ISO27001 主任审核员 教材.ppt

ISO27001:2005信息安全管理系统-主导稽核员教材 课程大纲 ISO27001:2005法规说明 附录A控制措施简介 资产评估 风险评鉴 风险处理 适用性声明书 稽核 ISO27001:2005法规说明 ISO27001:2005法规说明 BS7799：分为BS7799-1和BS7799-2两部份 BS7799-1:2005 / ISO17799:2005主要是做为参考文件，提供广泛性的安全控制措施，作为现行信息安全之最佳作业方法，其中包含11个控制措施章节，但不作为评鉴与验证标准。 BS7799-2:2005 / ISO27001:2005系根据BS7799-1，提供信息安全管理系统(ISMS)之建立实施与书面化之具体要求，依据个别组织的需求，规定要实施之安全控制措施的要求。 ISO27001:2005法规说明 BS7799-1:2005 / ISO17799:2005 信息安全管理作业要点 用意是做为参考文件 提供广泛性的安全控制措施 现行信息安全之最佳作业方法 包含11个控制章节 无法作为评鉴与验证 ISO27001:2005法规说明 BS7799-2:2005 / ISO27001:2005 信息安全管理系统要求 根据BS7799-1:2005 ISMS之建立实施与文件化之具体要求 依据个别组织的需求，规定要实施之安全控制措施的要求。 ISO27001:2005法规说明 信息是一种资产，就像其它重要的企业资产依样，对组织具有价值，因此需要受到适当的保护。 ISO27001:2005法规说明 信息的类型 书写或打印于纸上 储存在电子媒体上 以邮寄或电子储存媒体传输 显示于企业影片上 言语-在对话中提出 不管信息的形式是什么，或者共享或储存的方式是什么，都应该受到适当的保护。 ISO27001:2005法规说明 信息安全 保护信息的机密性、完整性与可用性；另外，亦可包含如可鉴别性(真实性)、可归责性、不可否认性及可靠性等特性。 ISO27001:2005法规说明 机密性(Confidentiality) 信息不可被未经授权之个人、实体、流程所取得或揭露之特性。 完整性(Integrity) 保护资产准确性和完整性之特性。 可用性(Avaliability) 基于需要可由授权者存取及使用之特性。 ISO27001:2005法规说明 关键的成功因素(Critical success factors)经验显示，组织的信息安全能否成功实施，下列常为关键因素： 能反映营运目标的信息安全政策、目标及活动。 与组织文化一致之实施、维护、监控、及改进信息安全的方法与框架。 来自所有管理阶层的实际支持和承诺。 对信息安全要求、风险评鉴以及风险管理的深入了解。 向全体管理人员、受雇人员、及相关人员有效推广信息安全以达到认知。 资助信息安全管理活动。 提供适切的认知、训练及教育。 制定有效的信息安全事故管理过程。 实施ㄧ个用于评估ISMS的绩效及改进的回馈建议之量测系统。 ISO27001:2005法规说明 4. Information security management system 4.1 一般要求組織應在整體業務活動與所面臨風險下建立、實施、操作、監控、審查、維護及改進一文件化ISMS，為本國際標準之目的，所採用之過程以下圖所示之PDCA模式為基礎。 4.Information security management system 4.2 資訊安全管理系統之建立及管理 4.2.1 建立資訊安全管理系統組織應： 依據業務、組織、所在位置、資產及技術等特性，定義資訊安全管理系統之範圍及界限，並包括任何自範圍排除之細節及理由。 依據業務、組織、所在位置、資產及技術等特性，定義資訊安全管理系統之政策，且： 包含設定目標之框架，並建立有關資訊安全之整體方向亦是與行動原則。 考慮企業及法律或法規要求，以及合約性的安全責任。 與組織策略性之風險管理內容配合，使ISMS得以建立及維持。 建立評估風險之標準，及被管理階層核准。 4.2 資訊安全管理系統之建立及管理 定義組織之風險評鑑辦法 鑑別一風險評鑑方法論，並適合其ISMS、已鑑別之企業資訊安全、以及法律與法規要求。 發展可接受風險之標準以及鑑別風險至可接受的程度。所選擇之風險評鑑方法論應確保產出可比較及可重複之結果。 鑑別各項風險 鑑別ISMS控制範圍內之資產以及該資產之擁有者(owner)。擁有者(owner)一詞係指已核准資產管理責任之個人或實體，針對資產之生產、開發、維護、使用及安全之管制。擁有者(owner)一詞並不是指實際具有資產產權之人員。 4.2 資訊安全管理系統之建立及管理 分析及評估各項風險 鑑別並評估風險處理之選項方法 選擇控制目標及控制措施以處理風