ISO27001培训教材

歷史 過程導向 架構 (條文 ) 7001 的三要素 實作 ( 7001能帶來什麼好處 英國國家標準協會 ,資訊安全管機制 國際標準化組織 ( 資訊安全管實務準則之國家標準 ，並提交 1996 個月後，沒通過 1998 英國公佈 ，並成為資訊安全管認證之依據 2000 增修後之 通過 2002 英國 佈發 002修訂版 2002 我國經濟部標準檢驗局依據 7799及 002版公佈國家標準 005 7799(2005版 ) 2005/10/14 修定 通過 2007 將 7799改為 7002，使資訊安全標準成為 7000系 7799(7002)( ) 作業規範 7001 ( ) 要求事項 7001是 統驗證的判定標準 重於預防而非矯正措施 11個控制領域 , 39個控制目標 133控制措施 鑑定改善需求 執行改善工作 報告執行結果 確認目標達成 持續追縱改善 善 建立 資訊安全政策 資訊安全目標 資訊安全組織 風險評估及管理 確認控制目標 計劃 執行監控程序 風險再評估 定期施行稽核 績效評估 查 建立管理文件體系 建置控制方法 資訊安全程序文件 營運持續運作計畫 執行管理程序 教育訓練及宣導 執行 資產 ,資訊安全 ,可用性 . 4. 資訊安全系統 ) 立 的 P) 作 的 D) 視與審查 () 持與改進 () 件化要求 (的 D) 部稽核 (的 C) (的 C) 進 (的 A) 資訊安全政策 資訊安全組織 資訊資產分類與管理 業務持續運作之管理 法令規章之遵循 人 員 安 全 資安事件管理 實體與環境安全 通訊與操作管理 存 取 控 制 系統發展與維護 資 訊 系 統 稽 核 ( 資訊安全政策訂定與評估 ( 資訊安全組織 ( 資訊資產分與管制 ( 人員安全管與教育訓 ( 實體與環境安全 ( 通訊與作業安全管 ( 存取控制安全 ( 系統開發與維護之安全 ( 資訊安全事件之反應及處 ( 業務永續運作管 ( 相關法規與施單位政策之符合性 (政策 規範、辦法 作業程序 表單、記錄 一階 二階 三階 四階 密性 保護資訊被非法存取或揭 確保資訊在任何階段沒有適當的修改或損毀 (如網頁被駭 ,就是完整性的問題 ) 用性 經授權的使用者能適時的存取所需資訊 (如硬體故障 ,使得授權的使用者無法使用 ) 7001“以風險為基礎 ”的方法論 ,定義政策 ,程序和適當的控制項目來管理風險 資訊就是一種資產，和其他重要的營運資產一樣有價值，因此需要持續給予妥善保護。 資訊安全包含技術面與管理面，需要通過實施一整套適當的控制措施才能實現。 範圍及界限 政策 為風險評鑑 ) f. 識別並評估風險處理的各項選項辦法 風險處理 ) 7001 只是一個要求事項 要達成 7001 的要求事項方法很多 可以是人工的 可以使用軟體工具 成立 組 界定公司 範圍及界限 界定公司 政策 清查資訊資產 針對資訊資產評定其風險值 選擇風險處理的方法 寫一份適用聲明書 資訊安全官 管理代表 (簡稱 “管代 ”) 資訊安全部主管 管理部 文件管理中心 稽核 界定公司 範圍及界限 例如 ： 界定公司 政策 公佈 政策 養成良好資安習慣 軟體 資料 硬體 文件 人員 環境 針對資訊資產評定其風險值 威脅性 中 ,高 ,極高 弱點等級 中 ,高 ,極高 風險等級 =資訊資產價值 *威脅 *弱點等級 對於風險等級超過一定值 (例如 16分 )需要風險處理降低其風險 風險處理方法有 採取降低風險的措施 面對它 ,處理它 如果無法降低 接受它 (剩餘風險 ) 迴避它 轉移風險 利用保險或其他方式處理 取得管理階層對剩餘風險的核準 擬一份適用性聲明書 中排除的理由說明 每年要複評 每三年要重新評鑑 7001能帶來什麼好處 資訊安全管理系統的運行及 7001驗證能為企業帶來許多重要的策略與營運優勢 強化企業安全： 透過資訊安全管理系統的運行及 減少企業網路的弱點，並提高企業的風險控管能力。 減少弱點意味著較少的安全漏洞，詐騙行為、財物風險與法律風險也會跟著減少，當然網路的連續運作時間與顧客信心也會隨之提高。 提高安全規劃效率 127 條控制項目及其控制細項目，將明確導引企業如何進行人力資源、法務與突發事件應變的規劃。這些針對資訊安全而提出的全面性詳細建議，可使得企業開始導入安全措施時，作到更完善、更容易管控且非常符合經濟效益。 提高安全管理成效 企業將開始制定或重新檢視其資訊安全政策與程序。與企業一般的安全計劃不同的是，且在實際商業資訊安全中測試過其成效。 持續保護 企業經過驗證後，稽核機構的持續檢驗與確保企業隨時了解最新的弱點以及最佳的實務準則法則。 改善與供應商的合作關係 為了讓企業網路受到更好的保護，同時又要能進行電子資料交換，企業可以資訊安全管理系統的運行及 安全的電子商務 資訊安全管理系統的運行及 論是財務機構或電子商城，消費者都能輕易分辨出哪些是經過驗證值得信賴的電子商務公司。 提高顧客信心 隨著顧客與廠商對網路安全漏洞愈來愈