ISO27001_主任审核员_教材.ppt

1、ISO27001:2005信息安全管理系统-主导稽核员教材,课程大纲,ISO27001:2005法规说明 附录A控制措施简介 资产评估 风险评鉴 风险处理 适用性声明书 稽核,ISO27001:2005法规说明,ISO27001:2005法规说明,BS7799：分为BS7799-1和BS7799-2两部份 BS7799-1:2005 / ISO17799:2005主要是做为参考文件，提供广泛性的安全控制措施，作为现行信息安全之最佳作业方法，其中包含11个控制措施章节，但不作为评鉴与验证标准。 BS7799-2:2005 / ISO27001:2005系根据BS7799-1，提供信息安全管理系统

2、(ISMS)之建立实施与书面化之具体要求，依据个别组织的需求，规定要实施之安全控制措施的要求。,ISO27001:2005法规说明,BS7799-1:2005 / ISO17799:2005 信息安全管理作业要点 用意是做为参考文件 提供广泛性的安全控制措施 现行信息安全之最佳作业方法 包含11个控制章节 无法作为评鉴与验证,ISO27001:2005法规说明,BS7799-2:2005 / ISO27001:2005 信息安全管理系统要求 根据BS7799-1:2005 ISMS之建立实施与文件化之具体要求 依据个别组织的需求，规定要实施之安全控制措施的要求。,ISO27001:2005法规

3、说明,信息是一种资产，就像其它重要的企业资产依样，对组织具有价值，因此需要受到适当的保护。,ISO27001:2005法规说明,信息的类型 书写或打印于纸上 储存在电子媒体上 以邮寄或电子储存媒体传输 显示于企业影片上 言语-在对话中提出 不管信息的形式是什么，或者共享或储存的方式是什么，都应该受到适当的保护。,ISO27001:2005法规说明,信息安全 保护信息的机密性、完整性与可用性；另外，亦可包含如可鉴别性(真实性)、可归责性、不可否认性及可靠性等特性。,ISO27001:2005法规说明,机密性(Confidentiality) 信息不可被未经授权之个人、实体、流程所取得或揭露之特性

4、。 完整性(Integrity) 保护资产准确性和完整性之特性。 可用性(Avaliability) 基于需要可由授权者存取及使用之特性。,ISO27001:2005法规说明,关键的成功因素(Critical success factors)经验显示，组织的信息安全能否成功实施，下列常为关键因素： 能反映营运目标的信息安全政策、目标及活动。 与组织文化一致之实施、维护、监控、及改进信息安全的方法与框架。 来自所有管理阶层的实际支持和承诺。 对信息安全要求、风险评鉴以及风险管理的深入了解。 向全体管理人员、受雇人员、及相关人员有效推广信息安全以达到认知。 资助信息安全管理活动。 提供适切的认知、

5、训练及教育。 制定有效的信息安全事故管理过程。 实施个用于评估ISMS的绩效及改进的回馈建议之量测系统。,ISO27001:2005法规说明,4. Information security management system,4.1 一般要求組織應在整體業務活動與所面臨風險下建立、實施、操作、監控、審查、維護及改進一文件化ISMS，為本國際標準之目的，所採用之過程以下圖所示之PDCA模式為基礎。,4.Information security management system,4.2 資訊安全管理系統之建立及管理,4.2.1 建立資訊安全管理系統組織應： 依據業務、組織、所在位置、資產及技術等

6、特性，定義資訊安全管理系統之範圍及界限，並包括任何自範圍排除之細節及理由。 依據業務、組織、所在位置、資產及技術等特性，定義資訊安全管理系統之政策，且： 包含設定目標之框架，並建立有關資訊安全之整體方向亦是與行動原則。 考慮企業及法律或法規要求，以及合約性的安全責任。 與組織策略性之風險管理內容配合，使ISMS得以建立及維持。 建立評估風險之標準，及被管理階層核准。,4.2 資訊安全管理系統之建立及管理,定義組織之風險評鑑辦法 鑑別一風險評鑑方法論，並適合其ISMS、已鑑別之企業資訊安全、以及法律與法規要求。 發展可接受風險之標準以及鑑別風險至可接受的程度。所選擇之風險評鑑方法論應確保產出可比

7、較及可重複之結果。 鑑別各項風險 鑑別ISMS控制範圍內之資產以及該資產之擁有者(owner)。擁有者(owner)一詞係指已核准資產管理責任之個人或實體，針對資產之生產、開發、維護、使用及安全之管制。擁有者(owner)一詞並不是指實際具有資產產權之人員。,4.2 資訊安全管理系統之建立及管理,分析及評估各項風險 鑑別並評估風險處理之選項方法 選擇控制目標及控制措施以處理風險： 應選擇並實施控制目標與控制措施，以符合風險評鑑與風險處理過程所鑑別之要求。 控制目標與控制措施應於本標準之附錄A中加以選擇，為此過程的一部份並適當滿足所鑑別之要求。,4.2 資訊安全管理系統之建立及管理,所提出之殘餘

8、風險須取得管理階層之核准 ISMS亦須獲得授權才能實施與操作 擬訂一份適用性聲明書，須包括下列： 於4.2.1節所選擇之管制目標與控制措施，其選擇之理由。 現行已實施之控制目標與控制措施。 附錄A中任何排除之控制目標與控制措施，及其排除之正當理由。,4.2 資訊安全管理系統之建立及管理,4.2.2 資訊安全管理系統之實施與操作組織應 有系統的陳述一項風險處理計畫以鑑別適當管理措施、資源、權責及優先順序，以便管理資訊安全風險。 實施風險處理計畫，以達到所鑑別的安全目標，計畫內容包括投資的考慮以及角色與責任的分派。 實施4.2.1所選之控制措施以符合管制目標。 定義如何測量所選擇控制措施或控制措施

9、群組織有效，及具體說明如何使用這些測量來評估控制措施之有效性，並產出可比較即可再現的結果。 實施訓練與認知計畫。 管理ISMS作業。 管理ISMS資源。 實施能即時偵知安全事故，並予以回應安全事件處理之作業程序及其他控制措施。,4.2 資訊安全管理系統之建立及管理,4.2.3 資訊安全管理系統之監控及審查 執行監控與審查程序及其他控制措施，以便： 立即偵知系統處理結果之錯誤。 立即鑑別企圖及已成功之安全破壞及事故。 促使管理階層決定是否委託他人或藉由資訊技術之實施均已如預期般實行。 使用指標幫助偵測安全事件並防止安全事故。 決定所採取解決安全漏洞之措施是否有效。 定期審查ISMS之有效性(包含

10、符合ISMS政策、目標及控制措施之審查)，並考慮來自安全稽核、事件、來自有效性量測之結果、股東及利害關係團體之建議及回饋之結果。 測量控制措施有效性，以確認符合安全要求。,4.2 資訊安全管理系統之建立及管理,在規劃期間審查風險評鑑及審查殘餘風險，與鑑別之可接受風險等級，並考慮下列之變數： 組織 技術 企業目標及過程 已鑑別之威脅 控制措施實施有效性 外部事件，例如法律或法規環境之變化、合約責任之變化，以及社會環境之變化。 在規劃期間執行內部ISMS稽核內部ISMS稽核有時稱為第一方稽核，是由組織自己或其代表基於內部目的所實施。,4.2 資訊安全管理系統之建立及管理,定期執行ISMS管理階層審

11、查，以確保範圍保持適當，及ISMS過程之各項改進均已鑑別。 考量監控與審查活動之發現，更新安全計畫。 紀錄對ISMS之有效性或績效有衝擊之活動與事件。,4.2 資訊安全管理系統之建立及管理,4.2.4 維持及改進資訊安全管理系統組織應定期進行下述： 實施ISMS所鑑定之改進活動。 依據第8.2及8.3節採取適當矯正及預防措施。採用從其他組織及本身之安全經驗吸取教訓。 以適切於情況的詳盡程度與所有利害相關團體就各項措施及改進活動進行溝通，並在適當時取得進行方式的同意。 確保各項改進措施達到預期目標。,4.3 文件要求,4.3.1 一般要求文件應包括管理決策紀錄，確保相關活動可追溯至管理決策與政策

12、，並確保所紀錄之結果是可再現的。重要的是能夠證明所選擇之控制措施回溯至風險評鑑與風險處理過程結果，及回溯至ISMS政策及目標之關聯性。資訊安全管理系統文件應包含： ISMS政策與安全目標之書面聲明 資訊安全管理系統之範圍 支援ISMS之相關程序書及控制措施 風險評鑑方法論之說明書 風險處理計畫,4.3 文件要求,組織為確保有效規畫、操作與控制資訊安全過程，及說明如何量測控制措施有效所需之書面程序。 本國際標準要求之各紀錄。 適用性聲明書。 所有文件應依據ISMS之政策要求隨時可供取用。,4.3 文件要求,ISMS文件的廣度，其範圍和細節取決於： 產品和流程的複雜性 顧客和法規的要求 工業標準和

13、規範 教育、經驗和訓練 勞動力的穩定性 過去發生的安全問題,4.3 文件要求,Level 1安全政策手冊為管理架構的摘要，其中包括了資訊安全政策和控制措施目標，以及適用性聲明書中所提及已實施的控制措施。 Level 2程序程序用來實施所要求的控制措施，描述who、what 、when 、where等安全流程和不同部門間的控制措施。,4.3 文件要求,Level 3工作指導書、檢查清單、表格等解釋特殊工作和活動的細節，以及如何完成特定的工作。包括詳細的工作指導書、表單、流程圖、服務標準和系統手冊等。 Level 4紀錄紀錄活動實行以符合等級1、2和3文件要求的客觀證據。可能是強制性的隱含在每個B

14、S7799條款中。例如：機房訪客登記簿、稽核記錄和存取授權等。,4.3 文件要求,4.3.2 文件管制ISMS所需之文件應受保護和管制。應建立文件化程序，以界定所需之管理措施，用以： 在文件發行前核准其適切性。 必要時，審查和更新並重新核准文件。 確保文件之變更與最新改訂狀況已予以識別。 確保在使用場所備有相關適用版次文件。 確保文件保持易於閱讀並容易識別。 確保有需要之人員均有文件可用，且依照其適用之傳遞、儲存及最終處理予以分類。 確保外來原始文件已加以識別。 確保文件分發已管制。 防止失效文件被誤用。 過期文件為任何目的需保留時，應予以適當識別。,4.3 文件要求,4.3.3 紀錄管制 為

15、提供ISMS符合要求及有效運作之證據，所建立並維持之紀錄，應予以保護級管制。ISMS應將相關法律或法規要求及合約責任列入考量。 紀錄應清晰易讀，容易檢索及識別。為了紀錄之鑑別、儲存、保護、檢索、保存期限及報廢，應建立文件化程序，以界定所需之管制。所需之紀錄及其範圍應由管理過程加以決定。 紀錄應加以保存，如4.2節所述各項過程之績效，以及所有與ISMS有關之重大安全事故紀錄。,5.管理階層責任,5.1 管理階層承諾管理階層應藉由下列各項，對ISMS之建立、實施、操作、監控、審查、維護與改進之承諾提供證據： 建立一份ISMS政策。 確保建立各項ISMS目標及計畫。 為資訊安全建立角色與權責。 向全

16、組織傳達符合資訊安全目標、遵守資訊安全政策、在法律下要求之權責，以及持續改進之需求。 提供充分資源以建立、實施、操作、監控、審查、維護與改進ISMS。 決定可接風險之標準，以及可接受風險之等級。 確保實施內部ISMS稽核。 執行ISMS之管理階層審查。,5.2 資源管理,5.2.1 資源提供組織應決定並提供下列工作必要之資源： 建立、實施、操作、監控、審查、維護與改進ISMS。 確保資訊安全程序足以支持企業的需求。 藉由修改所有實行的控制措施，來維持適當的安全。 5.2.2 訓練、認知及能力組織應確保在ISMS中規定有責任之所有員工，有能力藉由下述執行所要求的工作，包括： 決定執行影響ISMS

17、工作之人員其所需之能力。 提供訓練或採取其他措施(如：僱用具備能力之人員)，以滿足該需求。 評估所提供訓練及所採取措施之有效性。 維持教育、訓練、技巧、經驗及資格之紀錄。 組織亦應確保所有相關人員已認知其所從事的資訊安全活動之相關性及重要性，以及他們如何對ISMS之目標達成有所貢獻。,6. 內部ISMS稽核,組織應定期進行內部ISMS稽核已決定其控制措施目標、過程及程序是否： 符合本標準及相關法律或管理的要求 符合所識別的資訊安全要求 有效的實作與維護 如預期的執行 稽核計畫應事先規劃，考慮稽核的過程與區域之狀況及重要性，以及先前稽核的結果。稽核準則、範圍、頻率及方法應予以界定。稽核人員的選擇

18、與稽核的執行應確保稽核過程的客觀及公平。另外，稽核人員不應稽核其本身的工作。,6. 內部ISMS稽核,規劃與執行稽核，及報告結果與維持紀錄之責任與要求。應以書面程序予以界定。 被稽核區域管理階層之責任，應確保採行措施沒有不當之延誤，以消除所發現之不符合與其原因。跟催活動應包括所採行措施之查證，與查證結果之報告。,7. ISMS之管理階層審查,7.1 概述管理階層應在規劃期間內(至少一年一次)，審查組織的ISMS，以確保其持續的適用性、適切性及有效性。審查應包含改進時機之評估，以及ISMS變更之需求，含資訊安全政策與資訊安全目標。審查結果應予以清楚的文件化，紀錄應予以維持。,7. ISMS之管理

19、階層審查,7.2 審查輸入管理階層審查輸入應包括下列資訊： ISMS稽核與審查之結果。 來自利害相關團體之回饋。 可用以改進組織ISMS績效及有效性之技術、產品或程序。 預防與矯正措施之狀況。 先前風險評鑑未適切提出之脆弱性或威脅。 來自有效性量測之結果。 先前管理階層審查之跟催措施。 可能影響ISMS之任何變更。 改進之建議。,7. ISMS之管理階層審查,7.3 審查輸出管理階層審查之輸出應包括下列有關之任何決定與措施： ISMS有效性之改進。 更新風險評鑑及風險處理計畫。 未因應可能影響ISMS之內部或外部事件，必要時將影響資訊安全之程序及控制措施予以修訂，包括 營運需求 安全需求 影響

20、既有營運需求之營運過程 法令或法規要求 合約責任 風險等級風險可接受程度之標準 資源需求。 測量控制措施有效性之改進。,8. ISMS之改進,8.1 持續的改進 尋求持續的改進 透過下列改進ISMS的有效性 安全政策 安全目標 安全審查的結果 安全稽核 矯正措施 預防措施 管理審查,8. ISMS之改進,8.2 矯正措施 應該採取措施以消除不合格的原因，避免復發。 在ISMS內的書面程序應該定義： 鑑別不符合事項 確定原因 評估避免復發所需的活動 確定和實施矯正措施 紀錄結果 審查行動的有效性,8. ISMS之改進,8.3 預防措施為防止不符合事項發生，組織應決定措施，消除ISMS要求之潛在不

21、符合事項之原因，以防止其發生。所採取之預防措施應與潛在問題之影響相稱。預防措施之文件化程序應訂出以下要求： 鑑別潛在的不符合與其原因。 評估採取預防發生不符合措施的需求。 決定並實施所需之措施。 紀錄所採取措施之結果。 審查所採用之預防措施。 組織應鑑別已變化之風險及鑑別預防措施要求之焦點放在顯著變化之風險上。 預防措施之優先順序應依據風險評鑑之結果加以決定。,課程大綱,ISO27001:2005法規說明 附錄A控制措施簡介 資產評估 風險評鑑 風險處理 適用性聲明書 稽核,ISO27001:2005(BS7799-2:2005) 控制措施,ISO27001:2005(BS7799-2:200

22、5) 控制措施,ISO27001:2005(BS7799-2:2005) 控制措施,ISO27001:2005(BS7799-2:2005) 控制措施,ISO27001:2005(BS7799-2:2005) 控制措施,ISO27001:2005(BS7799-2:2005) 控制措施,ISO27001:2005(BS7799-2:2005) 控制措施,ISO27001:2005(BS7799-2:2005) 控制措施,ISO27001:2005(BS7799-2:2005) 控制措施,ISO27001:2005(BS7799-2:2005) 控制措施,ISO27001:2005(BS7799

23、-2:2005) 控制措施,ISO27001:2005(BS7799-2:2005) 控制措施,ISO27001:2005(BS7799-2:2005) 控制措施,ISO27001:2005(BS7799-2:2005) 控制措施,ISO27001:2005(BS7799-2:2005) 控制措施,ISO27001:2005(BS7799-2:2005) 控制措施,ISO27001:2005(BS7799-2:2005) 控制措施,不是所有的控制措施都與每種情況相關，也無法考量到所有的當地環境或技術限制，或以適合組織內每位潛在使用者形式呈現。,課程大綱,ISO27001:2005法規說明 附錄

24、A控制措施簡介 資產評估 風險評鑑 風險處理 適用性聲明書 稽核,資產評估,BS7799要求所有資產的詳細清冊應被制定和維護，以及這些資產的可歸責應被定義。,資產評估,何謂資產？資產就是對組織有價值的任何事物。是組織直接賦予價值且需要被保護的。必須是相關於ISMS的範圍。,資產評估,ISMS資產分類可分為： 資訊資產 如資料檔案、使用手冊等。 書面文件 如合約書、指南等。 軟體資產 如應用程式、系統軟體等。 實體資產 如電腦、磁碟片等。 人員 員工 公司形象與聲望 服務 如通訊、技術等。,資產評估,資產價值和潛在衝擊 組織已經鑑別其資訊資產的價值嗎？ 決定每個資產價值是決定一個有效率安全政策的

25、第一步。 是什麼樣的系統？14或是低到非常高 這是風險評鑑過程中極為重要的部份。,資產評估,資產價值 對於BS7799:2005/ISO27001:2005來說，資產並不一定包括組織內一般視為有價值的所有事物。 組織必須自行決定哪些資產的缺乏或降級可能實際影響產品或服務的交付。,課程大綱,ISO27001:2005法規說明 附錄A控制措施簡介 資產評估 風險評鑑 風險處理 適用性聲明書 稽核,風險評鑑,安全風險安全風險是指特定威脅利用脆弱性，造成資產或資訊資產損失或損毀的潛在可能。 BS7799的實施和驗證是基於正式風險評鑑的結果。 評鑑風險資訊保護是基於防範營運資訊之風險，此為本國際標準的基

26、礎，使組織能夠採取適當的安全控制措施。若安全控制措施太少，則營運資訊會暴露在各種風險當中；若太多則會導致企業負擔過多的成本。,風險評鑑,組織必須定義(並製成文件)其風險評鑑的方法。4.2.1 C 這也表示選擇與文件化之風險評鑑方法論，可使風險評鑑產生可比較與可重複(再現)的結果。4.2.1C和4.2.3 D 現在風險評鑑規定必須有計畫地定期進行審查，並且讓管理階層審查更新的風險評鑑與風險處理計畫。7.3 B 此活動必須至少一年執行一次，是ISMS管理審查的一部份。7.1,風險評鑑,在稽核的過程中，稽核員會注意所選用之控制措施予風險處理過程之間的關係，這些控制措施需溯及風險評鑑的結果，並溯及IS

27、MS的政策與目標。,風險評鑑,風險評鑑過程 鑑別資產和指派資產價值。 鑑別資產的相關威脅和評鑑它們的可能性。 鑑別脆弱性和評鑑它們可能如何被利用。 鑑別如何藉由控制措施的實施以提供保護。 評鑑上述之全面的風險結果。,風險評鑑,威脅 宣告意圖造成損害、痛苦或不幸。 可能造成一個有害的事件，且這事件可能對系統、組織和資產造成傷害。 蓄意的或是意外的，人為的或是天災的。 資產容易受到許多威脅，這些威脅來自於利用脆弱性。,風險評鑑,威脅 天災 洪水、暴風、地震和閃電等。 人為 人員短缺、錯誤維護、使用者操作錯誤等。 科技的 網路故障、流量超過負荷、硬體故障等。 蓄意的威脅 意外的威脅 威脅頻率,風險評

28、鑑,脆弱性 脆弱性是組織資訊安全的漏洞或弱點。 脆弱性本身並不會造成傷害，而是可能允許威脅影響資產的一種或多種情況。 脆弱性如果沒有適當管理，將促使威脅形成。,風險評鑑,脆弱性 關鍵人員的缺席 不穩定的動力 未保護的電纜線 安全意識的缺乏 密碼權限的錯誤分配 安全訓練的不足 未安裝防火牆 未鎖的門,風險評鑑,風險評鑑的工具和方法 Q:BS7799建議什麼工具？ A:風險評鑑應該鑑別對組織資產的威脅、脆弱性和衝擊，而且應該決定風險程度。,課程大綱,ISO27001:2005法規說明 附錄A控制措施簡介 資產評估 風險評鑑 風險處理 適用性聲明書 稽核,風險處理,風險處理計畫風險處理計畫是定義行動

29、以降低無法接受的風險，和實施所需的控制措施以保護資訊的一種合作文件。,風險處理,風險處理方向 避免風險 降低風險到可接受程度 轉移風險 接受剩餘的風險,風險處理,可接受風險的等級 要達到完全的風險是不可能的。 總是有剩餘的風險。 什麼樣程度的剩餘風險能為組織所接受？,風險處理,需考量的因素有： 地點 已存在的安全 攻擊者的數量 可用的設施 累積的機會 宣傳層次 營運持續計劃,風險處理,風險處理的步驟 定義一個可接受的殘餘風險等級。 持續的審查威脅和脆弱性。 對已存在之安全控制措施的審查。 應用其它安全控制措施，如BS7799。 導入政策和程序。,風險處理,控制措施的選擇 風險 要求的保證程度(

30、即強度) 成本 實施的容易性 服務 法律和法規的要求 客戶和其它的合約要求,風險處理,成本 預算限制。 用控制措施的成本是否會超過資產本身的價值？ 也許必須選擇”最佳價值”範圍內的控制措施。,風險處理,實施的容易性 環境是否支援控制措施？ 控制措施需要多久才有辦法開始實施？ 控制措施是否立即可用的？,風險處理,服務 可獲得的技術是否能夠管理控制措施？ 是否能夠立即的升級？ 設備是否有當地工程師或協力廠商的支援？,風險處理,客戶和其它合約的要求 安全篩選 受限制的存取 實體的安全邊界 資料儲存 加密 數位簽章,風險處理,最佳作業的控制措施 資訊安全政策文件 資訊安全責任的分配 資訊安全教育和訓練

31、 應用系統的正確處理 技術脆弱點管理 營運持續管理 管理資訊安全事故和改善,風險處理,測量控制措施的有效性 與4.2.2連接，用以監控ISMS的有效性。 在規劃期間審查風險評鑑及審查剩餘風險與鑑別之可接受風險等級，以考慮控制措施實施有效性之變化。 幫助監控已實施控制措施的效果。,風險處理,風險評鑑過程 資產鑑別與價值評估 威脅的鑑別 脆弱性的鑑別 衝擊的評估 營運風險 風險的分級 風險管理過程 現有的安全控制措施審查 新安全控制措施的鑑別 政策與程序 實施與風險降低 風險可接受度(殘餘風險),課程大綱,ISO27001:2005法規說明 附錄A控制措施簡介 資產評估 風險評鑑 風險處理 適用性

32、聲明 稽核,適用性聲明,是組織選擇適合其企業營運需求的目標與控制措施評論。 聲明也將記錄任何控制措施的排除。 聲明是展示組織如何控制風險的文件，應該沒有太多的細節能夠讓想要破壞安全的人取得寶貴的資訊。 它可能會被潛在的商業夥伴所要求持有的獨立文件，或是成為驗證機構所頒發證書的附加資訊，因此它有可能會是公開的資訊。,適用性聲明,適合其企業需求的目標與控制措施評論。 證明哪些控制措施是相關的 紀錄哪些不相關的控制措施 風險評鑑將決定哪一些控制措施應該被實施 是完整文件審查的一部份 將幫助決定最後評鑑階段的稽核計畫,適用性聲明,如果要求未被實施，為什麼？ 風險因未暴露而未被確認 預算、財務限制 環境

33、影響防護措施，如氣候、空間等。 技術，有些措施是技術上不可行的。 文化、社會限制 時間，有些要求無法現在實施。 其它,課程大綱,ISO27001:2005法規說明 附錄A控制措施簡介 資產評估 風險評鑑 風險處理 適用性聲明 稽核,稽核,至少需執行兩個階段而且都須見別隊BS7799-2和ISO27001:2005的符合性。 稽核階段1 文件審查審查ISMS核心要素。 稽核階段2 實施稽核在現場進行，對政策、程序、和目標的有效性進行審查。,稽核階段1 文件審查,目標為稽核計畫(階段2)提供重點，藉此了解組織安全政策和目標中ISMS的背景脈絡，尤其是為了稽核所做的準備聲明。,稽核階段1 文件審查,

34、主要活動 審查ISMS管理架構 確定ISMS範圍 風險評鑑和管理 適用性聲明 安全政策和支援的關鍵程序 發現結果的正式報告 對組織解釋階段2,稽核階段2 實施稽核,目標 證明組織遵守本身的政策、目標和程序。 證明ISMS遵照所有ISMS標準或規範文件的要求，而且達成組織的政策目標。 測試ISMS的有效性。,稽核階段2 實施稽核,主要活動 訪問ISMS的所有權人和使用者 審查高、中或低風險區域 安全目標及標的 安全和管理審查 系統中核心文件的連結 報告發現事項和做出最後是否發證之建議,稽核員的類型,第三方稽核員為獨立驗證機構。 第二方稽核員有從屬關係之組織。 第一方稽核員自己的部門、單位。,稽核

35、專有名詞解釋,稽核員(Auditor)一個有資格去執行安全稽核的人。 主導稽核員(Lead Auditor)一個被指定管理安全稽核的稽核員。 客戶(Client)被稽核的組織。 被稽核方(Auditee)組織中被稽核的人。,主導稽核員的責任,在階段1之前指派 計劃和管理所有的稽核階段 執行階段1的稽核 協助小組及對小組簡報 控制衝突和處理困難的情形 執行和控制所有的小組和被稽核者間的會議 在稽核議題和ISMS上做決定 準時報告稽核的結果 報告所遭遇的阻礙 即時報告重大的不符合事項 具備有效的溝通技巧,稽核員的責任,支援小組組長 需有準備的 參與首次和結束會議 完成指派的工作 依照時間表完成稽核

36、和稽核範圍 記錄和支援所有發現 及時向被稽核方通報有關情況 完善地保存所有文件 保守機密 需客觀和合乎道德的 追蹤矯正措施,稽核員的角色,独立的和客观的评鉴ISMS 没有偏见和影响 ISMS的有效性 实施的程度 稽核的计划和管理 记录和报告发现 所有涉及稽核的当事人必须尊重稽核员的完整性和独立性,稽核員的素質,注重實際的 理解複雜的狀況 了解組織裡的交互關係 遵守機密性要求 專業的 獨立的 心胸開闊的 成熟的 具有明智的判斷 具有分析技巧 具洞察力 堅韌的,安全稽核的利益,為安全審查時資訊的關鍵來源 展示資深管理階層的承諾 改進人員認知、參與和動機 提供持續改進的機會 改善客戶信心和滿意度 改

37、進運作的表現,稽核目標,審查安全系統對BS7799的符合性 審查BS7799的實施程度 審查系統的有效性和適切性，以符合安全政策和目標 鑑別安全漏洞和弱點 提供改進ISMS的機會 符合合約和法規的要求 驗證需求,驗證流程,詢問 申請 預評(選擇性的) 文件審查(階段1) 六週為最大的間隔(UKAS) 階段2的正式評鑑 頒發證書 持續評鑑 每三年部份階段1和全部的階段2審查(UKAS),稽核生命週期,稽核的生命週期通常稱為P.E.R.CPlanning 計畫Execution執行Recording紀錄Close out結案,稽核計劃,考量點有： 組織的大小和性質 員工數量 系統複雜度 ISMS的

38、範圍 涉及的地點和數目 資訊類型 文件或電子的 文化 語言,稽核計劃,準備流程： 決定目標 決定稽核的持續時間和所需資源 選擇小組 與被稽核者聯絡同意稽核日期 起草一份稽核計畫 簡報小組 準備檢查表 鑑別特殊的要求,稽核計劃,BS7799稽核應該被計畫和處理，根據風險評鑑的結果和適用性聲明中鑑別的控制措施。 稽核計畫應該要包含主要的控制措施。 每個活動的稽核應該要包括適當的BS7799從屬條款，包括附錄A。 稽核計畫的準備將因企業和公司的不同而有所差異。,階段2：稽核計劃,第二階段的稽核計畫應該在第一階段完成時，且在第二階段開始前完成。 計畫必須反映ISMS的範圍。 稽核必須被計畫，以縮小對營

39、運的干擾。 在稽核開始前，特殊的資源應該在計畫中被鑑別。,階段2：稽核計劃,由主導稽核員準備 經過客戶同意的 具有可變更的彈性 包括稽核目標和範圍 鑑別目標和範圍內相關人員的責任 鑑別參考用文件 鑑別稽核小組成員,稽核時所用的語言 鑑別應稽核的區域 每個重大稽核活動預期的時間 會議的行程表 機密性要求 稽核報告的分配和發佈時間 解決任何有關稽核計畫問題,階段2：稽核計劃可用的資訊,文件審查的結果 安全手冊及程序 管理重點 高風險區域 安全問題 先前的內部審查 服務/產品資訊 稽核員的經驗,被稽核方的責任,同意或澄清計劃安排 與所有部門溝通此安排 要求管理階層參加會議 安排相關人員以便接受稽核

40、要求所有人員全面合作 安排引導人員 為稽核員安排辦公室設施,稽核方法,流程稽核方法 部門的稽核方法 公司的位置 遍及組織之“共通”條款的應用 確保適當的時間被分配到各個區域,稽核目的,收集客觀證據，以便對資訊安全管理系統的狀態和有效性做出綜合判斷。,客觀證據,資訊、紀錄或事實的聲明 也許是定性或定量 一個資訊安全系統要素的存在和實施 基於觀察、測量或測試 能夠被驗證的,獲得客觀證據的技巧,面談 觀察 抽樣 審查文件 審查紀錄 總結、分析和評估,抽樣,從主要的活動中選出有代表性的樣本。 給予高風險區域優先權。 子控制措施應被選擇。 稽核員必須決定大小和選擇。 抽樣大小應取決於信心是否能被確保。

41、必須代表活動的稽核。 如果抽樣結果指出無不符合事項，進行下一步。 如抽樣結果指出無不符合事項，並不代表系統中沒有不符合事項。 確認稽核員和被稽核方都了解。 責任在控制全部區域的被稽核方。,檢查表的好處,使稽核目標清楚 稽核計畫的證據 保持稽核節奏和連續性 減少稽核員的偏見 減少稽核流程中的工作負荷,檢查表的缺點,如果檢查表示以下列形式呈現，則會失去價值。 打勾的方式 問卷 將檢查表準備成備忘錄形式。,檢查表的準備,將標準條文轉換成問題。 運用這些問題和安全手冊 計畫查看什麼和尋找的證據 考慮抽樣大小 準備檢查表,稽核檢查表,稽核檢查表的準備。 檢查表是一種確保稽核的深度和持續性的重要輔助工具。

42、 檢查表應能夠代表稽核的區域。 檢查表應被以溝通運作和流程的形式來準備。 檢查表不應有“是”或“否”的答案。應以備忘錄的形式來準備。,首次會議 考量點,介紹 紀錄 營造稽核的氣氛 確認稽核的目的和範圍 審查和確認稽核計畫 稽核小組的引導人員分配 稽核方法的溝通,報告方法 確認稽核是基於抽樣方法 保密 結束會議時間 後勤 限制 澄清,稽核參加人員,稽核小組 稽核小組組長及組員 見習稽核員及見習主導稽核員 觀察員 翻譯員、專家 見證人,被稽核方 引導人員 部門主管及員工 觀察員、見習人員 顧問,執行稽核,進入稽核區域 引導人員介紹 解釋你想要看什麼東西 做必要深度的調查 如果未發現問題，繼續下一步

43、 不要不停地堅持稽核直到發現問題為止,和人溝通的技巧,讓被稽核者放輕鬆 訪問簡短的問題 表現正面的態度，包括語氣聲調、肢體語言和臉部表情 微笑和眼神的接觸 避免打斷 避免即席的和高傲的言詞 給予適當的讚美 詢問和聆聽 表示興趣 機智和有禮貌的 顯示耐心和理解力 除掉你的個人問題 記得說謝謝和請 詢問正確的人 當你不理解時不要說你理解,稽核的控制,檢查表是僕人而不是主人 如果出現潛在的稽核線索，可決定 不予理睬 紀錄下來，供以後再稽核 立即跟進 可能影響抽樣大小 可能影響稽核計畫 可能影響稽核計畫,稽核詢問技巧,稽核面談的品質大都取決於稽核員的詢問技巧。 適當的問題有助於達成稽核目標。 被稽核方

44、應不要因為問題種類而感到威脅。問題種類應使被稽核方感到自在。 問題應針對與被稽核區域相關。,稽核問題,開放式 這些問題需要更多的諮詢而非僅”是”或“不是”。 封閉式 這些問題應該誘出示或不是的答案。用來使用總結一連串的問題。 引導式 用來迅速獲得答案。引導被稽核方以得到答案。,稽核面談,使用溝通技巧 使用適當的稱呼和語言，如：資深主管、技術人員。 面試技巧的使用 確保有適當的人員可用 表現興趣，隨時保持警覺 顯示你的理解 不時的 肢體語言的注意 正面的溝通 聆聽 試著不要打擾被稽核方 解釋紀錄稽核筆記的方式 隨時表現禮貌 接近稽核面試的完成時，總結發現和謝謝關心。,做筆記,紀錄客觀的證據 可接

45、受的陳述 文件編號及版本版次或文件位階 部門 被稽核方的名稱,做筆記,筆記可用於以下情況時做參考： 立即調查 以後再調查 供同事使用 以後稽核 因此筆記必須是： 清楚的 可事後做為檢索用,做筆記,稽核員應該針對稽核的區域中所有適當的資訊做紀錄，包括： 訪問的部門 看見的人員 發現的摘要 引用看見的文件，如程序 引用看見的紀錄，如備份記錄、軟體授權等。 被包含標準條款的引用,不符合事項,不符合事項：與BS7799-2 / ISO27001:2005的要求相反的情形，某一特定的要求並未被履行。 直接與安全政策相關 違反資訊管理安全標準 違反系統程序或工作指示 違反法律上的要求,次要(輕微)不符合事

46、項,定義在一個隔離的情形中，有一些適用控制措施的要求方面沒有被滿足，因此產生一些關於對保護敏感資料的機密性、完整性和可用性測量之適當性的質疑。而且表示一個輕微的風險，可能將被組織的利害關係人察覺到，被觀察到的一個單獨或偶發失誤，或隔離的意外事件。,次要(輕微)不符合事項的範例,觀察到某人未遵守桌面淨空政策 在某種場合中某些訪客離開大樓時未依規定登記 遺失對於網路存取的正式核可 備份的紀錄未在一天內完成 未鑑別所有權人的資料存在檔案中,主要(嚴重)不符合事項,定義失敗的實施或遵守一個或多個BS7799-2適用的控制措施條款，因此產生關於對保護敏感資料的機密性、完整性和可用性測量之適當性的嚴重質疑。而且表示一個無法接受的風險，可能將被組織的利害關係人察覺到。也是指整個系統控制措施或程序的失效。,主要(嚴重)不符合事項,缺乏標準的某一個特別的要求，如政策或範圍。 對標準的某一主要要素，沒有相關文件紀錄的程序。 系統、控制措施或程序的完全失效。 極高數量的不符合事項集中在標準中某一要素或是部門。,主要(嚴重)不符合事項的範例,沒有安全政策 沒有安全事故管理系統 缺乏營運持續計劃 沒有軟體授權管理 沒有正式的系統來管理和更新IS