资讯安全稽核介绍与实务(宽频).pdf

資訊安全稽核介紹與實務 陶靖霖講師 CCSA 、TCAE 、BS 7799LA 、 ISO 27001主導稽核員課程證書 1 課程大綱 第一章資安稽核種類與方法 第二章資安稽核程序 第三章受稽核單位注意事項 第四章結論 2 第一章資安稽核種類與方法 1-1 資安稽核目的 1-2 資安稽核分類 1-3 資安稽核方法 3 1-1 資安稽核目的 4 何謂稽核 稽核是由有能力且獨立之人員客觀取得與 評估證據，以支持其聲明是否符合之報告 的系統化過程。 5 資安稽核的目的 資安稽核之目的在於檢查、評估資安控制 措施之缺失及衡量資訊安全管理制度之有 效性 ，適時提供改進建議，以合理確保該 制度得以持續有效的實施。 6 資安稽核的效益 可驗證是否符合資安標準與法令的要求 可評估資訊安全管理制度的有效性 減少資訊安全管理系統失效的風險 爲管理階層審查提供訊息 提升資安意識 提供改善的機會 落實資訊安全的最後一道防線 7 稽核相關參考標準 ISO 19011 – Guidelines for Quality and Environmental Management Systems Auditing ISO 19011 CNS 14809 CNS 14809 – 品質與/或環境管理系 統稽核 指導綱要。 8 資訊安全稽核依據 ISO/IEC 27001 CNS 27001 參考其他課程 – 資訊安全稽核使用之標準ISO/CNS 27001 （上） – 資訊安全稽核使用之標準ISO/CNS 27001 （下） – 資訊安全管理制度（ISMS ）簡介 9 1-2 資安稽核分類