CyberSecurity

ISO/IEC 27001 資安管理系統主導稽核員證照心得

  1. 說明
    1. 實作與學習
  2. 27001
    1. 本文
    2. 附錄 Annex A Controls
  3. 13 項應資訊文件化
  4. 稽核方案 & 稽核計畫
    1. 稽核小組成員
    2. 稽核報告
  5. 關鍵字

關於ISO/IEC 27001 資安管理系統主導稽核員的證照課程與考試心得。

logo

說明

認證與驗證的關係,由 IAF 認證 TAF,再由 TAF 認證驗證公司,驗證公司在依照 ISO/IEC 27001 來驗證客戶端是否取得 ISO/27001 驗證證書。常見的錯誤是宣稱取得 ISO 27001 認證,正確的是 ISO 27001 驗證,TAF 即財團法人全國認證基金會,由 TAF 認證的驗證機構,包含 BSI, SGS, TÜV, TCIC, AFNOR。

實作與學習

資安事件新聞的分析
風險識別:盤點風險項
風險評鑑:分析完整性、機密性與可用性;列出後果與可能性以及採取的措施
風險處理:強化措施、風險處理計畫、執行監試與審查
稽核發現與附錄A條文符合與否判定

27001

  • 27001的本文 PDCA 與風險評鑑及風險處理
  • 27001 擴充驗證範圍
  • 說、寫、做一致

本文

4 組織全景 (P)

  • 4.1 瞭解組織及其全景
  • 4.2 瞭解利害相關者之需要及期望
  • 4.3 決定資訊安全管理系統之範圍
  • 4.4 資訊安全管理系統

5 領導作為 (P)

  • 5.1 領導及承諾
  • 5.2 政策
  • 5.3 組織角色、責任及權限

6 規劃 (P)

  • 6.1 因應風險及機會之行動
  • 6.2 資訊安全目標及其達成之規劃
  • 6.3 變更之規劃

7 支援 (P)

  • 7.1 資源
  • 7.2 能力
  • 7.3 認知
  • 7.4 溝通或傳達
  • 7.5 文件化資訊

8 運作 (D)

  • 8.1 運作之規劃及控制
  • 8.2 資訊安全風險評鑑
  • 8.3 資訊安全風險處理

9 績效評估 (C)

  • 9.1 監督、量測、分析及評估
  • 9.2 內部稽核
  • 9.3 管理審查

內部稽核與管理審核會議

10 改善 (A)

  • 10.1 持續改善
  • 10.2 不符合事項及矯正措施

附錄 Annex A Controls

A.5 組織 (Organisational )
A.6 人力 (People)
A.7 設施 (Physical)
A.8 技術 (Technological )

iso-27001/annex-a | isms.online

13 項應資訊文件化

四階文件不是必要的文件架構,只是多數的驗證公司與顧問公司有此慣例與默契,因此多數的受稽公司都採用此方式。

控制措施與適用性聲明

  1. 4.3 決定資訊安全管理系統之範圍
  2. 5.2 政策
  3. 6.1.2 資安風險評鑑過程
  4. 6.1.3 資安風險處理過程
  5. 6.2 資訊安全目標及其達成之規劃
  6. 7.2 能力
  7. 8.1 運作之規劃及控制
  8. 8.2 資訊安全風險評鑑
  9. 8.3 資訊安全風險處理
  10. 9.1 監督、量測、分析及評估
  11. 9.2.2 稽核計畫實作及稽核結果之證據
  12. 9.3.3 管理審查結果之證據
  13. 10.2 所有矯正措施之結果、不符合項目之本質及後續採取的所有行動

稽核方案 & 稽核計畫

稽核方案:規模、週期的稽核

CA, 初次驗證, 100% 時程
SA, 追蹤驗次, 33% 時程
RA, 重新驗證, 67% 時程

稽核計畫:時效、特定的稽核

稽核小組成員

  • 稽核組長
  • 稽核員
  • 技術專家
  • 觀察員
  • 顧問
  • 陪檢員

稽核報告

符合:

  • OBS 觀察事項
  • AOI 改進機會

不符合 NC, NonConformity:

  • 主要不符合
  • 次要不符合

關鍵字

中文術語 英文術語
機密性 Confidentiality
完整性 Integrity
可用性 Availability
存取控制 Access Control
鑑別 Authentication
不可否認性 Non-Repudiation
可靠性 Reliability
資訊安全 Information Security
管理系統 Management System
最高管理階層 Top Management
資訊安全治理 Information Security Governance
治理單位 Governing Authority
利害相關者 Stakeholders
事件 Incident
資訊安全事件 Information Security Incident
風險 Risk
後果 Consequences
可能性 Likelihood
風險等級 Risk Level
威脅 Threat
脆弱性 Vulnerability
風險當責者 Risk Owner
風險識別 Risk Identification
風險分析 Risk Analysis
風險評估 Risk Assessment
風險評鑑 Risk Evaluation
風險溝通與諮詢 Risk Communication and Consultation
風險處理 Risk Treatment
控制措施 Control Measures
端點裝置 Endpoint Devices
個人可識別資訊 Personally Identifiable Information
復原點目標 Recovery Point Objective
復原時間目標 Recovery Time Objective
主題特定政策 Topic-specific policies