驗證流,程,程,詢問,申請,預評(選擇性,的,的),文件審,查,查(階段1),六週為,最,最大的,間,間隔(UKAS),階段2的正式,評,評鑑,頒發證,書,書,持續評,鑑,鑑,每三年,部,部份階,段,段1和全部,的,的階段2審查(UKAS),稽核生,命,命週期,稽核的,生,生命週,期,期通常,稱,稱為P.E,.,.R.CPlanning計畫Execution執行Recording紀錄Closeout結案,稽核計,劃,劃,考量點,有,有：,組織的,大,大小和,性,性質,員工數,量,量,系統複,雜,雜度,ISMS的範圍,涉及的,地,地點和,數,數目,資訊類,型,型 ,文,文件,或,或電子,的,的,文化,語言,稽核計,劃,劃,準備流,程,程：,決定目,標,標,決定稽,核,核的持,續,續時間,和,和所需,資,資源,選擇小,組,組,與被稽,核,核者聯,絡,絡同,意,意稽核,日,日期,起草一,份,份稽核,計,計畫,簡報小,組,組,準備檢,查,查表,鑑別特,殊,殊的要,求,求,稽核計,劃,劃,BS7799稽核應,該,該被計,畫,畫和處,理,理，根,據,據風險,評,評鑑的,結,結果和,適,適用性,聲,聲明中,鑑,鑑別的,控,控制措,施,施。,稽核計,畫,畫應該,要,要包含,主,主要的,控,控制措,施,施。,每個活,動,動的稽,核,核應該,要,要包括,適,適當的BS7799從屬條,款,款，包,括,括附錄A。,稽核計,畫,畫的準,備,備將因,企,企業和,公,公司的,不,不同而,有,有所差,異,異。,階段2：稽核,計,計劃,第二階,段,段的稽,核,核計畫,應,應該在,第,第一階,段,段完成,時,時，且,在,在第二,階,階段開,始,始前完,成,成。,計畫必,須,須反映ISMS的範圍,。,。,稽核必,須,須被計,畫,畫，以,縮,縮小對,營,營運的,干,干擾。,在稽核,開,開始前,，,，特殊,的,的資源,應,應該在,計,計畫中,被,被鑑別,。,。,階段2：稽核,計,計劃,由主導,稽,稽核員,準,準備,經過客,戶,戶同意,的,的,具有可,變,變更的,彈,彈性,包括稽,核,核目標,和,和範圍,鑑別目,標,標和範,圍,圍內相,關,關人員,的,的責任,鑑別參,考,考用文,件,件,鑑別稽,核,核小組,成,成員,稽核時,所,所用的,語,語言,鑑別應,稽,稽核的,區,區域,每個重,大,大稽核,活,活動預,期,期的時,間,間,會議的,行,行程表,機密性,要,要求,稽核報,告,告的分,配,配和發,佈,佈時間,解決任,何,何有關,稽,稽核計,畫,畫問題,階段2：稽核,計,計劃可,用,用的資,訊,訊,文件審,查,查的結,果,果,安全手,冊,冊及程,序,序,管理重,點,點,高風險,區,區域,安全問,題,題,先前的,內,內部審,查,查,服務/產品資,訊,訊,稽核員,的,的經驗,被稽核,方,方的責,任,任,同意或,澄,澄清計,劃,劃安排,與所有,部,部門溝,通,通此安,排,排,要求管,理,理階層,參,參加會,議,議,安排相,關,關人員,以,以便接,受,受稽核,要求所,有,有人員,全,全面合,作,作,安排引,導,導人員,為稽核,員,員安排,辦,辦公室,設,設施,稽核方,法,法,流程稽,核,核方法,部門的,稽,稽核方,法,法,公司的,位,位置,遍及組,織,織之“共通”條款的,應,應用,確保適,當,當的時,間,間被分,配,配到各,個,個區域,稽核目,的,的,收集客,觀,觀證據,，,，以便,對,對資訊,安,安全管,理,理系統,的,的狀態,和,和有效,性,性做出,綜,綜合判,斷,斷。,客觀證,據,據,資訊、,紀,紀錄或,事,事實的,聲,聲明,也許是,定,定性或,定,定量,一個資,訊,訊安