ISO27001主任审核员教材.ppt

ISO27001:2005 信息安全管理系统- 主导稽核员教材 课程大纲 nISO27001:2005法规说明 n附录A控制措施简介 n资产评估 n风险评鉴 n风险处理 n适用性声明书 n稽核 ISO27001:2005法规说明 ISMS标准/指南 ISO27001 serial (2005) 200520002002Before 2000 信息安全 管理系统要求 ISO27001 ISO27001:2005 (BS7799-2:2005) BS7799- 2:2002 BS7799- 2:1999 信息安全 管理作业要点 ISO27002 (after April 2007) ISO17799:2005 (BS7799-1:2005) ISO17799: 2000 BS7799- 1:1999 ISO27001:2005法规说明 nBS7799：分为BS7799-1和BS7799-2两部份 nBS7799-1:2005 / ISO17799:2005 主要是做为参考文件，提供广泛性的安全控制措 施，作为现行信息安全之最佳作业方法，其中包 含11个控制措施章节，但不作为评鉴与验证标准 。 nBS7799-2:2005 / ISO27001:2005 系根据BS7799-1，提供信息安全管理系统(ISMS) 之建立实施与书面化之具体要求，依据个别组织 的需求，规定要实施之安全控制措施的要求。 ISO27001:2005法规说明 nBS7799-1:2005 / ISO17799:2005 信息安全管理作业要点 用意是做为参考文件 提供广泛性的安全控制措施 现行信息安全之最佳作业方法 包含11个控制章节 无法作为评鉴与验证 ISO27001:2005法规说明 nBS7799-2:2005 / ISO27001:2005 信息安全管理系统要求 根据BS7799-1:2005 ISMS之建立实施与文件化之具体要求 依据个别组织的需求，规定要实施之安全控制 措施的要求。 ISO27001:2005法规说明 n信息是一种资产，就像其它重要的企业资 产依样，对组织具有价值，因此需要受到 适当的保护。 ISO27001:2005法规说明 n信息的类型 书写或打印于纸上 储存在电子媒体上 以邮寄或电子储存媒体传输 显示于企业影片上 言语-在对话中提出 不管信息的形式是什么，或者共享或储存的方式是什 么，都应该受到适当的保护。 ISO27001:2005法规说明 n信息安全 保护信息的机密性、完整性与可用性；另外， 亦可包含如可鉴别性(真实性)、可归责性、不 可否认性及可靠性等特性。 ISO27001:2005法规说明 n机密性(Confidentiality) 信息不可被未经授权之个人、实体、流程所取 得或揭露之特性。 n完整性(Integrity) 保护资产准确性和完整性之特性。 n可用性(Avaliability) 基于需要可由授权者存取及使用之特性。 ISO27001:2005法规说明 n关键的成功因素(Critical success factors) 经验显示，组织的信息安全能否成功实施，下列常为关键因 素： 能反映营运目标的信息安全政策、目标及活动。 与组织文化一致之实施、维护、监控、及改进信息安全的方法与框架 。 来自所有管理阶层的实际支持和承诺。 对信息安全要求、风险评鉴以及风险管理的深入了解。 向全体管理人员、受雇人员、及相关人员有效推广信息安全以达到认 知。 资助信息安全管理活动。 提供适切的认知、训练及教育。 制定有效的信息安全事故管理过程。 实施个用于评估ISMS的绩效及改进的回馈建议之量测系统。 ISO27001:2005法规说明 4. Information security management system n4.1 一般要求 組織應在整體業務活動與所面臨風險下建立、實 施、操作、監控、審查、維護及改進一文件化 ISMS，為本國際標準之目的，所採用之過程以下 圖所示之PDCA模式為基礎。 4.Information security management system 4.2 資訊安全管理系統之建立及管理 n4.2.1 建立資訊安全管理系統 組織應： 依據業務、組織、所在位置、資產及技術等特性，定義資訊安全管理 系統之範圍及界限，並包括任何自範圍排除之細節及理由。 依據業務、組織、所在位置、資產及技術等特性，定義資訊安全管理 系統之政策，且： n包含設定目標之框架，並建立有關資訊安全之整體方向亦是與行 動原則。 n考慮企業及法律或法規要求，以及合約性的安全責任。 n與組織策略性之風險管理內容配合，使ISMS得以建立及維持。 n建立評估風險之標準，及被管理階層核准。 4.2 資訊安全管理系統之建立及管理 定義組織之風險評鑑辦法 n鑑別一風險評鑑方法論，並適合其ISMS、已鑑別之企業資訊 安全、以及法律與法規要求。 n發展可接受風險之標準以及鑑別風險至可接受的程度。所選擇 之風險評鑑方法論應確保產出可比較及可重複之結果。 鑑別各項風險 n鑑別ISMS控制範圍內之資產以及該資產之擁有者(owner)。 擁有者(owner)一詞係指已核准資產管理責任之個人或實體， 針對資產之生產、開發、維護、使用及安全之管制。擁有者 (owner)一詞並不是指實際具有資產產權之人員。 4.2 資訊安全管理系統之建立及管理 分析及評估各項風險 鑑別並評估風險處理之選項方法 選擇控制目標及控制措施以處理風險： n應選擇並實施控制目標與控制措施，以符合風險評鑑與風險處 理過程所鑑別之要求。 n控制目標與控制措施應於本標準之附錄A中加以選擇，為此過 程的一部份並適當滿足所鑑別之要求。 4.2 資訊安全管理系統之建立及管理 所提出之殘餘風險須取得管理階層之核准 ISMS亦須獲得授權才能實施與操作 擬訂一份適用性聲明書，須包括下列： n於4.2.1節所選擇之管制目標與控制措施，其選擇之理由。 n現行已實施之控制目標與控制措施。 n附錄A中任何排除之控制目標與控制措施，及其排除之正當理 由。 4.2 資訊安全管理系統之建立及管理 n4.2.2 資訊安全管理系統之實施與操作 組織應 有系統的陳述一項風險處理計畫以鑑別適當管理措施、資源、權 責及優先順序，以便管理資訊安全風險。 實施風險處理計畫，以達到所鑑別的安全目標，計畫內容包括投 資的考慮以及角色與責任的分派。 實施4.2.1所選之控制措施以符合管制目標。 定義如何測量所選擇控制措施或控制措施群組織有效，及具體說 明如何使用這些測量來評估控制措施之有效性，並產出可比較即 可再現的結果。 實施訓練與認知計畫。 管理ISMS作業。 管理ISMS資源。 實施能即時偵知安全事故，並予以回應安全事件處理之作業程序 及其他控制措施。 4.2 資訊安全管理系統之建立及管理 n4.2.3 資訊安全管理系統之監控及審查 執行監控與審查程序及其他控制措施，以便： n立即偵知系統處理結果之錯誤。 n立即鑑別企圖及已成功之安全破壞及事故。 n促使管理階層決定是否委託他人或藉由資訊技術之實施均已如 預期般實行。 n使用指標幫助偵測安全事件並防止安全事故。 n決定所採取解決安全漏洞之措施是否有效。 定期審查ISMS之有效性(包含符合ISMS政策、目標及控制措施之 審查)，並考慮來自安全稽核、事件、來自有效性量測之結果、股 東及利害關係團體之建議及回饋之結果。 測量控制措施有效性，以確認符合安全要求。 4.2 資訊安全管理系統之建立及管理 在規劃期間審查風險評鑑及審查殘餘風險，與鑑別之可接受風險 等級，並考慮下列之變數： n組織 n技術 n企業目標及過程 n已鑑別之威脅 n控制措施實施有效性 n外部事件，例如法律或法規環境之變化、合約責任之變化，以及社會 環境之變化。 在規劃期間執行內部ISMS稽核 內部ISMS稽核有時稱為第一方稽核，是由組織自己或其代表基於 內部目的所實施。 4.2 資訊安全管理系統之建立及管理 定期執行ISMS管理階層審查，以確保範圍保持適當， 及ISMS過程之各項改進均已鑑別。 考量監控與審查活動之發現，更新安全計畫。 紀錄對ISMS之有效性或績效有衝擊之活動與事件。 4.2 資訊安全管理系統之建立及管理 n4.2.4 維持及改進資訊安全管理系統 組織應定期進行下述： 實施ISMS所鑑定之改進活動。 依據第8.2及8.3節採取適當矯正及預防措施。採用從其他組織及 本身之安全經驗吸取教訓。 以適切於情況的詳盡程度與所有利害相關團體就各項措施及改進 活動進行溝通，並在適當時取得進行方式的同意。 確保各項改進措施達到預期目標。 4.3 文件要求 n4.3.1 一般要求 文件應包括管理決策紀錄，確保相關活動可追溯至管理決 策與政策，並確保所紀錄之結果是可再現的。重要的是能 夠證明所選擇之控制措施回溯至風險評鑑與風險處理過程 結果，及回溯至ISMS政策及目標之關聯性。 資訊安全管理系統文件應包含： ISMS政策與安全目標之書面聲明 資訊安全管理系統之範圍 支援ISMS之相關程序書及控制措施 風險評鑑方法論之說明書 風險處理計畫 4.3 文件要求 組織為確保有效規畫、操作與控制資訊安全過程，及 說明如何量測控制措施有效所需之書面程序。 本國際標準要求之各紀錄。 適用性聲明書。 所有文件應依據ISMS之政策要求隨時可供取用。 4.3 文件要求 nISMS文件的廣度，其範圍和細節取決於： 產品和流程的複雜性 顧客和法規的要求 工業標準和規範 教育、經驗和訓練 勞動力的穩定性 過去發生的安全問題 4.3 文件要求 nLevel 1安全政策手冊 為管理架構的摘要，其中包括了資訊安全政策和 控制措施目標，以及適用性聲明書中所提及已實 施的控制措施。 nLevel 2程序 程序用來實施所要求的控制措施，描述who、what 、when 、where等安全流程和不同部門間的控制 措施。 4.3 文件要求 nLevel 3工作指導書、檢查清單、表格等 解釋特殊工作和活動的細節，以及如何完成特定 的工作。包括詳細的工作指導書、表單、流程圖 、服務標準和系統手冊等。 nLevel 4紀錄 紀錄活動實行以符合等級1、2和3文件要求的客觀 證據。可能是強制性的隱含在每個BS7799條款中 。例如：機房訪客登記簿、稽核記錄和存取授權 等。 4.3 文件要求 n4.3.2 文件管制 ISMS所需之文件應受保護和管制。應建立文件化程序，以 界定所需之管理措施，用以： 在文件發行前核准其適切性。 必要時，審查和更新並重新核准文件。 確保文件之變更與最新改訂狀況已予以識別。 確保在使用場所備有相關適用版次文件。 確保文件保持易於閱讀並容易識別。 確保有需要之人員均有文件可用，且依照其適用之傳遞、儲存及 最終處理予以分類。 確保外來原始文件已加以識別。 確保文件分發已管制。 防止失效文件被誤用。 過期文件為任何目的需保留時，應予以適當識別。 4.3 文件要求 n4.3.3 紀錄管制 為提供ISMS符合要求及有效運作之證據，所建立並維持之紀錄， 應予以保護級管制。 ISMS應將相關法律或法規要求及合約責任列入考量。 紀錄應清晰易讀，容易檢索及識別。為了紀錄之鑑別、儲存、保 護、檢索、保存期限及報廢，應建立文件化程序，以界定所需之 管制。 所需之紀錄及其範圍應由管理過程加以決定。 紀錄應加以保存，如4.2節所述各項過程之績效，以及所有與 ISMS有關之重大安全事故紀錄。 5.管理階層責任 n5.1 管理階層承諾 管理階層應藉由下列各項，對ISMS之建立、實施、操作、 監控、審查、維護與改進之承諾提供證據： 建立一份ISMS政策。 確保建立各項ISMS目標及計畫。 為資訊安全建立角色與權責。 向全組織傳達符合資訊安全目標、遵守資訊安全政策、在法律下 要求之權責，以及持續改進之需求。 提供充分資源以建立、實施、操作、監控、審查、維護與改進 ISMS。 決定可接風險之標準，以及可接受風險之等級。 確保實施內部ISMS稽核。 執行ISMS之管理階層審查。 5.2 資源管理 n5.2.1 資源提供 組織應決定並提供下列工作必要之資源： 建立、實施、操作、監控、審查、維護與改進ISMS。 確保資訊安全程序足以支持企業的需求。 藉由修改所有實行的控制措施，來維持適當的安全。 n5.2.2 訓練、認知及能力 組織應確保在ISMS中規定有責任之所有員工，有能力藉由 下述執行所要求的工作，包括： 決定執行影響ISMS工作之人員其所需之能力。 提供訓練或採取其他措施(如：僱用具備能力之人員)，以滿足該 需求。 評估所提供訓練及所採取措施之有效性。 維持教育、訓練、技巧、經驗及資格之紀錄。 組織亦應確保所有相關人員已認知其所從事的資訊安全活動之相 關性及重要性，以及他們如何對ISMS之目標達成有所貢獻。 6. 內部ISMS稽核 n組織應定期進行內部ISMS稽核已決定其控制措施目標、過 程及程序是否： 符合本標準及相關法律或管理的要求 符合所識別的資訊安全要求 有效的實作與維護 如預期的執行 n稽核計畫應事先規劃，考慮稽核的過程與區域之狀況及重 要性，以及先前稽核的結果。稽核準則、範圍、頻率及方 法應予以界定。 稽核人員的選擇與稽核的執行應確保稽核過程的客觀及公 平。另外，稽核人員不應稽核其本身的工作。 6. 內部ISMS稽核 n規劃與執行稽核，及報告結果與維持紀錄之責任與要求。 應以書面程序予以界定。 n被稽核區域管理階層之責任，應確保採行措施沒有不當之 延誤，以消除所發現之不符合與其原因。跟催活動應包括 所採行措施之查證，與查證結果之報告。 7. ISMS之管理階層審查 n7.1 概述 管理階層應在規劃期間內(至少一年一次)，審查組織的 ISMS，以確保其持續的適用性、適切性及有效性。審查應 包含改進時機之評估，以及ISMS變更之需求，含資訊安全 政策與資訊安全目標。 審查結果應予以清楚的文件化，紀錄應予以維持。 7. ISMS之管理階層審查 n7.2 審查輸入 管理階層審查輸入應包括下列資訊： ISMS稽核與審查之結果。 來自利害相關團體之回饋。 可用以改進組織ISMS績效及有效性之技術、產品或程序。 預防與矯正措施之狀況。 先前風險評鑑未適切提出之脆弱性或威脅。 來自有效性量測之結果。 先前管理階層審查之跟催措施。 可能影響ISMS之任何變更。 改進之建議。 7. ISMS之管理階層審查 n7.3 審查輸出 管理階層審查之輸出應包括下列有關之任何決定與措施： ISMS有效性之改進。 更新風險評鑑及風險處理計畫。 未因應可能影響ISMS之內部或外部事件，必要時將影響資訊安全 之程序及控制措施予以修訂，包括 n營運需求 n安全需求 n影響既有營運需求之營運過程 n法令或法規要求 n合約責任 n風險等級風險可接受程度之標準 資源需求。 測量控制措施有效性之改進。 8. ISMS之改進 n8.1 持續的改進 尋求持續的改進 透過下列改進ISMS的有效性 n安全政策 n安全目標 n安全審查的結果 n安全稽核 n矯正措施 n預防措施 n管理審查 8. ISMS之改進 n8.2 矯正措施 應該採取措施以消除不合格的原因，避免復發。 在ISMS內的書面程序應該定義： n鑑別不符合事項 n確定原因 n評估避免復發所需的活動 n確定和實施矯正措施 n紀錄結果 n審查行動的有效性 8. ISMS之改進 n8.3 預防措施 為防止不符合事項發生，組織應決定措施，消除ISMS要求 之潛在不符合事項之原因，以防止其發生。所採取之預防 措施應與潛在問題之影響相稱。 預防措施之文件化程序應訂出以下要求： 鑑別潛在的不符合與其原因。 評估採取預防發生不符合措施的需求。 決定並實施所需之措施。 紀錄所採取措施之結果。 審查所採用之預防措施。 n組織應鑑別已變化之風險及鑑別預防措施要求之焦點放在 顯著變化之風險上。 n預防措施之優先順序應依據風險評鑑之結果加以決定。 課程大綱 nISO27001:2005法規說明 n附錄A控制措施簡介 n資產評估 n風險評鑑 n風險處理 n適用性聲明書 n稽核 ISO27001:2005(BS7799-2:2005) 控制措施 ISO27001:2005(BS7799-2:2005) 控制措施 ISO27001:2005(BS7799-2:2005) 控制措施 ISO27001:2005(BS7799-2:2005) 控制措施 ISO27001:2005(BS7799-2:2005) 控制措施 ISO27001:2005(BS7799-2:2005) 控制措施 ISO27001:2005(BS7799-2:2005) 控制措施 ISO27001:2005(BS7799-2:2005) 控制措施 ISO27001:2005(BS7799-2:2005) 控制措施 ISO27001:2005(BS7799-2:2005) 控制措施 ISO27001:2005(BS7799-2:2005) 控制措施 ISO27001:2005(BS7799-2:2005) 控制措施 ISO27001:2005(BS7799-2:2005) 控制措施 ISO27001:2005(BS7799-2:2005) 控制措施 ISO27001:2005(BS7799-2:2005) 控制措施 ISO27001:2005(BS7799-2:2005) 控制措施 ISO27001:2005(BS7799-2:2005) 控制措施 n不是所有的控制措施都與每種情況相關，也無法考量到所 有的當地環境或技術限制，或以適合組織內每位潛在使用 者形式呈現。 課程大綱 nISO27001:2005法規說明 n附錄A控制措施簡介 n資產評估 n風險評鑑 n風險處理 n適用性聲明書 n稽核 資產評估 nBS7799要求所有資產的詳細清冊應被制定和維護，以及 這些資產的可歸責應被定義。 資產評估 n何謂資產？ 資產就是對組織有價值的任何事物。是組織直接賦予價值 且需要被保護的。 必須是相關於ISMS的範圍。 資產評估 nISMS資產分類可分為： 資訊資產 如資料檔案、使用手冊等。 書面文件 如合約書、指南等。 軟體資產 如應用程式、系統軟體等。 實體資產 如電腦、磁碟片等。 人員 員工 公司形象與聲望 服務 如通訊、技術等。 資產評估 n資產價值和潛在衝擊 組織已經鑑別其資訊資產的價值嗎？ 決定每個資產價值是決定一個有效率安全政策的第一 步。 是什麼樣的系統？ 14或是低到非常高 這是風險評鑑過程中極為重要的部份。 資產評估 n資產價值 對於BS7799:2005/ISO27001:2005來說，資產並不一 定包括組織內一般視為有價值的所有事物。 組織必須自行決定哪些資產的缺乏或降級可能實際影 響產品或服務的交付。 課程大綱 nISO27001:2005法規說明 n附錄A控制措施簡介 n資產評估 n風險評鑑 n風險處理 n適用性聲明書 n稽核 風險評鑑 n安全風險 安全風險是指特定威脅利用脆弱性，造成資產或資訊資產 損失或損毀的潛在可能。 nBS7799的實施和驗證是基於正式風險評鑑的結果。 n評鑑風險 資訊保護是基於防範營運資訊之風險，此為本國際標準的 基礎，使組織能夠採取適當的安全控制措施。 若安全控制措施太少，則營運資訊會暴露在各種風險當中 ；若太多則會導致企業負擔過多的成本。 風險評鑑 n組織必須定義(並製成文件)其風險評鑑的方法。4.2.1 C n這也表示選擇與文件化之風險評鑑方法論，可使風險評鑑 產生可比較與可重複(再現)的結果。4.2.1C和4.2.3 D n現在風險評鑑規定必須有計畫地定期進行審查，並且讓管 理階層審查更新的風險評鑑與風險處理計畫。7.3 B n此活動必須至少一年執行一次，是ISMS管理審查的一部份 。7.1 風險評鑑 n在稽核的過程中，稽核員會注意所選用之控制措施予風險 處理過程之間的關係，這些控制措施需溯及風險評鑑的結 果，並溯及ISMS的政策與目標。 風險評鑑 n風險評鑑過程 鑑別資產和指派資產價值。 鑑別資產的相關威脅和評鑑它們的可能性。 鑑別脆弱性和評鑑它們可能如何被利用。 鑑別如何藉由控制措施的實施以提供保護。 評鑑上述之全面的風險結果。 風險評鑑 n威脅 宣告意圖造成損害、痛苦或不幸。 可能造成一個有害的事件，且這事件可能對系統、組 織和資產造成傷害。 蓄意的或是意外的，人為的或是天災的。 資產容易受到許多威脅，這些威脅來自於利用脆弱性 。 風險評鑑 n威脅 天災 洪水、暴風、地震和閃電等。 人為 人員短缺、錯誤維護、使用者操作錯誤等。 科技的 網路故障、流量超過負荷、硬體故障等。 蓄意的威脅 意外的威脅 威脅頻率 風險評鑑 n脆弱性 脆弱性是組織資訊安全的漏洞或弱點。 脆弱性本身並不會造成傷害，而是可能允許威脅影響 資產的一種或多種情況。 脆弱性如果沒有適當管理，將促使威脅形成。 風險評鑑 n脆弱性 關鍵人員的缺席 不穩定的動力 未保護的電纜線 安全意識的缺乏 密碼權限的錯誤分配 安全訓練的不足 未安裝防火牆 未鎖的門 風險評鑑 n風險評鑑的工具和方法 Q:BS7799建議什麼工具？ A:風險評鑑應該鑑別對組織資產的威脅、脆弱性和衝擊 ，而且應該決定風險程度。 課程大綱 nISO27001:2005法規說明 n附錄A控制措施簡介 n資產評估 n風險評鑑 n風險處理 n適用性聲明書 n稽核 風險處理 n風險處理計畫 風險處理計畫是定義行動以降低無法接受的風險，和實施 所需的控制措施以保護資訊的一種合作文件。 風險處理 n風險處理方向 避免風險 降低風險到可接受程度 轉移風險 接受剩餘的風險 風險處理 n可接受風險的等級 要達到完全的風險是不可能的。 總是有剩餘的風險。 什麼樣程度的剩餘風險能為組織所接受？ 風險處理 n需考量的因素有： 地點 已存在的安全 攻擊者的數量 可用的設施 累積的機會 宣傳層次 營運持續計劃 風險處理 n風險處理的步驟 定義一個可接受的殘餘風險等級。 持續的審查威脅和脆弱性。 對已存在之安全控制措施的審查。 應用其它安全控制措施，如BS7799。 導入政策和程序。 風險處理 n控制措施的選擇 風險 要求的保證程度(即強度) 成本 實施的容易性 服務 法律和法規的要求 客戶和其它的合約要求 風險處理 n成本 預算限制。 用控制措施的成本是否會超過資產本身的價值？ 也許必須選擇”最佳價值”範圍內的控制措施。 風險處理 n實施的容易性 環境是否支援控制措施？ 控制措施需要多久才有辦法開始實施？ 控制措施是否立即可用的？ 風險處理 n服務 可獲得的技術是否能夠管理控制措施？ 是否能夠立即的升級？ 設備是否有當地工程師或協力廠商的支援？ 風險處理 n客戶和其它合約的要求 安全篩選 受限制的存取 實體的安全邊界 資料儲存 加密 數位簽章 風險處理 n最佳作業的控制措施 資訊安全政策文件 資訊安全責任的分配 資訊安全教育和訓練 應用系統的正確處理 技術脆弱點管理 營運持續管理 管理資訊安全事故和改善 風險處理 n測量控制措施的有效性 與4.2.2連接，用以監控ISMS的有效性。 在規劃期間審查風險評鑑及審查剩餘風險與鑑別之可 接受風險等級，以考慮控制措施實施有效性之變化。 幫助監控已實施控制措施的效果。 風險處理 n風險評鑑過程 資產鑑別與價值評估 威脅的鑑別 脆弱性的鑑別 衝擊的評估 營運風險 風險的分級 n風險管理過程 現有的安全控制措施審查 新安全控制措施的鑑別 政策與程序 實施與風險降低 風險可接受度(殘餘風險) 課程大綱 nISO27001:2005法規說明 n附錄A控制措施簡介 n資產評估 n風險評鑑 n風險處理 n適用性聲明 n稽核 適用性聲明 n是組織選擇適合其企業營運需求的目標與控制措施評論。 n聲明也將記錄任何控制措施的排除。 n聲明是展示組織如何控制風險的文件，應該沒有太多的細 節能夠讓想要破壞安全的人取得寶貴的資訊。 n它可能會被潛在的商業夥伴所要求持有的獨立文件，或是 成為驗證機構所頒發證書的附加資訊，因此它有可能會是 公開的資訊。 適用性聲明 n適合其企業需求的目標與控制措施評論。 證明哪些控制措施是相關的 紀錄哪些不相關的控制措施 風險評鑑將決定哪一些控制措施應該被實施 是完整文件審查的一部份 將幫助決定最後評鑑階段的稽核計畫 適用性聲明 n如果要求未被實施，為什麼？ 風險因未暴露而未被確認 預算、財務限制 環境影響防護措施，如氣候、空間等。 技術，有些措施是技術上不可行的。 文化、社會限制 時間，有些要求無法現在實施。 其它 課程大綱 nISO27001:2005法規說明 n附錄A控制措施簡介 n資產評估 n風險評鑑 n風險處理 n適用性聲明 n稽核 稽核 n至少需執行兩個階段而且都須見別隊BS7799-2和 ISO27001:2005的符合性。 n稽核階段1 文件審查 審查ISMS核心要素。 n稽核階段2 實施稽核 在現場進行，對政策、程序、和目標的有效性進 行審查。 稽核階段1 文件審查 n目標 為稽核計畫(階段2)提供重點，藉此了解組織安全 政策和目標中ISMS的背景脈絡，尤其是為了稽核 所做的準備聲明。 稽核階段1 文件審查 n主要活動 審查ISMS管理架構 確定ISMS範圍 風險評鑑和管理 適用性聲明 安全政策和支援的關鍵程序 發現結果的正式報告 對組織解釋階段2 稽核階段2 實施稽核 n目標 證明組織遵守本身的政策、目標和程序。 證明ISMS遵照所有ISMS標準或規範文件的要求，而且 達成組織的政策目標。 測試ISMS的有效性。 稽核階段2 實施稽核 n主要活動 訪問ISMS的所有權人和使用者 審查高、中或低風險區域 安全目標及標的 安全和管理審查 系統中核心文件的連結 報告發現事項和做出最後是否發證之建議 稽核員的類型 n第三方稽核員為獨立驗證機構。 n第二方稽核員有從屬關係之組織。 n第一方稽核員自己的部門、單位。 稽核專有名詞解釋 n稽核員(Auditor) 一個有資格去執行安全稽核的人。 n主導稽核員(Lead Auditor) 一個被指定管理安全稽核的稽核員。 n客戶(Client) 被稽核的組織。 n被稽核方(Auditee) 組織中被稽核的人。 主導稽核員的責任 n在階段1之前指派 n計劃和管理所有的稽核階段 n執行階段1的稽核 n協助小組及對小組簡報 n控制衝突和處理困難的情形 n執行和控制所有的小組和被稽核者間的會議 n在稽核議題和ISMS上做決定 n準時報告稽核的結果 n報告所遭遇的阻礙 n即時報告重大的不符合事項 n具備有效的溝通技巧 稽核員的責任 n支援小組組長 n需有準備的 n參與首次和結束會議 n完成指派的工作 n依照時間表完成稽核和稽核範圍 n記錄和支援所有發現 n及時向被稽核方通報有關情況 n完善地保存所有文件 n保守機密 n需客觀和合乎道德的 n追蹤矯正措施 稽核員的角色 n独立的和客观的评鉴ISMS n没有偏见和影响 nISMS的有效性 n实施的程度 n稽核的计划和管理 n记录和报告发现 n所有涉及稽核的当事人必须尊重稽核员的 完整性和独立性 稽核員的素質 n注重實際的 n理解複雜的狀況 n了解組織裡的交互關係 n遵守機密性要求 n專業的 n獨立的 n心胸開闊的 n成熟的 n具有明智的判斷 n具有分析技巧 n具洞察力 n堅韌的 安全稽核的利益 n為安全審查時資訊的關鍵來源 n展示資深管理階層的承諾 n改進人員認知、參與和動機 n提供持續改進的機會 n改善客戶信心和滿意度 n改進運作的表現 稽核目標 n審查安全系統對BS7799的符合性 n審查BS7799的實施程度 n審查系統的有效性和適切性，以符合安全政策和 目標 n鑑別安全漏洞和弱點 n提供改進ISMS的機會 n符合合約和法規的要求 n驗證需求 驗證流程 n詢問 n申請 n預評(選擇性的) n文件審查(階段1) n六週為最大的間隔(UKAS) n階段2的正式評鑑 n頒發證書 n持續評鑑 n每三年部份階段1和全部的階段2審查(UKAS) 稽核生命週期 n稽核的生命週期通常稱為P.E.R.C Planning 計畫 Execution執行 Recording紀錄 Close out結案 稽核計劃 考量點有： 組織的大小和性質 員工數量 系統複雜度 ISMS的範圍 涉及的地點和數目 資訊類型 文件或電子的 文化 語言 稽核計劃 準備流程： 決定目標 決定稽核的持續時間和所需資源 選擇小組 與被稽核者聯絡同意稽核日期 起草一份稽核計畫 簡報小組 準備檢查表 鑑別特殊的要求 稽核計劃 nBS7799稽核應該被計畫和處理，根據風險評鑑的 結果和適用性聲明中鑑別的控制措施。 n稽核計畫應該要包含主要的控制措施。 n每個活動的稽核應該要包括適當的BS7799從屬條 款，包括附錄A。 n稽核計畫的準備將因企業和公司的不同而有所差 異。 階段2：稽核計劃 n第二階段的稽核計畫應該在第一階段完成時，且 在第二階段開始前完成。 n計畫必須反映ISMS的範圍。 n稽核必須被計畫，以縮小對營運的干擾。 n在稽核開始前，特殊的資源應該在計畫中被鑑別 。 階段2：稽核計劃 n由主導稽核員準備 n經過客戶同意的 n具有可變更的彈性 n包括稽核目標和範圍 n鑑別目標和範圍內相關人 員的責任 n鑑別參考用文件 n鑑別稽核小組成員 n稽核時所用的語言 n鑑別應稽核的區域 n每個重大稽核活動預期的 時間 n會議的行程表 n機密性要求 n稽核報告的分配和發佈時 間 n解決任何有關稽核計畫問 題 階段2：稽核計劃可用的資訊 n文件審查的結果 n安全手冊及程序 n管理重點 n高風險區域 n安全問題 n先前的內部審查 n服務/產品資訊 n稽核員的經驗 被稽核方的責任 n同意或澄清計劃安排 n與所有部門溝通此安排 n要求管理階層參加會議 n安排相關人員以便接受稽核 n要求所有人員全面合作 n安排引導人員 n為稽核員安排辦公室設施 稽核方法 n流程稽核方法 n部門的稽核方法 n公司的位置 n遍及組織之“共通”條款的應用 n確保適當的時間被分配到各個區域 稽核目的 n收集客觀證據，以便對資訊安全管理系統的狀態 和有效性做出綜合判斷。 客觀證據 n資訊、紀錄或事實的聲明 n也許是定性或定量 n一個資訊安全系統要素的存在和實施 n基於觀察、測量或測試 n能夠被驗證的 獲得客觀證據的技巧 n面談 n觀察 n抽樣 n審查文件 n審查紀錄 n總結、分析和評估 抽樣 n從主要的活動中選出有代表性的樣本。 n給予高風險區域優先權。 n子控制措施應被選擇。 n稽核員必須決定大小和選擇。 n抽樣大小應取決於信心是否能被確保。 n必須代表活動的稽核。 n如果抽樣結果指出無不符合事項，進行下一步。 n如抽樣結果指出無不符合事項，並不代表系統中沒有不符 合事項。 n確認稽核員和被稽核方都了解。 n責任在控制全部區域的被稽核方。 檢查表的好處 n使稽核目標清楚 n稽核計畫的證據 n保持稽核節奏和連續性 n減少稽核員的偏見 n減少稽核流程中的工作負荷 檢查表的缺點 n如果檢查表示以下列形式呈現，則會失去價值。 打勾的方式 問卷 n將檢查表準備成備忘錄形式。 檢查表的準備 n將標準條文轉換成問題。 n運用這些問題和安全手冊 計畫查看什麼和尋找的證據 考慮抽樣大小 n準備檢查表 稽核檢查表 n稽核檢查表的準備。 n檢查表是一種確保稽核的深度和持續性的重要輔 助工具。 n檢查表應能夠代表稽核的區域。 n檢查表應被以溝通運作和流程的形式來準備。 n檢查表不應有“是”或“否”的答案。應以備忘錄的形 式來準備。 首次會議 考量點 n介紹 紀錄 n營造稽核的氣氛 n確認稽核的目的和範 圍 n審查和確認稽核計畫 n稽核小組的引導人員 分配 n稽核方法的溝通 n報告方法 n確認稽核是基於抽樣 方法 n保密 n結束會議時間 n後勤 n限制 n澄清 稽核參加人員 n稽核小組 稽核小組組長及組員 見習稽核員及見習主導 稽核員 觀察員 翻譯員、專家 見證人 n被稽核方 引導人員 部門主管及員工 觀察員、見習人員 顧問 執行稽核 n進入稽核區域 n引導人員介紹 n解釋你想要看什麼東西 n做必要深度的調查 n如果未發現問題，繼續下一步 n不要不停地堅持稽核直到發現問題為止 和人溝通的技巧 n讓被稽核者放輕鬆 n訪問簡短的問題 n表現正面的態度，包括語氣聲調、肢體語言和臉部表情 n微笑和眼神的接觸 n避免打斷 n避免即席的和高傲的言詞 n給予適當的讚美 n詢問和聆聽 n表示興趣 n機智和有禮貌的 n顯示耐心和理解力 n除掉你的個人問題 n記得說謝謝和請 n詢問正確的人 n當你不理解時不要說你理解 稽核的控制 n檢查表是僕人而不是主人 n如果出現潛在的稽核線索，可決定 不予理睬 紀錄下來，供以後再稽核 立即跟進 n可能影響抽樣大小 n可能影響稽核計畫 n可能影響稽核計畫 稽核詢問技巧 n稽核面談的品質大都取決於稽核員的詢問技巧。 n適當的問題有助於達成稽核目標。 n被稽核方應不要因為問題種類而感到威脅。問題 種類應使被稽核方感到自在。 n問題應針對與被稽核區域相關。 稽核問題 n開放式 這些問題需要更多的諮詢而非僅”是 ”或“不是”。 n封閉式 這些問題應該誘出示或不是的答案。 用來使用總結一連串的問題。 n引導式 用來迅速獲得答案。引導被稽核方以 得到答案。 稽核面談 n使用溝通技巧 n使用適當的稱呼和語言，如：資深主管、技術人員。 n面試技巧的使用 n確保有適當的人員可用 n表現興趣，隨時保持警覺 n顯示你的理解 不時的 n肢體語言的注意 正面的溝通 n聆聽 試著不要打擾被稽核方 n解釋紀錄稽核筆記的方式 n隨時表現禮貌 n接近稽核面試的完成時，總結發現和謝謝關心。 做筆記 n紀錄客觀的證據 可接受的陳述 文件編號及版本版次或文件位階 部門 被稽核方的名稱 做筆記 n筆記可用於以下情況時做參考： 立即調查 以後再調查 供同事使用 以後稽核 n因此筆記必須是： 清楚的 可事後做為檢索用 做筆記 n稽核員應該針對稽核的區域中所有適當的資訊做 紀錄，包括： 訪問的部門 看見的人員 發現的摘要 引用看見的文件，如程序 引用看見的紀錄，如備份記錄、軟體授權等。 被包含標準條款的引用 不符合事項 n不符合事項： 與BS7799-2 / ISO27001:2005的要求相反的情形 ，某一特定的要求並未被履行。 直接與安全政策相關 違反資訊管理安全標準 違反系統程序或工作指示 違反法律上的要求 次要(輕微)不符合事項 n定義 在一個隔離的情形中，有一些適用控制措施的要 求方面沒有被滿足，因此產生一些關於對保護敏 感資料的機密性、完整性和可用性測量之適當性 的質疑。 而且表示一個輕微的風險，可能將被組織的利害 關係人察覺到，被觀察到的一個單獨或偶發失誤 ，或隔離的意外事件。 次要(輕微)不符合事項的範例 n觀察到某人未遵守桌面淨空政策 n在某種場合中某些訪客離開大樓時未依規定登記 n遺失對於網路存取的正式核可 n備份的紀錄未在一天內完成 n未鑑別所有權人的資料存在檔案中 主要(嚴重)不符合事項 n定義 失敗的實施或遵守一個或多個BS7799-2適用的控 制措施條款，因此產生關於對保護敏感資料的機 密性、完整性和可用性測量之適當性的嚴重質疑 。 而且表示一個無法接受的風險，可能將被組織的 利害關係人察覺到。 也是指整個系統控制措施或程序的失效。 主要(嚴重)不符合事項 n缺乏標準的某一個特別的要求，如政策或範圍。 n對標準的某一主要要素，沒有相關文件紀錄的程 序。 n系統、控制措施或程序的完全失效。 n極高數量的不符合事項集中在標準中某一要素或 是部門。 主要(嚴重)不符合事項的範例 n沒有安全政策 n沒有安全事故管理系統 n缺乏營運持續計劃 n沒有軟體授權管理 n沒有正式的系統來管理和更