1、课程大纲nISO27001:2005法规说明n附录A控制措施简介n资产评估n风险评鉴n风险处理n适用性声明书n稽核ISO27001:2005法规说明ISMS标准标准/指南指南ISO27001 serial(2005)200520002002Before 2000信息安全管理系统要求ISO27001ISO27001:2005(BS7799-2:2005)BS7799-2:2002BS7799-2:1999信息安全管理作业要点ISO27002(after April 2007)ISO17799:2005(BS7799-1:2005)ISO17799:2000BS7799-1:1999ISO2700
2、1:2005法规说明nBS7799:分为BS7799-1和BS7799-2两部份nBS7799-1:2005/ISO17799:2005主要是做为参考文件,提供广泛性的安全控制措施,作为现行信息安全之最佳作业方法,其中包含11个控制措施章节,但不作为评鉴与验证标准。nBS7799-2:2005/ISO27001:2005系根据BS7799-1,提供信息安全管理系统(ISMS)之建立实施与书面化之具体要求,依据个别组织的需求,规定要实施之安全控制措施的要求。ISO27001:2005法规说明nBS7799-1:2005/ISO17799:2005信息安全管理作业要点用意是做为参考文件提供广泛性的
3、安全控制措施现行信息安全之最佳作业方法包含11个控制章节无法作为评鉴与验证ISO27001:2005法规说明nBS7799-2:2005/ISO27001:2005信息安全管理系统要求根据BS7799-1:2005ISMS之建立实施与文件化之具体要求依据个别组织的需求,规定要实施之安全控制措施的要求。ISO27001:2005法规说明n信息是一种资产,就像其它重要的企业资产依样,对组织具有价值,因此需要受到适当的保护。ISO27001:2005法规说明n信息的类型书写或打印于纸上储存在电子媒体上以邮寄或电子储存媒体传输显示于企业影片上言语-在对话中提出不管信息的形式是什么,或者共享或储存的方式
4、是什么,都应该受到适当的保护。ISO27001:2005法规说明n信息安全保护信息的机密性、完整性与可用性;另外,亦可包含如可鉴别性(真实性)、可归责性、不可否认性及可靠性等特性。ISO27001:2005法规说明n机密性(Confidentiality)信息不可被未经授权之个人、实体、流程所取得或揭露之特性。n完整性(Integrity)保护资产准确性和完整性之特性。n可用性(Avaliability)基于需要可由授权者存取及使用之特性。ISO27001:2005法规说明n关键的成功因素(Critical success factors)经验显示,组织的信息安全能否成功实施,下列常为关键因素
5、:能反映营运目标的信息安全政策、目标及活动。与组织文化一致之实施、维护、监控、及改进信息安全的方法与框架。来自所有管理阶层的实际支持和承诺。对信息安全要求、风险评鉴以及风险管理的深入了解。向全体管理人员、受雇人员、及相关人员有效推广信息安全以达到认知。资助信息安全管理活动。提供适切的认知、训练及教育。制定有效的信息安全事故管理过程。实施个用于评估ISMS的绩效及改进的回馈建议之量测系统。ISO27001:2005法规说明4.Information security management systemn4.1 一般要求組織應在整體業務活動與所面臨風險下建立、實施、操作、監控、審查、維護及改進一文
6、件化ISMS,為本國際標準之目的,所採用之過程以下圖所示之PDCA模式為基礎。4.Information security management system4.2 資訊安全管理系統之建立及管理n4.2.1 建立資訊安全管理系統組織應:依據業務、組織、所在位置、資產及技術等特性,定義資訊安全管理系統之範圍及界限,並包括任何自範圍排除之細節及理由。依據業務、組織、所在位置、資產及技術等特性,定義資訊安全管理系統之政策,且:n包含設定目標之框架,並建立有關資訊安全之整體方向亦是與行動原則。n考慮企業及法律或法規要求,以及合約性的安全責任。n與組織策略性之風險管理內容配合,使ISMS得以建立及維持。
7、n建立評估風險之標準,及被管理階層核准。4.2 資訊安全管理系統之建立及管理定義組織之風險評鑑辦法n鑑別一風險評鑑方法論,並適合其ISMS、已鑑別之企業資訊安全、以及法律與法規要求。n發展可接受風險之標準以及鑑別風險至可接受的程度。所選擇之風險評鑑方法論應確保產出可比較及可重複之結果。鑑別各項風險n鑑別ISMS控制範圍內之資產以及該資產之擁有者(owner)。擁有者(owner)一詞係指已核准資產管理責任之個人或實體,針對資產之生產、開發、維護、使用及安全之管制。擁有者(owner)一詞並不是指實際具有資產產權之人員。4.2 資訊安全管理系統之建立及管理分析及評估各項風險鑑別並評估風險處理之選
8、項方法選擇控制目標及控制措施以處理風險:n應選擇並實施控制目標與控制措施,以符合風險評鑑與風險處理過程所鑑別之要求。n控制目標與控制措施應於本標準之附錄A中加以選擇,為此過程的一部份並適當滿足所鑑別之要求。4.2 資訊安全管理系統之建立及管理所提出之殘餘風險須取得管理階層之核准ISMS亦須獲得授權才能實施與操作擬訂一份適用性聲明書,須包括下列:n於4.2.1節所選擇之管制目標與控制措施,其選擇之理由。n現行已實施之控制目標與控制措施。n附錄A中任何排除之控制目標與控制措施,及其排除之正當理由。4.2 資訊安全管理系統之建立及管理n4.2.2 資訊安全管理系統之實施與操作組織應有系統的陳述一項風
9、險處理計畫以鑑別適當管理措施、資源、權責及優先順序,以便管理資訊安全風險。實施風險處理計畫,以達到所鑑別的安全目標,計畫內容包括投資的考慮以及角色與責任的分派。實施4.2.1所選之控制措施以符合管制目標。定義如何測量所選擇控制措施或控制措施群組織有效,及具體說明如何使用這些測量來評估控制措施之有效性,並產出可比較即可再現的結果。實施訓練與認知計畫。管理ISMS作業。管理ISMS資源。實施能即時偵知安全事故,並予以回應安全事件處理之作業程序及其他控制措施。4.2 資訊安全管理系統之建立及管理n4.2.3 資訊安全管理系統之監控及審查執行監控與審查程序及其他控制措施,以便:n立即偵知系統處理結果之
10、錯誤。n立即鑑別企圖及已成功之安全破壞及事故。n促使管理階層決定是否委託他人或藉由資訊技術之實施均已如預期般實行。n使用指標幫助偵測安全事件並防止安全事故。n決定所採取解決安全漏洞之措施是否有效。定期審查ISMS之有效性(包含符合ISMS政策、目標及控制措施之審查),並考慮來自安全稽核、事件、來自有效性量測之結果、股東及利害關係團體之建議及回饋之結果。測量控制措施有效性,以確認符合安全要求。4.2 資訊安全管理系統之建立及管理在規劃期間審查風險評鑑及審查殘餘風險,與鑑別之可接受風險等級,並考慮下列之變數:n組織n技術n企業目標及過程n已鑑別之威脅n控制措施實施有效性n外部事件,例如法律或法規環
11、境之變化、合約責任之變化,以及社會環境之變化。在規劃期間執行內部ISMS稽核內部ISMS稽核有時稱為第一方稽核,是由組織自己或其代表基於內部目的所實施。4.2 資訊安全管理系統之建立及管理定期執行ISMS管理階層審查,以確保範圍保持適當,及ISMS過程之各項改進均已鑑別。考量監控與審查活動之發現,更新安全計畫。紀錄對ISMS之有效性或績效有衝擊之活動與事件。4.2 資訊安全管理系統之建立及管理n4.2.4 維持及改進資訊安全管理系統組織應定期進行下述:實施ISMS所鑑定之改進活動。依據第8.2及8.3節採取適當矯正及預防措施。採用從其他組織及本身之安全經驗吸取教訓。以適切於情況的詳盡程度與所有
12、利害相關團體就各項措施及改進活動進行溝通,並在適當時取得進行方式的同意。確保各項改進措施達到預期目標。4.3 文件要求n4.3.1 一般要求文件應包括管理決策紀錄,確保相關活動可追溯至管理決策與政策,並確保所紀錄之結果是可再現的。重要的是能夠證明所選擇之控制措施回溯至風險評鑑與風險處理過程結果,及回溯至ISMS政策及目標之關聯性。資訊安全管理系統文件應包含:ISMS政策與安全目標之書面聲明資訊安全管理系統之範圍支援ISMS之相關程序書及控制措施風險評鑑方法論之說明書風險處理計畫4.3 文件要求組織為確保有效規畫、操作與控制資訊安全過程,及說明如何量測控制措施有效所需之書面程序。本國際標準要求之
13、各紀錄。適用性聲明書。所有文件應依據ISMS之政策要求隨時可供取用。4.3 文件要求nISMS文件的廣度,其範圍和細節取決於:產品和流程的複雜性顧客和法規的要求工業標準和規範教育、經驗和訓練勞動力的穩定性過去發生的安全問題4.3 文件要求nLevel 1安全政策手冊為管理架構的摘要,其中包括了資訊安全政策和控制措施目標,以及適用性聲明書中所提及已實施的控制措施。nLevel 2程序程序用來實施所要求的控制措施,描述who、what、when、where等安全流程和不同部門間的控制措施。4.3 文件要求nLevel 3工作指導書、檢查清單、表格等解釋特殊工作和活動的細節,以及如何完成特定的工作。
14、包括詳細的工作指導書、表單、流程圖、服務標準和系統手冊等。nLevel 4紀錄紀錄活動實行以符合等級1、2和3文件要求的客觀證據。可能是強制性的隱含在每個BS7799條款中。例如:機房訪客登記簿、稽核記錄和存取授權等。4.3 文件要求n4.3.2 文件管制ISMS所需之文件應受保護和管制。應建立文件化程序,以界定所需之管理措施,用以:在文件發行前核准其適切性。必要時,審查和更新並重新核准文件。確保文件之變更與最新改訂狀況已予以識別。確保在使用場所備有相關適用版次文件。確保文件保持易於閱讀並容易識別。確保有需要之人員均有文件可用,且依照其適用之傳遞、儲存及最終處理予以分類。確保外來原始文件已加以
15、識別。確保文件分發已管制。防止失效文件被誤用。過期文件為任何目的需保留時,應予以適當識別。4.3 文件要求n4.3.3 紀錄管制為提供ISMS符合要求及有效運作之證據,所建立並維持之紀錄,應予以保護級管制。ISMS應將相關法律或法規要求及合約責任列入考量。紀錄應清晰易讀,容易檢索及識別。為了紀錄之鑑別、儲存、保護、檢索、保存期限及報廢,應建立文件化程序,以界定所需之管制。所需之紀錄及其範圍應由管理過程加以決定。紀錄應加以保存,如4.2節所述各項過程之績效,以及所有與ISMS有關之重大安全事故紀錄。5.管理階層責任n5.1 管理階層承諾管理階層應藉由下列各項,對ISMS之建立、實施、操作、監控、
16、審查、維護與改進之承諾提供證據:建立一份ISMS政策。確保建立各項ISMS目標及計畫。為資訊安全建立角色與權責。向全組織傳達符合資訊安全目標、遵守資訊安全政策、在法律下要求之權責,以及持續改進之需求。提供充分資源以建立、實施、操作、監控、審查、維護與改進ISMS。決定可接風險之標準,以及可接受風險之等級。確保實施內部ISMS稽核。執行ISMS之管理階層審查。5.2 資源管理n5.2.1 資源提供組織應決定並提供下列工作必要之資源:建立、實施、操作、監控、審查、維護與改進ISMS。確保資訊安全程序足以支持企業的需求。藉由修改所有實行的控制措施,來維持適當的安全。n5.2.2 訓練、認知及能力組織
17、應確保在ISMS中規定有責任之所有員工,有能力藉由下述執行所要求的工作,包括:決定執行影響ISMS工作之人員其所需之能力。提供訓練或採取其他措施(如:僱用具備能力之人員),以滿足該需求。評估所提供訓練及所採取措施之有效性。維持教育、訓練、技巧、經驗及資格之紀錄。組織亦應確保所有相關人員已認知其所從事的資訊安全活動之相關性及重要性,以及他們如何對ISMS之目標達成有所貢獻。6.內部ISMS稽核n組織應定期進行內部ISMS稽核已決定其控制措施目標、過程及程序是否:符合本標準及相關法律或管理的要求符合所識別的資訊安全要求有效的實作與維護如預期的執行n稽核計畫應事先規劃,考慮稽核的過程與區域之狀況及重
18、要性,以及先前稽核的結果。稽核準則、範圍、頻率及方法應予以界定。稽核人員的選擇與稽核的執行應確保稽核過程的客觀及公平。另外,稽核人員不應稽核其本身的工作。6.內部ISMS稽核n規劃與執行稽核,及報告結果與維持紀錄之責任與要求。應以書面程序予以界定。n被稽核區域管理階層之責任,應確保採行措施沒有不當之延誤,以消除所發現之不符合與其原因。跟催活動應包括所採行措施之查證,與查證結果之報告。7.ISMS之管理階層審查n7.1 概述管理階層應在規劃期間內(至少一年一次),審查組織的ISMS,以確保其持續的適用性、適切性及有效性。審查應包含改進時機之評估,以及ISMS變更之需求,含資訊安全政策與資訊安全目
19、標。審查結果應予以清楚的文件化,紀錄應予以維持。7.ISMS之管理階層審查n7.2 審查輸入管理階層審查輸入應包括下列資訊:ISMS稽核與審查之結果。來自利害相關團體之回饋。可用以改進組織ISMS績效及有效性之技術、產品或程序。預防與矯正措施之狀況。先前風險評鑑未適切提出之脆弱性或威脅。來自有效性量測之結果。先前管理階層審查之跟催措施。可能影響ISMS之任何變更。改進之建議。7.ISMS之管理階層審查n7.3 審查輸出管理階層審查之輸出應包括下列有關之任何決定與措施:ISMS有效性之改進。更新風險評鑑及風險處理計畫。未因應可能影響ISMS之內部或外部事件,必要時將影響資訊安全之程序及控制措施予
20、以修訂,包括n營運需求n安全需求n影響既有營運需求之營運過程n法令或法規要求n合約責任n風險等級風險可接受程度之標準資源需求。測量控制措施有效性之改進。8.ISMS之改進n8.1 持續的改進尋求持續的改進透過下列改進ISMS的有效性n安全政策n安全目標n安全審查的結果n安全稽核n矯正措施n預防措施n管理審查8.ISMS之改進n8.2 矯正措施應該採取措施以消除不合格的原因,避免復發。在ISMS內的書面程序應該定義:n鑑別不符合事項n確定原因n評估避免復發所需的活動n確定和實施矯正措施n紀錄結果n審查行動的有效性8.ISMS之改進n8.3 預防措施為防止不符合事項發生,組織應決定措施,消除ISM
21、S要求之潛在不符合事項之原因,以防止其發生。所採取之預防措施應與潛在問題之影響相稱。預防措施之文件化程序應訂出以下要求:鑑別潛在的不符合與其原因。評估採取預防發生不符合措施的需求。決定並實施所需之措施。紀錄所採取措施之結果。審查所採用之預防措施。n組織應鑑別已變化之風險及鑑別預防措施要求之焦點放在顯著變化之風險上。n預防措施之優先順序應依據風險評鑑之結果加以決定。課程大綱nISO27001:2005法規說明n附錄A控制措施簡介n資產評估n風險評鑑n風險處理n適用性聲明書n稽核ISO27001:2005(BS7799-2:2005)控制措施ISO27001:2005(BS7799-2:2005)
22、控制措施ISO27001:2005(BS7799-2:2005)控制措施ISO27001:2005(BS7799-2:2005)控制措施ISO27001:2005(BS7799-2:2005)控制措施ISO27001:2005(BS7799-2:2005)控制措施ISO27001:2005(BS7799-2:2005)控制措施ISO27001:2005(BS7799-2:2005)控制措施ISO27001:2005(BS7799-2:2005)控制措施ISO27001:2005(BS7799-2:2005)控制措施ISO27001:2005(BS7799-2:2005)控制措施ISO27001
23、:2005(BS7799-2:2005)控制措施ISO27001:2005(BS7799-2:2005)控制措施ISO27001:2005(BS7799-2:2005)控制措施ISO27001:2005(BS7799-2:2005)控制措施ISO27001:2005(BS7799-2:2005)控制措施ISO27001:2005(BS7799-2:2005)控制措施n不是所有的控制措施都與每種情況相關,也無法考量到所有的當地環境或技術限制,或以適合組織內每位潛在使用者形式呈現。課程大綱nISO27001:2005法規說明n附錄A控制措施簡介n資產評估n風險評鑑n風險處理n適用性聲明書n稽核資產
24、評估nBS7799要求所有資產的詳細清冊應被制定和維護,以及這些資產的可歸責應被定義。資產評估n何謂資產?資產就是對組織有價值的任何事物。是組織直接賦予價值且需要被保護的。必須是相關於ISMS的範圍。資產評估nISMS資產分類可分為:資訊資產 如資料檔案、使用手冊等。書面文件 如合約書、指南等。軟體資產 如應用程式、系統軟體等。實體資產 如電腦、磁碟片等。人員 員工公司形象與聲望服務 如通訊、技術等。資產評估n資產價值和潛在衝擊組織已經鑑別其資訊資產的價值嗎?決定每個資產價值是決定一個有效率安全政策的第一步。是什麼樣的系統?14或是低到非常高這是風險評鑑過程中極為重要的部份。資產評估n資產價值
25、對於BS7799:2005/ISO27001:2005來說,資產並不一定包括組織內一般視為有價值的所有事物。組織必須自行決定哪些資產的缺乏或降級可能實際影響產品或服務的交付。課程大綱nISO27001:2005法規說明n附錄A控制措施簡介n資產評估n風險評鑑n風險處理n適用性聲明書n稽核風險評鑑n安全風險安全風險是指特定威脅利用脆弱性,造成資產或資訊資產損失或損毀的潛在可能。nBS7799的實施和驗證是基於正式風險評鑑的結果。n評鑑風險資訊保護是基於防範營運資訊之風險,此為本國際標準的基礎,使組織能夠採取適當的安全控制措施。若安全控制措施太少,則營運資訊會暴露在各種風險當中;若太多則會導致企業
26、負擔過多的成本。風險評鑑n組織必須定義(並製成文件)其風險評鑑的方法。4.2.1 Cn這也表示選擇與文件化之風險評鑑方法論,可使風險評鑑產生可比較與可重複可比較與可重複(再現再現)的結果。4.2.1C和4.2.3 Dn現在風險評鑑規定必須有計畫地定期進行審查,並且讓管理階層審查更新的風險評鑑與風險處理計畫。7.3 Bn此活動必須至少一年執行一次,是ISMS管理審查的一部份。7.1風險評鑑n在稽核的過程中,稽核員會注意所選用之控制措施予風險處理過程之間的關係,這些控制措施需溯及風險評鑑的結果,並溯及ISMS的政策與目標。風險評鑑n風險評鑑過程鑑別資產和指派資產價值。鑑別資產的相關威脅和評鑑它們的
27、可能性。鑑別脆弱性和評鑑它們可能如何被利用。鑑別如何藉由控制措施的實施以提供保護。評鑑上述之全面的風險結果。風險評鑑n威脅宣告意圖造成損害、痛苦或不幸。可能造成一個有害的事件,且這事件可能對系統、組織和資產造成傷害。蓄意的或是意外的,人為的或是天災的。資產容易受到許多威脅,這些威脅來自於利用脆弱性。風險評鑑n威脅天災 洪水、暴風、地震和閃電等。人為 人員短缺、錯誤維護、使用者操作錯誤等。科技的 網路故障、流量超過負荷、硬體故障等。蓄意的威脅意外的威脅威脅頻率風險評鑑n脆弱性脆弱性是組織資訊安全的漏洞或弱點。脆弱性本身並不會造成傷害,而是可能允許威脅影響資產的一種或多種情況。脆弱性如果沒有適當管
28、理,將促使威脅形成。風險評鑑n脆弱性關鍵人員的缺席不穩定的動力未保護的電纜線安全意識的缺乏密碼權限的錯誤分配安全訓練的不足未安裝防火牆未鎖的門風險評鑑n風險評鑑的工具和方法Q:BS7799建議什麼工具?A:風險評鑑應該鑑別對組織資產的威脅、脆弱性和衝擊,而且應該決定風險程度。課程大綱nISO27001:2005法規說明n附錄A控制措施簡介n資產評估n風險評鑑n風險處理n適用性聲明書n稽核風險處理n風險處理計畫風險處理計畫是定義行動以降低無法接受的風險,和實施所需的控制措施以保護資訊的一種合作文件。風險處理n風險處理方向避免風險降低風險到可接受程度轉移風險接受剩餘的風險風險處理n可接受風險的等級
29、要達到完全的風險是不可能的。總是有剩餘的風險。什麼樣程度的剩餘風險能為組織所接受?風險處理n需考量的因素有:地點已存在的安全攻擊者的數量可用的設施累積的機會宣傳層次營運持續計劃風險處理n風險處理的步驟定義一個可接受的殘餘風險等級。持續的審查威脅和脆弱性。對已存在之安全控制措施的審查。應用其它安全控制措施,如BS7799。導入政策和程序。風險處理n控制措施的選擇風險要求的保證程度(即強度)成本實施的容易性服務法律和法規的要求客戶和其它的合約要求風險處理n成本預算限制。用控制措施的成本是否會超過資產本身的價值?也許必須選擇”最佳價值”範圍內的控制措施。風險處理n實施的容易性環境是否支援控制措施?控
30、制措施需要多久才有辦法開始實施?控制措施是否立即可用的?風險處理n服務可獲得的技術是否能夠管理控制措施?是否能夠立即的升級?設備是否有當地工程師或協力廠商的支援?風險處理n客戶和其它合約的要求安全篩選受限制的存取實體的安全邊界資料儲存加密數位簽章風險處理n最佳作業的控制措施資訊安全政策文件資訊安全責任的分配資訊安全教育和訓練應用系統的正確處理技術脆弱點管理營運持續管理管理資訊安全事故和改善風險處理n測量控制措施的有效性與4.2.2連接,用以監控ISMS的有效性。在規劃期間審查風險評鑑及審查剩餘風險與鑑別之可接受風險等級,以考慮控制措施實施有效性之變化。幫助監控已實施控制措施的效果。風險處理n風
31、險評鑑過程資產鑑別與價值評估威脅的鑑別脆弱性的鑑別衝擊的評估營運風險風險的分級n風險管理過程現有的安全控制措施審查新安全控制措施的鑑別政策與程序實施與風險降低風險可接受度(殘餘風險)課程大綱nISO27001:2005法規說明n附錄A控制措施簡介n資產評估n風險評鑑n風險處理n適用性聲明n稽核適用性聲明n是組織選擇適合其企業營運需求的目標與控制措施評論。n聲明也將記錄任何控制措施的排除。n聲明是展示組織如何控制風險的文件,應該沒有太多的細節能夠讓想要破壞安全的人取得寶貴的資訊。n它可能會被潛在的商業夥伴所要求持有的獨立文件,或是成為驗證機構所頒發證書的附加資訊,因此它有可能會是公開的資訊。適用
32、性聲明n適合其企業需求的目標與控制措施評論。證明哪些控制措施是相關的紀錄哪些不相關的控制措施風險評鑑將決定哪一些控制措施應該被實施是完整文件審查的一部份將幫助決定最後評鑑階段的稽核計畫適用性聲明n如果要求未被實施,為什麼?風險因未暴露而未被確認預算、財務限制環境影響防護措施,如氣候、空間等。技術,有些措施是技術上不可行的。文化、社會限制時間,有些要求無法現在實施。其它課程大綱nISO27001:2005法規說明n附錄A控制措施簡介n資產評估n風險評鑑n風險處理n適用性聲明n稽核稽核n至少需執行兩個階段而且都須見別隊BS7799-2和ISO27001:2005的符合性。n稽核階段1 文件審查審查
33、ISMS核心要素。n稽核階段2 實施稽核在現場進行,對政策、程序、和目標的有效性進行審查。稽核階段1 文件審查n目標為稽核計畫(階段2)提供重點,藉此了解組織安全政策和目標中ISMS的背景脈絡,尤其是為了稽核所做的準備聲明。稽核階段1 文件審查n主要活動審查ISMS管理架構確定ISMS範圍風險評鑑和管理適用性聲明安全政策和支援的關鍵程序發現結果的正式報告對組織解釋階段2稽核階段2 實施稽核n目標證明組織遵守本身的政策、目標和程序。證明ISMS遵照所有ISMS標準或規範文件的要求,而且達成組織的政策目標。測試ISMS的有效性。稽核階段2 實施稽核n主要活動訪問ISMS的所有權人和使用者審查高、中
34、或低風險區域安全目標及標的安全和管理審查系統中核心文件的連結報告發現事項和做出最後是否發證之建議稽核員的類型n第三方稽核員為獨立驗證機構。n第二方稽核員有從屬關係之組織。n第一方稽核員自己的部門、單位。稽核專有名詞解釋n稽核員(Auditor)一個有資格去執行安全稽核的人。n主導稽核員(Lead Auditor)一個被指定管理安全稽核的稽核員。n客戶(Client)被稽核的組織。n被稽核方(Auditee)組織中被稽核的人。主導稽核員的責任n在階段1之前指派n計劃和管理所有的稽核階段n執行階段1的稽核n協助小組及對小組簡報n控制衝突和處理困難的情形n執行和控制所有的小組和被稽核者間的會議n在稽
35、核議題和ISMS上做決定n準時報告稽核的結果n報告所遭遇的阻礙n即時報告重大的不符合事項n具備有效的溝通技巧稽核員的責任n支援小組組長n需有準備的n參與首次和結束會議n完成指派的工作n依照時間表完成稽核和稽核範圍n記錄和支援所有發現n及時向被稽核方通報有關情況n完善地保存所有文件n保守機密n需客觀和合乎道德的n追蹤矯正措施稽核員的角色n独立的和客观的评鉴ISMSn没有偏见和影响nISMS的有效性n实施的程度n稽核的计划和管理n记录和报告发现n所有涉及稽核的当事人必须尊重稽核员的完整性和独立性稽核員的素質n注重實際的n理解複雜的狀況n了解組織裡的交互關係n遵守機密性要求n專業的n獨立的n心胸開闊
36、的n成熟的n具有明智的判斷n具有分析技巧n具洞察力n堅韌的安全稽核的利益n為安全審查時資訊的關鍵來源n展示資深管理階層的承諾n改進人員認知、參與和動機n提供持續改進的機會n改善客戶信心和滿意度n改進運作的表現稽核目標n審查安全系統對BS7799的符合性n審查BS7799的實施程度n審查系統的有效性和適切性,以符合安全政策和目標n鑑別安全漏洞和弱點n提供改進ISMS的機會n符合合約和法規的要求n驗證需求驗證流程n詢問n申請n預評(選擇性的)n文件審查(階段1)n六週為最大的間隔(UKAS)n階段2的正式評鑑n頒發證書n持續評鑑n每三年部份階段1和全部的階段2審查(UKAS)稽核生命週期n稽核的生
37、命週期通常稱為P.E.R.CPlanning 計畫Execution執行Recording紀錄Close out結案稽核計劃考量點有:組織的大小和性質員工數量系統複雜度ISMS的範圍涉及的地點和數目資訊類型 文件或電子的文化語言稽核計劃準備流程:決定目標決定稽核的持續時間和所需資源選擇小組與被稽核者聯絡同意稽核日期起草一份稽核計畫簡報小組準備檢查表鑑別特殊的要求稽核計劃nBS7799稽核應該被計畫和處理,根據風險評鑑的結果和適用性聲明中鑑別的控制措施。n稽核計畫應該要包含主要的控制措施。n每個活動的稽核應該要包括適當的BS7799從屬條款,包括附錄A。n稽核計畫的準備將因企業和公司的不同而有所
38、差異。階段2:稽核計劃n第二階段的稽核計畫應該在第一階段完成時,且在第二階段開始前完成。n計畫必須反映ISMS的範圍。n稽核必須被計畫,以縮小對營運的干擾。n在稽核開始前,特殊的資源應該在計畫中被鑑別。階段2:稽核計劃n由主導稽核員準備n經過客戶同意的n具有可變更的彈性n包括稽核目標和範圍n鑑別目標和範圍內相關人員的責任n鑑別參考用文件n鑑別稽核小組成員n稽核時所用的語言n鑑別應稽核的區域n每個重大稽核活動預期的時間n會議的行程表n機密性要求n稽核報告的分配和發佈時間n解決任何有關稽核計畫問題階段2:稽核計劃可用的資訊n文件審查的結果n安全手冊及程序n管理重點n高風險區域n安全問題n先前的內部
39、審查n服務/產品資訊n稽核員的經驗被稽核方的責任n同意或澄清計劃安排n與所有部門溝通此安排n要求管理階層參加會議n安排相關人員以便接受稽核n要求所有人員全面合作n安排引導人員n為稽核員安排辦公室設施稽核方法n流程稽核方法n部門的稽核方法n公司的位置n遍及組織之“共通”條款的應用n確保適當的時間被分配到各個區域稽核目的n收集客觀證據,以便對資訊安全管理系統的狀態和有效性做出綜合判斷。客觀證據n資訊、紀錄或事實的聲明n也許是定性或定量n一個資訊安全系統要素的存在和實施n基於觀察、測量或測試n能夠被驗證的獲得客觀證據的技巧n面談n觀察n抽樣n審查文件n審查紀錄n總結、分析和評估抽樣n從主要的活動中選
40、出有代表性的樣本。n給予高風險區域優先權。n子控制措施應被選擇。n稽核員必須決定大小和選擇。n抽樣大小應取決於信心是否能被確保。n必須代表活動的稽核。n如果抽樣結果指出無不符合事項,進行下一步。n如抽樣結果指出無不符合事項,並不代表系統中沒有不符合事項。n確認稽核員和被稽核方都了解。n責任在控制全部區域的被稽核方。檢查表的好處n使稽核目標清楚n稽核計畫的證據n保持稽核節奏和連續性n減少稽核員的偏見n減少稽核流程中的工作負荷檢查表的缺點n如果檢查表示以下列形式呈現,則會失去價值。打勾的方式 問卷n將檢查表準備成備忘錄形式。檢查表的準備n將標準條文轉換成問題。n運用這些問題和安全手冊 計畫查看什麼
41、和尋找的證據考慮抽樣大小n準備檢查表稽核檢查表n稽核檢查表的準備。n檢查表是一種確保稽核的深度和持續性的重要輔助工具。n檢查表應能夠代表稽核的區域。n檢查表應被以溝通運作和流程的形式來準備。n檢查表不應有“是”或“否”的答案。應以備忘錄的形式來準備。首次會議 考量點n介紹 紀錄n營造稽核的氣氛n確認稽核的目的和範圍n審查和確認稽核計畫n稽核小組的引導人員分配n稽核方法的溝通n報告方法n確認稽核是基於抽樣方法n保密n結束會議時間n後勤n限制n澄清稽核參加人員n稽核小組稽核小組組長及組員見習稽核員及見習主導稽核員觀察員翻譯員、專家見證人n被稽核方引導人員部門主管及員工觀察員、見習人員顧問執行稽核n
42、進入稽核區域n引導人員介紹n解釋你想要看什麼東西n做必要深度的調查n如果未發現問題,繼續下一步n不要不停地堅持稽核直到發現問題為止和人溝通的技巧n讓被稽核者放輕鬆n訪問簡短的問題n表現正面的態度,包括語氣聲調、肢體語言和臉部表情n微笑和眼神的接觸n避免打斷n避免即席的和高傲的言詞n給予適當的讚美n詢問和聆聽n表示興趣n機智和有禮貌的n顯示耐心和理解力n除掉你的個人問題n記得說謝謝和請n詢問正確的人n當你不理解時不要說你理解稽核的控制n檢查表是僕人而不是主人n如果出現潛在的稽核線索,可決定不予理睬紀錄下來,供以後再稽核立即跟進n可能影響抽樣大小n可能影響稽核計畫n可能影響稽核計畫稽核詢問技巧n稽
43、核面談的品質大都取決於稽核員的詢問技巧。n適當的問題有助於達成稽核目標。n被稽核方應不要因為問題種類而感到威脅。問題種類應使被稽核方感到自在。n問題應針對與被稽核區域相關。稽核問題n開放式 這些問題需要更多的諮詢而非僅”是”或“不是”。n封閉式 這些問題應該誘出示或不是的答案。用來使用總結一連串的問題。n引導式 用來迅速獲得答案。引導被稽核方以得到答案。稽核面談n使用溝通技巧n使用適當的稱呼和語言,如:資深主管、技術人員。n面試技巧的使用n確保有適當的人員可用n表現興趣,隨時保持警覺n顯示你的理解 不時的n肢體語言的注意 正面的溝通n聆聽 試著不要打擾被稽核方n解釋紀錄稽核筆記的方式n隨時表現
44、禮貌n接近稽核面試的完成時,總結發現和謝謝關心。做筆記n紀錄客觀的證據可接受的陳述文件編號及版本版次或文件位階部門被稽核方的名稱做筆記n筆記可用於以下情況時做參考:立即調查以後再調查供同事使用以後稽核n因此筆記必須是:清楚的可事後做為檢索用做筆記n稽核員應該針對稽核的區域中所有適當的資訊做紀錄,包括:訪問的部門看見的人員發現的摘要引用看見的文件,如程序引用看見的紀錄,如備份記錄、軟體授權等。被包含標準條款的引用不符合事項n不符合事項:與BS7799-2/ISO27001:2005的要求相反的情形,某一特定的要求並未被履行。直接與安全政策相關違反資訊管理安全標準違反系統程序或工作指示違反法律上的
45、要求次要(輕微)不符合事項n定義在一個隔離的情形中,有一些適用控制措施的要求方面沒有被滿足,因此產生一些關於對保護敏感資料的機密性、完整性和可用性測量之適當性的質疑。而且表示一個輕微的風險,可能將被組織的利害關係人察覺到,被觀察到的一個單獨或偶發失誤,或隔離的意外事件。次要(輕微)不符合事項的範例n觀察到某人未遵守桌面淨空政策n在某種場合中某些訪客離開大樓時未依規定登記n遺失對於網路存取的正式核可n備份的紀錄未在一天內完成n未鑑別所有權人的資料存在檔案中主要(嚴重)不符合事項n定義失敗的實施或遵守一個或多個BS7799-2適用的控制措施條款,因此產生關於對保護敏感資料的機密性、完整性和可用性測
46、量之適當性的嚴重質疑。而且表示一個無法接受的風險,可能將被組織的利害關係人察覺到。也是指整個系統控制措施或程序的失效。主要(嚴重)不符合事項n缺乏標準的某一個特別的要求,如政策或範圍。n對標準的某一主要要素,沒有相關文件紀錄的程序。n系統、控制措施或程序的完全失效。n極高數量的不符合事項集中在標準中某一要素或是部門。主要(嚴重)不符合事項的範例n沒有安全政策n沒有安全事故管理系統n缺乏營運持續計劃n沒有軟體授權管理n沒有正式的系統來管理和更新ISMS文件確定事實n獲得被稽核方的幫助n討論關心的問題n驗證發現的結果n紀錄所有證據n確定為何是一個不符合或其他問題n證明誰在現場(如果相關的話)最好是
47、註明職位寫一份不符合事項報告n情況使用者註冊程序UR1 01/11/01說明使用者註冊其狀態需被審查和三個月的有效性。沒有證據顯示對於Fred狀態的審查,Fred在第一次的設定後已歷經18個月仍是有效。寫一份不符合事項報告n報告依據ISO27001條款A.11.2.4使用者存取權限審查要求,應定時執行權限審查及依據使用者註冊程序UR1 01/11/01說明使用者註冊其狀態需被審查和3個月的有效性。因Fred在第一次的設定後已歷經18個月仍是有效。紀錄不符合事項n紀錄事實 不要誇大發現n清楚敘述不符合事項是在哪裡發現n清楚敘述發現什麼n為何它是一個不符合事項n誰在那哩,目擊者為誰n使用公司人員所
48、了解的專用術語n簡單扼要、有幫助的考慮嚴重性兩個問題需要被回答n如果不符合事項未被矯而一直持續的錯誤下去,會發生什麼狀況?n其發生狀況的可能性是什麼?稽核n及時向被稽核方報告有關情形為了使稽核有建設性、有幫助和專業:要定期檢討稽核進度和發現消除謠言建立良好的關係n稽核流程中的判斷對於證據不足的情況,必須做出對被稽核方有利的判斷。被稽核方的反應n謀求幫助n不斷挑戰n主動提供資訊n轉移注意力或浪費時間的戰術n內部衝突n權威n敵對情緒每日評審會議n可以在每一天稽核結束或在下一天稽核開始時招開評審會議,一般會議時間1520分鐘,與管理者代表或引導人員一起:評審任何不符合事項解決任何問題報告稽核進度澄清
49、任何誤解對任何不符合事項進行簽字確認稽核小組會議n稽核計畫表中的日程專案n僅限於稽核小組成員出席n由稽核小組組長主持n計畫結束會議n稽核小組組長準備總結報告n評審系統的有效性n稽核小組填寫不符合事項報告n稽核小組評審不符合事項報告稽核結論n作出結論(正面或負面的)和準備稽核報告,根據下列事項:全部的稽核主要或次要不符合事項系統文件系統實施系統有效性部門的長處和弱點要素的長處和弱點稽核結論和建議n資訊安全管理系統是否有效n系統有無任何失效n有無對任何特別區域需注意的事n管理階層們是否承諾持續改進稽核建議n建議註冊 沒有發現不符合區域。n建議 當收到可接受的矯正措施的計畫。n部分的再稽核 主要不符
50、合事項在某一區域找到,但系統的其它部分仍有效的運作。n全部再次稽核 ISMS中不只一個區域發現重大缺失。稽核小組須對某一階段再重新稽核一次。稽核報告n報告最少應包括下列資訊:稽核發現的摘要稽核的區域BS7799-2/ISO27001:2005的稽核條款不符合事項報告相關的觀察事項被稽核方的工作頭銜或被稽核部門的名稱(不要記錄姓名)稽核報告n用清楚的方式記錄不符合事項,讓被稽核方能了解和解讀。n確保所有的不符合事項報告是有事實根據的。n紀錄觀察事項。這些是具正面的特質,但是通常反應可能發生的潛在不符合事項狀況。n稽核報告應易讀的。結束會議n稽核小組組長準備和運作一個議程和控制會議出席者感謝目標/
