[其它]ISO27001:2005上課筆記及補充資料_2
風險分析
Asset & owener 資產及其擁有者
Asset Value 資產價值
Vulnerabilities 脆弱性
Threat 威脅
Probability/Likelihood 機率/可能性
Impacts/consequence 衝擊/後果
風險處理
採取降低風險的措施—採用適切的控制措施
若其明顯的符合組織政策與風險接受準則—接受它(剩餘風險)
迴避風險
轉移風險– 利用保險或其他方式處理
資訊資產六大類
軟體、硬體、人員、資料、文件、環境
資訊安全制度文件管理架構(4.3)
適用範圍
涵蓋所有型式的組織
營運:為組織存在目的所進行的核心活動
設計各種控制措施可以參照CNS27002
應用
要求一般性且適用於各組織,排除本標準第四到八節任何要求不被接受
名詞解釋補充
資產:對於資訊安全有價值的
機密性(confidentiality):使資訊不可用或不揭露給未經授權之個人、個體或者團體,保護資訊不被非法存取或揭露,先要做好資訊分級標示,分類後要標示等級。
完整性(Integrity):保護資產的準確度(accuracy)和完全性(completeness)的性質,確保資產能正常運作及資訊在任何階段沒有不適當的修改或損毀。(如網頁被駭,就是完整性的問題)
可用性(Availability):經授權個體因應需求之可存取即可使用的及經授權的使用者能適時的存取所需資訊性質。(如硬體故障,使得授權的使用者無法使用,就是可用性的問題)
不可否認性( Non-repudiation ) :防止存心不良的使用者否認其所做過的事,包括送出信件,接收文件,存取資料等。即交易的收發雙方無法否認執行
過的交易。例如【數位簽章】就具備不可否認性。
身分鑑別( Authentication ) :辨別資訊使用者的身份可記錄資訊是被誰使用過,
例如帳號、身份字號、員工編號等。
存取權限控制( Authority ) :依照職務或階級身份給予適當的權限。例如:銀行的櫃臺是不被允許進入保險櫃,僅有組長以上的權限才能進入。
可歸責性( Accountability ) :所有主要的資訊資產應有人負責,並指定資產的所有人負責保護,管理的記錄必須是可以追溯,用於敏感度很高的系統。
可靠度(Reliability):資產多久不會損壞或遺失。
資訊安全事件:有攻擊資安的事件,強調通報。
資訊安全事件:對於資安有害的事件,強調處理。
ISO 27001資訊安全管理系統的好處
資訊安全管理系統的運行及ISO 27001驗證能為企業帶來許多重要的策略與營運優勢
強化企業安全:
透過資訊安全管理系統的運行及ISO27001驗證程序,可減少企業網路的弱點,並提高企業的風險控管能力。
減少弱點意味著較少的安全漏洞,詐騙行為、財物風險與法律風險也會跟著減少,當然網路的連續運作時間與顧客信心也會隨之提高
提高安全規劃效率:
ISO27001列舉了分屬於十項領域共133條控制項目及其控制細項目,將明確導引企業如何進行人力資源、法務與突發事件應變的規劃。這些針對資訊安全而提出的全面性詳細建議,可使得企業開始導入安全措施時,作到更完善、更容易管控且非常符合經濟效益。
提高安全管理成效:
企業將開始制定或重新檢視其資訊安全政策與程序。與企業一般的安全計劃不同的是,ISO27001已證實是資訊安全的最佳實務準則法則,並且在實際商業資訊安全中測試過其成效。
持續保護:
企業經過驗證後,稽核機構的持續檢驗與ISO27001的持續更新,將確保企業隨時了解最新的弱點以及最佳的實務準則法則。
改善與供應商的合作關係:
為了讓企業網路受到更好的保護,同時又要能進行電子資料交換,企業可以資訊安全管理系統的運行及ISO27001驗證作為合作夥伴與供應商的安全要求。
安全的電子商務:
資訊安全管理系統的運行及ISO27001驗證等於是一個安全徽章,無論是財務機構或電子商城,消費者都能輕易分辨出哪些是經過驗證值得信賴的電子商務公司。
提高顧客信心:
隨著顧客與廠商對網路安全漏洞愈來愈謹慎,他們也會開始尋求具體的安全保障,資訊安全管理系統的運行及ISO27001驗證能提供他們需要的信心。
降低法律風險:
企業透過資訊安全管理系統的運行及ISO27001驗證後,將可減少因為資訊安全突發事件而面臨的法律問題, 因為法庭將會把企業符合ISO27001該項標準的事實,認定為企業已經做到足夠程度的安全防護。
ISO27001 實作
成立ISO27001 小組
界定公司ISMS 的範圍及界限
界定公司ISMS 的政策
清查資訊資產
針對資訊資產評定其風險值
選擇風險處理的方法
寫一份適用聲明書
成立資訊安全推動工作小組
資訊安全官
管理代表(簡稱“管代”)
資訊安全部主管
管理部
文件管理中心
稽核
參考資料
ISO 27001:2005 主導稽核員課程