ISO270012005资讯安全管理系统--要求-经济部标准检验局.pptVIP

2006/1/20 ISO 27001介紹 ISO 27001:2005 資訊安全管理系統要求 ISO 27001 演進歷史 ISMS演進歷史 ISO 27001:2005 標準說明 目錄 0 簡介 1 適用範圍 2 引用標準 3 用語與定義 4 資訊安全管理系統 5 管理責任 6 ISMS內部稽核 7 ISMS之管理階層審查 8 ISMS之改進 附錄 A 控制目標和控制措施 附錄 B OECD 原則與本標準 附錄 C BS EN ISO9001：2000, ISO14001：1996和本標準之間的對應關係 參考資料 0簡介Introduction 0.1概說(General) 本國際標準之制定為提供一建立、實施、操作、監督、審查、維持及改進資訊安全管理系統之模式。 採用資訊安全管理系統宜為組織的策略性決策。 影響資訊安全管理系統的設計與執行因素包括： 組織需求 目標 安全要求 組織作業程序 組織規模與架構 若狀況簡單就只需要簡單的資訊安全管理系統方案。 0.2過程導向Process approach 組織必須鑑別、管理因業務過程需求而展開的各種活動，並使用資源及管理促成輸入要項轉換為輸出要項之活動則被視為一過程(process) 。 組織內各過程系統之應用並連同這些過程的鑑別與相互作用的觀念就是過程導向(Process approach) 。 Process-based approach PDCA 過程模式Process model OECD原則與PDCA模式 特別聲明 注意--本出版品並無意包括一份合約所有必要的條款。使用者負有其正確應用之責。符合一份國際標準其本身並不賦予法律義務的豁免。 1適用範圍Scope 1.1概論(General) 本國際標準涵蓋所有類型的組織（例如，商業企業、政府機構、非營利組織）。 本國際標準規範建立、實施、操作、監督、審查、維持及改進一份包含組織整體營運風險之文件化資訊安全管理系統之要求，它規定安全控制措施的實施要求可依據個別組織或部分單位之需求加以量身打造。 資訊安全管理系統之設計乃為確保選擇適切的及相稱的安全控制措施，以保護資訊資產並提供利害相關者信心。 1.2應用(application) 本國際標準敘述之要求為一般性的，且適用所有組織，與其類型、規模大小及業務性質無關。 排除本國際標準第4,5,6,7 及8節所規定之任何要求，在組織聲稱符合本國際標準時，係不被接受。 若發現某些控制措施可滿足風險承受準則而需加以排除者，需提出理由並提供相關風險已被權責人員接受之證據。 2引用標準Normative reference ISO/IEC 17799:2005 (CNS 17799:2005) 3.3 機密性confidentiality 資訊不被未經授權的個人、實體或過程取得或揭露的特性。 [ISO/IEC 13335-1:2004] 3.4 資訊安全information security 保護資訊的機密性、完整性與可用性；另外也能涉及如鑑別性、 可歸責任性、 不可否認性與可靠性等特性。 [ISO/IEC 17799:2005] 3.7資訊安全管理系統 information security management system ISMS 整體管理系統的一部份，以營運風險方案為基礎，用以建立、實施、操作、監督、審查、維持及改進資訊安全。 3.8完整性 integrity 保護資產準確及完整的特性。 3.9 殘餘風險residual risk 經過風險處理後剩餘的風險。 [ISO/IEC Guide 73:2002] 3.10 風險承受risk acceptance 決定接受某個風險。[ISO/IEC Guide 73:2002] 3.11 風險分析risk analysis 系統化的使用資訊以鑑別資源與估計風險。[ISO/IEC Guide 73:2002] 3.12 風險評鑑risk assessment 風險分析與風險評估的整體過程。 3.13 風險評估risk evaluation 將估計的風險與所訂的風險準則加以比較，以決定風險重要性的過程。 3.14 風險管理risk management 指導與控制組織有關風險的協調活動。 3.15 風險處理risk treatment 選擇與實施各項控制措施，以修正風險的過程。 3.16 適用性聲明statement of applicability 描述組織資訊安全管理系統相關且適用之控制目標與控制措施的文件化聲明。 4 資訊安全管理系統Information security management system 4.1 一般要求 General Requirements 組織