Dunk

整理一下筆記來準備考試

標準與參考的差別

標準：標題有Requirement或者Specification，內文有用shall

參考：標題有Guidance或者Code of practice，內文有用should

概述

ISO 27001是ISMS 系統驗證的判定標準

重於預防而非矯正措施

11個控制領域,

39個控制目標

133控制措施

ISO 27001“以風險為基礎”的方法論，定義政策，程序和適當的控制項目來管理風險，本標準制定係為提供用以建立、實作、運作、監視、審查、維持及改進資訊安全管理系統(Information Security Management System)。

ISMS：全面管理系統之一部份，依據企業風險導向用以建立、實作、運作、監視、審查、維持及改進資訊安全，建立在【風險評鑑與管理】的基礎上。有分為局部性及全公司性的檢驗，一般而言業務單位也要納入。

資訊安全(Information Security)：資訊就是一種資產，和其他重要的營運資產一樣有價值，因此需要持續給予妥善保護，這就是資訊安全，它包含技術面與管理面，需要通過實施一整套適當的控制措施才能實現，強調相對安全。

儲存與傳遞資訊：要了解才能制定政策，無論資訊的形式為何，以何種方式分享或儲存，均宜加以適當的保護，越傳統的傳輸方式要越注意安全。

過程導向(Process approach)：任何使用資源與管理以促成將輸入轉換為輸出的活動，稱為過程。

本標準採用PDCA(Plan-Do-Check-Act，規劃-執行-檢查-行動)過程模型

小PDCA：4.2.1→4.2.2→4.2.3→4.2.4

大PDCA：4→5→6、7→8

章節說明

4.2.1

a.界定ISMS 的範圍及界限

b.界定ISMS 的政策

----------------------------------------------

c.界定組織的風險評鑑方法

d.識別各項風險

e.分析與評估各項風險

--------------------------------------------

(c-e 稱為風險評鑑)

-------------------------------------------------

f. 識別並評估風險處理的各項選項辦法

g.選擇控制目標及控制措施以處理風險

h.取得管理階層對殘餘風險的核準

-----------------------------------

(f-h 為風險處理)

i.取得管理階層實作及操作資訊安全管理系統的授權

j.擬一份適用性聲明

 

參考資料

ISO 27001:2005 主導稽核員課程