ISO/IEC 27001 資安管理系統主導稽核員證照心得

2023-07-18

關於ISO/IEC 27001 資安管理系統主導稽核員的證照課程與考試心得。

說明

認證與驗證的關係，由 IAF 認證 TAF，再由 TAF 認證驗證公司，驗證公司在依照 ISO/IEC 27001 來驗證客戶端是否取得 ISO/27001 驗證證書。常見的錯誤是宣稱取得 ISO 27001 認證，正確的是 ISO 27001 驗證，TAF 即財團法人全國認證基金會，由 TAF 認證的驗證機構，包含 BSI, SGS, TÜV, TCIC, AFNOR。

實作與學習

資安事件新聞的分析
風險識別：盤點風險項
風險評鑑：分析完整性、機密性與可用性；列出後果與可能性以及採取的措施
風險處理：強化措施、風險處理計畫、執行監試與審查
稽核發現與附錄A條文符合與否判定

27001

• 27001的本文 PDCA 與風險評鑑及風險處理
• 27001 擴充驗證範圍
• 說、寫、做一致

本文

4 組織全景 (P)

• 4.1 瞭解組織及其全景
• 4.2 瞭解利害相關者之需要及期望
• 4.3 決定資訊安全管理系統之範圍
• 4.4 資訊安全管理系統

5 領導作為 (P)

• 5.1 領導及承諾
• 5.2 政策
• 5.3 組織角色、責任及權限

6 規劃 (P)

• 6.1 因應風險及機會之行動
• 6.2 資訊安全目標及其達成之規劃
• 6.3 變更之規劃

7 支援 (P)

• 7.1 資源
• 7.2 能力
• 7.3 認知
• 7.4 溝通或傳達
• 7.5 文件化資訊

8 運作 (D)

• 8.1 運作之規劃及控制
• 8.2 資訊安全風險評鑑
• 8.3 資訊安全風險處理

9 績效評估 (C)

• 9.1 監督、量測、分析及評估
• 9.2 內部稽核
• 9.3 管理審查

內部稽核與管理審核會議

10 改善 (A)

• 10.1 持續改善
• 10.2 不符合事項及矯正措施

附錄 Annex A Controls

A.5 組織 (Organisational )
A.6 人力 (People)
A.7 設施 (Physical)
A.8 技術 (Technological )

iso-27001/annex-a | isms.online

13 項應資訊文件化

四階文件不是必要的文件架構，只是多數的驗證公司與顧問公司有此慣例與默契，因此多數的受稽公司都採用此方式。

控制措施與適用性聲明

1. 4.3 決定資訊安全管理系統之範圍
2. 5.2 政策
3. 6.1.2 資安風險評鑑過程
4. 6.1.3 資安風險處理過程
5. 6.2 資訊安全目標及其達成之規劃
6. 7.2 能力
7. 8.1 運作之規劃及控制
8. 8.2 資訊安全風險評鑑
9. 8.3 資訊安全風險處理
10. 9.1 監督、量測、分析及評估
11. 9.2.2 稽核計畫實作及稽核結果之證據
12. 9.3.3 管理審查結果之證據
13. 10.2 所有矯正措施之結果、不符合項目之本質及後續採取的所有行動

稽核方案 & 稽核計畫

稽核方案：規模、週期的稽核

CA, 初次驗證, 100% 時程
SA, 追蹤驗次, 33% 時程
RA, 重新驗證, 67% 時程

稽核計畫：時效、特定的稽核

稽核小組成員

• 稽核組長
• 稽核員
• 技術專家
• 觀察員
• 顧問
• 陪檢員

稽核報告

符合：

• OBS 觀察事項
• AOI 改進機會

不符合 NC, NonConformity：

• 主要不符合
• 次要不符合

關鍵字