ISO27001主任審核員教材.ppt

1、ISO27001:2005信息安全管理系統(tǒng)-主導(dǎo)稽核員教材,課程大綱,ISO27001:2005法規(guī)說明 附錄A控制措施簡介 資產(chǎn)評估 風(fēng)險評鑒 風(fēng)險處理 適用性聲明書 稽核,ISO27001:2005法規(guī)說明,ISO27001:2005法規(guī)說明,BS7799：分為BS7799-1和BS7799-2兩部份 BS7799-1:2005 / ISO17799:2005主要是做為參考文件，提供廣泛性的安全控制措施，作為現(xiàn)行信息安全之最佳作業(yè)方法，其中包含11個控制措施章節(jié)，但不作為評鑒與驗證標(biāo)準(zhǔn)。 BS7799-2:2005 / ISO27001:2005系根據(jù)BS7799-1，提供信息安全管理系統(tǒng)

2、(ISMS)之建立實施與書面化之具體要求，依據(jù)個別組織的需求，規(guī)定要實施之安全控制措施的要求。,ISO27001:2005法規(guī)說明,BS7799-1:2005 / ISO17799:2005 信息安全管理作業(yè)要點 用意是做為參考文件 提供廣泛性的安全控制措施 現(xiàn)行信息安全之最佳作業(yè)方法 包含11個控制章節(jié) 無法作為評鑒與驗證,ISO27001:2005法規(guī)說明,BS7799-2:2005 / ISO27001:2005 信息安全管理系統(tǒng)要求 根據(jù)BS7799-1:2005 ISMS之建立實施與文件化之具體要求 依據(jù)個別組織的需求，規(guī)定要實施之安全控制措施的要求。,ISO27001:2005法規(guī)

3、說明,信息是一種資產(chǎn)，就像其它重要的企業(yè)資產(chǎn)依樣，對組織具有價值，因此需要受到適當(dāng)?shù)谋Ｗo(hù)。,ISO27001:2005法規(guī)說明,信息的類型 書寫或打印于紙上 儲存在電子媒體上 以郵寄或電子儲存媒體傳輸 顯示于企業(yè)影片上 言語-在對話中提出 不管信息的形式是什么，或者共享或儲存的方式是什么，都應(yīng)該受到適當(dāng)?shù)谋Ｗo(hù)。,ISO27001:2005法規(guī)說明,信息安全 保護(hù)信息的機(jī)密性、完整性與可用性；另外，亦可包含如可鑒別性(真實性)、可歸責(zé)性、不可否認(rèn)性及可靠性等特性。,ISO27001:2005法規(guī)說明,機(jī)密性(Confidentiality) 信息不可被未經(jīng)授權(quán)之個人、實體、流程所取得或揭露之特性

4、。 完整性(Integrity) 保護(hù)資產(chǎn)準(zhǔn)確性和完整性之特性。 可用性(Avaliability) 基于需要可由授權(quán)者存取及使用之特性。,ISO27001:2005法規(guī)說明,關(guān)鍵的成功因素(Critical success factors)經(jīng)驗顯示，組織的信息安全能否成功實施，下列常為關(guān)鍵因素： 能反映營運目標(biāo)的信息安全政策、目標(biāo)及活動。 與組織文化一致之實施、維護(hù)、監(jiān)控、及改進(jìn)信息安全的方法與框架。 來自所有管理階層的實際支持和承諾。 對信息安全要求、風(fēng)險評鑒以及風(fēng)險管理的深入了解。 向全體管理人員、受雇人員、及相關(guān)人員有效推廣信息安全以達(dá)到認(rèn)知。 資助信息安全管理活動。 提供適切的認(rèn)知、

5、訓(xùn)練及教育。 制定有效的信息安全事故管理過程。 實施個用于評估ISMS的績效及改進(jìn)的回饋建議之量測系統(tǒng)。,ISO27001:2005法規(guī)說明,4. Information security management system,4.1 一般要求組織應(yīng)在整體業(yè)務(wù)活動與所面臨風(fēng)險下建立、實施、操作、監(jiān)控、審查、維護(hù)及改進(jìn)一文件化ISMS，為本國際標(biāo)準(zhǔn)之目的，所採用之過程以下圖所示之PDCA模式為基礎(chǔ)。,4.Information security management system,4.2 資訊安全管理系統(tǒng)之建立及管理,4.2.1 建立資訊安全管理系統(tǒng)組織應(yīng)： 依據(jù)業(yè)務(wù)、組織、所在位置、資產(chǎn)及技術(shù)等

6、特性，定義資訊安全管理系統(tǒng)之範(fàn)圍及界限，並包括任何自範(fàn)圍排除之細(xì)節(jié)及理由。 依據(jù)業(yè)務(wù)、組織、所在位置、資產(chǎn)及技術(shù)等特性，定義資訊安全管理系統(tǒng)之政策，且： 包含設(shè)定目標(biāo)之框架，並建立有關(guān)資訊安全之整體方向亦是與行動原則。 考慮企業(yè)及法律或法規(guī)要求，以及合約性的安全責(zé)任。 與組織策略性之風(fēng)險管理內(nèi)容配合，使ISMS得以建立及維持。 建立評估風(fēng)險之標(biāo)準(zhǔn)，及被管理階層核準(zhǔn)。,4.2 資訊安全管理系統(tǒng)之建立及管理,定義組織之風(fēng)險評鑑辦法 鑑別一風(fēng)險評鑑方法論，並適合其ISMS、已鑑別之企業(yè)資訊安全、以及法律與法規(guī)要求。 發(fā)展可接受風(fēng)險之標(biāo)準(zhǔn)以及鑑別風(fēng)險至可接受的程度。所選擇之風(fēng)險評鑑方法論應(yīng)確保產(chǎn)出可比

7、較及可重複之結(jié)果。 鑑別各項風(fēng)險 鑑別ISMS控制範(fàn)圍內(nèi)之資產(chǎn)以及該資產(chǎn)之擁有者(owner)。擁有者(owner)一詞係指已核準(zhǔn)資產(chǎn)管理責(zé)任之個人或?qū)嶓w，針對資產(chǎn)之生產(chǎn)、開發(fā)、維護(hù)、使用及安全之管制。擁有者(owner)一詞並不是指實際具有資產(chǎn)產(chǎn)權(quán)之人員。,4.2 資訊安全管理系統(tǒng)之建立及管理,分析及評估各項風(fēng)險 鑑別並評估風(fēng)險處理之選項方法 選擇控制目標(biāo)及控制措施以處理風(fēng)險： 應(yīng)選擇並實施控制目標(biāo)與控制措施，以符合風(fēng)險評鑑與風(fēng)險處理過程所鑑別之要求。 控制目標(biāo)與控制措施應(yīng)於本標(biāo)準(zhǔn)之附錄A中加以選擇，為此過程的一部份並適當(dāng)滿足所鑑別之要求。,4.2 資訊安全管理系統(tǒng)之建立及管理,所提出之殘餘

8、風(fēng)險須取得管理階層之核準(zhǔn) ISMS亦須獲得授權(quán)才能實施與操作 擬訂一份適用性聲明書，須包括下列： 於4.2.1節(jié)所選擇之管制目標(biāo)與控制措施，其選擇之理由。 現(xiàn)行已實施之控制目標(biāo)與控制措施。 附錄A中任何排除之控制目標(biāo)與控制措施，及其排除之正當(dāng)理由。,4.2 資訊安全管理系統(tǒng)之建立及管理,4.2.2 資訊安全管理系統(tǒng)之實施與操作組織應(yīng) 有系統(tǒng)的陳述一項風(fēng)險處理計畫以鑑別適當(dāng)管理措施、資源、權(quán)責(zé)及優(yōu)先順序，以便管理資訊安全風(fēng)險。 實施風(fēng)險處理計畫，以達(dá)到所鑑別的安全目標(biāo)，計畫內(nèi)容包括投資的考慮以及角色與責(zé)任的分派。 實施4.2.1所選之控制措施以符合管制目標(biāo)。 定義如何測量所選擇控制措施或控制措施

9、群組織有效，及具體說明如何使用這些測量來評估控制措施之有效性，並產(chǎn)出可比較即可再現(xiàn)的結(jié)果。 實施訓(xùn)練與認(rèn)知計畫。 管理ISMS作業(yè)。 管理ISMS資源。 實施能即時偵知安全事故，並予以回應(yīng)安全事件處理之作業(yè)程序及其他控制措施。,4.2 資訊安全管理系統(tǒng)之建立及管理,4.2.3 資訊安全管理系統(tǒng)之監(jiān)控及審查 執(zhí)行監(jiān)控與審查程序及其他控制措施，以便： 立即偵知系統(tǒng)處理結(jié)果之錯誤。 立即鑑別企圖及已成功之安全破壞及事故。 促使管理階層決定是否委託他人或藉由資訊技術(shù)之實施均已如預(yù)期般實行。 使用指標(biāo)幫助偵測安全事件並防止安全事故。 決定所採取解決安全漏洞之措施是否有效。 定期審查ISMS之有效性(包含

10、符合ISMS政策、目標(biāo)及控制措施之審查)，並考慮來自安全稽核、事件、來自有效性量測之結(jié)果、股東及利害關(guān)係團(tuán)體之建議及回饋之結(jié)果。 測量控制措施有效性，以確認(rèn)符合安全要求。,4.2 資訊安全管理系統(tǒng)之建立及管理,在規(guī)劃期間審查風(fēng)險評鑑及審查殘餘風(fēng)險，與鑑別之可接受風(fēng)險等級，並考慮下列之變數(shù)： 組織 技術(shù) 企業(yè)目標(biāo)及過程 已鑑別之威脅 控制措施實施有效性 外部事件，例如法律或法規(guī)環(huán)境之變化、合約責(zé)任之變化，以及社會環(huán)境之變化。 在規(guī)劃期間執(zhí)行內(nèi)部ISMS稽核內(nèi)部ISMS稽核有時稱為第一方稽核，是由組織自己或其代表基於內(nèi)部目的所實施。,4.2 資訊安全管理系統(tǒng)之建立及管理,定期執(zhí)行ISMS管理階層審

11、查，以確保範(fàn)圍保持適當(dāng)，及ISMS過程之各項改進(jìn)均已鑑別。 考量監(jiān)控與審查活動之發(fā)現(xiàn)，更新安全計畫。 紀(jì)錄對ISMS之有效性或績效有衝擊之活動與事件。,4.2 資訊安全管理系統(tǒng)之建立及管理,4.2.4 維持及改進(jìn)資訊安全管理系統(tǒng)組織應(yīng)定期進(jìn)行下述： 實施ISMS所鑑定之改進(jìn)活動。 依據(jù)第8.2及8.3節(jié)採取適當(dāng)矯正及預(yù)防措施。採用從其他組織及本身之安全經(jīng)驗吸取教訓(xùn)。 以適切於情況的詳盡程度與所有利害相關(guān)團(tuán)體就各項措施及改進(jìn)活動進(jìn)行溝通，並在適當(dāng)時取得進(jìn)行方式的同意。 確保各項改進(jìn)措施達(dá)到預(yù)期目標(biāo)。,4.3 文件要求,4.3.1 一般要求文件應(yīng)包括管理決策紀(jì)錄，確保相關(guān)活動可追溯至管理決策與政策

12、，並確保所紀(jì)錄之結(jié)果是可再現(xiàn)的。重要的是能夠證明所選擇之控制措施回溯至風(fēng)險評鑑與風(fēng)險處理過程結(jié)果，及回溯至ISMS政策及目標(biāo)之關(guān)聯(lián)性。資訊安全管理系統(tǒng)文件應(yīng)包含： ISMS政策與安全目標(biāo)之書面聲明 資訊安全管理系統(tǒng)之範(fàn)圍 支援ISMS之相關(guān)程序書及控制措施 風(fēng)險評鑑方法論之說明書 風(fēng)險處理計畫,4.3 文件要求,組織為確保有效規(guī)畫、操作與控制資訊安全過程，及說明如何量測控制措施有效所需之書面程序。 本國際標(biāo)準(zhǔn)要求之各紀(jì)錄。 適用性聲明書。 所有文件應(yīng)依據(jù)ISMS之政策要求隨時可供取用。,4.3 文件要求,ISMS文件的廣度，其範(fàn)圍和細(xì)節(jié)取決於： 產(chǎn)品和流程的複雜性 顧客和法規(guī)的要求 工業(yè)標(biāo)準(zhǔn)和

13、規(guī)範(fàn) 教育、經(jīng)驗和訓(xùn)練 勞動力的穩(wěn)定性 過去發(fā)生的安全問題,4.3 文件要求,Level 1安全政策手冊為管理架構(gòu)的摘要，其中包括了資訊安全政策和控制措施目標(biāo)，以及適用性聲明書中所提及已實施的控制措施。 Level 2程序程序用來實施所要求的控制措施，描述who、what 、when 、where等安全流程和不同部門間的控制措施。,4.3 文件要求,Level 3工作指導(dǎo)書、檢查清單、表格等解釋特殊工作和活動的細(xì)節(jié)，以及如何完成特定的工作。包括詳細(xì)的工作指導(dǎo)書、表單、流程圖、服務(wù)標(biāo)準(zhǔn)和系統(tǒng)手冊等。 Level 4紀(jì)錄紀(jì)錄活動實行以符合等級1、2和3文件要求的客觀證據(jù)?？赡苁菑?qiáng)制性的隱含在每個B

14、S7799條款中。例如：機(jī)房訪客登記簿、稽核記錄和存取授權(quán)等。,4.3 文件要求,4.3.2 文件管制ISMS所需之文件應(yīng)受保護(hù)和管制。應(yīng)建立文件化程序，以界定所需之管理措施，用以： 在文件發(fā)行前核準(zhǔn)其適切性。 必要時，審查和更新並重新核準(zhǔn)文件。 確保文件之變更與最新改訂狀況已予以識別。 確保在使用場所備有相關(guān)適用版次文件。 確保文件保持易於閱讀並容易識別。 確保有需要之人員均有文件可用，且依照其適用之傳遞、儲存及最終處理予以分類。 確保外來原始文件已加以識別。 確保文件分發(fā)已管制。 防止失效文件被誤用。 過期文件為任何目的需保留時，應(yīng)予以適當(dāng)識別。,4.3 文件要求,4.3.3 紀(jì)錄管制 為

15、提供ISMS符合要求及有效運作之證據(jù)，所建立並維持之紀(jì)錄，應(yīng)予以保護(hù)級管制。ISMS應(yīng)將相關(guān)法律或法規(guī)要求及合約責(zé)任列入考量。 紀(jì)錄應(yīng)清晰易讀，容易檢索及識別。為了紀(jì)錄之鑑別、儲存、保護(hù)、檢索、保存期限及報廢，應(yīng)建立文件化程序，以界定所需之管制。所需之紀(jì)錄及其範(fàn)圍應(yīng)由管理過程加以決定。 紀(jì)錄應(yīng)加以保存，如4.2節(jié)所述各項過程之績效，以及所有與ISMS有關(guān)之重大安全事故紀(jì)錄。,5.管理階層責(zé)任,5.1 管理階層承諾管理階層應(yīng)藉由下列各項，對ISMS之建立、實施、操作、監(jiān)控、審查、維護(hù)與改進(jìn)之承諾提供證據(jù)： 建立一份ISMS政策。 確保建立各項ISMS目標(biāo)及計畫。 為資訊安全建立角色與權(quán)責(zé)。 向全

16、組織傳達(dá)符合資訊安全目標(biāo)、遵守資訊安全政策、在法律下要求之權(quán)責(zé)，以及持續(xù)改進(jìn)之需求。 提供充分資源以建立、實施、操作、監(jiān)控、審查、維護(hù)與改進(jìn)ISMS。 決定可接風(fēng)險之標(biāo)準(zhǔn)，以及可接受風(fēng)險之等級。 確保實施內(nèi)部ISMS稽核。 執(zhí)行ISMS之管理階層審查。,5.2 資源管理,5.2.1 資源提供組織應(yīng)決定並提供下列工作必要之資源： 建立、實施、操作、監(jiān)控、審查、維護(hù)與改進(jìn)ISMS。 確保資訊安全程序足以支持企業(yè)的需求。 藉由修改所有實行的控制措施，來維持適當(dāng)?shù)陌踩?5.2.2 訓(xùn)練、認(rèn)知及能力組織應(yīng)確保在ISMS中規(guī)定有責(zé)任之所有員工，有能力藉由下述執(zhí)行所要求的工作，包括： 決定執(zhí)行影響ISMS

17、工作之人員其所需之能力。 提供訓(xùn)練或採取其他措施(如：僱用具備能力之人員)，以滿足該需求。 評估所提供訓(xùn)練及所採取措施之有效性。 維持教育、訓(xùn)練、技巧、經(jīng)驗及資格之紀(jì)錄。 組織亦應(yīng)確保所有相關(guān)人員已認(rèn)知其所從事的資訊安全活動之相關(guān)性及重要性，以及他們?nèi)绾螌SMS之目標(biāo)達(dá)成有所貢獻(xiàn)。,6. 內(nèi)部ISMS稽核,組織應(yīng)定期進(jìn)行內(nèi)部ISMS稽核已決定其控制措施目標(biāo)、過程及程序是否： 符合本標(biāo)準(zhǔn)及相關(guān)法律或管理的要求 符合所識別的資訊安全要求 有效的實作與維護(hù) 如預(yù)期的執(zhí)行 稽核計畫應(yīng)事先規(guī)劃，考慮稽核的過程與區(qū)域之狀況及重要性，以及先前稽核的結(jié)果?；藴?zhǔn)則、範(fàn)圍、頻率及方法應(yīng)予以界定。稽核人員的選擇

18、與稽核的執(zhí)行應(yīng)確保稽核過程的客觀及公平。另外，稽核人員不應(yīng)稽核其本身的工作。,6. 內(nèi)部ISMS稽核,規(guī)劃與執(zhí)行稽核，及報告結(jié)果與維持紀(jì)錄之責(zé)任與要求。應(yīng)以書面程序予以界定。 被稽核區(qū)域管理階層之責(zé)任，應(yīng)確保採行措施沒有不當(dāng)之延誤，以消除所發(fā)現(xiàn)之不符合與其原因。跟催活動應(yīng)包括所採行措施之查證，與查證結(jié)果之報告。,7. ISMS之管理階層審查,7.1 概述管理階層應(yīng)在規(guī)劃期間內(nèi)(至少一年一次)，審查組織的ISMS，以確保其持續(xù)的適用性、適切性及有效性。審查應(yīng)包含改進(jìn)時機(jī)之評估，以及ISMS變更之需求，含資訊安全政策與資訊安全目標(biāo)。審查結(jié)果應(yīng)予以清楚的文件化，紀(jì)錄應(yīng)予以維持。,7. ISMS之管理

19、階層審查,7.2 審查輸入管理階層審查輸入應(yīng)包括下列資訊： ISMS稽核與審查之結(jié)果。 來自利害相關(guān)團(tuán)體之回饋。 可用以改進(jìn)組織ISMS績效及有效性之技術(shù)、產(chǎn)品或程序。 預(yù)防與矯正措施之狀況。 先前風(fēng)險評鑑未適切提出之脆弱性或威脅。 來自有效性量測之結(jié)果。 先前管理階層審查之跟催措施。 可能影響ISMS之任何變更。 改進(jìn)之建議。,7. ISMS之管理階層審查,7.3 審查輸出管理階層審查之輸出應(yīng)包括下列有關(guān)之任何決定與措施： ISMS有效性之改進(jìn)。 更新風(fēng)險評鑑及風(fēng)險處理計畫。 未因應(yīng)可能影響ISMS之內(nèi)部或外部事件，必要時將影響資訊安全之程序及控制措施予以修訂，包括 營運需求 安全需求 影響

20、既有營運需求之營運過程 法令或法規(guī)要求 合約責(zé)任 風(fēng)險等級風(fēng)險可接受程度之標(biāo)準(zhǔn) 資源需求。 測量控制措施有效性之改進(jìn)。,8. ISMS之改進(jìn),8.1 持續(xù)的改進(jìn) 尋求持續(xù)的改進(jìn) 透過下列改進(jìn)ISMS的有效性 安全政策 安全目標(biāo) 安全審查的結(jié)果 安全稽核 矯正措施 預(yù)防措施 管理審查,8. ISMS之改進(jìn),8.2 矯正措施 應(yīng)該採取措施以消除不合格的原因，避免復(fù)發(fā)。 在ISMS內(nèi)的書面程序應(yīng)該定義： 鑑別不符合事項 確定原因 評估避免復(fù)發(fā)所需的活動 確定和實施矯正措施 紀(jì)錄結(jié)果 審查行動的有效性,8. ISMS之改進(jìn),8.3 預(yù)防措施為防止不符合事項發(fā)生，組織應(yīng)決定措施，消除ISMS要求之潛在不

21、符合事項之原因，以防止其發(fā)生。所採取之預(yù)防措施應(yīng)與潛在問題之影響相稱。預(yù)防措施之文件化程序應(yīng)訂出以下要求： 鑑別潛在的不符合與其原因。 評估採取預(yù)防發(fā)生不符合措施的需求。 決定並實施所需之措施。 紀(jì)錄所採取措施之結(jié)果。 審查所採用之預(yù)防措施。 組織應(yīng)鑑別已變化之風(fēng)險及鑑別預(yù)防措施要求之焦點放在顯著變化之風(fēng)險上。 預(yù)防措施之優(yōu)先順序應(yīng)依據(jù)風(fēng)險評鑑之結(jié)果加以決定。,課程大綱,ISO27001:2005法規(guī)說明 附錄A控制措施簡介 資產(chǎn)評估 風(fēng)險評鑑 風(fēng)險處理 適用性聲明書 稽核,ISO27001:2005(BS7799-2:2005) 控制措施,ISO27001:2005(BS7799-2:200

22、5) 控制措施,ISO27001:2005(BS7799-2:2005) 控制措施,ISO27001:2005(BS7799-2:2005) 控制措施,ISO27001:2005(BS7799-2:2005) 控制措施,ISO27001:2005(BS7799-2:2005) 控制措施,ISO27001:2005(BS7799-2:2005) 控制措施,ISO27001:2005(BS7799-2:2005) 控制措施,ISO27001:2005(BS7799-2:2005) 控制措施,ISO27001:2005(BS7799-2:2005) 控制措施,ISO27001:2005(BS7799

23、-2:2005) 控制措施,ISO27001:2005(BS7799-2:2005) 控制措施,ISO27001:2005(BS7799-2:2005) 控制措施,ISO27001:2005(BS7799-2:2005) 控制措施,ISO27001:2005(BS7799-2:2005) 控制措施,ISO27001:2005(BS7799-2:2005) 控制措施,ISO27001:2005(BS7799-2:2005) 控制措施,不是所有的控制措施都與每種情況相關(guān)，也無法考量到所有的當(dāng)?shù)丨h(huán)境或技術(shù)限制，或以適合組織內(nèi)每位潛在使用者形式呈現(xiàn)。,課程大綱,ISO27001:2005法規(guī)說明 附錄

24、A控制措施簡介 資產(chǎn)評估 風(fēng)險評鑑 風(fēng)險處理 適用性聲明書 稽核,資產(chǎn)評估,BS7799要求所有資產(chǎn)的詳細(xì)清冊應(yīng)被制定和維護(hù)，以及這些資產(chǎn)的可歸責(zé)應(yīng)被定義。,資產(chǎn)評估,何謂資產(chǎn)？資產(chǎn)就是對組織有價值的任何事物。是組織直接賦予價值且需要被保護(hù)的。必須是相關(guān)於ISMS的範(fàn)圍。,資產(chǎn)評估,ISMS資產(chǎn)分類可分為： 資訊資產(chǎn) 如資料檔案、使用手冊等。 書面文件 如合約書、指南等。 軟體資產(chǎn) 如應(yīng)用程式、系統(tǒng)軟體等。 實體資產(chǎn) 如電腦、磁碟片等。 人員 員工 公司形象與聲望 服務(wù) 如通訊、技術(shù)等。,資產(chǎn)評估,資產(chǎn)價值和潛在衝擊 組織已經(jīng)鑑別其資訊資產(chǎn)的價值嗎？ 決定每個資產(chǎn)價值是決定一個有效率安全政策的

25、第一步。 是什麼樣的系統(tǒng)？14或是低到非常高 這是風(fēng)險評鑑過程中極為重要的部份。,資產(chǎn)評估,資產(chǎn)價值 對於BS7799:2005/ISO27001:2005來說，資產(chǎn)並不一定包括組織內(nèi)一般視為有價值的所有事物。 組織必須自行決定哪些資產(chǎn)的缺乏或降級可能實際影響產(chǎn)品或服務(wù)的交付。,課程大綱,ISO27001:2005法規(guī)說明 附錄A控制措施簡介 資產(chǎn)評估 風(fēng)險評鑑 風(fēng)險處理 適用性聲明書 稽核,風(fēng)險評鑑,安全風(fēng)險安全風(fēng)險是指特定威脅利用脆弱性，造成資產(chǎn)或資訊資產(chǎn)損失或損毀的潛在可能。 BS7799的實施和驗證是基於正式風(fēng)險評鑑的結(jié)果。 評鑑風(fēng)險資訊保護(hù)是基於防範(fàn)營運資訊之風(fēng)險，此為本國際標(biāo)準(zhǔn)的基

26、礎(chǔ)，使組織能夠採取適當(dāng)?shù)陌踩刂拼胧Ｈ舭踩刂拼胧┨?，則營運資訊會暴露在各種風(fēng)險當(dāng)中；若太多則會導(dǎo)致企業(yè)負(fù)擔(dān)過多的成本。,風(fēng)險評鑑,組織必須定義(並製成文件)其風(fēng)險評鑑的方法。4.2.1 C 這也表示選擇與文件化之風(fēng)險評鑑方法論，可使風(fēng)險評鑑產(chǎn)生可比較與可重複(再現(xiàn))的結(jié)果。4.2.1C和4.2.3 D 現(xiàn)在風(fēng)險評鑑規(guī)定必須有計畫地定期進(jìn)行審查，並且讓管理階層審查更新的風(fēng)險評鑑與風(fēng)險處理計畫。7.3 B 此活動必須至少一年執(zhí)行一次，是ISMS管理審查的一部份。7.1,風(fēng)險評鑑,在稽核的過程中，稽核員會注意所選用之控制措施予風(fēng)險處理過程之間的關(guān)係，這些控制措施需溯及風(fēng)險評鑑的結(jié)果，並溯及IS

27、MS的政策與目標(biāo)。,風(fēng)險評鑑,風(fēng)險評鑑過程 鑑別資產(chǎn)和指派資產(chǎn)價值。 鑑別資產(chǎn)的相關(guān)威脅和評鑑它們的可能性。 鑑別脆弱性和評鑑它們可能如何被利用。 鑑別如何藉由控制措施的實施以提供保護(hù)。 評鑑上述之全面的風(fēng)險結(jié)果。,風(fēng)險評鑑,威脅 宣告意圖造成損害、痛苦或不幸。 可能造成一個有害的事件，且這事件可能對系統(tǒng)、組織和資產(chǎn)造成傷害。 蓄意的或是意外的，人為的或是天災(zāi)的。 資產(chǎn)容易受到許多威脅，這些威脅來自於利用脆弱性。,風(fēng)險評鑑,威脅 天災(zāi) 洪水、暴風(fēng)、地震和閃電等。 人為 人員短缺、錯誤維護(hù)、使用者操作錯誤等。 科技的 網(wǎng)路故障、流量超過負(fù)荷、硬體故障等。 蓄意的威脅 意外的威脅 威脅頻率,風(fēng)險評

28、鑑,脆弱性 脆弱性是組織資訊安全的漏洞或弱點。 脆弱性本身並不會造成傷害，而是可能允許威脅影響資產(chǎn)的一種或多種情況。 脆弱性如果沒有適當(dāng)管理，將促使威脅形成。,風(fēng)險評鑑,脆弱性 關(guān)鍵人員的缺席 不穩(wěn)定的動力 未保護(hù)的電纜線 安全意識的缺乏 密碼權(quán)限的錯誤分配 安全訓(xùn)練的不足 未安裝防火牆 未鎖的門,風(fēng)險評鑑,風(fēng)險評鑑的工具和方法 Q:BS7799建議什麼工具？ A:風(fēng)險評鑑應(yīng)該鑑別對組織資產(chǎn)的威脅、脆弱性和衝擊，而且應(yīng)該決定風(fēng)險程度。,課程大綱,ISO27001:2005法規(guī)說明 附錄A控制措施簡介 資產(chǎn)評估 風(fēng)險評鑑 風(fēng)險處理 適用性聲明書 稽核,風(fēng)險處理,風(fēng)險處理計畫風(fēng)險處理計畫是定義行動

29、以降低無法接受的風(fēng)險，和實施所需的控制措施以保護(hù)資訊的一種合作文件。,風(fēng)險處理,風(fēng)險處理方向 避免風(fēng)險 降低風(fēng)險到可接受程度 轉(zhuǎn)移風(fēng)險 接受剩餘的風(fēng)險,風(fēng)險處理,可接受風(fēng)險的等級 要達(dá)到完全的風(fēng)險是不可能的。 總是有剩餘的風(fēng)險。 什麼樣程度的剩餘風(fēng)險能為組織所接受？,風(fēng)險處理,需考量的因素有： 地點 已存在的安全 攻擊者的數(shù)量 可用的設(shè)施 累積的機(jī)會 宣傳層次 營運持續(xù)計劃,風(fēng)險處理,風(fēng)險處理的步驟 定義一個可接受的殘餘風(fēng)險等級。 持續(xù)的審查威脅和脆弱性。 對已存在之安全控制措施的審查。 應(yīng)用其它安全控制措施，如BS7799。 導(dǎo)入政策和程序。,風(fēng)險處理,控制措施的選擇 風(fēng)險 要求的保證程度(

30、即強(qiáng)度) 成本 實施的容易性 服務(wù) 法律和法規(guī)的要求 客戶和其它的合約要求,風(fēng)險處理,成本 預(yù)算限制。 用控制措施的成本是否會超過資產(chǎn)本身的價值？ 也許必須選擇”最佳價值”範(fàn)圍內(nèi)的控制措施。,風(fēng)險處理,實施的容易性 環(huán)境是否支援控制措施？ 控制措施需要多久才有辦法開始實施？ 控制措施是否立即可用的？,風(fēng)險處理,服務(wù) 可獲得的技術(shù)是否能夠管理控制措施？ 是否能夠立即的升級？ 設(shè)備是否有當(dāng)?shù)毓こ處熁騾f(xié)力廠商的支援？,風(fēng)險處理,客戶和其它合約的要求 安全篩選 受限制的存取 實體的安全邊界 資料儲存 加密 數(shù)位簽章,風(fēng)險處理,最佳作業(yè)的控制措施 資訊安全政策文件 資訊安全責(zé)任的分配 資訊安全教育和訓(xùn)練

31、 應(yīng)用系統(tǒng)的正確處理 技術(shù)脆弱點管理 營運持續(xù)管理 管理資訊安全事故和改善,風(fēng)險處理,測量控制措施的有效性 與4.2.2連接，用以監(jiān)控ISMS的有效性。 在規(guī)劃期間審查風(fēng)險評鑑及審查剩餘風(fēng)險與鑑別之可接受風(fēng)險等級，以考慮控制措施實施有效性之變化。 幫助監(jiān)控已實施控制措施的效果。,風(fēng)險處理,風(fēng)險評鑑過程 資產(chǎn)鑑別與價值評估 威脅的鑑別 脆弱性的鑑別 衝擊的評估 營運風(fēng)險 風(fēng)險的分級 風(fēng)險管理過程 現(xiàn)有的安全控制措施審查 新安全控制措施的鑑別 政策與程序 實施與風(fēng)險降低 風(fēng)險可接受度(殘餘風(fēng)險),課程大綱,ISO27001:2005法規(guī)說明 附錄A控制措施簡介 資產(chǎn)評估 風(fēng)險評鑑 風(fēng)險處理 適用性

32、聲明 稽核,適用性聲明,是組織選擇適合其企業(yè)營運需求的目標(biāo)與控制措施評論。 聲明也將記錄任何控制措施的排除。 聲明是展示組織如何控制風(fēng)險的文件，應(yīng)該沒有太多的細(xì)節(jié)能夠讓想要破壞安全的人取得寶貴的資訊。 它可能會被潛在的商業(yè)夥伴所要求持有的獨立文件，或是成為驗證機(jī)構(gòu)所頒發(fā)證書的附加資訊，因此它有可能會是公開的資訊。,適用性聲明,適合其企業(yè)需求的目標(biāo)與控制措施評論。 證明哪些控制措施是相關(guān)的 紀(jì)錄哪些不相關(guān)的控制措施 風(fēng)險評鑑將決定哪一些控制措施應(yīng)該被實施 是完整文件審查的一部份 將幫助決定最後評鑑階段的稽核計畫,適用性聲明,如果要求未被實施，為什麼？ 風(fēng)險因未暴露而未被確認(rèn) 預(yù)算、財務(wù)限制 環(huán)境

33、影響防護(hù)措施，如氣候、空間等。 技術(shù)，有些措施是技術(shù)上不可行的。 文化、社會限制 時間，有些要求無法現(xiàn)在實施。 其它,課程大綱,ISO27001:2005法規(guī)說明 附錄A控制措施簡介 資產(chǎn)評估 風(fēng)險評鑑 風(fēng)險處理 適用性聲明 稽核,稽核,至少需執(zhí)行兩個階段而且都須見別隊BS7799-2和ISO27001:2005的符合性。 稽核階段1 文件審查審查ISMS核心要素。 稽核階段2 實施稽核在現(xiàn)場進(jìn)行，對政策、程序、和目標(biāo)的有效性進(jìn)行審查。,稽核階段1 文件審查,目標(biāo)為稽核計畫(階段2)提供重點，藉此了解組織安全政策和目標(biāo)中ISMS的背景脈絡(luò)，尤其是為了稽核所做的準(zhǔn)備聲明。,稽核階段1 文件審查,

34、主要活動 審查ISMS管理架構(gòu) 確定ISMS範(fàn)圍 風(fēng)險評鑑和管理 適用性聲明 安全政策和支援的關(guān)鍵程序 發(fā)現(xiàn)結(jié)果的正式報告 對組織解釋階段2,稽核階段2 實施稽核,目標(biāo) 證明組織遵守本身的政策、目標(biāo)和程序。 證明ISMS遵照所有ISMS標(biāo)準(zhǔn)或規(guī)範(fàn)文件的要求，而且達(dá)成組織的政策目標(biāo)。 測試ISMS的有效性。,稽核階段2 實施稽核,主要活動 訪問ISMS的所有權(quán)人和使用者 審查高、中或低風(fēng)險區(qū)域 安全目標(biāo)及標(biāo)的 安全和管理審查 系統(tǒng)中核心文件的連結(jié) 報告發(fā)現(xiàn)事項和做出最後是否發(fā)證之建議,稽核員的類型,第三方稽核員為獨立驗證機(jī)構(gòu)。 第二方稽核員有從屬關(guān)係之組織。 第一方稽核員自己的部門、單位。,稽核

35、專有名詞解釋,稽核員(Auditor)一個有資格去執(zhí)行安全稽核的人。 主導(dǎo)稽核員(Lead Auditor)一個被指定管理安全稽核的稽核員。 客戶(Client)被稽核的組織。 被稽核方(Auditee)組織中被稽核的人。,主導(dǎo)稽核員的責(zé)任,在階段1之前指派 計劃和管理所有的稽核階段 執(zhí)行階段1的稽核 協(xié)助小組及對小組簡報 控制衝突和處理困難的情形 執(zhí)行和控制所有的小組和被稽核者間的會議 在稽核議題和ISMS上做決定 準(zhǔn)時報告稽核的結(jié)果 報告所遭遇的阻礙 即時報告重大的不符合事項 具備有效的溝通技巧,稽核員的責(zé)任,支援小組組長 需有準(zhǔn)備的 參與首次和結(jié)束會議 完成指派的工作 依照時間表完成稽核

36、和稽核範(fàn)圍 記錄和支援所有發(fā)現(xiàn) 及時向被稽核方通報有關(guān)情況 完善地保存所有文件 保守機(jī)密 需客觀和合乎道德的 追蹤矯正措施,稽核員的角色,獨立的和客觀的評鑒ISMS 沒有偏見和影響 ISMS的有效性 實施的程度 稽核的計劃和管理 記錄和報告發(fā)現(xiàn) 所有涉及稽核的當(dāng)事人必須尊重稽核員的完整性和獨立性,稽核員的素質(zhì),注重實際的 理解複雜的狀況 了解組織裡的交互關(guān)係 遵守機(jī)密性要求 專業(yè)的 獨立的 心胸開闊的 成熟的 具有明智的判斷 具有分析技巧 具洞察力 堅韌的,安全稽核的利益,為安全審查時資訊的關(guān)鍵來源 展示資深管理階層的承諾 改進(jìn)人員認(rèn)知、參與和動機(jī) 提供持續(xù)改進(jìn)的機(jī)會 改善客戶信心和滿意度 改

37、進(jìn)運作的表現(xiàn),稽核目標(biāo),審查安全系統(tǒng)對BS7799的符合性 審查BS7799的實施程度 審查系統(tǒng)的有效性和適切性，以符合安全政策和目標(biāo) 鑑別安全漏洞和弱點 提供改進(jìn)ISMS的機(jī)會 符合合約和法規(guī)的要求 驗證需求,驗證流程,詢問 申請 預(yù)評(選擇性的) 文件審查(階段1) 六週為最大的間隔(UKAS) 階段2的正式評鑑 頒發(fā)證書 持續(xù)評鑑 每三年部份階段1和全部的階段2審查(UKAS),稽核生命週期,稽核的生命週期通常稱為P.E.R.CPlanning 計畫Execution執(zhí)行Recording紀(jì)錄Close out結(jié)案,稽核計劃,考量點有： 組織的大小和性質(zhì) 員工數(shù)量 系統(tǒng)複雜度 ISMS的

38、範(fàn)圍 涉及的地點和數(shù)目 資訊類型 文件或電子的 文化 語言,稽核計劃,準(zhǔn)備流程： 決定目標(biāo) 決定稽核的持續(xù)時間和所需資源 選擇小組 與被稽核者聯(lián)絡(luò)同意稽核日期 起草一份稽核計畫 簡報小組 準(zhǔn)備檢查表 鑑別特殊的要求,稽核計劃,BS7799稽核應(yīng)該被計畫和處理，根據(jù)風(fēng)險評鑑的結(jié)果和適用性聲明中鑑別的控制措施。 稽核計畫應(yīng)該要包含主要的控制措施。 每個活動的稽核應(yīng)該要包括適當(dāng)?shù)腂S7799從屬條款，包括附錄A。 稽核計畫的準(zhǔn)備將因企業(yè)和公司的不同而有所差異。,階段2：稽核計劃,第二階段的稽核計畫應(yīng)該在第一階段完成時，且在第二階段開始前完成。 計畫必須反映ISMS的範(fàn)圍。 稽核必須被計畫，以縮小對營

39、運的干擾。 在稽核開始前，特殊的資源應(yīng)該在計畫中被鑑別。,階段2：稽核計劃,由主導(dǎo)稽核員準(zhǔn)備 經(jīng)過客戶同意的 具有可變更的彈性 包括稽核目標(biāo)和範(fàn)圍 鑑別目標(biāo)和範(fàn)圍內(nèi)相關(guān)人員的責(zé)任 鑑別參考用文件 鑑別稽核小組成員,稽核時所用的語言 鑑別應(yīng)稽核的區(qū)域 每個重大稽核活動預(yù)期的時間 會議的行程表 機(jī)密性要求 稽核報告的分配和發(fā)佈時間 解決任何有關(guān)稽核計畫問題,階段2：稽核計劃可用的資訊,文件審查的結(jié)果 安全手冊及程序 管理重點 高風(fēng)險區(qū)域 安全問題 先前的內(nèi)部審查 服務(wù)/產(chǎn)品資訊 稽核員的經(jīng)驗,被稽核方的責(zé)任,同意或澄清計劃安排 與所有部門溝通此安排 要求管理階層參加會議 安排相關(guān)人員以便接受稽核

40、要求所有人員全面合作 安排引導(dǎo)人員 為稽核員安排辦公室設(shè)施,稽核方法,流程稽核方法 部門的稽核方法 公司的位置 遍及組織之“共通”條款的應(yīng)用 確保適當(dāng)?shù)臅r間被分配到各個區(qū)域,稽核目的,收集客觀證據(jù)，以便對資訊安全管理系統(tǒng)的狀態(tài)和有效性做出綜合判斷。,客觀證據(jù),資訊、紀(jì)錄或事實的聲明 也許是定性或定量 一個資訊安全系統(tǒng)要素的存在和實施 基於觀察、測量或測試 能夠被驗證的,獲得客觀證據(jù)的技巧,面談 觀察 抽樣 審查文件 審查紀(jì)錄 總結(jié)、分析和評估,抽樣,從主要的活動中選出有代表性的樣本。 給予高風(fēng)險區(qū)域優(yōu)先權(quán)。 子控制措施應(yīng)被選擇。 稽核員必須決定大小和選擇。 抽樣大小應(yīng)取決於信心是否能被確保。

41、必須代表活動的稽核。 如果抽樣結(jié)果指出無不符合事項，進(jìn)行下一步。 如抽樣結(jié)果指出無不符合事項，並不代表系統(tǒng)中沒有不符合事項。 確認(rèn)稽核員和被稽核方都了解。 責(zé)任在控制全部區(qū)域的被稽核方。,檢查表的好處,使稽核目標(biāo)清楚 稽核計畫的證據(jù) 保持稽核節(jié)奏和連續(xù)性 減少稽核員的偏見 減少稽核流程中的工作負(fù)荷,檢查表的缺點,如果檢查表示以下列形式呈現(xiàn)，則會失去價值。 打勾的方式 問卷 將檢查表準(zhǔn)備成備忘錄形式。,檢查表的準(zhǔn)備,將標(biāo)準(zhǔn)條文轉(zhuǎn)換成問題。 運用這些問題和安全手冊 計畫查看什麼和尋找的證據(jù) 考慮抽樣大小 準(zhǔn)備檢查表,稽核檢查表,稽核檢查表的準(zhǔn)備。 檢查表是一種確?；说纳疃群统掷m(xù)性的重要輔助工具。

42、 檢查表應(yīng)能夠代表稽核的區(qū)域。 檢查表應(yīng)被以溝通運作和流程的形式來準(zhǔn)備。 檢查表不應(yīng)有“是”或“否”的答案。應(yīng)以備忘錄的形式來準(zhǔn)備。,首次會議 考量點,介紹 紀(jì)錄 營造稽核的氣氛 確認(rèn)稽核的目的和範(fàn)圍 審查和確認(rèn)稽核計畫 稽核小組的引導(dǎo)人員分配 稽核方法的溝通,報告方法 確認(rèn)稽核是基於抽樣方法 保密 結(jié)束會議時間 後勤 限制 澄清,稽核參加人員,稽核小組 稽核小組組長及組員 見習(xí)稽核員及見習(xí)主導(dǎo)稽核員 觀察員 翻譯員、專家 見證人,被稽核方 引導(dǎo)人員 部門主管及員工 觀察員、見習(xí)人員 顧問,執(zhí)行稽核,進(jìn)入稽核區(qū)域 引導(dǎo)人員介紹 解釋你想要看什麼東西 做必要深度的調(diào)查 如果未發(fā)現(xiàn)問題，繼續(xù)下一步

43、 不要不停地堅持稽核直到發(fā)現(xiàn)問題為止,和人溝通的技巧,讓被稽核者放輕鬆 訪問簡短的問題 表現(xiàn)正面的態(tài)度，包括語氣聲調(diào)、肢體語言和臉部表情 微笑和眼神的接觸 避免打斷 避免即席的和高傲的言詞 給予適當(dāng)?shù)淖撁?詢問和聆聽 表示興趣 機(jī)智和有禮貌的 顯示耐心和理解力 除掉你的個人問題 記得說謝謝和請 詢問正確的人 當(dāng)你不理解時不要說你理解,稽核的控制,檢查表是僕人而不是主人 如果出現(xiàn)潛在的稽核線索，可決定 不予理睬 紀(jì)錄下來，供以後再稽核 立即跟進(jìn) 可能影響抽樣大小 可能影響稽核計畫 可能影響稽核計畫,稽核詢問技巧,稽核面談的品質(zhì)大都取決於稽核員的詢問技巧。 適當(dāng)?shù)膯栴}有助於達(dá)成稽核目標(biāo)。 被稽核方

44、應(yīng)不要因為問題種類而感到威脅。問題種類應(yīng)使被稽核方感到自在。 問題應(yīng)針對與被稽核區(qū)域相關(guān)。,稽核問題,開放式 這些問題需要更多的諮詢而非僅”是”或“不是”。 封閉式 這些問題應(yīng)該誘出示或不是的答案。用來使用總結(jié)一連串的問題。 引導(dǎo)式 用來迅速獲得答案。引導(dǎo)被稽核方以得到答案。,稽核面談,使用溝通技巧 使用適當(dāng)?shù)姆Q呼和語言，如：資深主管、技術(shù)人員。 面試技巧的使用 確保有適當(dāng)?shù)娜藛T可用 表現(xiàn)興趣，隨時保持警覺 顯示你的理解 不時的 肢體語言的注意 正面的溝通 聆聽 試著不要打擾被稽核方 解釋紀(jì)錄稽核筆記的方式 隨時表現(xiàn)禮貌 接近稽核面試的完成時，總結(jié)發(fā)現(xiàn)和謝謝關(guān)心。,做筆記,紀(jì)錄客觀的證據(jù) 可接

45、受的陳述 文件編號及版本版次或文件位階 部門 被稽核方的名稱,做筆記,筆記可用於以下情況時做參考： 立即調(diào)查 以後再調(diào)查 供同事使用 以後稽核 因此筆記必須是： 清楚的 可事後做為檢索用,做筆記,稽核員應(yīng)該針對稽核的區(qū)域中所有適當(dāng)?shù)馁Y訊做紀(jì)錄，包括： 訪問的部門 看見的人員 發(fā)現(xiàn)的摘要 引用看見的文件，如程序 引用看見的紀(jì)錄，如備份記錄、軟體授權(quán)等。 被包含標(biāo)準(zhǔn)條款的引用,不符合事項,不符合事項：與BS7799-2 / ISO27001:2005的要求相反的情形，某一特定的要求並未被履行。 直接與安全政策相關(guān) 違反資訊管理安全標(biāo)準(zhǔn) 違反系統(tǒng)程序或工作指示 違反法律上的要求,次要(輕微)不符合事

46、項,定義在一個隔離的情形中，有一些適用控制措施的要求方面沒有被滿足，因此產(chǎn)生一些關(guān)於對保護(hù)敏感資料的機(jī)密性、完整性和可用性測量之適當(dāng)性的質(zhì)疑。而且表示一個輕微的風(fēng)險，可能將被組織的利害關(guān)係人察覺到，被觀察到的一個單獨或偶發(fā)失誤，或隔離的意外事件。,次要(輕微)不符合事項的範(fàn)例,觀察到某人未遵守桌面淨(jìng)空政策 在某種場合中某些訪客離開大樓時未依規(guī)定登記 遺失對於網(wǎng)路存取的正式核可 備份的紀(jì)錄未在一天內(nèi)完成 未鑑別所有權(quán)人的資料存在檔案中,主要(嚴(yán)重)不符合事項,定義失敗的實施或遵守一個或多個BS7799-2適用的控制措施條款，因此產(chǎn)生關(guān)於對保護(hù)敏感資料的機(jī)密性、完整性和可用性測量之適當(dāng)性的嚴(yán)重質(zhì)疑。而且表示一個無法接受的風(fēng)險，可能將被組織的利害關(guān)係人察覺到。也是指整個系統(tǒng)控制措施或程序的失效。,主要(嚴(yán)重)不符合事項,缺乏標(biāo)準(zhǔn)的某一個特別的要求，如政策或範(fàn)圍。 對標(biāo)準(zhǔn)的某一主要要素，沒有相關(guān)文件紀(jì)錄的程序。 系統(tǒng)、控制措施或程序的完全失效。 極高數(shù)量的不符合事項集中在標(biāo)準(zhǔn)中某一要素或是部門。,主要(嚴(yán)重)不符合事項的範(fàn)例,沒有安全政策 沒有安全事故管理系統(tǒng) 缺乏營運持續(xù)計劃 沒有軟體授權(quán)管理 沒有正式的系統(tǒng)來管理和更新IS