ISO主任審核員教材課件

課程大綱ISO27001:2005法規(guī)說明附錄A控制措施簡介資產(chǎn)評(píng)估風(fēng)險(xiǎn)評(píng)鑒風(fēng)險(xiǎn)處理適用性聲明書稽核課程大綱ISO27001:2005法規(guī)說明1ISO27001:2005法規(guī)說明ISMS標(biāo)準(zhǔn)/指南ISO27001serial(2005~)20052000~2002Before2000信息安全

管理系統(tǒng)要求ISO27001ISO27001:2005

(BS7799-2:2005)BS7799-2:2002BS7799-2:1999信息安全

管理作業(yè)要點(diǎn)ISO27002

(afterApril2007)ISO17799:2005

(BS7799-1:2005)ISO17799:2000BS7799-1:1999ISO27001:2005法規(guī)說明ISMS標(biāo)準(zhǔn)/指南ISO22ISO27001:2005法規(guī)說明BS7799：分為BS7799-1和BS7799-2兩部份BS7799-1:2005/ISO17799:2005

主要是做為參考文件，提供廣泛性的安全控制措施，作為現(xiàn)行信息安全之最佳作業(yè)方法，其中包含11個(gè)控制措施章節(jié)，但不作為評(píng)鑒與驗(yàn)證標(biāo)準(zhǔn)。BS7799-2:2005/ISO27001:2005

系根據(jù)BS7799-1，提供信息安全管理系統(tǒng)(ISMS)之建立實(shí)施與書面化之具體要求，依據(jù)個(gè)別組織的需求，規(guī)定要實(shí)施之安全控制措施的要求。ISO27001:2005法規(guī)說明BS7799：分為BS773ISO27001:2005法規(guī)說明BS7799-1:2005/ISO17799:2005信息安全管理作業(yè)要點(diǎn)用意是做為參考文件提供廣泛性的安全控制措施現(xiàn)行信息安全之最佳作業(yè)方法包含11個(gè)控制章節(jié)無法作為評(píng)鑒與驗(yàn)證ISO27001:2005法規(guī)說明BS7799-1:20054ISO27001:2005法規(guī)說明BS7799-2:2005/ISO27001:2005信息安全管理系統(tǒng)要求根據(jù)BS7799-1:2005ISMS之建立實(shí)施與文件化之具體要求依據(jù)個(gè)別組織的需求，規(guī)定要實(shí)施之安全控制措施的要求。ISO27001:2005法規(guī)說明BS7799-2:20055ISO27001:2005法規(guī)說明信息是一種資產(chǎn)，就像其它重要的企業(yè)資產(chǎn)依樣，對(duì)組織具有價(jià)值，因此需要受到適當(dāng)?shù)谋Ｗo(hù)。ISO27001:2005法規(guī)說明信息是一種資產(chǎn)，就像其它重6ISO27001:2005法規(guī)說明信息的類型書寫或打印于紙上儲(chǔ)存在電子媒體上以郵寄或電子儲(chǔ)存媒體傳輸顯示于企業(yè)影片上言語-在對(duì)話中提出不管信息的形式是什么，或者共享或儲(chǔ)存的方式是什么，都應(yīng)該受到適當(dāng)?shù)谋Ｗo(hù)。ISO27001:2005法規(guī)說明信息的類型7ISO27001:2005法規(guī)說明信息安全保護(hù)信息的機(jī)密性、完整性與可用性；另外，亦可包含如可鑒別性(真實(shí)性)、可歸責(zé)性、不可否認(rèn)性及可靠性等特性。ISO27001:2005法規(guī)說明信息安全8ISO27001:2005法規(guī)說明機(jī)密性(Confidentiality)信息不可被未經(jīng)授權(quán)之個(gè)人、實(shí)體、流程所取得或揭露之特性。完整性(Integrity)保護(hù)資產(chǎn)準(zhǔn)確性和完整性之特性?？捎眯?Avaliability)基于需要可由授權(quán)者存取及使用之特性。ISO27001:2005法規(guī)說明機(jī)密性(Confident9ISO27001:2005法規(guī)說明關(guān)鍵的成功因素(Criticalsuccessfactors)

經(jīng)驗(yàn)顯示，組織的信息安全能否成功實(shí)施，下列常為關(guān)鍵因素：能反映營運(yùn)目標(biāo)的信息安全政策、目標(biāo)及活動(dòng)。與組織文化一致之實(shí)施、維護(hù)、監(jiān)控、及改進(jìn)信息安全的方法與框架。來自所有管理階層的實(shí)際支持和承諾。對(duì)信息安全要求、風(fēng)險(xiǎn)評(píng)鑒以及風(fēng)險(xiǎn)管理的深入了解。向全體管理人員、受雇人員、及相關(guān)人員有效推廣信息安全以達(dá)到認(rèn)知。資助信息安全管理活動(dòng)。提供適切的認(rèn)知、訓(xùn)練及教育。制定有效的信息安全事故管理過程。實(shí)施ㄧ個(gè)用于評(píng)估ISMS的績效及改進(jìn)的回饋建議之量測系統(tǒng)。ISO27001:2005法規(guī)說明關(guān)鍵的成功因素(Criti10ISO27001:2005法規(guī)說明ISO27001:2005法規(guī)說明114.Informationsecuritymanagementsystem4.1

一般要求

組織應(yīng)在整體業(yè)務(wù)活動(dòng)與所面臨風(fēng)險(xiǎn)下建立、實(shí)施、操作、監(jiān)控、審查、維護(hù)及改進(jìn)一文件化ISMS，為本國際標(biāo)準(zhǔn)之目的，所採用之過程以下圖所示之PDCA模式為基礎(chǔ)。4.Informationsecuritymanage124.Informationsecuritymanagementsystem4.Informationsecuritymanagem134.2資訊安全管理系統(tǒng)之建立及管理4.2.1建立資訊安全管理系統(tǒng)

組織應(yīng)：依據(jù)業(yè)務(wù)、組織、所在位置、資產(chǎn)及技術(shù)等特性，定義資訊安全管理系統(tǒng)之範(fàn)圍及界限，並包括任何自範(fàn)圍排除之細(xì)節(jié)及理由。依據(jù)業(yè)務(wù)、組織、所在位置、資產(chǎn)及技術(shù)等特性，定義資訊安全管理系統(tǒng)之政策，且：包含設(shè)定目標(biāo)之框架，並建立有關(guān)資訊安全之整體方向亦是與行動(dòng)原則?？紤]企業(yè)及法律或法規(guī)要求，以及合約性的安全責(zé)任。與組織策略性之風(fēng)險(xiǎn)管理內(nèi)容配合，使ISMS得以建立及維持。建立評(píng)估風(fēng)險(xiǎn)之標(biāo)準(zhǔn)，及被管理階層核準(zhǔn)。4.2資訊安全管理系統(tǒng)之建立及管理4.2.1建立資訊安全144.2資訊安全管理系統(tǒng)之建立及管理定義組織之風(fēng)險(xiǎn)評(píng)鑑辦法鑑別一風(fēng)險(xiǎn)評(píng)鑑方法論，並適合其ISMS、已鑑別之企業(yè)資訊安全、以及法律與法規(guī)要求。發(fā)展可接受風(fēng)險(xiǎn)之標(biāo)準(zhǔn)以及鑑別風(fēng)險(xiǎn)至可接受的程度。所選擇之風(fēng)險(xiǎn)評(píng)鑑方法論應(yīng)確保產(chǎn)出可比較及可重複之結(jié)果。鑑別各項(xiàng)風(fēng)險(xiǎn)鑑別ISMS控制範(fàn)圍內(nèi)之資產(chǎn)以及該資產(chǎn)之擁有者(owner)。

擁有者(owner)一詞係指已核準(zhǔn)資產(chǎn)管理責(zé)任之個(gè)人或?qū)嶓w，針對(duì)資產(chǎn)之生產(chǎn)、開發(fā)、維護(hù)、使用及安全之管制。擁有者(owner)一詞並不是指實(shí)際具有資產(chǎn)產(chǎn)權(quán)之人員。4.2資訊安全管理系統(tǒng)之建立及管理定義組織之風(fēng)險(xiǎn)評(píng)鑑辦法154.2資訊安全管理系統(tǒng)之建立及管理分析及評(píng)估各項(xiàng)風(fēng)險(xiǎn)鑑別並評(píng)估風(fēng)險(xiǎn)處理之選項(xiàng)方法選擇控制目標(biāo)及控制措施以處理風(fēng)險(xiǎn)：應(yīng)選擇並實(shí)施控制目標(biāo)與控制措施，以符合風(fēng)險(xiǎn)評(píng)鑑與風(fēng)險(xiǎn)處理過程所鑑別之要求?？刂颇繕?biāo)與控制措施應(yīng)於本標(biāo)準(zhǔn)之附錄A中加以選擇，為此過程的一部份並適當(dāng)滿足所鑑別之要求。4.2資訊安全管理系統(tǒng)之建立及管理分析及評(píng)估各項(xiàng)風(fēng)險(xiǎn)164.2資訊安全管理系統(tǒng)之建立及管理所提出之殘餘風(fēng)險(xiǎn)須取得管理階層之核準(zhǔn)ISMS亦須獲得授權(quán)才能實(shí)施與操作擬訂一份適用性聲明書，須包括下列：於4.2.1節(jié)所選擇之管制目標(biāo)與控制措施，其選擇之理由。現(xiàn)行已實(shí)施之控制目標(biāo)與控制措施。附錄A中任何排除之控制目標(biāo)與控制措施，及其排除之正當(dāng)理由。4.2資訊安全管理系統(tǒng)之建立及管理所提出之殘餘風(fēng)險(xiǎn)須取得管174.2資訊安全管理系統(tǒng)之建立及管理4.2.2資訊安全管理系統(tǒng)之實(shí)施與操作

組織應(yīng)有系統(tǒng)的陳述一項(xiàng)風(fēng)險(xiǎn)處理計(jì)畫以鑑別適當(dāng)管理措施、資源、權(quán)責(zé)及優(yōu)先順序，以便管理資訊安全風(fēng)險(xiǎn)。實(shí)施風(fēng)險(xiǎn)處理計(jì)畫，以達(dá)到所鑑別的安全目標(biāo)，計(jì)畫內(nèi)容包括投資的考慮以及角色與責(zé)任的分派。實(shí)施4.2.1所選之控制措施以符合管制目標(biāo)。定義如何測量所選擇控制措施或控制措施群組織有效，及具體說明如何使用這些測量來評(píng)估控制措施之有效性，並產(chǎn)出可比較即可再現(xiàn)的結(jié)果。實(shí)施訓(xùn)練與認(rèn)知計(jì)畫。管理ISMS作業(yè)。管理ISMS資源。實(shí)施能即時(shí)偵知安全事故，並予以回應(yīng)安全事件處理之作業(yè)程序及其他控制措施。4.2資訊安全管理系統(tǒng)之建立及管理4.2.2資訊安全管理184.2資訊安全管理系統(tǒng)之建立及管理4.2.3資訊安全管理系統(tǒng)之監(jiān)控及審查執(zhí)行監(jiān)控與審查程序及其他控制措施，以便：立即偵知系統(tǒng)處理結(jié)果之錯(cuò)誤。立即鑑別企圖及已成功之安全破壞及事故。促使管理階層決定是否委託他人或藉由資訊技術(shù)之實(shí)施均已如預(yù)期般實(shí)行。使用指標(biāo)幫助偵測安全事件並防止安全事故。決定所採取解決安全漏洞之措施是否有效。定期審查ISMS之有效性(包含符合ISMS政策、目標(biāo)及控制措施之審查)，並考慮來自安全稽核、事件、來自有效性量測之結(jié)果、股東及利害關(guān)係團(tuán)體之建議及回饋之結(jié)果。測量控制措施有效性，以確認(rèn)符合安全要求。4.2資訊安全管理系統(tǒng)之建立及管理4.2.3資訊安全管理194.2資訊安全管理系統(tǒng)之建立及管理在規(guī)劃期間審查風(fēng)險(xiǎn)評(píng)鑑及審查殘餘風(fēng)險(xiǎn)，與鑑別之可接受風(fēng)險(xiǎn)等級(jí)，並考慮下列之變數(shù)：組織技術(shù)企業(yè)目標(biāo)及過程已鑑別之威脅控制措施實(shí)施有效性外部事件，例如法律或法規(guī)環(huán)境之變化、合約責(zé)任之變化，以及社會(huì)環(huán)境之變化。在規(guī)劃期間執(zhí)行內(nèi)部ISMS稽核

內(nèi)部ISMS稽核有時(shí)稱為第一方稽核，是由組織自己或其代表基於內(nèi)部目的所實(shí)施。4.2資訊安全管理系統(tǒng)之建立及管理在規(guī)劃期間審查風(fēng)險(xiǎn)評(píng)鑑及204.2資訊安全管理系統(tǒng)之建立及管理定期執(zhí)行ISMS管理階層審查，以確保範(fàn)圍保持適當(dāng)，及ISMS過程之各項(xiàng)改進(jìn)均已鑑別?？剂勘O(jiān)控與審查活動(dòng)之發(fā)現(xiàn)，更新安全計(jì)畫。紀(jì)錄對(duì)ISMS之有效性或績效有衝擊之活動(dòng)與事件。4.2資訊安全管理系統(tǒng)之建立及管理定期執(zhí)行ISMS管理階層214.2資訊安全管理系統(tǒng)之建立及管理4.2.4維持及改進(jìn)資訊安全管理系統(tǒng)

組織應(yīng)定期進(jìn)行下述：實(shí)施ISMS所鑑定之改進(jìn)活動(dòng)。依據(jù)第8.2及8.3節(jié)採取適當(dāng)矯正及預(yù)防措施。採用從其他組織及本身之安全經(jīng)驗(yàn)吸取教訓(xùn)。以適切於情況的詳盡程度與所有利害相關(guān)團(tuán)體就各項(xiàng)措施及改進(jìn)活動(dòng)進(jìn)行溝通，並在適當(dāng)時(shí)取得進(jìn)行方式的同意。確保各項(xiàng)改進(jìn)措施達(dá)到預(yù)期目標(biāo)。4.2資訊安全管理系統(tǒng)之建立及管理4.2.4維持及改進(jìn)資224.3文件要求4.3.1一般要求

文件應(yīng)包括管理決策紀(jì)錄，確保相關(guān)活動(dòng)可追溯至管理決策與政策，並確保所紀(jì)錄之結(jié)果是可再現(xiàn)的。重要的是能夠證明所選擇之控制措施回溯至風(fēng)險(xiǎn)評(píng)鑑與風(fēng)險(xiǎn)處理過程結(jié)果，及回溯至ISMS政策及目標(biāo)之關(guān)聯(lián)性。

資訊安全管理系統(tǒng)文件應(yīng)包含：ISMS政策與安全目標(biāo)之書面聲明資訊安全管理系統(tǒng)之範(fàn)圍支援ISMS之相關(guān)程序書及控制措施風(fēng)險(xiǎn)評(píng)鑑方法論之說明書風(fēng)險(xiǎn)處理計(jì)畫4.3文件要求4.3.1一般要求

文件應(yīng)包括管理決策紀(jì)錄234.3文件要求組織為確保有效規(guī)畫、操作與控制資訊安全過程，及說明如何量測控制措施有效所需之書面程序。本國際標(biāo)準(zhǔn)要求之各紀(jì)錄。適用性聲明書。所有文件應(yīng)依據(jù)ISMS之政策要求隨時(shí)可供取用。4.3文件要求組織為確保有效規(guī)畫、操作與控制資訊安全過程，244.3文件要求ISMS文件的廣度，其範(fàn)圍和細(xì)節(jié)取決於：產(chǎn)品和流程的複雜性顧客和法規(guī)的要求工業(yè)標(biāo)準(zhǔn)和規(guī)範(fàn)教育、經(jīng)驗(yàn)和訓(xùn)練勞動(dòng)力的穩(wěn)定性過去發(fā)生的安全問題4.3文件要求ISMS文件的廣度，其範(fàn)圍和細(xì)節(jié)取決於：254.3文件要求Level1–安全政策手冊(cè)

為管理架構(gòu)的摘要，其中包括了資訊安全政策和控制措施目標(biāo)，以及適用性聲明書中所提及已實(shí)施的控制措施。Level2–程序

程序用來實(shí)施所要求的控制措施，描述who、what、when、where等安全流程和不同部門間的控制措施。4.3文件要求Level1–安全政策手冊(cè)

為管理架構(gòu)的摘264.3文件要求Level3–工作指導(dǎo)書、檢查清單、表格等

解釋特殊工作和活動(dòng)的細(xì)節(jié)，以及如何完成特定的工作。包括詳細(xì)的工作指導(dǎo)書、表單、流程圖、服務(wù)標(biāo)準(zhǔn)和系統(tǒng)手冊(cè)…等。Level4–紀(jì)錄

紀(jì)錄活動(dòng)實(shí)行以符合等級(jí)1、2和3文件要求的客觀證據(jù)?？赡苁菑?qiáng)制性的隱含在每個(gè)BS7799條款中。例如：機(jī)房訪客登記簿、稽核記錄和存取授權(quán)…等。4.3文件要求Level3–工作指導(dǎo)書、檢查清單、表格等274.3文件要求4.3.2文件管制

ISMS所需之文件應(yīng)受保護(hù)和管制。應(yīng)建立文件化程序，以界定所需之管理措施，用以：在文件發(fā)行前核準(zhǔn)其適切性。必要時(shí)，審查和更新並重新核準(zhǔn)文件。確保文件之變更與最新改訂狀況已予以識(shí)別。確保在使用場所備有相關(guān)適用版次文件。確保文件保持易於閱讀並容易識(shí)別。確保有需要之人員均有文件可用，且依照其適用之傳遞、儲(chǔ)存及最終處理予以分類。確保外來原始文件已加以識(shí)別。確保文件分發(fā)已管制。防止失效文件被誤用。過期文件為任何目的需保留時(shí)，應(yīng)予以適當(dāng)識(shí)別。4.3文件要求4.3.2文件管制

ISMS所需之文件應(yīng)受284.3文件要求4.3.3紀(jì)錄管制為提供ISMS符合要求及有效運(yùn)作之證據(jù)，所建立並維持之紀(jì)錄，應(yīng)予以保護(hù)級(jí)管制。

ISMS應(yīng)將相關(guān)法律或法規(guī)要求及合約責(zé)任列入考量。紀(jì)錄應(yīng)清晰易讀，容易檢索及識(shí)別。為了紀(jì)錄之鑑別、儲(chǔ)存、保護(hù)、檢索、保存期限及報(bào)廢，應(yīng)建立文件化程序，以界定所需之管制。

所需之紀(jì)錄及其範(fàn)圍應(yīng)由管理過程加以決定。紀(jì)錄應(yīng)加以保存，如4.2節(jié)所述各項(xiàng)過程之績效，以及所有與ISMS有關(guān)之重大安全事故紀(jì)錄。4.3文件要求4.3.3紀(jì)錄管制295.管理階層責(zé)任5.1管理階層承諾

管理階層應(yīng)藉由下列各項(xiàng)，對(duì)ISMS之建立、實(shí)施、操作、監(jiān)控、審查、維護(hù)與改進(jìn)之承諾提供證據(jù)：建立一份ISMS政策。確保建立各項(xiàng)ISMS目標(biāo)及計(jì)畫。為資訊安全建立角色與權(quán)責(zé)。向全組織傳達(dá)符合資訊安全目標(biāo)、遵守資訊安全政策、在法律下要求之權(quán)責(zé)，以及持續(xù)改進(jìn)之需求。提供充分資源以建立、實(shí)施、操作、監(jiān)控、審查、維護(hù)與改進(jìn)ISMS。決定可接風(fēng)險(xiǎn)之標(biāo)準(zhǔn)，以及可接受風(fēng)險(xiǎn)之等級(jí)。確保實(shí)施內(nèi)部ISMS稽核。執(zhí)行ISMS之管理階層審查。5.管理階層責(zé)任5.1管理階層承諾

管理階層應(yīng)藉由下列各項(xiàng)305.2資源管理5.2.1資源提供

組織應(yīng)決定並提供下列工作必要之資源：建立、實(shí)施、操作、監(jiān)控、審查、維護(hù)與改進(jìn)ISMS。確保資訊安全程序足以支持企業(yè)的需求。藉由修改所有實(shí)行的控制措施，來維持適當(dāng)?shù)陌踩?.2.2訓(xùn)練、認(rèn)知及能力

組織應(yīng)確保在ISMS中規(guī)定有責(zé)任之所有員工，有能力藉由下述執(zhí)行所要求的工作，包括：決定執(zhí)行影響ISMS工作之人員其所需之能力。提供訓(xùn)練或採取其他措施(如：僱用具備能力之人員)，以滿足該需求。評(píng)估所提供訓(xùn)練及所採取措施之有效性。維持教育、訓(xùn)練、技巧、經(jīng)驗(yàn)及資格之紀(jì)錄。 組織亦應(yīng)確保所有相關(guān)人員已認(rèn)知其所從事的資訊安全活動(dòng)之相關(guān)性及重要性，以及他們?nèi)绾螌?duì)ISMS之目標(biāo)達(dá)成有所貢獻(xiàn)。5.2資源管理5.2.1資源提供

組織應(yīng)決定並提供下列工316.內(nèi)部ISMS稽核組織應(yīng)定期進(jìn)行內(nèi)部ISMS稽核已決定其控制措施目標(biāo)、過程及程序是否：符合本標(biāo)準(zhǔn)及相關(guān)法律或管理的要求符合所識(shí)別的資訊安全要求有效的實(shí)作與維護(hù)如預(yù)期的執(zhí)行稽核計(jì)畫應(yīng)事先規(guī)劃，考慮稽核的過程與區(qū)域之狀況及重要性，以及先前稽核的結(jié)果?；藴?zhǔn)則、範(fàn)圍、頻率及方法應(yīng)予以界定。

稽核人員的選擇與稽核的執(zhí)行應(yīng)確?；诉^程的客觀及公平。另外，稽核人員不應(yīng)稽核其本身的工作。6.內(nèi)部ISMS稽核組織應(yīng)定期進(jìn)行內(nèi)部ISMS稽核已決定其326.內(nèi)部ISMS稽核規(guī)劃與執(zhí)行稽核，及報(bào)告結(jié)果與維持紀(jì)錄之責(zé)任與要求。應(yīng)以書面程序予以界定。被稽核區(qū)域管理階層之責(zé)任，應(yīng)確保採行措施沒有不當(dāng)之延誤，以消除所發(fā)現(xiàn)之不符合與其原因。跟催活動(dòng)應(yīng)包括所採行措施之查證，與查證結(jié)果之報(bào)告。6.內(nèi)部ISMS稽核規(guī)劃與執(zhí)行稽核，及報(bào)告結(jié)果與維持紀(jì)錄之337.ISMS之管理階層審查7.1概述

管理階層應(yīng)在規(guī)劃期間內(nèi)(至少一年一次)，審查組織的ISMS，以確保其持續(xù)的適用性、適切性及有效性。審查應(yīng)包含改進(jìn)時(shí)機(jī)之評(píng)估，以及ISMS變更之需求，含資訊安全政策與資訊安全目標(biāo)。

審查結(jié)果應(yīng)予以清楚的文件化，紀(jì)錄應(yīng)予以維持。7.ISMS之管理階層審查7.1概述

管理階層應(yīng)在規(guī)劃期347.ISMS之管理階層審查7.2審查輸入

管理階層審查輸入應(yīng)包括下列資訊：ISMS稽核與審查之結(jié)果。來自利害相關(guān)團(tuán)體之回饋。可用以改進(jìn)組織ISMS績效及有效性之技術(shù)、產(chǎn)品或程序。預(yù)防與矯正措施之狀況。先前風(fēng)險(xiǎn)評(píng)鑑未適切提出之脆弱性或威脅。來自有效性量測之結(jié)果。先前管理階層審查之跟催措施。可能影響ISMS之任何變更。改進(jìn)之建議。7.ISMS之管理階層審查7.2審查輸入

管理階層審查輸357.ISMS之管理階層審查7.3審查輸出

管理階層審查之輸出應(yīng)包括下列有關(guān)之任何決定與措施：ISMS有效性之改進(jìn)。更新風(fēng)險(xiǎn)評(píng)鑑及風(fēng)險(xiǎn)處理計(jì)畫。未因應(yīng)可能影響ISMS之內(nèi)部或外部事件，必要時(shí)將影響資訊安全之程序及控制措施予以修訂，包括營運(yùn)需求安全需求影響既有營運(yùn)需求之營運(yùn)過程法令或法規(guī)要求合約責(zé)任風(fēng)險(xiǎn)等級(jí)風(fēng)險(xiǎn)可接受程度之標(biāo)準(zhǔn)資源需求。測量控制措施有效性之改進(jìn)。7.ISMS之管理階層審查7.3審查輸出

管理階層審查之368.ISMS之改進(jìn)8.1持續(xù)的改進(jìn)尋求持續(xù)的改進(jìn)透過下列改進(jìn)ISMS的有效性安全政策安全目標(biāo)安全審查的結(jié)果安全稽核矯正措施預(yù)防措施管理審查8.ISMS之改進(jìn)8.1持續(xù)的改進(jìn)378.ISMS之改進(jìn)8.2矯正措施應(yīng)該採取措施以消除不合格的原因，避免復(fù)發(fā)。在ISMS內(nèi)的書面程序應(yīng)該定義：鑑別不符合事項(xiàng)確定原因評(píng)估避免復(fù)發(fā)所需的活動(dòng)確定和實(shí)施矯正措施紀(jì)錄結(jié)果審查行動(dòng)的有效性8.ISMS之改進(jìn)8.2矯正措施388.ISMS之改進(jìn)8.3預(yù)防措施

為防止不符合事項(xiàng)發(fā)生，組織應(yīng)決定措施，消除ISMS要求之潛在不符合事項(xiàng)之原因，以防止其發(fā)生。所採取之預(yù)防措施應(yīng)與潛在問題之影響相稱。

預(yù)防措施之文件化程序應(yīng)訂出以下要求：鑑別潛在的不符合與其原因。評(píng)估採取預(yù)防發(fā)生不符合措施的需求。決定並實(shí)施所需之措施。紀(jì)錄所採取措施之結(jié)果。審查所採用之預(yù)防措施。組織應(yīng)鑑別已變化之風(fēng)險(xiǎn)及鑑別預(yù)防措施要求之焦點(diǎn)放在顯著變化之風(fēng)險(xiǎn)上。預(yù)防措施之優(yōu)先順序應(yīng)依據(jù)風(fēng)險(xiǎn)評(píng)鑑之結(jié)果加以決定。8.ISMS之改進(jìn)8.3預(yù)防措施

為防止不符合事項(xiàng)發(fā)生，39課程大綱ISO27001:2005法規(guī)說明附錄A控制措施簡介資產(chǎn)評(píng)估風(fēng)險(xiǎn)評(píng)鑑風(fēng)險(xiǎn)處理適用性聲明書稽核課程大綱ISO27001:2005法規(guī)說明40ISO27001:2005(BS7799-2:2005)控制措施ISO27001:2005(BS7799-2:2005)控41ISO27001:2005(BS7799-2:2005)控制措施ISO27001:2005(BS7799-2:2005)控42ISO27001:2005(BS7799-2:2005)控制措施ISO27001:2005(BS7799-2:2005)控43ISO27001:2005(BS7799-2:2005)控制措施ISO27001:2005(BS7799-2:2005)控44ISO27001:2005(BS7799-2:2005)控制措施ISO27001:2005(BS7799-2:2005)控45ISO27001:2005(BS7799-2:2005)控制措施ISO27001:2005(BS7799-2:2005)控46ISO27001:2005(BS7799-2:2005)控制措施ISO27001:2005(BS7799-2:2005)控47ISO27001:2005(BS7799-2:2005)控制措施ISO27001:2005(BS7799-2:2005)控48ISO27001:2005(BS7799-2:2005)控制措施ISO27001:2005(BS7799-2:2005)控49ISO27001:2005(BS7799-2:2005)控制措施ISO27001:2005(BS7799-2:2005)控50ISO27001:2005(BS7799-2:2005)控制措施ISO27001:2005(BS7799-2:2005)控51ISO27001:2005(BS7799-2:2005)控制措施ISO27001:2005(BS7799-2:2005)控52ISO27001:2005(BS7799-2:2005)控制措施ISO27001:2005(BS7799-2:2005)控53ISO27001:2005(BS7799-2:2005)控制措施ISO27001:2005(BS7799-2:2005)控54ISO27001:2005(BS7799-2:2005)控制措施ISO27001:2005(BS7799-2:2005)控55ISO27001:2005(BS7799-2:2005)控制措施ISO27001:2005(BS7799-2:2005)控56ISO27001:2005(BS7799-2:2005)

控制措施不是所有的控制措施都與每種情況相關(guān)，也無法考量到所有的當(dāng)?shù)丨h(huán)境或技術(shù)限制，或以適合組織內(nèi)每位潛在使用者形式呈現(xiàn)。ISO27001:2005(BS7799-2:2005)控57課程大綱ISO27001:2005法規(guī)說明附錄A控制措施簡介資產(chǎn)評(píng)估風(fēng)險(xiǎn)評(píng)鑑風(fēng)險(xiǎn)處理適用性聲明書稽核課程大綱ISO27001:2005法規(guī)說明58資產(chǎn)評(píng)估BS7799要求所有資產(chǎn)的詳細(xì)清冊(cè)應(yīng)被制定和維護(hù)，以及這些資產(chǎn)的可歸責(zé)應(yīng)被定義。資產(chǎn)評(píng)估BS7799要求所有資產(chǎn)的詳細(xì)清冊(cè)應(yīng)被制定和維護(hù)，以59資產(chǎn)評(píng)估何謂資產(chǎn)？

資產(chǎn)就是對(duì)組織有價(jià)值的任何事物。是組織直接賦予價(jià)值且需要被保護(hù)的。

必須是相關(guān)於ISMS的範(fàn)圍。資產(chǎn)評(píng)估何謂資產(chǎn)？

資產(chǎn)就是對(duì)組織有價(jià)值的任何事物。是組織直60資產(chǎn)評(píng)估ISMS資產(chǎn)分類可分為：資訊資產(chǎn)─如資料檔案、使用手冊(cè)等。書面文件─如合約書、指南等。軟體資產(chǎn)─如應(yīng)用程式、系統(tǒng)軟體等。實(shí)體資產(chǎn)─如電腦、磁碟片等。人員─員工公司形象與聲望服務(wù)─如通訊、技術(shù)等。資產(chǎn)評(píng)估ISMS資產(chǎn)分類可分為：61資產(chǎn)評(píng)估資產(chǎn)價(jià)值和潛在衝擊組織已經(jīng)鑑別其資訊資產(chǎn)的價(jià)值嗎？決定每個(gè)資產(chǎn)價(jià)值是決定一個(gè)有效率安全政策的第一步。是什麼樣的系統(tǒng)？

1–4或是低到非常高這是風(fēng)險(xiǎn)評(píng)鑑過程中極為重要的部份。資產(chǎn)評(píng)估資產(chǎn)價(jià)值和潛在衝擊62資產(chǎn)評(píng)估資產(chǎn)價(jià)值對(duì)於BS7799:2005/ISO27001:2005來說，資產(chǎn)並不一定包括組織內(nèi)一般視為有價(jià)值的所有事物。組織必須自行決定哪些資產(chǎn)的缺乏或降級(jí)可能實(shí)際影響產(chǎn)品或服務(wù)的交付。資產(chǎn)評(píng)估資產(chǎn)價(jià)值63課程大綱ISO27001:2005法規(guī)說明附錄A控制措施簡介資產(chǎn)評(píng)估風(fēng)險(xiǎn)評(píng)鑑風(fēng)險(xiǎn)處理適用性聲明書稽核課程大綱ISO27001:2005法規(guī)說明64風(fēng)險(xiǎn)評(píng)鑑安全風(fēng)險(xiǎn)

安全風(fēng)險(xiǎn)是指特定威脅利用脆弱性，造成資產(chǎn)或資訊資產(chǎn)損失或損毀的潛在可能。BS7799的實(shí)施和驗(yàn)證是基於正式風(fēng)險(xiǎn)評(píng)鑑的結(jié)果。評(píng)鑑風(fēng)險(xiǎn)

資訊保護(hù)是基於防範(fàn)營運(yùn)資訊之風(fēng)險(xiǎn)，此為本國際標(biāo)準(zhǔn)的基礎(chǔ)，使組織能夠採取適當(dāng)?shù)陌踩刂拼胧?/p>

若安全控制措施太少，則營運(yùn)資訊會(huì)暴露在各種風(fēng)險(xiǎn)當(dāng)中；若太多則會(huì)導(dǎo)致企業(yè)負(fù)擔(dān)過多的成本。風(fēng)險(xiǎn)評(píng)鑑安全風(fēng)險(xiǎn)

安全風(fēng)險(xiǎn)是指特定威脅利用脆弱性，造成資產(chǎn)或65風(fēng)險(xiǎn)評(píng)鑑組織必須定義(並製成文件)其風(fēng)險(xiǎn)評(píng)鑑的方法。[4.2.1C]這也表示選擇與文件化之風(fēng)險(xiǎn)評(píng)鑑方法論，可使風(fēng)險(xiǎn)評(píng)鑑產(chǎn)生可比較與可重複(再現(xiàn))的結(jié)果。[4.2.1C和4.2.3D]現(xiàn)在風(fēng)險(xiǎn)評(píng)鑑規(guī)定必須有計(jì)畫地定期進(jìn)行審查，並且讓管理階層審查更新的風(fēng)險(xiǎn)評(píng)鑑與風(fēng)險(xiǎn)處理計(jì)畫。[7.3B]此活動(dòng)必須至少一年執(zhí)行一次，是ISMS管理審查的一部份。[7.1]風(fēng)險(xiǎn)評(píng)鑑組織必須定義(並製成文件)其風(fēng)險(xiǎn)評(píng)鑑的方法。[4.266風(fēng)險(xiǎn)評(píng)鑑在稽核的過程中，稽核員會(huì)注意所選用之控制措施予風(fēng)險(xiǎn)處理過程之間的關(guān)係，這些控制措施需溯及風(fēng)險(xiǎn)評(píng)鑑的結(jié)果，並溯及ISMS的政策與目標(biāo)。風(fēng)險(xiǎn)評(píng)鑑在稽核的過程中，稽核員會(huì)注意所選用之控制措施予風(fēng)險(xiǎn)處67風(fēng)險(xiǎn)評(píng)鑑風(fēng)險(xiǎn)評(píng)鑑過程鑑別資產(chǎn)和指派資產(chǎn)價(jià)值。鑑別資產(chǎn)的相關(guān)威脅和評(píng)鑑它們的可能性。鑑別脆弱性和評(píng)鑑它們可能如何被利用。鑑別如何藉由控制措施的實(shí)施以提供保護(hù)。評(píng)鑑上述之全面的風(fēng)險(xiǎn)結(jié)果。風(fēng)險(xiǎn)評(píng)鑑風(fēng)險(xiǎn)評(píng)鑑過程68風(fēng)險(xiǎn)評(píng)鑑威脅宣告意圖造成損害、痛苦或不幸?？赡茉斐梢粋€(gè)有害的事件，且這事件可能對(duì)系統(tǒng)、組織和資產(chǎn)造成傷害。蓄意的或是意外的，人為的或是天災(zāi)的。資產(chǎn)容易受到許多威脅，這些威脅來自於利用脆弱性。風(fēng)險(xiǎn)評(píng)鑑威脅69風(fēng)險(xiǎn)評(píng)鑑威脅天災(zāi)─洪水、暴風(fēng)、地震和閃電等。人為─人員短缺、錯(cuò)誤維護(hù)、使用者操作錯(cuò)誤等?？萍嫉末ぞW(wǎng)路故障、流量超過負(fù)荷、硬體故障等。蓄意的威脅意外的威脅威脅頻率風(fēng)險(xiǎn)評(píng)鑑威脅70風(fēng)險(xiǎn)評(píng)鑑脆弱性脆弱性是組織資訊安全的漏洞或弱點(diǎn)。脆弱性本身並不會(huì)造成傷害，而是可能允許威脅影響資產(chǎn)的一種或多種情況。脆弱性如果沒有適當(dāng)管理，將促使威脅形成。風(fēng)險(xiǎn)評(píng)鑑脆弱性71風(fēng)險(xiǎn)評(píng)鑑脆弱性關(guān)鍵人員的缺席不穩(wěn)定的動(dòng)力未保護(hù)的電纜線安全意識(shí)的缺乏密碼權(quán)限的錯(cuò)誤分配安全訓(xùn)練的不足未安裝防火牆未鎖的門風(fēng)險(xiǎn)評(píng)鑑脆弱性72風(fēng)險(xiǎn)評(píng)鑑風(fēng)險(xiǎn)評(píng)鑑的工具和方法Q:BS7799建議什麼工具？A:風(fēng)險(xiǎn)評(píng)鑑應(yīng)該鑑別對(duì)組織資產(chǎn)的威脅、脆弱性和衝擊，而且應(yīng)該決定風(fēng)險(xiǎn)程度。風(fēng)險(xiǎn)評(píng)鑑風(fēng)險(xiǎn)評(píng)鑑的工具和方法73課程大綱ISO27001:2005法規(guī)說明附錄A控制措施簡介資產(chǎn)評(píng)估風(fēng)險(xiǎn)評(píng)鑑風(fēng)險(xiǎn)處理適用性聲明書稽核課程大綱ISO27001:2005法規(guī)說明74風(fēng)險(xiǎn)處理風(fēng)險(xiǎn)處理─計(jì)畫

風(fēng)險(xiǎn)處理計(jì)畫是定義行動(dòng)以降低無法接受的風(fēng)險(xiǎn)，和實(shí)施所需的控制措施以保護(hù)資訊的一種合作文件。風(fēng)險(xiǎn)處理風(fēng)險(xiǎn)處理─計(jì)畫

風(fēng)險(xiǎn)處理計(jì)畫是定義行動(dòng)以降低無法接75風(fēng)險(xiǎn)處理風(fēng)險(xiǎn)處理─方向避免風(fēng)險(xiǎn)降低風(fēng)險(xiǎn)到可接受程度轉(zhuǎn)移風(fēng)險(xiǎn)接受剩餘的風(fēng)險(xiǎn)風(fēng)險(xiǎn)處理風(fēng)險(xiǎn)處理─方向76風(fēng)險(xiǎn)處理可接受風(fēng)險(xiǎn)的等級(jí)要達(dá)到完全的風(fēng)險(xiǎn)是不可能的?？偸怯惺ｐN的風(fēng)險(xiǎn)。什麼樣程度的剩餘風(fēng)險(xiǎn)能為組織所接受？風(fēng)險(xiǎn)處理可接受風(fēng)險(xiǎn)的等級(jí)77風(fēng)險(xiǎn)處理需考量的因素有：地點(diǎn)已存在的安全攻擊者的數(shù)量可用的設(shè)施累積的機(jī)會(huì)宣傳層次營運(yùn)持續(xù)計(jì)劃風(fēng)險(xiǎn)處理需考量的因素有：78風(fēng)險(xiǎn)處理風(fēng)險(xiǎn)處理的步驟定義一個(gè)可接受的殘餘風(fēng)險(xiǎn)等級(jí)。持續(xù)的審查威脅和脆弱性。對(duì)已存在之安全控制措施的審查。應(yīng)用其它安全控制措施，如BS7799。導(dǎo)入政策和程序。風(fēng)險(xiǎn)處理風(fēng)險(xiǎn)處理的步驟79風(fēng)險(xiǎn)處理控制措施的選擇風(fēng)險(xiǎn)要求的保證程度(即強(qiáng)度)成本實(shí)施的容易性服務(wù)法律和法規(guī)的要求客戶和其它的合約要求風(fēng)險(xiǎn)處理控制措施的選擇80風(fēng)險(xiǎn)處理成本預(yù)算限制。用控制措施的成本是否會(huì)超過資產(chǎn)本身的價(jià)值？也許必須選擇”最佳價(jià)值”範(fàn)圍內(nèi)的控制措施。風(fēng)險(xiǎn)處理成本81風(fēng)險(xiǎn)處理實(shí)施的容易性環(huán)境是否支援控制措施？控制措施需要多久才有辦法開始實(shí)施？控制措施是否立即可用的？風(fēng)險(xiǎn)處理實(shí)施的容易性82風(fēng)險(xiǎn)處理服務(wù)可獲得的技術(shù)是否能夠管理控制措施？是否能夠立即的升級(jí)？設(shè)備是否有當(dāng)?shù)毓こ處熁騾f(xié)力廠商的支援？風(fēng)險(xiǎn)處理服務(wù)83風(fēng)險(xiǎn)處理客戶和其它合約的要求安全篩選受限制的存取實(shí)體的安全邊界資料儲(chǔ)存加密數(shù)位簽章風(fēng)險(xiǎn)處理客戶和其它合約的要求84風(fēng)險(xiǎn)處理最佳作業(yè)的控制措施資訊安全政策文件資訊安全責(zé)任的分配資訊安全教育和訓(xùn)練應(yīng)用系統(tǒng)的正確處理技術(shù)脆弱點(diǎn)管理營運(yùn)持續(xù)管理管理資訊安全事故和改善風(fēng)險(xiǎn)處理最佳作業(yè)的控制措施85風(fēng)險(xiǎn)處理測量控制措施的有效性與4.2.2連接，用以監(jiān)控ISMS的有效性。在規(guī)劃期間審查風(fēng)險(xiǎn)評(píng)鑑及審查剩餘風(fēng)險(xiǎn)與鑑別之可接受風(fēng)險(xiǎn)等級(jí)，以考慮控制措施實(shí)施有效性之變化。幫助監(jiān)控已實(shí)施控制措施的效果。風(fēng)險(xiǎn)處理測量控制措施的有效性86風(fēng)險(xiǎn)處理風(fēng)險(xiǎn)評(píng)鑑過程資產(chǎn)鑑別與價(jià)值評(píng)估威脅的鑑別脆弱性的鑑別衝擊的評(píng)估營運(yùn)風(fēng)險(xiǎn)風(fēng)險(xiǎn)的分級(jí)風(fēng)險(xiǎn)管理過程現(xiàn)有的安全控制措施審查新安全控制措施的鑑別政策與程序?qū)嵤┡c風(fēng)險(xiǎn)降低風(fēng)險(xiǎn)可接受度(殘餘風(fēng)險(xiǎn))風(fēng)險(xiǎn)處理風(fēng)險(xiǎn)評(píng)鑑過程87課程大綱ISO27001:2005法規(guī)說明附錄A控制措施簡介資產(chǎn)評(píng)估風(fēng)險(xiǎn)評(píng)鑑風(fēng)險(xiǎn)處理適用性聲明稽核課程大綱ISO27001:2005法規(guī)說明88適用性聲明是組織選擇適合其企業(yè)營運(yùn)需求的目標(biāo)與控制措施評(píng)論。聲明也將記錄任何控制措施的排除。聲明是展示組織如何控制風(fēng)險(xiǎn)的文件，應(yīng)該沒有太多的細(xì)節(jié)能夠讓想要破壞安全的人取得寶貴的資訊。它可能會(huì)被潛在的商業(yè)夥伴所要求持有的獨(dú)立文件，或是成為驗(yàn)證機(jī)構(gòu)所頒發(fā)證書的附加資訊，因此它有可能會(huì)是公開的資訊。適用性聲明是組織選擇適合其企業(yè)營運(yùn)需求的目標(biāo)與控制措施評(píng)論。89適用性聲明適合其企業(yè)需求的目標(biāo)與控制措施評(píng)論。證明哪些控制措施是相關(guān)的紀(jì)錄哪些不相關(guān)的控制措施風(fēng)險(xiǎn)評(píng)鑑將決定哪一些控制措施應(yīng)該被實(shí)施是完整文件審查的一部份將幫助決定最後評(píng)鑑階段的稽核計(jì)畫適用性聲明適合其企業(yè)需求的目標(biāo)與控制措施評(píng)論。90適用性聲明如果要求未被實(shí)施，為什麼？風(fēng)險(xiǎn)因未暴露而未被確認(rèn)預(yù)算、財(cái)務(wù)限制環(huán)境影響防護(hù)措施，如氣候、空間等。技術(shù)，有些措施是技術(shù)上不可行的。文化、社會(huì)限制時(shí)間，有些要求無法現(xiàn)在實(shí)施。其它適用性聲明如果要求未被實(shí)施，為什麼？91課程大綱ISO27001:2005法規(guī)說明附錄A控制措施簡介資產(chǎn)評(píng)估風(fēng)險(xiǎn)評(píng)鑑風(fēng)險(xiǎn)處理適用性聲明稽核課程大綱ISO27001:2005法規(guī)說明92稽核至少需執(zhí)行兩個(gè)階段而且都須見別隊(duì)BS7799-2和ISO27001:2005的符合性?；穗A段1─文件審查

審查ISMS核心要素。稽核階段2─實(shí)施稽核

在現(xiàn)場進(jìn)行，對(duì)政策、程序、和目標(biāo)的有效性進(jìn)行審查?；酥辽傩鑸?zhí)行兩個(gè)階段而且都須見別隊(duì)BS7799-2和ISO93稽核階段1─文件審查目標(biāo)

為稽核計(jì)畫(階段2)提供重點(diǎn)，藉此了解組織安全政策和目標(biāo)中ISMS的背景脈絡(luò)，尤其是為了稽核所做的準(zhǔn)備聲明?；穗A段1─文件審查目標(biāo)

為稽核計(jì)畫(階段2)提供重點(diǎn)，94稽核階段1─文件審查主要活動(dòng)審查ISMS管理架構(gòu)確定ISMS範(fàn)圍風(fēng)險(xiǎn)評(píng)鑑和管理適用性聲明安全政策和支援的關(guān)鍵程序發(fā)現(xiàn)結(jié)果的正式報(bào)告對(duì)組織解釋階段2稽核階段1─文件審查主要活動(dòng)95稽核階段2─實(shí)施稽核目標(biāo)證明組織遵守本身的政策、目標(biāo)和程序。證明ISMS遵照所有ISMS標(biāo)準(zhǔn)或規(guī)範(fàn)文件的要求，而且達(dá)成組織的政策目標(biāo)。測試ISMS的有效性。稽核階段2─實(shí)施稽核目標(biāo)96稽核階段2─實(shí)施稽核主要活動(dòng)訪問ISMS的所有權(quán)人和使用者審查高、中或低風(fēng)險(xiǎn)區(qū)域安全目標(biāo)及標(biāo)的安全和管理審查系統(tǒng)中核心文件的連結(jié)報(bào)告發(fā)現(xiàn)事項(xiàng)和做出最後是否發(fā)證之建議稽核階段2─實(shí)施稽核主要活動(dòng)97稽核員的類型第三方稽核員─為獨(dú)立驗(yàn)證機(jī)構(gòu)。第二方稽核員─有從屬關(guān)係之組織。第一方稽核員─自己的部門、單位。稽核員的類型第三方稽核員─為獨(dú)立驗(yàn)證機(jī)構(gòu)。98稽核專有名詞解釋稽核員(Auditor)

一個(gè)有資格去執(zhí)行安全稽核的人。主導(dǎo)稽核員(LeadAuditor)

一個(gè)被指定管理安全稽核的稽核員。客戶(Client)

被稽核的組織。被稽核方(Auditee)

組織中被稽核的人?；藢Ｓ忻~解釋稽核員(Auditor)

一個(gè)有資格去執(zhí)行安99主導(dǎo)稽核員的責(zé)任在階段1之前指派計(jì)劃和管理所有的稽核階段執(zhí)行階段1的稽核協(xié)助小組及對(duì)小組簡報(bào)控制衝突和處理困難的情形執(zhí)行和控制所有的小組和被稽核者間的會(huì)議在稽核議題和ISMS上做決定準(zhǔn)時(shí)報(bào)告稽核的結(jié)果報(bào)告所遭遇的阻礙即時(shí)報(bào)告重大的不符合事項(xiàng)具備有效的溝通技巧主導(dǎo)稽核員的責(zé)任在階段1之前指派100稽核員的責(zé)任支援小組組長需有準(zhǔn)備的參與首次和結(jié)束會(huì)議完成指派的工作依照時(shí)間表完成稽核和稽核範(fàn)圍記錄和支援所有發(fā)現(xiàn)及時(shí)向被稽核方通報(bào)有關(guān)情況完善地保存所有文件保守機(jī)密需客觀和合乎道德的追蹤矯正措施稽核員的責(zé)任支援小組組長101稽核員的角色獨(dú)立的和客觀的評(píng)鑒ISMS沒有偏見和影響ISMS的有效性實(shí)施的程度稽核的計(jì)劃和管理記錄和報(bào)告發(fā)現(xiàn)所有涉及稽核的當(dāng)事人必須尊重稽核員的完整性和獨(dú)立性稽核員的角色獨(dú)立的和客觀的評(píng)鑒ISMS102稽核員的素質(zhì)注重實(shí)際的理解複雜的狀況了解組織裡的交互關(guān)係遵守機(jī)密性要求專業(yè)的獨(dú)立的心胸開闊的成熟的具有明智的判斷具有分析技巧具洞察力堅(jiān)韌的稽核員的素質(zhì)注重實(shí)際的103安全稽核的利益為安全審查時(shí)資訊的關(guān)鍵來源展示資深管理階層的承諾改進(jìn)人員認(rèn)知、參與和動(dòng)機(jī)提供持續(xù)改進(jìn)的機(jī)會(huì)改善客戶信心和滿意度改進(jìn)運(yùn)作的表現(xiàn)安全稽核的利益為安全審查時(shí)資訊的關(guān)鍵來源104稽核目標(biāo)審查安全系統(tǒng)對(duì)BS7799的符合性審查BS7799的實(shí)施程度審查系統(tǒng)的有效性和適切性，以符合安全政策和目標(biāo)鑑別安全漏洞和弱點(diǎn)提供改進(jìn)ISMS的機(jī)會(huì)符合合約和法規(guī)的要求驗(yàn)證需求稽核目標(biāo)審查安全系統(tǒng)對(duì)BS7799的符合性105驗(yàn)證流程詢問申請(qǐng)預(yù)評(píng)(選擇性的)文件審查(階段1)六週為最大的間隔(UKAS)階段2的正式評(píng)鑑頒發(fā)證書持續(xù)評(píng)鑑每三年部份階段1和全部的階段2審查(UKAS)驗(yàn)證流程詢問106稽核生命週期稽核的生命週期通常稱為P.E.R.C

Planning 計(jì)畫

Execution 執(zhí)行

Recording 紀(jì)錄

Closeout 結(jié)案稽核生命週期稽核的生命週期通常稱為P.E.R.C

Plann107稽核計(jì)劃考量點(diǎn)有：組織的大小和性質(zhì)員工數(shù)量系統(tǒng)複雜度ISMS的範(fàn)圍涉及的地點(diǎn)和數(shù)目資訊類型─文件或電子的文化語言稽核計(jì)劃考量點(diǎn)有：108稽核計(jì)劃準(zhǔn)備流程：決定目標(biāo)決定稽核的持續(xù)時(shí)間和所需資源選擇小組與被稽核者聯(lián)絡(luò)─同意稽核日期起草一份稽核計(jì)畫簡報(bào)小組準(zhǔn)備檢查表鑑別特殊的要求稽核計(jì)劃準(zhǔn)備流程：109稽核計(jì)劃BS7799稽核應(yīng)該被計(jì)畫和處理，根據(jù)風(fēng)險(xiǎn)評(píng)鑑的結(jié)果和適用性聲明中鑑別的控制措施?；擞?jì)畫應(yīng)該要包含主要的控制措施。每個(gè)活動(dòng)的稽核應(yīng)該要包括適當(dāng)?shù)腂S7799從屬條款，包括附錄A?；擞?jì)畫的準(zhǔn)備將因企業(yè)和公司的不同而有所差異?；擞?jì)劃BS7799稽核應(yīng)該被計(jì)畫和處理，根據(jù)風(fēng)險(xiǎn)評(píng)鑑的結(jié)果110階段2：稽核計(jì)劃第二階段的稽核計(jì)畫應(yīng)該在第一階段完成時(shí)，且在第二階段開始前完成。計(jì)畫必須反映ISMS的範(fàn)圍?；吮仨毐挥?jì)畫，以縮小對(duì)營運(yùn)的干擾。在稽核開始前，特殊的資源應(yīng)該在計(jì)畫中被鑑別。階段2：稽核計(jì)劃第二階段的稽核計(jì)畫應(yīng)該在第一階段完成時(shí)，且在111階段2：稽核計(jì)劃由主導(dǎo)稽核員準(zhǔn)備經(jīng)過客戶同意的具有可變更的彈性包括稽核目標(biāo)和範(fàn)圍鑑別目標(biāo)和範(fàn)圍內(nèi)相關(guān)人員的責(zé)任鑑別參考用文件鑑別稽核小組成員稽核時(shí)所用的語言鑑別應(yīng)稽核的區(qū)域每個(gè)重大稽核活動(dòng)預(yù)期的時(shí)間會(huì)議的行程表機(jī)密性要求稽核報(bào)告的分配和發(fā)佈時(shí)間解決任何有關(guān)稽核計(jì)畫問題階段2：稽核計(jì)劃由主導(dǎo)稽核員準(zhǔn)備稽核時(shí)所用的語言112階段2：稽核計(jì)劃可用的資訊文件審查的結(jié)果安全手冊(cè)及程序管理重點(diǎn)高風(fēng)險(xiǎn)區(qū)域安全問題先前的內(nèi)部審查服務(wù)/產(chǎn)品資訊稽核員的經(jīng)驗(yàn)階段2：稽核計(jì)劃可用的資訊文件審查的結(jié)果113被稽核方的責(zé)任同意或澄清計(jì)劃安排與所有部門溝通此安排要求管理階層參加會(huì)議安排相關(guān)人員以便接受稽核要求所有人員全面合作安排引導(dǎo)人員為稽核員安排辦公室設(shè)施被稽核方的責(zé)任同意或澄清計(jì)劃安排114稽核方法流程稽核方法部門的稽核方法公司的位置遍及組織之“共通”條款的應(yīng)用確保適當(dāng)?shù)臅r(shí)間被分配到各個(gè)區(qū)域稽核方法流程稽核方法115稽核目的收集客觀證據(jù)，以便對(duì)資訊安全管理系統(tǒng)的狀態(tài)和有效性做出綜合判斷?；四康氖占陀^證據(jù)，以便對(duì)資訊安全管理系統(tǒng)的狀態(tài)和有效性做116客觀證據(jù)資訊、紀(jì)錄或事實(shí)的聲明也許是定性或定量一個(gè)資訊安全系統(tǒng)要素的存在和實(shí)施基於觀察、測量或測試能夠被驗(yàn)證的客觀證據(jù)資訊、紀(jì)錄或事實(shí)的聲明117獲得客觀證據(jù)的技巧面談?dòng)^察抽樣審查文件審查紀(jì)錄總結(jié)、分析和評(píng)估獲得客觀證據(jù)的技巧面談118抽樣從主要的活動(dòng)中選出有代表性的樣本。給予高風(fēng)險(xiǎn)區(qū)域優(yōu)先權(quán)。子控制措施應(yīng)被選擇?；藛T必須決定大小和選擇。抽樣大小應(yīng)取決於信心是否能被確保。必須代表活動(dòng)的稽核。如果抽樣結(jié)果指出無不符合事項(xiàng)，進(jìn)行下一步。如抽樣結(jié)果指出無不符合事項(xiàng)，並不代表系統(tǒng)中沒有不符合事項(xiàng)。確認(rèn)稽核員和被稽核方都了解。責(zé)任在控制全部區(qū)域的被稽核方。抽樣從主要的活動(dòng)中選出有代表性的樣本。119檢查表的好處使稽核目標(biāo)清楚稽核計(jì)畫的證據(jù)保持稽核節(jié)奏和連續(xù)性減少稽核員的偏見減少稽核流程中的工作負(fù)荷檢查表的好處使稽核目標(biāo)清楚120檢查表的缺點(diǎn)如果檢查表示以下列形式呈現(xiàn)，則會(huì)失去價(jià)值。

─打勾的方式

─問卷將檢查表準(zhǔn)備成備忘錄形式。檢查表的缺點(diǎn)如果檢查表示以下列形式呈現(xiàn)，則會(huì)失去價(jià)值。

─121檢查表的準(zhǔn)備將標(biāo)準(zhǔn)條文轉(zhuǎn)換成問題。運(yùn)用這些問題和安全手冊(cè)─計(jì)畫查看什麼和尋找的證據(jù)考慮抽樣大小準(zhǔn)備檢查表檢查表的準(zhǔn)備將標(biāo)準(zhǔn)條文轉(zhuǎn)換成問題。122稽核檢查表稽核檢查表的準(zhǔn)備。檢查表是一種確?；说纳疃群统掷m(xù)性的重要輔助工具。檢查表應(yīng)能夠代表稽核的區(qū)域。檢查表應(yīng)被以溝通運(yùn)作和流程的形式來準(zhǔn)備。檢查表不應(yīng)有“是”或“否”的答案。應(yīng)以備忘錄的形式來準(zhǔn)備?；藱z查表稽核檢查表的準(zhǔn)備。123首次會(huì)議─考量點(diǎn)介紹─紀(jì)錄營造稽核的氣氛確認(rèn)稽核的目的和範(fàn)圍審查和確認(rèn)稽核計(jì)畫稽核小組的引導(dǎo)人員分配稽核方法的溝通報(bào)告方法確認(rèn)稽核是基於抽樣方法保密結(jié)束會(huì)議時(shí)間後勤限制澄清首次會(huì)議─考量點(diǎn)介紹─紀(jì)錄報(bào)告方法124稽核參加人員稽核小組稽核小組組長及組員見習(xí)稽核員及見習(xí)主導(dǎo)稽核員觀察員翻譯員、專家見證人被稽核方引導(dǎo)人員部門主管及員工觀察員、見習(xí)人員顧問稽核參加人員稽核小組被稽核方125執(zhí)行稽核進(jìn)入稽核區(qū)域引導(dǎo)人員介紹解釋你想要看什麼東西做必要深度的調(diào)查如果未發(fā)現(xiàn)問題，繼續(xù)下一步不要不停地堅(jiān)持稽核直到發(fā)現(xiàn)問題為止執(zhí)行稽核進(jìn)入稽核區(qū)域126和人溝通的技巧讓被稽核者放輕鬆訪問簡短的問題表現(xiàn)正面的態(tài)度，包括語氣聲調(diào)、肢體語言和臉部表情微笑和眼神的接觸避免打斷避免即席的和高傲的言詞給予適當(dāng)?shù)淖撁涝儐柡婉雎牨硎九d趣機(jī)智和有禮貌的顯示耐心和理解力除掉你的個(gè)人問題記得說謝謝和請(qǐng)?jiān)儐栒_的人當(dāng)你不理解時(shí)不要說你理解和人溝通的技巧讓被稽核者放輕鬆127稽核的控制檢查表是僕人而不是主人如果出現(xiàn)潛在的稽核線索，可決定不予理睬紀(jì)錄下來，供以後再稽核立即跟進(jìn)可能影響抽樣大小可能影響稽核計(jì)畫可能影響稽核計(jì)畫稽核的控制檢查表是僕人而不是主人128稽核詢問技巧稽核面談的品質(zhì)大都取決於稽核員的詢問技巧。適當(dāng)?shù)膯栴}有助於達(dá)成稽核目標(biāo)。被稽核方應(yīng)不要因?yàn)閱栴}種類而感到威脅。問題種類應(yīng)使被稽核方感到自在。問題應(yīng)針對(duì)與被稽核區(qū)域相關(guān)。稽核詢問技巧稽核面談的品質(zhì)大都取決於稽核員的詢問技巧。129稽核問題開放式─這些問題需要更多的諮詢而非僅”是”或“不是”。封閉式─這些問題應(yīng)該誘出示或不是的答案。用來使用總結(jié)一連串的問題。引導(dǎo)式─用來迅速獲得答案。引導(dǎo)被稽核方以得到答案?；藛栴}開放式─這些問題需要更多的諮詢而非僅”是”或“不130稽核面談使用溝通技巧使用適當(dāng)?shù)姆Q呼和語言，如：資深主管、技術(shù)人員。面試技巧的使用確保有適當(dāng)?shù)娜藛T可用表現(xiàn)興趣，隨時(shí)保持警覺顯示你的理解─不時(shí)的肢體語言的注意─正面的溝通聆聽─試著不要打擾被稽核方解釋紀(jì)錄稽核筆記的方式隨時(shí)表現(xiàn)禮貌接近稽核面試的完成時(shí)，總結(jié)發(fā)現(xiàn)和謝謝關(guān)心?；嗣嬲勈褂脺贤记?31做筆記紀(jì)錄客觀的證據(jù)可接受的陳述文件編號(hào)及版本版次或文件位階部門被稽核方的名稱做筆記紀(jì)錄客觀的證據(jù)132做筆記筆記可用於以下情況時(shí)做參考：立即調(diào)查以後再調(diào)查供同事使用以後稽核因此筆記必須是：清楚的可事後做為檢索用做筆記筆記可用於以下情況時(shí)做參考：133做筆記稽核員應(yīng)該針對(duì)稽核的區(qū)域中所有適當(dāng)?shù)馁Y訊做紀(jì)錄，包括：訪問的部門看見的人員發(fā)現(xiàn)的摘要引用看見的文件，如程序引用看見的紀(jì)錄，如備份記錄、軟體授權(quán)等。被包含標(biāo)準(zhǔn)條款的引用做筆記稽核員應(yīng)該針對(duì)稽核的區(qū)域中所有適當(dāng)?shù)馁Y訊做紀(jì)錄，包括：134不符合事項(xiàng)不符合事項(xiàng)：

與BS7799-2/ISO27001:2005的要求相反的情形，某一特定的要求並未被履行。直接與安全政策相關(guān)違反資訊管理安全標(biāo)準(zhǔn)違反系統(tǒng)程序或工作指示違反法律上的要求不符合事項(xiàng)不符合事項(xiàng)：

與BS7799-2/ISO270135次要(輕微)不符合事項(xiàng)定義

在一個(gè)隔離的情形中，有一些適用控制措施的要求方面沒有被滿足，因此產(chǎn)生一些關(guān)於對(duì)保護(hù)敏感資料的機(jī)密性、完整性和可用性測量之適當(dāng)性的質(zhì)疑。

而且表示一個(gè)輕微的風(fēng)險(xiǎn)，可能將被組織的利害關(guān)係人察覺到，被觀察到的一個(gè)單獨(dú)或偶發(fā)失誤，或隔離的意外事件。次要(輕微)不符合事項(xiàng)定義

在一個(gè)隔離的情形中，有一些適用控136次要(輕微)不符合事項(xiàng)的範(fàn)例觀察到某人未遵守桌面淨(jìng)空政策在某種場合中某些訪客離開大樓時(shí)未依規(guī)定登記遺失對(duì)於網(wǎng)路存取的正式核可備份的紀(jì)錄未在一天內(nèi)完成未鑑別所有權(quán)人的資料存在檔案中次要(輕微)不符合事項(xiàng)的範(fàn)例觀察到某人未遵守桌面淨(jìng)空政策137主要(嚴(yán)重)不符合事項(xiàng)定義

失敗的實(shí)施或遵守一個(gè)或多個(gè)BS7799-2適用的控制措施條款，因此產(chǎn)生關(guān)於對(duì)保護(hù)敏感資料的機(jī)密性、完整性和可用性測量之適當(dāng)性的嚴(yán)重質(zhì)疑。

而且表示一個(gè)無法接受的風(fēng)險(xiǎn)，可能將被組織的利害關(guān)係人察覺到。

也是指整個(gè)系統(tǒng)控制措施或程序的失效。主要(嚴(yán)重)不符合事項(xiàng)定義

失敗的實(shí)施或遵守一個(gè)或多個(gè)BS7138主要(嚴(yán)重)不符合事項(xiàng)缺乏標(biāo)準(zhǔn)的某一個(gè)特別的要求，如政策或範(fàn)圍。對(duì)標(biāo)準(zhǔn)的某一主要要素，沒有相關(guān)文件紀(jì)錄的程序。系統(tǒng)、控制措施或程序的完全失效。極高數(shù)量的不符合事項(xiàng)集中在標(biāo)準(zhǔn)中某一要素或是部門。主要(嚴(yán)重)不符合事項(xiàng)缺乏標(biāo)準(zhǔn)的某一個(gè)特別的要求，如政策或範(fàn)139主要(嚴(yán)重)不符合事項(xiàng)的範(fàn)例沒有安全政策沒有安全事故管理系統(tǒng)缺乏營運(yùn)持續(xù)計(jì)劃沒有軟體授權(quán)管理沒有正式的系統(tǒng)來管理和更新ISMS文件主要(嚴(yán)重)不符合事項(xiàng)的範(fàn)例沒有安全政策140