资讯安全管理认证程序.ppt

資訊安全管理認證程序 中華民國電腦稽核協會黃淙澤秘書長Richardhuang tw Agenda 資安管理系統認證指引 EA7 03 相互驗證協議 ArrangementontheMutualRecognition 資訊系統稽核師職業道德規範 CodeofEthicsofCertifiedInformationSystemAuditor 資安管理系統認證指引 EA7 03 範圍參考資料對驗證 註冊法人團體要求對驗證 註冊之要求 範圍 任何從事資訊安全管理系統 ISMS 驗證 註冊業務之第三者法人團體 若自認可信任其經營品質者 皆適用於本指引之規範 參考資料 ISO IEC指引2 1996 一般性條款及其相關標準化與活動的定義 ISO8402 1994 品質管理及品質保證 詞彙ISO IEC指引62 1996 經營管理評估及驗證 註冊法人團體品質系統的一般性要求BS7799 1999 資訊安全管理系統的實務規則ISO10011 1990 稽核品質系統指引 對驗證 註冊法人團體要求 驗證 註冊法人團體方面驗證 註冊法人團體之人員方面驗證 註冊需求之變更投訴 申訴及辯論 對驗證 註冊之要求 驗證 註冊之應用評估之準備 實作及報告驗證 註冊之決定監測及再評估步驟憑證及標誌的效用存取對組織申訴的紀錄 Agenda 資安管理系統認證指引 EA7 03 相互驗證協議 ArrangementontheMutualRecognition 資訊系統稽核師職業道德規範 CodeofEthicsofCertifiedInformationSystemAuditor 相互驗證協議 參考資料協議目的協議精神範圍與內容驗證 證明機構的資格要求自發性定期評估證明書與服務標誌共用的資訊 參考資料 EN45001測試實驗室操作之一般準則 歐洲標準CEN CENELEC 1989ISO IEC指南25校正與測試實驗室的一般能力要求 1990EN45011驗證機構執行產品驗證的一般準則 歐洲標準CEN CENELEC 1989ISO IEC指南65產品驗證機構操作的一般要求 1996 協議目的 確保資訊技術 IT 產品與保護規範的評估之完成係達到高品質及一致性標準 同時在安全防護過程中 負責提供令人滿意的產品及規範 改善經受評估 且增加安全防護的資訊技術產品與保護規範的可用性 以適用於全國 減少重複評估資訊技術產品與保護規範的負擔 持續改善資訊技術產品與保護規範評估與驗證 證明程序的效率及成本效益 協議精神 最嚴謹的安全防護評估準則與方法論 也無法涵蓋每種可能性 準則的應用需要專家之專業判斷 協議過程的參與者 需發展與維護彼此間技術判斷及能力的相互了解與信任 並透過公開討論與辯論 來維護整體的連貫性 範圍與內容 評估與計畫驗證 證明機構的資格要求自發性定期評估證明書與服務標誌共用的資訊新的參與者協議管理機制驗證 證明報告的內容 Agenda 資安管理系統認證指引 EA7 03 相互驗證協議 ArrangementontheMutualRecognition 資訊系統稽核師職業道德規範 CodeofEthicsofCertifiedInformationSystemAuditor 資訊系統稽核師職業道德規範 參考資料制定目的資訊系統稽核之職業準則資訊系統稽核之公報資訊系統稽核之道德規範 參考資料 資訊系統審查及控制協會公告之 資訊系統稽核師之道德規範 國際內部稽核協會公告之 內部稽核人員之道德規範 美國會計師公會 AICPA 公告之 職業道德規範 中華民國會計師公會公告之 中華民國會計師職業道德規範 制定目的 為確保資訊系統稽核師 遵守一般公認資訊系統稽核準則 公報及實務 與資訊系統安全及控制實務 確保稽核工作之品質及其一致性 資訊系統稽核之職業準則 態度及言行表現組織關聯性職業道德規範技巧及知識持續性的專業訓練 規劃及監督證據要求盡職業上應有之注意稽核範圍之報告查核結果與結論之報告 資訊系統稽核之公報 三大分類INDEPENDENCEPERFORMANCEOFWORKREPORTING 資訊系統稽核之公報 九項解釋態度及言行表現及組織中的關係參與系統開發程序證據要求盡職業上應有之注意規劃稽核作業時風險評估之運用稽核文件之彙整對不規則情事之稽核考量稽核軟體工具之運用稽核報告 資訊系統稽核之道德規範 支持適當的資訊系統準則 處理程序及控制之建立與遵循遵守資訊系統稽核及控制基金會所採用之資訊系統稽核準則以勤勉 忠誠的態度為其雇主 股東 客戶及社會大眾服務 且不可在知情的情況下參與非法或不正當之活動對執行職務所獲取之資訊應予以保密 不應利用該等資訊圖利自己 亦不洩露給不適當之人士以獨立客觀之態度執行其職務 並應避免危害或可能會危害其獨立性之活動藉由參與專業發展活動 以維持本身之稽核及資訊系統相關領域之專業能力 資訊系統稽核之道德規範 盡應有之注意 取得並彙整充份的資料 據以作成結論與建議將稽核工