ISO27001主任審核員教材.ppt

1、ISO27001:2005信息安全管理系統(tǒng)-主導(dǎo)稽核員教材,課程大綱,ISO27001:2005法規(guī)說明 附錄A控制措施簡(jiǎn)介 資產(chǎn)評(píng)估 風(fēng)險(xiǎn)評(píng)鑒 風(fēng)險(xiǎn)處理 適用性聲明書 稽核,ISO27001:2005法規(guī)說明,ISO27001:2005法規(guī)說明,BS7799：分為BS7799-1和BS7799-2兩部份 BS7799-1:2005 / ISO17799:2005主要是做為參考文件，提供廣泛性的安全控制措施，作為現(xiàn)行信息安全之最佳作業(yè)方法，其中包含11個(gè)控制措施章節(jié)，但不作為評(píng)鑒與驗(yàn)證標(biāo)準(zhǔn)。 BS7799-2:2005 / ISO27001:2005系根據(jù)BS7799-1，提供信息安全管理系統(tǒng)

2、(ISMS)之建立實(shí)施與書面化之具體要求，依據(jù)個(gè)別組織的需求，規(guī)定要實(shí)施之安全控制措施的要求。,ISO27001:2005法規(guī)說明,BS7799-1:2005 / ISO17799:2005 信息安全管理作業(yè)要點(diǎn) 用意是做為參考文件 提供廣泛性的安全控制措施 現(xiàn)行信息安全之最佳作業(yè)方法 包含11個(gè)控制章節(jié) 無法作為評(píng)鑒與驗(yàn)證,ISO27001:2005法規(guī)說明,BS7799-2:2005 / ISO27001:2005 信息安全管理系統(tǒng)要求 根據(jù)BS7799-1:2005 ISMS之建立實(shí)施與文件化之具體要求 依據(jù)個(gè)別組織的需求，規(guī)定要實(shí)施之安全控制措施的要求。,ISO27001:2005法規(guī)

3、說明,信息是一種資產(chǎn)，就像其它重要的企業(yè)資產(chǎn)依樣，對(duì)組織具有價(jià)值，因此需要受到適當(dāng)?shù)谋Ｗo(hù)。,ISO27001:2005法規(guī)說明,信息的類型 書寫或打印于紙上 儲(chǔ)存在電子媒體上 以郵寄或電子儲(chǔ)存媒體傳輸 顯示于企業(yè)影片上 言語-在對(duì)話中提出 不管信息的形式是什么，或者共享或儲(chǔ)存的方式是什么，都應(yīng)該受到適當(dāng)?shù)谋Ｗo(hù)。,ISO27001:2005法規(guī)說明,信息安全 保護(hù)信息的機(jī)密性、完整性與可用性；另外，亦可包含如可鑒別性(真實(shí)性)、可歸責(zé)性、不可否認(rèn)性及可靠性等特性。,ISO27001:2005法規(guī)說明,機(jī)密性(Confidentiality) 信息不可被未經(jīng)授權(quán)之個(gè)人、實(shí)體、流程所取得或揭露之特性

4、。 完整性(Integrity) 保護(hù)資產(chǎn)準(zhǔn)確性和完整性之特性。 可用性(Avaliability) 基于需要可由授權(quán)者存取及使用之特性。,ISO27001:2005法規(guī)說明,關(guān)鍵的成功因素(Critical success factors)經(jīng)驗(yàn)顯示，組織的信息安全能否成功實(shí)施，下列常為關(guān)鍵因素： 能反映營運(yùn)目標(biāo)的信息安全政策、目標(biāo)及活動(dòng)。 與組織文化一致之實(shí)施、維護(hù)、監(jiān)控、及改進(jìn)信息安全的方法與框架。 來自所有管理階層的實(shí)際支持和承諾。 對(duì)信息安全要求、風(fēng)險(xiǎn)評(píng)鑒以及風(fēng)險(xiǎn)管理的深入了解。 向全體管理人員、受雇人員、及相關(guān)人員有效推廣信息安全以達(dá)到認(rèn)知。 資助信息安全管理活動(dòng)。 提供適切的認(rèn)知、

5、訓(xùn)練及教育。 制定有效的信息安全事故管理過程。 實(shí)施個(gè)用于評(píng)估ISMS的績(jī)效及改進(jìn)的回饋建議之量測(cè)系統(tǒng)。,ISO27001:2005法規(guī)說明,4. Information security management system,4.1 一般要求組織應(yīng)在整體業(yè)務(wù)活動(dòng)與所面臨風(fēng)險(xiǎn)下建立、實(shí)施、操作、監(jiān)控、審查、維護(hù)及改進(jìn)一文件化ISMS，為本國際標(biāo)準(zhǔn)之目的，所採用之過程以下圖所示之PDCA模式為基礎(chǔ)。,4.Information security management system,4.2 資訊安全管理系統(tǒng)之建立及管理,4.2.1 建立資訊安全管理系統(tǒng)組織應(yīng)： 依據(jù)業(yè)務(wù)、組織、所在位置、資產(chǎn)及技術(shù)等

6、特性，定義資訊安全管理系統(tǒng)之範(fàn)圍及界限，並包括任何自範(fàn)圍排除之細(xì)節(jié)及理由。 依據(jù)業(yè)務(wù)、組織、所在位置、資產(chǎn)及技術(shù)等特性，定義資訊安全管理系統(tǒng)之政策，且： 包含設(shè)定目標(biāo)之框架，並建立有關(guān)資訊安全之整體方向亦是與行動(dòng)原則。 考慮企業(yè)及法律或法規(guī)要求，以及合約性的安全責(zé)任。 與組織策略性之風(fēng)險(xiǎn)管理內(nèi)容配合，使ISMS得以建立及維持。 建立評(píng)估風(fēng)險(xiǎn)之標(biāo)準(zhǔn)，及被管理階層核準(zhǔn)。,4.2 資訊安全管理系統(tǒng)之建立及管理,定義組織之風(fēng)險(xiǎn)評(píng)鑑辦法 鑑別一風(fēng)險(xiǎn)評(píng)鑑方法論，並適合其ISMS、已鑑別之企業(yè)資訊安全、以及法律與法規(guī)要求。 發(fā)展可接受風(fēng)險(xiǎn)之標(biāo)準(zhǔn)以及鑑別風(fēng)險(xiǎn)至可接受的程度。所選擇之風(fēng)險(xiǎn)評(píng)鑑方法論應(yīng)確保產(chǎn)出可比

7、較及可重複之結(jié)果。 鑑別各項(xiàng)風(fēng)險(xiǎn) 鑑別ISMS控制範(fàn)圍內(nèi)之資產(chǎn)以及該資產(chǎn)之擁有者(owner)。擁有者(owner)一詞係指已核準(zhǔn)資產(chǎn)管理責(zé)任之個(gè)人或?qū)嶓w，針對(duì)資產(chǎn)之生產(chǎn)、開發(fā)、維護(hù)、使用及安全之管制。擁有者(owner)一詞並不是指實(shí)際具有資產(chǎn)產(chǎn)權(quán)之人員。,4.2 資訊安全管理系統(tǒng)之建立及管理,分析及評(píng)估各項(xiàng)風(fēng)險(xiǎn) 鑑別並評(píng)估風(fēng)險(xiǎn)處理之選項(xiàng)方法 選擇控制目標(biāo)及控制措施以處理風(fēng)險(xiǎn)： 應(yīng)選擇並實(shí)施控制目標(biāo)與控制措施，以符合風(fēng)險(xiǎn)評(píng)鑑與風(fēng)險(xiǎn)處理過程所鑑別之要求。 控制目標(biāo)與控制措施應(yīng)於本標(biāo)準(zhǔn)之附錄A中加以選擇，為此過程的一部份並適當(dāng)滿足所鑑別之要求。,4.2 資訊安全管理系統(tǒng)之建立及管理,所提出之殘餘

8、風(fēng)險(xiǎn)須取得管理階層之核準(zhǔn) ISMS亦須獲得授權(quán)才能實(shí)施與操作 擬訂一份適用性聲明書，須包括下列： 於4.2.1節(jié)所選擇之管制目標(biāo)與控制措施，其選擇之理由。 現(xiàn)行已實(shí)施之控制目標(biāo)與控制措施。 附錄A中任何排除之控制目標(biāo)與控制措施，及其排除之正當(dāng)理由。,4.2 資訊安全管理系統(tǒng)之建立及管理,4.2.2 資訊安全管理系統(tǒng)之實(shí)施與操作組織應(yīng) 有系統(tǒng)的陳述一項(xiàng)風(fēng)險(xiǎn)處理計(jì)畫以鑑別適當(dāng)管理措施、資源、權(quán)責(zé)及優(yōu)先順序，以便管理資訊安全風(fēng)險(xiǎn)。 實(shí)施風(fēng)險(xiǎn)處理計(jì)畫，以達(dá)到所鑑別的安全目標(biāo)，計(jì)畫內(nèi)容包括投資的考慮以及角色與責(zé)任的分派。 實(shí)施4.2.1所選之控制措施以符合管制目標(biāo)。 定義如何測(cè)量所選擇控制措施或控制措施

9、群組織有效，及具體說明如何使用這些測(cè)量來評(píng)估控制措施之有效性，並產(chǎn)出可比較即可再現(xiàn)的結(jié)果。 實(shí)施訓(xùn)練與認(rèn)知計(jì)畫。 管理ISMS作業(yè)。 管理ISMS資源。 實(shí)施能即時(shí)偵知安全事故，並予以回應(yīng)安全事件處理之作業(yè)程序及其他控制措施。,4.2 資訊安全管理系統(tǒng)之建立及管理,4.2.3 資訊安全管理系統(tǒng)之監(jiān)控及審查 執(zhí)行監(jiān)控與審查程序及其他控制措施，以便： 立即偵知系統(tǒng)處理結(jié)果之錯(cuò)誤。 立即鑑別企圖及已成功之安全破壞及事故。 促使管理階層決定是否委託他人或藉由資訊技術(shù)之實(shí)施均已如預(yù)期般實(shí)行。 使用指標(biāo)幫助偵測(cè)安全事件並防止安全事故。 決定所採取解決安全漏洞之措施是否有效。 定期審查ISMS之有效性(包含

10、符合ISMS政策、目標(biāo)及控制措施之審查)，並考慮來自安全稽核、事件、來自有效性量測(cè)之結(jié)果、股東及利害關(guān)係團(tuán)體之建議及回饋之結(jié)果。 測(cè)量控制措施有效性，以確認(rèn)符合安全要求。,4.2 資訊安全管理系統(tǒng)之建立及管理,在規(guī)劃期間審查風(fēng)險(xiǎn)評(píng)鑑及審查殘餘風(fēng)險(xiǎn)，與鑑別之可接受風(fēng)險(xiǎn)等級(jí)，並考慮下列之變數(shù)： 組織 技術(shù) 企業(yè)目標(biāo)及過程 已鑑別之威脅 控制措施實(shí)施有效性 外部事件，例如法律或法規(guī)環(huán)境之變化、合約責(zé)任之變化，以及社會(huì)環(huán)境之變化。 在規(guī)劃期間執(zhí)行內(nèi)部ISMS稽核內(nèi)部ISMS稽核有時(shí)稱為第一方稽核，是由組織自己或其代表基於內(nèi)部目的所實(shí)施。,4.2 資訊安全管理系統(tǒng)之建立及管理,定期執(zhí)行ISMS管理階層審

11、查，以確保範(fàn)圍保持適當(dāng)，及ISMS過程之各項(xiàng)改進(jìn)均已鑑別。 考量監(jiān)控與審查活動(dòng)之發(fā)現(xiàn)，更新安全計(jì)畫。 紀(jì)錄對(duì)ISMS之有效性或績(jī)效有衝擊之活動(dòng)與事件。,4.2 資訊安全管理系統(tǒng)之建立及管理,4.2.4 維持及改進(jìn)資訊安全管理系統(tǒng)組織應(yīng)定期進(jìn)行下述： 實(shí)施ISMS所鑑定之改進(jìn)活動(dòng)。 依據(jù)第8.2及8.3節(jié)採取適當(dāng)矯正及預(yù)防措施。採用從其他組織及本身之安全經(jīng)驗(yàn)吸取教訓(xùn)。 以適切於情況的詳盡程度與所有利害相關(guān)團(tuán)體就各項(xiàng)措施及改進(jìn)活動(dòng)進(jìn)行溝通，並在適當(dāng)時(shí)取得進(jìn)行方式的同意。 確保各項(xiàng)改進(jìn)措施達(dá)到預(yù)期目標(biāo)。,4.3 文件要求,4.3.1 一般要求文件應(yīng)包括管理決策紀(jì)錄，確保相關(guān)活動(dòng)可追溯至管理決策與政策

12、，並確保所紀(jì)錄之結(jié)果是可再現(xiàn)的。重要的是能夠證明所選擇之控制措施回溯至風(fēng)險(xiǎn)評(píng)鑑與風(fēng)險(xiǎn)處理過程結(jié)果，及回溯至ISMS政策及目標(biāo)之關(guān)聯(lián)性。資訊安全管理系統(tǒng)文件應(yīng)包含： ISMS政策與安全目標(biāo)之書面聲明 資訊安全管理系統(tǒng)之範(fàn)圍 支援ISMS之相關(guān)程序書及控制措施 風(fēng)險(xiǎn)評(píng)鑑方法論之說明書 風(fēng)險(xiǎn)處理計(jì)畫,4.3 文件要求,組織為確保有效規(guī)畫、操作與控制資訊安全過程，及說明如何量測(cè)控制措施有效所需之書面程序。 本國際標(biāo)準(zhǔn)要求之各紀(jì)錄。 適用性聲明書。 所有文件應(yīng)依據(jù)ISMS之政策要求隨時(shí)可供取用。,4.3 文件要求,ISMS文件的廣度，其範(fàn)圍和細(xì)節(jié)取決於： 產(chǎn)品和流程的複雜性 顧客和法規(guī)的要求 工業(yè)標(biāo)準(zhǔn)和

13、規(guī)範(fàn) 教育、經(jīng)驗(yàn)和訓(xùn)練 勞動(dòng)力的穩(wěn)定性 過去發(fā)生的安全問題,4.3 文件要求,Level 1安全政策手冊(cè)為管理架構(gòu)的摘要，其中包括了資訊安全政策和控制措施目標(biāo)，以及適用性聲明書中所提及已實(shí)施的控制措施。 Level 2程序程序用來實(shí)施所要求的控制措施，描述who、what 、when 、where等安全流程和不同部門間的控制措施。,4.3 文件要求,Level 3工作指導(dǎo)書、檢查清單、表格等解釋特殊工作和活動(dòng)的細(xì)節(jié)，以及如何完成特定的工作。包括詳細(xì)的工作指導(dǎo)書、表單、流程圖、服務(wù)標(biāo)準(zhǔn)和系統(tǒng)手冊(cè)等。 Level 4紀(jì)錄紀(jì)錄活動(dòng)實(shí)行以符合等級(jí)1、2和3文件要求的客觀證據(jù)?？赡苁菑?qiáng)制性的隱含在每個(gè)B

14、S7799條款中。例如：機(jī)房訪客登記簿、稽核記錄和存取授權(quán)等。,4.3 文件要求,4.3.2 文件管制ISMS所需之文件應(yīng)受保護(hù)和管制。應(yīng)建立文件化程序，以界定所需之管理措施，用以： 在文件發(fā)行前核準(zhǔn)其適切性。 必要時(shí)，審查和更新並重新核準(zhǔn)文件。 確保文件之變更與最新改訂狀況已予以識(shí)別。 確保在使用場(chǎng)所備有相關(guān)適用版次文件。 確保文件保持易於閱讀並容易識(shí)別。 確保有需要之人員均有文件可用，且依照其適用之傳遞、儲(chǔ)存及最終處理予以分類。 確保外來原始文件已加以識(shí)別。 確保文件分發(fā)已管制。 防止失效文件被誤用。 過期文件為任何目的需保留時(shí)，應(yīng)予以適當(dāng)識(shí)別。,4.3 文件要求,4.3.3 紀(jì)錄管制 為

15、提供ISMS符合要求及有效運(yùn)作之證據(jù)，所建立並維持之紀(jì)錄，應(yīng)予以保護(hù)級(jí)管制。ISMS應(yīng)將相關(guān)法律或法規(guī)要求及合約責(zé)任列入考量。 紀(jì)錄應(yīng)清晰易讀，容易檢索及識(shí)別。為了紀(jì)錄之鑑別、儲(chǔ)存、保護(hù)、檢索、保存期限及報(bào)廢，應(yīng)建立文件化程序，以界定所需之管制。所需之紀(jì)錄及其範(fàn)圍應(yīng)由管理過程加以決定。 紀(jì)錄應(yīng)加以保存，如4.2節(jié)所述各項(xiàng)過程之績(jī)效，以及所有與ISMS有關(guān)之重大安全事故紀(jì)錄。,5.管理階層責(zé)任,5.1 管理階層承諾管理階層應(yīng)藉由下列各項(xiàng)，對(duì)ISMS之建立、實(shí)施、操作、監(jiān)控、審查、維護(hù)與改進(jìn)之承諾提供證據(jù)： 建立一份ISMS政策。 確保建立各項(xiàng)ISMS目標(biāo)及計(jì)畫。 為資訊安全建立角色與權(quán)責(zé)。 向全

16、組織傳達(dá)符合資訊安全目標(biāo)、遵守資訊安全政策、在法律下要求之權(quán)責(zé)，以及持續(xù)改進(jìn)之需求。 提供充分資源以建立、實(shí)施、操作、監(jiān)控、審查、維護(hù)與改進(jìn)ISMS。 決定可接風(fēng)險(xiǎn)之標(biāo)準(zhǔn)，以及可接受風(fēng)險(xiǎn)之等級(jí)。 確保實(shí)施內(nèi)部ISMS稽核。 執(zhí)行ISMS之管理階層審查。,5.2 資源管理,5.2.1 資源提供組織應(yīng)決定並提供下列工作必要之資源： 建立、實(shí)施、操作、監(jiān)控、審查、維護(hù)與改進(jìn)ISMS。 確保資訊安全程序足以支持企業(yè)的需求。 藉由修改所有實(shí)行的控制措施，來維持適當(dāng)?shù)陌踩?5.2.2 訓(xùn)練、認(rèn)知及能力組織應(yīng)確保在ISMS中規(guī)定有責(zé)任之所有員工，有能力藉由下述執(zhí)行所要求的工作，包括： 決定執(zhí)行影響ISMS

17、工作之人員其所需之能力。 提供訓(xùn)練或採取其他措施(如：僱用具備能力之人員)，以滿足該需求。 評(píng)估所提供訓(xùn)練及所採取措施之有效性。 維持教育、訓(xùn)練、技巧、經(jīng)驗(yàn)及資格之紀(jì)錄。 組織亦應(yīng)確保所有相關(guān)人員已認(rèn)知其所從事的資訊安全活動(dòng)之相關(guān)性及重要性，以及他們?nèi)绾螌?duì)ISMS之目標(biāo)達(dá)成有所貢獻(xiàn)。,6. 內(nèi)部ISMS稽核,組織應(yīng)定期進(jìn)行內(nèi)部ISMS稽核已決定其控制措施目標(biāo)、過程及程序是否： 符合本標(biāo)準(zhǔn)及相關(guān)法律或管理的要求 符合所識(shí)別的資訊安全要求 有效的實(shí)作與維護(hù) 如預(yù)期的執(zhí)行 稽核計(jì)畫應(yīng)事先規(guī)劃，考慮稽核的過程與區(qū)域之狀況及重要性，以及先前稽核的結(jié)果?；藴?zhǔn)則、範(fàn)圍、頻率及方法應(yīng)予以界定。稽核人員的選擇

18、與稽核的執(zhí)行應(yīng)確?；诉^程的客觀及公平。另外，稽核人員不應(yīng)稽核其本身的工作。,6. 內(nèi)部ISMS稽核,規(guī)劃與執(zhí)行稽核，及報(bào)告結(jié)果與維持紀(jì)錄之責(zé)任與要求。應(yīng)以書面程序予以界定。 被稽核區(qū)域管理階層之責(zé)任，應(yīng)確保採行措施沒有不當(dāng)之延誤，以消除所發(fā)現(xiàn)之不符合與其原因。跟催活動(dòng)應(yīng)包括所採行措施之查證，與查證結(jié)果之報(bào)告。,7. ISMS之管理階層審查,7.1 概述管理階層應(yīng)在規(guī)劃期間內(nèi)(至少一年一次)，審查組織的ISMS，以確保其持續(xù)的適用性、適切性及有效性。審查應(yīng)包含改進(jìn)時(shí)機(jī)之評(píng)估，以及ISMS變更之需求，含資訊安全政策與資訊安全目標(biāo)。審查結(jié)果應(yīng)予以清楚的文件化，紀(jì)錄應(yīng)予以維持。,7. ISMS之管理

19、階層審查,7.2 審查輸入管理階層審查輸入應(yīng)包括下列資訊： ISMS稽核與審查之結(jié)果。 來自利害相關(guān)團(tuán)體之回饋。 可用以改進(jìn)組織ISMS績(jī)效及有效性之技術(shù)、產(chǎn)品或程序。 預(yù)防與矯正措施之狀況。 先前風(fēng)險(xiǎn)評(píng)鑑未適切提出之脆弱性或威脅。 來自有效性量測(cè)之結(jié)果。 先前管理階層審查之跟催措施。 可能影響ISMS之任何變更。 改進(jìn)之建議。,7. ISMS之管理階層審查,7.3 審查輸出管理階層審查之輸出應(yīng)包括下列有關(guān)之任何決定與措施： ISMS有效性之改進(jìn)。 更新風(fēng)險(xiǎn)評(píng)鑑及風(fēng)險(xiǎn)處理計(jì)畫。 未因應(yīng)可能影響ISMS之內(nèi)部或外部事件，必要時(shí)將影響資訊安全之程序及控制措施予以修訂，包括 營運(yùn)需求 安全需求 影響

20、既有營運(yùn)需求之營運(yùn)過程 法令或法規(guī)要求 合約責(zé)任 風(fēng)險(xiǎn)等級(jí)風(fēng)險(xiǎn)可接受程度之標(biāo)準(zhǔn) 資源需求。 測(cè)量控制措施有效性之改進(jìn)。,8. ISMS之改進(jìn),8.1 持續(xù)的改進(jìn) 尋求持續(xù)的改進(jìn) 透過下列改進(jìn)ISMS的有效性 安全政策 安全目標(biāo) 安全審查的結(jié)果 安全稽核 矯正措施 預(yù)防措施 管理審查,8. ISMS之改進(jìn),8.2 矯正措施 應(yīng)該採取措施以消除不合格的原因，避免復(fù)發(fā)。 在ISMS內(nèi)的書面程序應(yīng)該定義： 鑑別不符合事項(xiàng) 確定原因 評(píng)估避免復(fù)發(fā)所需的活動(dòng) 確定和實(shí)施矯正措施 紀(jì)錄結(jié)果 審查行動(dòng)的有效性,8. ISMS之改進(jìn),8.3 預(yù)防措施為防止不符合事項(xiàng)發(fā)生，組織應(yīng)決定措施，消除ISMS要求之潛在不

21、符合事項(xiàng)之原因，以防止其發(fā)生。所採取之預(yù)防措施應(yīng)與潛在問題之影響相稱。預(yù)防措施之文件化程序應(yīng)訂出以下要求： 鑑別潛在的不符合與其原因。 評(píng)估採取預(yù)防發(fā)生不符合措施的需求。 決定並實(shí)施所需之措施。 紀(jì)錄所採取措施之結(jié)果。 審查所採用之預(yù)防措施。 組織應(yīng)鑑別已變化之風(fēng)險(xiǎn)及鑑別預(yù)防措施要求之焦點(diǎn)放在顯著變化之風(fēng)險(xiǎn)上。 預(yù)防措施之優(yōu)先順序應(yīng)依據(jù)風(fēng)險(xiǎn)評(píng)鑑之結(jié)果加以決定。,課程大綱,ISO27001:2005法規(guī)說明 附錄A控制措施簡(jiǎn)介 資產(chǎn)評(píng)估 風(fēng)險(xiǎn)評(píng)鑑 風(fēng)險(xiǎn)處理 適用性聲明書 稽核,ISO27001:2005(BS7799-2:2005) 控制措施,ISO27001:2005(BS7799-2:200

22、5) 控制措施,ISO27001:2005(BS7799-2:2005) 控制措施,ISO27001:2005(BS7799-2:2005) 控制措施,ISO27001:2005(BS7799-2:2005) 控制措施,ISO27001:2005(BS7799-2:2005) 控制措施,ISO27001:2005(BS7799-2:2005) 控制措施,ISO27001:2005(BS7799-2:2005) 控制措施,ISO27001:2005(BS7799-2:2005) 控制措施,ISO27001:2005(BS7799-2:2005) 控制措施,ISO27001:2005(BS7799

23、-2:2005) 控制措施,ISO27001:2005(BS7799-2:2005) 控制措施,ISO27001:2005(BS7799-2:2005) 控制措施,ISO27001:2005(BS7799-2:2005) 控制措施,ISO27001:2005(BS7799-2:2005) 控制措施,ISO27001:2005(BS7799-2:2005) 控制措施,ISO27001:2005(BS7799-2:2005) 控制措施,不是所有的控制措施都與每種情況相關(guān)，也無法考量到所有的當(dāng)?shù)丨h(huán)境或技術(shù)限制，或以適合組織內(nèi)每位潛在使用者形式呈現(xiàn)。,課程大綱,ISO27001:2005法規(guī)說明 附錄

24、A控制措施簡(jiǎn)介 資產(chǎn)評(píng)估 風(fēng)險(xiǎn)評(píng)鑑 風(fēng)險(xiǎn)處理 適用性聲明書 稽核,資產(chǎn)評(píng)估,BS7799要求所有資產(chǎn)的詳細(xì)清冊(cè)應(yīng)被制定和維護(hù)，以及這些資產(chǎn)的可歸責(zé)應(yīng)被定義。,資產(chǎn)評(píng)估,何謂資產(chǎn)？資產(chǎn)就是對(duì)組織有價(jià)值的任何事物。是組織直接賦予價(jià)值且需要被保護(hù)的。必須是相關(guān)於ISMS的範(fàn)圍。,資產(chǎn)評(píng)估,ISMS資產(chǎn)分類可分為： 資訊資產(chǎn) 如資料檔案、使用手冊(cè)等。 書面文件 如合約書、指南等。 軟體資產(chǎn) 如應(yīng)用程式、系統(tǒng)軟體等。 實(shí)體資產(chǎn) 如電腦、磁碟片等。 人員 員工 公司形象與聲望 服務(wù) 如通訊、技術(shù)等。,資產(chǎn)評(píng)估,資產(chǎn)價(jià)值和潛在衝擊 組織已經(jīng)鑑別其資訊資產(chǎn)的價(jià)值嗎？ 決定每個(gè)資產(chǎn)價(jià)值是決定一個(gè)有效率安全政策的

25、第一步。 是什麼樣的系統(tǒng)？14或是低到非常高 這是風(fēng)險(xiǎn)評(píng)鑑過程中極為重要的部份。,資產(chǎn)評(píng)估,資產(chǎn)價(jià)值 對(duì)於BS7799:2005/ISO27001:2005來說，資產(chǎn)並不一定包括組織內(nèi)一般視為有價(jià)值的所有事物。 組織必須自行決定哪些資產(chǎn)的缺乏或降級(jí)可能實(shí)際影響產(chǎn)品或服務(wù)的交付。,課程大綱,ISO27001:2005法規(guī)說明 附錄A控制措施簡(jiǎn)介 資產(chǎn)評(píng)估 風(fēng)險(xiǎn)評(píng)鑑 風(fēng)險(xiǎn)處理 適用性聲明書 稽核,風(fēng)險(xiǎn)評(píng)鑑,安全風(fēng)險(xiǎn)安全風(fēng)險(xiǎn)是指特定威脅利用脆弱性，造成資產(chǎn)或資訊資產(chǎn)損失或損毀的潛在可能。 BS7799的實(shí)施和驗(yàn)證是基於正式風(fēng)險(xiǎn)評(píng)鑑的結(jié)果。 評(píng)鑑風(fēng)險(xiǎn)資訊保護(hù)是基於防範(fàn)營運(yùn)資訊之風(fēng)險(xiǎn)，此為本國際標(biāo)準(zhǔn)的基

26、礎(chǔ)，使組織能夠採取適當(dāng)?shù)陌踩刂拼胧?。若安全控制措施太少，則營運(yùn)資訊會(huì)暴露在各種風(fēng)險(xiǎn)當(dāng)中；若太多則會(huì)導(dǎo)致企業(yè)負(fù)擔(dān)過多的成本。,風(fēng)險(xiǎn)評(píng)鑑,組織必須定義(並製成文件)其風(fēng)險(xiǎn)評(píng)鑑的方法。4.2.1 C 這也表示選擇與文件化之風(fēng)險(xiǎn)評(píng)鑑方法論，可使風(fēng)險(xiǎn)評(píng)鑑產(chǎn)生可比較與可重複(再現(xiàn))的結(jié)果。4.2.1C和4.2.3 D 現(xiàn)在風(fēng)險(xiǎn)評(píng)鑑規(guī)定必須有計(jì)畫地定期進(jìn)行審查，並且讓管理階層審查更新的風(fēng)險(xiǎn)評(píng)鑑與風(fēng)險(xiǎn)處理計(jì)畫。7.3 B 此活動(dòng)必須至少一年執(zhí)行一次，是ISMS管理審查的一部份。7.1,風(fēng)險(xiǎn)評(píng)鑑,在稽核的過程中，稽核員會(huì)注意所選用之控制措施予風(fēng)險(xiǎn)處理過程之間的關(guān)係，這些控制措施需溯及風(fēng)險(xiǎn)評(píng)鑑的結(jié)果，並溯及IS

27、MS的政策與目標(biāo)。,風(fēng)險(xiǎn)評(píng)鑑,風(fēng)險(xiǎn)評(píng)鑑過程 鑑別資產(chǎn)和指派資產(chǎn)價(jià)值。 鑑別資產(chǎn)的相關(guān)威脅和評(píng)鑑它們的可能性。 鑑別脆弱性和評(píng)鑑它們可能如何被利用。 鑑別如何藉由控制措施的實(shí)施以提供保護(hù)。 評(píng)鑑上述之全面的風(fēng)險(xiǎn)結(jié)果。,風(fēng)險(xiǎn)評(píng)鑑,威脅 宣告意圖造成損害、痛苦或不幸。 可能造成一個(gè)有害的事件，且這事件可能對(duì)系統(tǒng)、組織和資產(chǎn)造成傷害。 蓄意的或是意外的，人為的或是天災(zāi)的。 資產(chǎn)容易受到許多威脅，這些威脅來自於利用脆弱性。,風(fēng)險(xiǎn)評(píng)鑑,威脅 天災(zāi) 洪水、暴風(fēng)、地震和閃電等。 人為 人員短缺、錯(cuò)誤維護(hù)、使用者操作錯(cuò)誤等。 科技的 網(wǎng)路故障、流量超過負(fù)荷、硬體故障等。 蓄意的威脅 意外的威脅 威脅頻率,風(fēng)險(xiǎn)評(píng)

28、鑑,脆弱性 脆弱性是組織資訊安全的漏洞或弱點(diǎn)。 脆弱性本身並不會(huì)造成傷害，而是可能允許威脅影響資產(chǎn)的一種或多種情況。 脆弱性如果沒有適當(dāng)管理，將促使威脅形成。,風(fēng)險(xiǎn)評(píng)鑑,脆弱性 關(guān)鍵人員的缺席 不穩(wěn)定的動(dòng)力 未保護(hù)的電纜線 安全意識(shí)的缺乏 密碼權(quán)限的錯(cuò)誤分配 安全訓(xùn)練的不足 未安裝防火牆 未鎖的門,風(fēng)險(xiǎn)評(píng)鑑,風(fēng)險(xiǎn)評(píng)鑑的工具和方法 Q:BS7799建議什麼工具？ A:風(fēng)險(xiǎn)評(píng)鑑應(yīng)該鑑別對(duì)組織資產(chǎn)的威脅、脆弱性和衝擊，而且應(yīng)該決定風(fēng)險(xiǎn)程度。,課程大綱,ISO27001:2005法規(guī)說明 附錄A控制措施簡(jiǎn)介 資產(chǎn)評(píng)估 風(fēng)險(xiǎn)評(píng)鑑 風(fēng)險(xiǎn)處理 適用性聲明書 稽核,風(fēng)險(xiǎn)處理,風(fēng)險(xiǎn)處理計(jì)畫風(fēng)險(xiǎn)處理計(jì)畫是定義行動(dòng)

29、以降低無法接受的風(fēng)險(xiǎn)，和實(shí)施所需的控制措施以保護(hù)資訊的一種合作文件。,風(fēng)險(xiǎn)處理,風(fēng)險(xiǎn)處理方向 避免風(fēng)險(xiǎn) 降低風(fēng)險(xiǎn)到可接受程度 轉(zhuǎn)移風(fēng)險(xiǎn) 接受剩餘的風(fēng)險(xiǎn),風(fēng)險(xiǎn)處理,可接受風(fēng)險(xiǎn)的等級(jí) 要達(dá)到完全的風(fēng)險(xiǎn)是不可能的。 總是有剩餘的風(fēng)險(xiǎn)。 什麼樣程度的剩餘風(fēng)險(xiǎn)能為組織所接受？,風(fēng)險(xiǎn)處理,需考量的因素有： 地點(diǎn) 已存在的安全 攻擊者的數(shù)量 可用的設(shè)施 累積的機(jī)會(huì) 宣傳層次 營運(yùn)持續(xù)計(jì)劃,風(fēng)險(xiǎn)處理,風(fēng)險(xiǎn)處理的步驟 定義一個(gè)可接受的殘餘風(fēng)險(xiǎn)等級(jí)。 持續(xù)的審查威脅和脆弱性。 對(duì)已存在之安全控制措施的審查。 應(yīng)用其它安全控制措施，如BS7799。 導(dǎo)入政策和程序。,風(fēng)險(xiǎn)處理,控制措施的選擇 風(fēng)險(xiǎn) 要求的保證程度(

30、即強(qiáng)度) 成本 實(shí)施的容易性 服務(wù) 法律和法規(guī)的要求 客戶和其它的合約要求,風(fēng)險(xiǎn)處理,成本 預(yù)算限制。 用控制措施的成本是否會(huì)超過資產(chǎn)本身的價(jià)值？ 也許必須選擇”最佳價(jià)值”範(fàn)圍內(nèi)的控制措施。,風(fēng)險(xiǎn)處理,實(shí)施的容易性 環(huán)境是否支援控制措施？ 控制措施需要多久才有辦法開始實(shí)施？ 控制措施是否立即可用的？,風(fēng)險(xiǎn)處理,服務(wù) 可獲得的技術(shù)是否能夠管理控制措施？ 是否能夠立即的升級(jí)？ 設(shè)備是否有當(dāng)?shù)毓こ處熁騾f(xié)力廠商的支援？,風(fēng)險(xiǎn)處理,客戶和其它合約的要求 安全篩選 受限制的存取 實(shí)體的安全邊界 資料儲(chǔ)存 加密 數(shù)位簽章,風(fēng)險(xiǎn)處理,最佳作業(yè)的控制措施 資訊安全政策文件 資訊安全責(zé)任的分配 資訊安全教育和訓(xùn)練

31、 應(yīng)用系統(tǒng)的正確處理 技術(shù)脆弱點(diǎn)管理 營運(yùn)持續(xù)管理 管理資訊安全事故和改善,風(fēng)險(xiǎn)處理,測(cè)量控制措施的有效性 與4.2.2連接，用以監(jiān)控ISMS的有效性。 在規(guī)劃期間審查風(fēng)險(xiǎn)評(píng)鑑及審查剩餘風(fēng)險(xiǎn)與鑑別之可接受風(fēng)險(xiǎn)等級(jí)，以考慮控制措施實(shí)施有效性之變化。 幫助監(jiān)控已實(shí)施控制措施的效果。,風(fēng)險(xiǎn)處理,風(fēng)險(xiǎn)評(píng)鑑過程 資產(chǎn)鑑別與價(jià)值評(píng)估 威脅的鑑別 脆弱性的鑑別 衝擊的評(píng)估 營運(yùn)風(fēng)險(xiǎn) 風(fēng)險(xiǎn)的分級(jí) 風(fēng)險(xiǎn)管理過程 現(xiàn)有的安全控制措施審查 新安全控制措施的鑑別 政策與程序 實(shí)施與風(fēng)險(xiǎn)降低 風(fēng)險(xiǎn)可接受度(殘餘風(fēng)險(xiǎn)),課程大綱,ISO27001:2005法規(guī)說明 附錄A控制措施簡(jiǎn)介 資產(chǎn)評(píng)估 風(fēng)險(xiǎn)評(píng)鑑 風(fēng)險(xiǎn)處理 適用性

32、聲明 稽核,適用性聲明,是組織選擇適合其企業(yè)營運(yùn)需求的目標(biāo)與控制措施評(píng)論。 聲明也將記錄任何控制措施的排除。 聲明是展示組織如何控制風(fēng)險(xiǎn)的文件，應(yīng)該沒有太多的細(xì)節(jié)能夠讓想要破壞安全的人取得寶貴的資訊。 它可能會(huì)被潛在的商業(yè)夥伴所要求持有的獨(dú)立文件，或是成為驗(yàn)證機(jī)構(gòu)所頒發(fā)證書的附加資訊，因此它有可能會(huì)是公開的資訊。,適用性聲明,適合其企業(yè)需求的目標(biāo)與控制措施評(píng)論。 證明哪些控制措施是相關(guān)的 紀(jì)錄哪些不相關(guān)的控制措施 風(fēng)險(xiǎn)評(píng)鑑將決定哪一些控制措施應(yīng)該被實(shí)施 是完整文件審查的一部份 將幫助決定最後評(píng)鑑階段的稽核計(jì)畫,適用性聲明,如果要求未被實(shí)施，為什麼？ 風(fēng)險(xiǎn)因未暴露而未被確認(rèn) 預(yù)算、財(cái)務(wù)限制 環(huán)境

33、影響防護(hù)措施，如氣候、空間等。 技術(shù)，有些措施是技術(shù)上不可行的。 文化、社會(huì)限制 時(shí)間，有些要求無法現(xiàn)在實(shí)施。 其它,課程大綱,ISO27001:2005法規(guī)說明 附錄A控制措施簡(jiǎn)介 資產(chǎn)評(píng)估 風(fēng)險(xiǎn)評(píng)鑑 風(fēng)險(xiǎn)處理 適用性聲明 稽核,稽核,至少需執(zhí)行兩個(gè)階段而且都須見別隊(duì)BS7799-2和ISO27001:2005的符合性。 稽核階段1 文件審查審查ISMS核心要素。 稽核階段2 實(shí)施稽核在現(xiàn)場(chǎng)進(jìn)行，對(duì)政策、程序、和目標(biāo)的有效性進(jìn)行審查。,稽核階段1 文件審查,目標(biāo)為稽核計(jì)畫(階段2)提供重點(diǎn)，藉此了解組織安全政策和目標(biāo)中ISMS的背景脈絡(luò)，尤其是為了稽核所做的準(zhǔn)備聲明。,稽核階段1 文件審查,

34、主要活動(dòng) 審查ISMS管理架構(gòu) 確定ISMS範(fàn)圍 風(fēng)險(xiǎn)評(píng)鑑和管理 適用性聲明 安全政策和支援的關(guān)鍵程序 發(fā)現(xiàn)結(jié)果的正式報(bào)告 對(duì)組織解釋階段2,稽核階段2 實(shí)施稽核,目標(biāo) 證明組織遵守本身的政策、目標(biāo)和程序。 證明ISMS遵照所有ISMS標(biāo)準(zhǔn)或規(guī)範(fàn)文件的要求，而且達(dá)成組織的政策目標(biāo)。 測(cè)試ISMS的有效性。,稽核階段2 實(shí)施稽核,主要活動(dòng) 訪問ISMS的所有權(quán)人和使用者 審查高、中或低風(fēng)險(xiǎn)區(qū)域 安全目標(biāo)及標(biāo)的 安全和管理審查 系統(tǒng)中核心文件的連結(jié) 報(bào)告發(fā)現(xiàn)事項(xiàng)和做出最後是否發(fā)證之建議,稽核員的類型,第三方稽核員為獨(dú)立驗(yàn)證機(jī)構(gòu)。 第二方稽核員有從屬關(guān)係之組織。 第一方稽核員自己的部門、單位。,稽核

35、專有名詞解釋,稽核員(Auditor)一個(gè)有資格去執(zhí)行安全稽核的人。 主導(dǎo)稽核員(Lead Auditor)一個(gè)被指定管理安全稽核的稽核員。 客戶(Client)被稽核的組織。 被稽核方(Auditee)組織中被稽核的人。,主導(dǎo)稽核員的責(zé)任,在階段1之前指派 計(jì)劃和管理所有的稽核階段 執(zhí)行階段1的稽核 協(xié)助小組及對(duì)小組簡(jiǎn)報(bào) 控制衝突和處理困難的情形 執(zhí)行和控制所有的小組和被稽核者間的會(huì)議 在稽核議題和ISMS上做決定 準(zhǔn)時(shí)報(bào)告稽核的結(jié)果 報(bào)告所遭遇的阻礙 即時(shí)報(bào)告重大的不符合事項(xiàng) 具備有效的溝通技巧,稽核員的責(zé)任,支援小組組長(zhǎng) 需有準(zhǔn)備的 參與首次和結(jié)束會(huì)議 完成指派的工作 依照時(shí)間表完成稽核

36、和稽核範(fàn)圍 記錄和支援所有發(fā)現(xiàn) 及時(shí)向被稽核方通報(bào)有關(guān)情況 完善地保存所有文件 保守機(jī)密 需客觀和合乎道德的 追蹤矯正措施,稽核員的角色,獨(dú)立的和客觀的評(píng)鑒ISMS 沒有偏見和影響 ISMS的有效性 實(shí)施的程度 稽核的計(jì)劃和管理 記錄和報(bào)告發(fā)現(xiàn) 所有涉及稽核的當(dāng)事人必須尊重稽核員的完整性和獨(dú)立性,稽核員的素質(zhì),注重實(shí)際的 理解複雜的狀況 了解組織裡的交互關(guān)係 遵守機(jī)密性要求 專業(yè)的 獨(dú)立的 心胸開闊的 成熟的 具有明智的判斷 具有分析技巧 具洞察力 堅(jiān)韌的,安全稽核的利益,為安全審查時(shí)資訊的關(guān)鍵來源 展示資深管理階層的承諾 改進(jìn)人員認(rèn)知、參與和動(dòng)機(jī) 提供持續(xù)改進(jìn)的機(jī)會(huì) 改善客戶信心和滿意度 改

37、進(jìn)運(yùn)作的表現(xiàn),稽核目標(biāo),審查安全系統(tǒng)對(duì)BS7799的符合性 審查BS7799的實(shí)施程度 審查系統(tǒng)的有效性和適切性，以符合安全政策和目標(biāo) 鑑別安全漏洞和弱點(diǎn) 提供改進(jìn)ISMS的機(jī)會(huì) 符合合約和法規(guī)的要求 驗(yàn)證需求,驗(yàn)證流程,詢問 申請(qǐng) 預(yù)評(píng)(選擇性的) 文件審查(階段1) 六週為最大的間隔(UKAS) 階段2的正式評(píng)鑑 頒發(fā)證書 持續(xù)評(píng)鑑 每三年部份階段1和全部的階段2審查(UKAS),稽核生命週期,稽核的生命週期通常稱為P.E.R.CPlanning 計(jì)畫Execution執(zhí)行Recording紀(jì)錄Close out結(jié)案,稽核計(jì)劃,考量點(diǎn)有： 組織的大小和性質(zhì) 員工數(shù)量 系統(tǒng)複雜度 ISMS的

38、範(fàn)圍 涉及的地點(diǎn)和數(shù)目 資訊類型 文件或電子的 文化 語言,稽核計(jì)劃,準(zhǔn)備流程： 決定目標(biāo) 決定稽核的持續(xù)時(shí)間和所需資源 選擇小組 與被稽核者聯(lián)絡(luò)同意稽核日期 起草一份稽核計(jì)畫 簡(jiǎn)報(bào)小組 準(zhǔn)備檢查表 鑑別特殊的要求,稽核計(jì)劃,BS7799稽核應(yīng)該被計(jì)畫和處理，根據(jù)風(fēng)險(xiǎn)評(píng)鑑的結(jié)果和適用性聲明中鑑別的控制措施。 稽核計(jì)畫應(yīng)該要包含主要的控制措施。 每個(gè)活動(dòng)的稽核應(yīng)該要包括適當(dāng)?shù)腂S7799從屬條款，包括附錄A。 稽核計(jì)畫的準(zhǔn)備將因企業(yè)和公司的不同而有所差異。,階段2：稽核計(jì)劃,第二階段的稽核計(jì)畫應(yīng)該在第一階段完成時(shí)，且在第二階段開始前完成。 計(jì)畫必須反映ISMS的範(fàn)圍。 稽核必須被計(jì)畫，以縮小對(duì)營

39、運(yùn)的干擾。 在稽核開始前，特殊的資源應(yīng)該在計(jì)畫中被鑑別。,階段2：稽核計(jì)劃,由主導(dǎo)稽核員準(zhǔn)備 經(jīng)過客戶同意的 具有可變更的彈性 包括稽核目標(biāo)和範(fàn)圍 鑑別目標(biāo)和範(fàn)圍內(nèi)相關(guān)人員的責(zé)任 鑑別參考用文件 鑑別稽核小組成員,稽核時(shí)所用的語言 鑑別應(yīng)稽核的區(qū)域 每個(gè)重大稽核活動(dòng)預(yù)期的時(shí)間 會(huì)議的行程表 機(jī)密性要求 稽核報(bào)告的分配和發(fā)佈時(shí)間 解決任何有關(guān)稽核計(jì)畫問題,階段2：稽核計(jì)劃可用的資訊,文件審查的結(jié)果 安全手冊(cè)及程序 管理重點(diǎn) 高風(fēng)險(xiǎn)區(qū)域 安全問題 先前的內(nèi)部審查 服務(wù)/產(chǎn)品資訊 稽核員的經(jīng)驗(yàn),被稽核方的責(zé)任,同意或澄清計(jì)劃安排 與所有部門溝通此安排 要求管理階層參加會(huì)議 安排相關(guān)人員以便接受稽核

40、要求所有人員全面合作 安排引導(dǎo)人員 為稽核員安排辦公室設(shè)施,稽核方法,流程稽核方法 部門的稽核方法 公司的位置 遍及組織之“共通”條款的應(yīng)用 確保適當(dāng)?shù)臅r(shí)間被分配到各個(gè)區(qū)域,稽核目的,收集客觀證據(jù)，以便對(duì)資訊安全管理系統(tǒng)的狀態(tài)和有效性做出綜合判斷。,客觀證據(jù),資訊、紀(jì)錄或事實(shí)的聲明 也許是定性或定量 一個(gè)資訊安全系統(tǒng)要素的存在和實(shí)施 基於觀察、測(cè)量或測(cè)試 能夠被驗(yàn)證的,獲得客觀證據(jù)的技巧,面談 觀察 抽樣 審查文件 審查紀(jì)錄 總結(jié)、分析和評(píng)估,抽樣,從主要的活動(dòng)中選出有代表性的樣本。 給予高風(fēng)險(xiǎn)區(qū)域優(yōu)先權(quán)。 子控制措施應(yīng)被選擇。 稽核員必須決定大小和選擇。 抽樣大小應(yīng)取決於信心是否能被確保。

41、必須代表活動(dòng)的稽核。 如果抽樣結(jié)果指出無不符合事項(xiàng)，進(jìn)行下一步。 如抽樣結(jié)果指出無不符合事項(xiàng)，並不代表系統(tǒng)中沒有不符合事項(xiàng)。 確認(rèn)稽核員和被稽核方都了解。 責(zé)任在控制全部區(qū)域的被稽核方。,檢查表的好處,使稽核目標(biāo)清楚 稽核計(jì)畫的證據(jù) 保持稽核節(jié)奏和連續(xù)性 減少稽核員的偏見 減少稽核流程中的工作負(fù)荷,檢查表的缺點(diǎn),如果檢查表示以下列形式呈現(xiàn)，則會(huì)失去價(jià)值。 打勾的方式 問卷 將檢查表準(zhǔn)備成備忘錄形式。,檢查表的準(zhǔn)備,將標(biāo)準(zhǔn)條文轉(zhuǎn)換成問題。 運(yùn)用這些問題和安全手冊(cè) 計(jì)畫查看什麼和尋找的證據(jù) 考慮抽樣大小 準(zhǔn)備檢查表,稽核檢查表,稽核檢查表的準(zhǔn)備。 檢查表是一種確?；说纳疃群统掷m(xù)性的重要輔助工具。

42、 檢查表應(yīng)能夠代表稽核的區(qū)域。 檢查表應(yīng)被以溝通運(yùn)作和流程的形式來準(zhǔn)備。 檢查表不應(yīng)有“是”或“否”的答案。應(yīng)以備忘錄的形式來準(zhǔn)備。,首次會(huì)議 考量點(diǎn),介紹 紀(jì)錄 營造稽核的氣氛 確認(rèn)稽核的目的和範(fàn)圍 審查和確認(rèn)稽核計(jì)畫 稽核小組的引導(dǎo)人員分配 稽核方法的溝通,報(bào)告方法 確認(rèn)稽核是基於抽樣方法 保密 結(jié)束會(huì)議時(shí)間 後勤 限制 澄清,稽核參加人員,稽核小組 稽核小組組長(zhǎng)及組員 見習(xí)稽核員及見習(xí)主導(dǎo)稽核員 觀察員 翻譯員、專家 見證人,被稽核方 引導(dǎo)人員 部門主管及員工 觀察員、見習(xí)人員 顧問,執(zhí)行稽核,進(jìn)入稽核區(qū)域 引導(dǎo)人員介紹 解釋你想要看什麼東西 做必要深度的調(diào)查 如果未發(fā)現(xiàn)問題，繼續(xù)下一步

43、 不要不停地堅(jiān)持稽核直到發(fā)現(xiàn)問題為止,和人溝通的技巧,讓被稽核者放輕鬆 訪問簡(jiǎn)短的問題 表現(xiàn)正面的態(tài)度，包括語氣聲調(diào)、肢體語言和臉部表情 微笑和眼神的接觸 避免打斷 避免即席的和高傲的言詞 給予適當(dāng)?shù)淖撁?詢問和聆聽 表示興趣 機(jī)智和有禮貌的 顯示耐心和理解力 除掉你的個(gè)人問題 記得說謝謝和請(qǐng) 詢問正確的人 當(dāng)你不理解時(shí)不要說你理解,稽核的控制,檢查表是僕人而不是主人 如果出現(xiàn)潛在的稽核線索，可決定 不予理睬 紀(jì)錄下來，供以後再稽核 立即跟進(jìn) 可能影響抽樣大小 可能影響稽核計(jì)畫 可能影響稽核計(jì)畫,稽核詢問技巧,稽核面談的品質(zhì)大都取決於稽核員的詢問技巧。 適當(dāng)?shù)膯栴}有助於達(dá)成稽核目標(biāo)。 被稽核方

44、應(yīng)不要因?yàn)閱栴}種類而感到威脅。問題種類應(yīng)使被稽核方感到自在。 問題應(yīng)針對(duì)與被稽核區(qū)域相關(guān)。,稽核問題,開放式 這些問題需要更多的諮詢而非僅”是”或“不是”。 封閉式 這些問題應(yīng)該誘出示或不是的答案。用來使用總結(jié)一連串的問題。 引導(dǎo)式 用來迅速獲得答案。引導(dǎo)被稽核方以得到答案。,稽核面談,使用溝通技巧 使用適當(dāng)?shù)姆Q呼和語言，如：資深主管、技術(shù)人員。 面試技巧的使用 確保有適當(dāng)?shù)娜藛T可用 表現(xiàn)興趣，隨時(shí)保持警覺 顯示你的理解 不時(shí)的 肢體語言的注意 正面的溝通 聆聽 試著不要打擾被稽核方 解釋紀(jì)錄稽核筆記的方式 隨時(shí)表現(xiàn)禮貌 接近稽核面試的完成時(shí)，總結(jié)發(fā)現(xiàn)和謝謝關(guān)心。,做筆記,紀(jì)錄客觀的證據(jù) 可接

45、受的陳述 文件編號(hào)及版本版次或文件位階 部門 被稽核方的名稱,做筆記,筆記可用於以下情況時(shí)做參考： 立即調(diào)查 以後再調(diào)查 供同事使用 以後稽核 因此筆記必須是： 清楚的 可事後做為檢索用,做筆記,稽核員應(yīng)該針對(duì)稽核的區(qū)域中所有適當(dāng)?shù)馁Y訊做紀(jì)錄，包括： 訪問的部門 看見的人員 發(fā)現(xiàn)的摘要 引用看見的文件，如程序 引用看見的紀(jì)錄，如備份記錄、軟體授權(quán)等。 被包含標(biāo)準(zhǔn)條款的引用,不符合事項(xiàng),不符合事項(xiàng)：與BS7799-2 / ISO27001:2005的要求相反的情形，某一特定的要求並未被履行。 直接與安全政策相關(guān) 違反資訊管理安全標(biāo)準(zhǔn) 違反系統(tǒng)程序或工作指示 違反法律上的要求,次要(輕微)不符合事

46、項(xiàng),定義在一個(gè)隔離的情形中，有一些適用控制措施的要求方面沒有被滿足，因此產(chǎn)生一些關(guān)於對(duì)保護(hù)敏感資料的機(jī)密性、完整性和可用性測(cè)量之適當(dāng)性的質(zhì)疑。而且表示一個(gè)輕微的風(fēng)險(xiǎn)，可能將被組織的利害關(guān)係人察覺到，被觀察到的一個(gè)單獨(dú)或偶發(fā)失誤，或隔離的意外事件。,次要(輕微)不符合事項(xiàng)的範(fàn)例,觀察到某人未遵守桌面淨(jìng)空政策 在某種場(chǎng)合中某些訪客離開大樓時(shí)未依規(guī)定登記 遺失對(duì)於網(wǎng)路存取的正式核可 備份的紀(jì)錄未在一天內(nèi)完成 未鑑別所有權(quán)人的資料存在檔案中,主要(嚴(yán)重)不符合事項(xiàng),定義失敗的實(shí)施或遵守一個(gè)或多個(gè)BS7799-2適用的控制措施條款，因此產(chǎn)生關(guān)於對(duì)保護(hù)敏感資料的機(jī)密性、完整性和可用性測(cè)量之適當(dāng)性的嚴(yán)重質(zhì)疑。而且表示一個(gè)無法接受的風(fēng)險(xiǎn)，可能將被組織的利害關(guān)係人察覺到。也是指整個(gè)系統(tǒng)控制措施或程序的失效。,主要(嚴(yán)重)不符合事項(xiàng),缺乏標(biāo)準(zhǔn)的某一個(gè)特別的要求，如政策或範(fàn)圍。 對(duì)標(biāo)準(zhǔn)的某一主要要素，沒有相關(guān)文件紀(jì)錄的程序。 系統(tǒng)、控制措施或程序的完全失效。 極高數(shù)量的不符合事項(xiàng)集中在標(biāo)準(zhǔn)中某一要素或是部門。,主要(嚴(yán)重)不符合事項(xiàng)的範(fàn)例,沒有安全政策 沒有安全事故管理系統(tǒng) 缺乏營運(yùn)持續(xù)計(jì)劃 沒有軟體授權(quán)管理 沒有正式的系統(tǒng)來管理和更新IS