资讯安教材资料全管理认证程序.pptVIP

資訊安全管理認證程序 Agenda 資安管理系統認證指引 (EA7 / 03) 相互驗證協議(Arrangement on the Mutual Recognition) 資訊系統稽核師職業道德規範(Code of Ethics of Certified Information System Auditor) 資安管理系統認證指引(EA7 / 03) 範圍 參考資料 對驗證 / 註冊法人團體要求 對驗證 / 註冊之要求 範圍 任何從事資訊安全管理系統(ISMS)驗證/註冊業務之第三者法人團體，若自認可信任其經營品質者，皆適用於本指引之規範。 參考資料 ISO/IEC指引2：1996，一般性條款及其相關標準化與活動的定義。 ISO 8402：1994，品質管理及品質保證-詞彙 ISO/IEC指引62：1996，經營管理評估及驗證/註冊法人團體品質系統的一般性要求 BS 7799 ：1999，資訊安全管理系統的實務規則 ISO 10011：1990，稽核品質系統指引 對驗證 / 註冊法人團體要求 驗證 / 註冊法人團體方面 驗證 / 註冊法人團體之人員方面 驗證 / 註冊需求之變更 投訴、申訴及辯論 對驗證 / 註冊之要求 驗證 / 註冊之應用 評估之準備、實作及報告 驗證 / 註冊之決定 監測及再評估步驟 憑證及標誌的效用 存取對組織申訴的紀錄 Agenda 資安管理系統認證指引 (EA7 / 03) 相互驗證協議(Arrangement on the Mutual Recognition) 資訊系統稽核師職業道德規範(Code of Ethics of Certified Information System Auditor) 相互驗證協議 參考資料 協議目的 協議精神 範圍與內容 驗證/證明機構的資格要求 自發性定期評估 證明書與服務標誌 共用的資訊 參考資料 EN 45001 測試實驗室操作之一般準則 / 歐洲標準 CEN/CENELEC，1989 ISO/IEC 指南25 校正與測試實驗室的一般能力要求，1990 EN 45011 驗證機構執行產品驗證的一般準則 / 歐洲標準 CEN/CENELEC，1989 ISO/IEC 指南65 產品驗證機構操作的一般要求，1996 協議目的 確保資訊技術(IT)產品與保護規範的評估之完成係達到高品質及一致性標準，同時在安全防護過程中，負責提供令人滿意的產品及規範。 改善經受評估、且增加安全防護的資訊技術產品與保護規範的可用性，以適用於全國。 減少重複評估資訊技術產品與保護規範的負擔。 持續改善資訊技術產品與保護規範評估與驗證/證明程序的效率及成本效益。 協議精神 最嚴謹的安全防護評估準則與方法論，也無法涵蓋每種可能性。 準則的應用需要專家之專業判斷。 協議過程的參與者，需發展與維護彼此間技術判斷及能力的相互了解與信任，並透過公開討論與辯論，來維護整體的連貫性。 範圍與內容 評估與計畫 驗證/證明機構的資格要求 自發性定期評估 證明書與服務標誌 共用的資訊 新的參與者 協議管理機制 驗證/證明報告的內容 Agenda 資安管理系統認證指引 (EA7 / 03) 相互驗證協議(Arrangement on the Mutual Recognition) 資訊系統稽核師職業道德規範(Code of Ethics of Certified Information System Auditor) 資訊系統稽核師職業道德規範 參考資料 制定目的 資訊系統稽核之職業準則 資訊系統稽核之公報 資訊系統稽核之道德規範 參考資料 資訊系統審查及控制協會公告之「資訊系統稽核師之道德規範」 國際內部稽核協會公告之「內部稽核人員之道德規範」 美國會計師公會（AICPA）公告之「職業道德規範」 中華民國會計師公會公告之「中華民國會計師職業道德規範」 制定目的 為確保資訊系統稽核師「遵守一般公認資訊系統稽核準則、公報及實務、與資訊系統安全及控制實務」 確保稽核工作之品質及其一致性 資訊系統稽核之職業準則 態度及言行表現 組織關聯性 職業道德規範 技巧及知識 持續性的專業訓練 資訊系統稽核之公報 三大分類 INDEPENDENCE PERFORMANCE OF WORK REPORTING 資訊系統稽核之公報 九項解釋 態度及言行表現及組織中的關係 參與系統開發程序 證據要求 盡職業上應有之注意 規劃稽核作業時風險評估之運用 稽核文件之彙整 對不規則情事之稽核考量 稽核軟體工具之運用 稽核報告 資訊系統稽核之道德規範 支持適當的資訊系統準則、處理程序及控制之建立與遵循 遵守資訊系統稽核及控