ISO27001：2005信息安全管理系统 主导稽核员教材.ppt

《ISO27001：2005信息安全管理系统 主导稽核员教材.ppt》由会员分享，可在线阅读，更多相关《ISO27001：2005信息安全管理系统 主导稽核员教材.ppt（158页珍藏版）》请在三一办公上搜索。

1、ISO27001:2005信息安全管理系统-主导稽核员教材,课程大纲,ISO27001:2005法规说明附录A控制措施简介资产评估风险评鉴风险处理适用性声明书稽核,ISO27001:2005法规说明,ISO27001:2005法规说明,BS7799：分为BS7799-1和BS7799-2两部份BS7799-1:2005/ISO17799:2005主要是做为参考文件，提供广泛性的安全控制措施，作为现行信息安全之最佳作业方法，其中包含11个控制措施章节，但不作为评鉴与验证标准。BS7799-2:2005/ISO27001:2005系根据BS7799-1，提供信息安全管理系统(ISMS)之建立实施与

2、书面化之具体要求，依据个别组织的需求，规定要实施之安全控制措施的要求。,ISO27001:2005法规说明,BS7799-1:2005/ISO17799:2005信息安全管理作业要点用意是做为参考文件提供广泛性的安全控制措施现行信息安全之最佳作业方法包含11个控制章节无法作为评鉴与验证,ISO27001:2005法规说明,BS7799-2:2005/ISO27001:2005信息安全管理系统要求根据BS7799-1:2005ISMS之建立实施与文件化之具体要求依据个别组织的需求，规定要实施之安全控制措施的要求。,ISO27001:2005法规说明,信息是一种资产，就像其它重要的企业资产依样，对

3、组织具有价值，因此需要受到适当的保护。,ISO27001:2005法规说明,信息的类型书写或打印于纸上储存在电子媒体上以邮寄或电子储存媒体传输显示于企业影片上言语-在对话中提出不管信息的形式是什么，或者共享或储存的方式是什么，都应该受到适当的保护。,ISO27001:2005法规说明,信息安全保护信息的机密性、完整性与可用性；另外，亦可包含如可鉴别性(真实性)、可归责性、不可否认性及可靠性等特性。,ISO27001:2005法规说明,机密性(Confidentiality)信息不可被未经授权之个人、实体、流程所取得或揭露之特性。完整性(Integrity)保护资产准确性和完整性之特性。可用性(

4、Avaliability)基于需要可由授权者存取及使用之特性。,ISO27001:2005法规说明,关键的成功因素(Critical success factors)经验显示，组织的信息安全能否成功实施，下列常为关键因素：能反映营运目标的信息安全政策、目标及活动。与组织文化一致之实施、维护、监控、及改进信息安全的方法与框架。来自所有管理阶层的实际支持和承诺。对信息安全要求、风险评鉴以及风险管理的深入了解。向全体管理人员、受雇人员、及相关人员有效推广信息安全以达到认知。资助信息安全管理活动。提供适切的认知、训练及教育。制定有效的信息安全事故管理过程。实施个用于评估ISMS的绩效及改进的回馈建议之

5、量测系统。,ISO27001:2005法规说明,4.Information security management system,4.1 一般要求組織應在整體業務活動與所面臨風險下建立、實施、操作、監控、審查、維護及改進一文件化ISMS，為本國際標準之目的，所採用之過程以下圖所示之PDCA模式為基礎。,4.Information security management system,4.2 資訊安全管理系統之建立及管理,4.2.1 建立資訊安全管理系統組織應：依據業務、組織、所在位置、資產及技術等特性，定義資訊安全管理系統之範圍及界限，並包括任何自範圍排除之細節及理由。依據業務、組織、所在位置

6、、資產及技術等特性，定義資訊安全管理系統之政策，且：包含設定目標之框架，並建立有關資訊安全之整體方向亦是與行動原則。考慮企業及法律或法規要求，以及合約性的安全責任。與組織策略性之風險管理內容配合，使ISMS得以建立及維持。建立評估風險之標準，及被管理階層核准。,4.2 資訊安全管理系統之建立及管理,定義組織之風險評鑑辦法鑑別一風險評鑑方法論，並適合其ISMS、已鑑別之企業資訊安全、以及法律與法規要求。發展可接受風險之標準以及鑑別風險至可接受的程度。所選擇之風險評鑑方法論應確保產出可比較及可重複之結果。鑑別各項風險鑑別ISMS控制範圍內之資產以及該資產之擁有者(owner)。擁有者(owner)

7、一詞係指已核准資產管理責任之個人或實體，針對資產之生產、開發、維護、使用及安全之管制。擁有者(owner)一詞並不是指實際具有資產產權之人員。,4.2 資訊安全管理系統之建立及管理,分析及評估各項風險鑑別並評估風險處理之選項方法選擇控制目標及控制措施以處理風險：應選擇並實施控制目標與控制措施，以符合風險評鑑與風險處理過程所鑑別之要求。控制目標與控制措施應於本標準之附錄A中加以選擇，為此過程的一部份並適當滿足所鑑別之要求。,4.2 資訊安全管理系統之建立及管理,所提出之殘餘風險須取得管理階層之核准ISMS亦須獲得授權才能實施與操作擬訂一份適用性聲明書，須包括下列：於4.2.1節所選擇之管制目標與

8、控制措施，其選擇之理由。現行已實施之控制目標與控制措施。附錄A中任何排除之控制目標與控制措施，及其排除之正當理由。,4.2 資訊安全管理系統之建立及管理,4.2.2 資訊安全管理系統之實施與操作組織應有系統的陳述一項風險處理計畫以鑑別適當管理措施、資源、權責及優先順序，以便管理資訊安全風險。實施風險處理計畫，以達到所鑑別的安全目標，計畫內容包括投資的考慮以及角色與責任的分派。實施4.2.1所選之控制措施以符合管制目標。定義如何測量所選擇控制措施或控制措施群組織有效，及具體說明如何使用這些測量來評估控制措施之有效性，並產出可比較即可再現的結果。實施訓練與認知計畫。管理ISMS作業。管理ISMS資

9、源。實施能即時偵知安全事故，並予以回應安全事件處理之作業程序及其他控制措施。,4.2 資訊安全管理系統之建立及管理,4.2.3 資訊安全管理系統之監控及審查執行監控與審查程序及其他控制措施，以便：立即偵知系統處理結果之錯誤。立即鑑別企圖及已成功之安全破壞及事故。促使管理階層決定是否委託他人或藉由資訊技術之實施均已如預期般實行。使用指標幫助偵測安全事件並防止安全事故。決定所採取解決安全漏洞之措施是否有效。定期審查ISMS之有效性(包含符合ISMS政策、目標及控制措施之審查)，並考慮來自安全稽核、事件、來自有效性量測之結果、股東及利害關係團體之建議及回饋之結果。測量控制措施有效性，以確認符合安全要

10、求。,4.2 資訊安全管理系統之建立及管理,在規劃期間審查風險評鑑及審查殘餘風險，與鑑別之可接受風險等級，並考慮下列之變數：組織技術企業目標及過程已鑑別之威脅控制措施實施有效性外部事件，例如法律或法規環境之變化、合約責任之變化，以及社會環境之變化。在規劃期間執行內部ISMS稽核內部ISMS稽核有時稱為第一方稽核，是由組織自己或其代表基於內部目的所實施。,4.2 資訊安全管理系統之建立及管理,定期執行ISMS管理階層審查，以確保範圍保持適當，及ISMS過程之各項改進均已鑑別。考量監控與審查活動之發現，更新安全計畫。紀錄對ISMS之有效性或績效有衝擊之活動與事件。,4.2 資訊安全管理系統之建立及

11、管理,4.2.4 維持及改進資訊安全管理系統組織應定期進行下述：實施ISMS所鑑定之改進活動。依據第8.2及8.3節採取適當矯正及預防措施。採用從其他組織及本身之安全經驗吸取教訓。以適切於情況的詳盡程度與所有利害相關團體就各項措施及改進活動進行溝通，並在適當時取得進行方式的同意。確保各項改進措施達到預期目標。,4.3 文件要求,4.3.1 一般要求文件應包括管理決策紀錄，確保相關活動可追溯至管理決策與政策，並確保所紀錄之結果是可再現的。重要的是能夠證明所選擇之控制措施回溯至風險評鑑與風險處理過程結果，及回溯至ISMS政策及目標之關聯性。資訊安全管理系統文件應包含：ISMS政策與安全目標之書面聲

12、明資訊安全管理系統之範圍支援ISMS之相關程序書及控制措施風險評鑑方法論之說明書風險處理計畫,4.3 文件要求,組織為確保有效規畫、操作與控制資訊安全過程，及說明如何量測控制措施有效所需之書面程序。本國際標準要求之各紀錄。適用性聲明書。所有文件應依據ISMS之政策要求隨時可供取用。,4.3 文件要求,ISMS文件的廣度，其範圍和細節取決於：產品和流程的複雜性顧客和法規的要求工業標準和規範教育、經驗和訓練勞動力的穩定性過去發生的安全問題,4.3 文件要求,Level 1安全政策手冊為管理架構的摘要，其中包括了資訊安全政策和控制措施目標，以及適用性聲明書中所提及已實施的控制措施。Level 2程序

13、程序用來實施所要求的控制措施，描述who、what、when、where等安全流程和不同部門間的控制措施。,4.3 文件要求,Level 3工作指導書、檢查清單、表格等解釋特殊工作和活動的細節，以及如何完成特定的工作。包括詳細的工作指導書、表單、流程圖、服務標準和系統手冊等。Level 4紀錄紀錄活動實行以符合等級1、2和3文件要求的客觀證據。可能是強制性的隱含在每個BS7799條款中。例如：機房訪客登記簿、稽核記錄和存取授權等。,4.3 文件要求,4.3.2 文件管制ISMS所需之文件應受保護和管制。應建立文件化程序，以界定所需之管理措施，用以：在文件發行前核准其適切性。必要時，審查和更新並

14、重新核准文件。確保文件之變更與最新改訂狀況已予以識別。確保在使用場所備有相關適用版次文件。確保文件保持易於閱讀並容易識別。確保有需要之人員均有文件可用，且依照其適用之傳遞、儲存及最終處理予以分類。確保外來原始文件已加以識別。確保文件分發已管制。防止失效文件被誤用。過期文件為任何目的需保留時，應予以適當識別。,4.3 文件要求,4.3.3 紀錄管制為提供ISMS符合要求及有效運作之證據，所建立並維持之紀錄，應予以保護級管制。ISMS應將相關法律或法規要求及合約責任列入考量。紀錄應清晰易讀，容易檢索及識別。為了紀錄之鑑別、儲存、保護、檢索、保存期限及報廢，應建立文件化程序，以界定所需之管制。所需之

15、紀錄及其範圍應由管理過程加以決定。紀錄應加以保存，如4.2節所述各項過程之績效，以及所有與ISMS有關之重大安全事故紀錄。,5.管理階層責任,5.1 管理階層承諾管理階層應藉由下列各項，對ISMS之建立、實施、操作、監控、審查、維護與改進之承諾提供證據：建立一份ISMS政策。確保建立各項ISMS目標及計畫。為資訊安全建立角色與權責。向全組織傳達符合資訊安全目標、遵守資訊安全政策、在法律下要求之權責，以及持續改進之需求。提供充分資源以建立、實施、操作、監控、審查、維護與改進ISMS。決定可接風險之標準，以及可接受風險之等級。確保實施內部ISMS稽核。執行ISMS之管理階層審查。,5.2 資源管理

16、,5.2.1 資源提供組織應決定並提供下列工作必要之資源：建立、實施、操作、監控、審查、維護與改進ISMS。確保資訊安全程序足以支持企業的需求。藉由修改所有實行的控制措施，來維持適當的安全。5.2.2 訓練、認知及能力組織應確保在ISMS中規定有責任之所有員工，有能力藉由下述執行所要求的工作，包括：決定執行影響ISMS工作之人員其所需之能力。提供訓練或採取其他措施(如：僱用具備能力之人員)，以滿足該需求。評估所提供訓練及所採取措施之有效性。維持教育、訓練、技巧、經驗及資格之紀錄。組織亦應確保所有相關人員已認知其所從事的資訊安全活動之相關性及重要性，以及他們如何對ISMS之目標達成有所貢獻。,6

17、.內部ISMS稽核,組織應定期進行內部ISMS稽核已決定其控制措施目標、過程及程序是否：符合本標準及相關法律或管理的要求符合所識別的資訊安全要求有效的實作與維護如預期的執行稽核計畫應事先規劃，考慮稽核的過程與區域之狀況及重要性，以及先前稽核的結果。稽核準則、範圍、頻率及方法應予以界定。稽核人員的選擇與稽核的執行應確保稽核過程的客觀及公平。另外，稽核人員不應稽核其本身的工作。,6.內部ISMS稽核,規劃與執行稽核，及報告結果與維持紀錄之責任與要求。應以書面程序予以界定。被稽核區域管理階層之責任，應確保採行措施沒有不當之延誤，以消除所發現之不符合與其原因。跟催活動應包括所採行措施之查證，與查證結果

18、之報告。,7.ISMS之管理階層審查,7.1 概述管理階層應在規劃期間內(至少一年一次)，審查組織的ISMS，以確保其持續的適用性、適切性及有效性。審查應包含改進時機之評估，以及ISMS變更之需求，含資訊安全政策與資訊安全目標。審查結果應予以清楚的文件化，紀錄應予以維持。,7.ISMS之管理階層審查,7.2 審查輸入管理階層審查輸入應包括下列資訊：ISMS稽核與審查之結果。來自利害相關團體之回饋。可用以改進組織ISMS績效及有效性之技術、產品或程序。預防與矯正措施之狀況。先前風險評鑑未適切提出之脆弱性或威脅。來自有效性量測之結果。先前管理階層審查之跟催措施。可能影響ISMS之任何變更。改進之建

19、議。,7.ISMS之管理階層審查,7.3 審查輸出管理階層審查之輸出應包括下列有關之任何決定與措施：ISMS有效性之改進。更新風險評鑑及風險處理計畫。未因應可能影響ISMS之內部或外部事件，必要時將影響資訊安全之程序及控制措施予以修訂，包括營運需求安全需求影響既有營運需求之營運過程法令或法規要求合約責任風險等級風險可接受程度之標準資源需求。測量控制措施有效性之改進。,8.ISMS之改進,8.1 持續的改進尋求持續的改進透過下列改進ISMS的有效性安全政策安全目標安全審查的結果安全稽核矯正措施預防措施管理審查,8.ISMS之改進,8.2 矯正措施應該採取措施以消除不合格的原因，避免復發。在ISM

20、S內的書面程序應該定義：鑑別不符合事項確定原因評估避免復發所需的活動確定和實施矯正措施紀錄結果審查行動的有效性,8.ISMS之改進,8.3 預防措施為防止不符合事項發生，組織應決定措施，消除ISMS要求之潛在不符合事項之原因，以防止其發生。所採取之預防措施應與潛在問題之影響相稱。預防措施之文件化程序應訂出以下要求：鑑別潛在的不符合與其原因。評估採取預防發生不符合措施的需求。決定並實施所需之措施。紀錄所採取措施之結果。審查所採用之預防措施。組織應鑑別已變化之風險及鑑別預防措施要求之焦點放在顯著變化之風險上。預防措施之優先順序應依據風險評鑑之結果加以決定。,課程大綱,ISO27001:2005法規

21、說明附錄A控制措施簡介資產評估風險評鑑風險處理適用性聲明書稽核,ISO27001:2005(BS7799-2:2005)控制措施,ISO27001:2005(BS7799-2:2005)控制措施,ISO27001:2005(BS7799-2:2005)控制措施,ISO27001:2005(BS7799-2:2005)控制措施,ISO27001:2005(BS7799-2:2005)控制措施,ISO27001:2005(BS7799-2:2005)控制措施,ISO27001:2005(BS7799-2:2005)控制措施,ISO27001:2005(BS7799-2:2005)控制措施,ISO2

22、7001:2005(BS7799-2:2005)控制措施,ISO27001:2005(BS7799-2:2005)控制措施,ISO27001:2005(BS7799-2:2005)控制措施,ISO27001:2005(BS7799-2:2005)控制措施,ISO27001:2005(BS7799-2:2005)控制措施,ISO27001:2005(BS7799-2:2005)控制措施,ISO27001:2005(BS7799-2:2005)控制措施,ISO27001:2005(BS7799-2:2005)控制措施,ISO27001:2005(BS7799-2:2005)控制措施,不是所有的控制

23、措施都與每種情況相關，也無法考量到所有的當地環境或技術限制，或以適合組織內每位潛在使用者形式呈現。,課程大綱,ISO27001:2005法規說明附錄A控制措施簡介資產評估風險評鑑風險處理適用性聲明書稽核,資產評估,BS7799要求所有資產的詳細清冊應被制定和維護，以及這些資產的可歸責應被定義。,資產評估,何謂資產？資產就是對組織有價值的任何事物。是組織直接賦予價值且需要被保護的。必須是相關於ISMS的範圍。,資產評估,ISMS資產分類可分為：資訊資產 如資料檔案、使用手冊等。書面文件 如合約書、指南等。軟體資產 如應用程式、系統軟體等。實體資產 如電腦、磁碟片等。人員 員工公司形象與聲望服務

24、如通訊、技術等。,資產評估,資產價值和潛在衝擊組織已經鑑別其資訊資產的價值嗎？決定每個資產價值是決定一個有效率安全政策的第一步。是什麼樣的系統？14或是低到非常高這是風險評鑑過程中極為重要的部份。,資產評估,資產價值對於BS7799:2005/ISO27001:2005來說，資產並不一定包括組織內一般視為有價值的所有事物。組織必須自行決定哪些資產的缺乏或降級可能實際影響產品或服務的交付。,課程大綱,ISO27001:2005法規說明附錄A控制措施簡介資產評估風險評鑑風險處理適用性聲明書稽核,風險評鑑,安全風險安全風險是指特定威脅利用脆弱性，造成資產或資訊資產損失或損毀的潛在可能。BS7799的

25、實施和驗證是基於正式風險評鑑的結果。評鑑風險資訊保護是基於防範營運資訊之風險，此為本國際標準的基礎，使組織能夠採取適當的安全控制措施。若安全控制措施太少，則營運資訊會暴露在各種風險當中；若太多則會導致企業負擔過多的成本。,風險評鑑,組織必須定義(並製成文件)其風險評鑑的方法。4.2.1 C這也表示選擇與文件化之風險評鑑方法論，可使風險評鑑產生可比較與可重複(再現)的結果。4.2.1C和4.2.3 D現在風險評鑑規定必須有計畫地定期進行審查，並且讓管理階層審查更新的風險評鑑與風險處理計畫。7.3 B此活動必須至少一年執行一次，是ISMS管理審查的一部份。7.1,風險評鑑,在稽核的過程中，稽核員會

26、注意所選用之控制措施予風險處理過程之間的關係，這些控制措施需溯及風險評鑑的結果，並溯及ISMS的政策與目標。,風險評鑑,風險評鑑過程鑑別資產和指派資產價值。鑑別資產的相關威脅和評鑑它們的可能性。鑑別脆弱性和評鑑它們可能如何被利用。鑑別如何藉由控制措施的實施以提供保護。評鑑上述之全面的風險結果。,風險評鑑,威脅宣告意圖造成損害、痛苦或不幸。可能造成一個有害的事件，且這事件可能對系統、組織和資產造成傷害。蓄意的或是意外的，人為的或是天災的。資產容易受到許多威脅，這些威脅來自於利用脆弱性。,風險評鑑,威脅天災 洪水、暴風、地震和閃電等。人為 人員短缺、錯誤維護、使用者操作錯誤等。科技的 網路故障、流

27、量超過負荷、硬體故障等。蓄意的威脅意外的威脅威脅頻率,風險評鑑,脆弱性脆弱性是組織資訊安全的漏洞或弱點。脆弱性本身並不會造成傷害，而是可能允許威脅影響資產的一種或多種情況。脆弱性如果沒有適當管理，將促使威脅形成。,風險評鑑,脆弱性關鍵人員的缺席不穩定的動力未保護的電纜線安全意識的缺乏密碼權限的錯誤分配安全訓練的不足未安裝防火牆未鎖的門,風險評鑑,風險評鑑的工具和方法Q:BS7799建議什麼工具？A:風險評鑑應該鑑別對組織資產的威脅、脆弱性和衝擊，而且應該決定風險程度。,課程大綱,ISO27001:2005法規說明附錄A控制措施簡介資產評估風險評鑑風險處理適用性聲明書稽核,風險處理,風險處理計畫

28、風險處理計畫是定義行動以降低無法接受的風險，和實施所需的控制措施以保護資訊的一種合作文件。,風險處理,風險處理方向避免風險降低風險到可接受程度轉移風險接受剩餘的風險,風險處理,可接受風險的等級要達到完全的風險是不可能的。總是有剩餘的風險。什麼樣程度的剩餘風險能為組織所接受？,風險處理,需考量的因素有：地點已存在的安全攻擊者的數量可用的設施累積的機會宣傳層次營運持續計劃,風險處理,風險處理的步驟定義一個可接受的殘餘風險等級。持續的審查威脅和脆弱性。對已存在之安全控制措施的審查。應用其它安全控制措施，如BS7799。導入政策和程序。,風險處理,控制措施的選擇風險要求的保證程度(即強度)成本實施的容

29、易性服務法律和法規的要求客戶和其它的合約要求,風險處理,成本預算限制。用控制措施的成本是否會超過資產本身的價值？也許必須選擇”最佳價值”範圍內的控制措施。,風險處理,實施的容易性環境是否支援控制措施？控制措施需要多久才有辦法開始實施？控制措施是否立即可用的？,風險處理,服務可獲得的技術是否能夠管理控制措施？是否能夠立即的升級？設備是否有當地工程師或協力廠商的支援？,風險處理,客戶和其它合約的要求安全篩選受限制的存取實體的安全邊界資料儲存加密數位簽章,風險處理,最佳作業的控制措施資訊安全政策文件資訊安全責任的分配資訊安全教育和訓練應用系統的正確處理技術脆弱點管理營運持續管理管理資訊安全事故和改善

30、,風險處理,測量控制措施的有效性與4.2.2連接，用以監控ISMS的有效性。在規劃期間審查風險評鑑及審查剩餘風險與鑑別之可接受風險等級，以考慮控制措施實施有效性之變化。幫助監控已實施控制措施的效果。,風險處理,風險評鑑過程資產鑑別與價值評估威脅的鑑別脆弱性的鑑別衝擊的評估營運風險風險的分級風險管理過程現有的安全控制措施審查新安全控制措施的鑑別政策與程序實施與風險降低風險可接受度(殘餘風險),課程大綱,ISO27001:2005法規說明附錄A控制措施簡介資產評估風險評鑑風險處理適用性聲明稽核,適用性聲明,是組織選擇適合其企業營運需求的目標與控制措施評論。聲明也將記錄任何控制措施的排除。聲明是展示

31、組織如何控制風險的文件，應該沒有太多的細節能夠讓想要破壞安全的人取得寶貴的資訊。它可能會被潛在的商業夥伴所要求持有的獨立文件，或是成為驗證機構所頒發證書的附加資訊，因此它有可能會是公開的資訊。,適用性聲明,適合其企業需求的目標與控制措施評論。證明哪些控制措施是相關的紀錄哪些不相關的控制措施風險評鑑將決定哪一些控制措施應該被實施是完整文件審查的一部份將幫助決定最後評鑑階段的稽核計畫,適用性聲明,如果要求未被實施，為什麼？風險因未暴露而未被確認預算、財務限制環境影響防護措施，如氣候、空間等。技術，有些措施是技術上不可行的。文化、社會限制時間，有些要求無法現在實施。其它,課程大綱,ISO27001:

32、2005法規說明附錄A控制措施簡介資產評估風險評鑑風險處理適用性聲明稽核,稽核,至少需執行兩個階段而且都須見別隊BS7799-2和ISO27001:2005的符合性。稽核階段1 文件審查審查ISMS核心要素。稽核階段2 實施稽核在現場進行，對政策、程序、和目標的有效性進行審查。,稽核階段1 文件審查,目標為稽核計畫(階段2)提供重點，藉此了解組織安全政策和目標中ISMS的背景脈絡，尤其是為了稽核所做的準備聲明。,稽核階段1 文件審查,主要活動審查ISMS管理架構確定ISMS範圍風險評鑑和管理適用性聲明安全政策和支援的關鍵程序發現結果的正式報告對組織解釋階段2,稽核階段2 實施稽核,目標證明組織

33、遵守本身的政策、目標和程序。證明ISMS遵照所有ISMS標準或規範文件的要求，而且達成組織的政策目標。測試ISMS的有效性。,稽核階段2 實施稽核,主要活動訪問ISMS的所有權人和使用者審查高、中或低風險區域安全目標及標的安全和管理審查系統中核心文件的連結報告發現事項和做出最後是否發證之建議,稽核員的類型,第三方稽核員為獨立驗證機構。第二方稽核員有從屬關係之組織。第一方稽核員自己的部門、單位。,稽核專有名詞解釋,稽核員(Auditor)一個有資格去執行安全稽核的人。主導稽核員(Lead Auditor)一個被指定管理安全稽核的稽核員。客戶(Client)被稽核的組織。被稽核方(Auditee)

34、組織中被稽核的人。,主導稽核員的責任,在階段1之前指派計劃和管理所有的稽核階段執行階段1的稽核協助小組及對小組簡報控制衝突和處理困難的情形執行和控制所有的小組和被稽核者間的會議在稽核議題和ISMS上做決定準時報告稽核的結果報告所遭遇的阻礙即時報告重大的不符合事項具備有效的溝通技巧,稽核員的責任,支援小組組長需有準備的參與首次和結束會議完成指派的工作依照時間表完成稽核和稽核範圍記錄和支援所有發現及時向被稽核方通報有關情況完善地保存所有文件保守機密需客觀和合乎道德的追蹤矯正措施,稽核員的角色,独立的和客观的评鉴ISMS没有偏见和影响ISMS的有效性实施的程度稽核的计划和管理记录和报告发现所有涉及稽

35、核的当事人必须尊重稽核员的完整性和独立性,稽核員的素質,注重實際的理解複雜的狀況了解組織裡的交互關係遵守機密性要求專業的獨立的心胸開闊的成熟的具有明智的判斷具有分析技巧具洞察力堅韌的,安全稽核的利益,為安全審查時資訊的關鍵來源展示資深管理階層的承諾改進人員認知、參與和動機提供持續改進的機會改善客戶信心和滿意度改進運作的表現,稽核目標,審查安全系統對BS7799的符合性審查BS7799的實施程度審查系統的有效性和適切性，以符合安全政策和目標鑑別安全漏洞和弱點提供改進ISMS的機會符合合約和法規的要求驗證需求,驗證流程,詢問申請預評(選擇性的)文件審查(階段1)六週為最大的間隔(UKAS)階段2的

36、正式評鑑頒發證書持續評鑑每三年部份階段1和全部的階段2審查(UKAS),稽核生命週期,稽核的生命週期通常稱為P.E.R.CPlanning 計畫Execution執行Recording紀錄Close out結案,稽核計劃,考量點有：組織的大小和性質員工數量系統複雜度ISMS的範圍涉及的地點和數目資訊類型 文件或電子的文化語言,稽核計劃,準備流程：決定目標決定稽核的持續時間和所需資源選擇小組與被稽核者聯絡同意稽核日期起草一份稽核計畫簡報小組準備檢查表鑑別特殊的要求,稽核計劃,BS7799稽核應該被計畫和處理，根據風險評鑑的結果和適用性聲明中鑑別的控制措施。稽核計畫應該要包含主要的控制措施。每個活

37、動的稽核應該要包括適當的BS7799從屬條款，包括附錄A。稽核計畫的準備將因企業和公司的不同而有所差異。,階段2：稽核計劃,第二階段的稽核計畫應該在第一階段完成時，且在第二階段開始前完成。計畫必須反映ISMS的範圍。稽核必須被計畫，以縮小對營運的干擾。在稽核開始前，特殊的資源應該在計畫中被鑑別。,階段2：稽核計劃,由主導稽核員準備經過客戶同意的具有可變更的彈性包括稽核目標和範圍鑑別目標和範圍內相關人員的責任鑑別參考用文件鑑別稽核小組成員,稽核時所用的語言鑑別應稽核的區域每個重大稽核活動預期的時間會議的行程表機密性要求稽核報告的分配和發佈時間解決任何有關稽核計畫問題,階段2：稽核計劃可用的資訊,

38、文件審查的結果安全手冊及程序管理重點高風險區域安全問題先前的內部審查服務/產品資訊稽核員的經驗,被稽核方的責任,同意或澄清計劃安排與所有部門溝通此安排要求管理階層參加會議安排相關人員以便接受稽核要求所有人員全面合作安排引導人員為稽核員安排辦公室設施,稽核方法,流程稽核方法部門的稽核方法公司的位置遍及組織之“共通”條款的應用確保適當的時間被分配到各個區域,稽核目的,收集客觀證據，以便對資訊安全管理系統的狀態和有效性做出綜合判斷。,客觀證據,資訊、紀錄或事實的聲明也許是定性或定量一個資訊安全系統要素的存在和實施基於觀察、測量或測試能夠被驗證的,獲得客觀證據的技巧,面談觀察抽樣審查文件審查紀錄總結、

39、分析和評估,抽樣,從主要的活動中選出有代表性的樣本。給予高風險區域優先權。子控制措施應被選擇。稽核員必須決定大小和選擇。抽樣大小應取決於信心是否能被確保。必須代表活動的稽核。如果抽樣結果指出無不符合事項，進行下一步。如抽樣結果指出無不符合事項，並不代表系統中沒有不符合事項。確認稽核員和被稽核方都了解。責任在控制全部區域的被稽核方。,檢查表的好處,使稽核目標清楚稽核計畫的證據保持稽核節奏和連續性減少稽核員的偏見減少稽核流程中的工作負荷,檢查表的缺點,如果檢查表示以下列形式呈現，則會失去價值。打勾的方式 問卷將檢查表準備成備忘錄形式。,檢查表的準備,將標準條文轉換成問題。運用這些問題和安全手冊 計

40、畫查看什麼和尋找的證據考慮抽樣大小準備檢查表,稽核檢查表,稽核檢查表的準備。檢查表是一種確保稽核的深度和持續性的重要輔助工具。檢查表應能夠代表稽核的區域。檢查表應被以溝通運作和流程的形式來準備。檢查表不應有“是”或“否”的答案。應以備忘錄的形式來準備。,首次會議 考量點,介紹 紀錄營造稽核的氣氛確認稽核的目的和範圍審查和確認稽核計畫稽核小組的引導人員分配稽核方法的溝通,報告方法確認稽核是基於抽樣方法保密結束會議時間後勤限制澄清,稽核參加人員,稽核小組稽核小組組長及組員見習稽核員及見習主導稽核員觀察員翻譯員、專家見證人,被稽核方引導人員部門主管及員工觀察員、見習人員顧問,執行稽核,進入稽核區域引

41、導人員介紹解釋你想要看什麼東西做必要深度的調查如果未發現問題，繼續下一步不要不停地堅持稽核直到發現問題為止,和人溝通的技巧,讓被稽核者放輕鬆訪問簡短的問題表現正面的態度，包括語氣聲調、肢體語言和臉部表情微笑和眼神的接觸避免打斷避免即席的和高傲的言詞給予適當的讚美詢問和聆聽表示興趣機智和有禮貌的顯示耐心和理解力除掉你的個人問題記得說謝謝和請詢問正確的人當你不理解時不要說你理解,稽核的控制,檢查表是僕人而不是主人如果出現潛在的稽核線索，可決定不予理睬紀錄下來，供以後再稽核立即跟進可能影響抽樣大小可能影響稽核計畫可能影響稽核計畫,稽核詢問技巧,稽核面談的品質大都取決於稽核員的詢問技巧。適當的問題有助

42、於達成稽核目標。被稽核方應不要因為問題種類而感到威脅。問題種類應使被稽核方感到自在。問題應針對與被稽核區域相關。,稽核問題,開放式 這些問題需要更多的諮詢而非僅”是”或“不是”。封閉式 這些問題應該誘出示或不是的答案。用來使用總結一連串的問題。引導式 用來迅速獲得答案。引導被稽核方以得到答案。,稽核面談,使用溝通技巧使用適當的稱呼和語言，如：資深主管、技術人員。面試技巧的使用確保有適當的人員可用表現興趣，隨時保持警覺顯示你的理解 不時的肢體語言的注意 正面的溝通聆聽 試著不要打擾被稽核方解釋紀錄稽核筆記的方式隨時表現禮貌接近稽核面試的完成時，總結發現和謝謝關心。,做筆記,紀錄客觀的證據可接受的

43、陳述文件編號及版本版次或文件位階部門被稽核方的名稱,做筆記,筆記可用於以下情況時做參考：立即調查以後再調查供同事使用以後稽核因此筆記必須是：清楚的可事後做為檢索用,做筆記,稽核員應該針對稽核的區域中所有適當的資訊做紀錄，包括：訪問的部門看見的人員發現的摘要引用看見的文件，如程序引用看見的紀錄，如備份記錄、軟體授權等。被包含標準條款的引用,不符合事項,不符合事項：與BS7799-2/ISO27001:2005的要求相反的情形，某一特定的要求並未被履行。直接與安全政策相關違反資訊管理安全標準違反系統程序或工作指示違反法律上的要求,次要(輕微)不符合事項,定義在一個隔離的情形中，有一些適用控制措施的

44、要求方面沒有被滿足，因此產生一些關於對保護敏感資料的機密性、完整性和可用性測量之適當性的質疑。而且表示一個輕微的風險，可能將被組織的利害關係人察覺到，被觀察到的一個單獨或偶發失誤，或隔離的意外事件。,次要(輕微)不符合事項的範例,觀察到某人未遵守桌面淨空政策在某種場合中某些訪客離開大樓時未依規定登記遺失對於網路存取的正式核可備份的紀錄未在一天內完成未鑑別所有權人的資料存在檔案中,主要(嚴重)不符合事項,定義失敗的實施或遵守一個或多個BS7799-2適用的控制措施條款，因此產生關於對保護敏感資料的機密性、完整性和可用性測量之適當性的嚴重質疑。而且表示一個無法接受的風險，可能將被組織的利害關係人察

45、覺到。也是指整個系統控制措施或程序的失效。,主要(嚴重)不符合事項,缺乏標準的某一個特別的要求，如政策或範圍。對標準的某一主要要素，沒有相關文件紀錄的程序。系統、控制措施或程序的完全失效。極高數量的不符合事項集中在標準中某一要素或是部門。,主要(嚴重)不符合事項的範例,沒有安全政策沒有安全事故管理系統缺乏營運持續計劃沒有軟體授權管理沒有正式的系統來管理和更新ISMS文件,確定事實,獲得被稽核方的幫助討論關心的問題驗證發現的結果紀錄所有證據確定為何是一個不符合或其他問題證明誰在現場(如果相關的話)最好是註明職位,寫一份不符合事項報告,情況使用者註冊程序UR1 01/11/01說明使用者註冊其狀態

46、需被審查和三個月的有效性。沒有證據顯示對於Fred狀態的審查，Fred在第一次的設定後已歷經18個月仍是有效。,寫一份不符合事項報告,報告依據ISO27001條款A.11.2.4使用者存取權限審查要求，應定時執行權限審查及依據使用者註冊程序UR1 01/11/01說明使用者註冊其狀態需被審查和3個月的有效性。因Fred在第一次的設定後已歷經18個月仍是有效。,紀錄不符合事項,紀錄事實 不要誇大發現清楚敘述不符合事項是在哪裡發現清楚敘述發現什麼為何它是一個不符合事項誰在那哩，目擊者為誰使用公司人員所了解的專用術語簡單扼要、有幫助的,考慮嚴重性,兩個問題需要被回答如果不符合事項未被矯而一直持續的錯

47、誤下去，會發生什麼狀況？其發生狀況的可能性是什麼？,稽核,及時向被稽核方報告有關情形為了使稽核有建設性、有幫助和專業：要定期檢討稽核進度和發現消除謠言建立良好的關係稽核流程中的判斷對於證據不足的情況，必須做出對被稽核方有利的判斷。,被稽核方的反應,謀求幫助不斷挑戰主動提供資訊轉移注意力或浪費時間的戰術內部衝突權威敵對情緒,每日評審會議,可以在每一天稽核結束或在下一天稽核開始時招開評審會議，一般會議時間1520分鐘，與管理者代表或引導人員一起：評審任何不符合事項解決任何問題報告稽核進度澄清任何誤解對任何不符合事項進行簽字確認,稽核小組會議,稽核計畫表中的日程專案僅限於稽核小組成員出席由稽核小組組

48、長主持計畫結束會議稽核小組組長準備總結報告評審系統的有效性稽核小組填寫不符合事項報告稽核小組評審不符合事項報告,稽核結論,作出結論（正面或負面的）和準備稽核報告，根據下列事項：全部的稽核主要或次要不符合事項系統文件系統實施系統有效性部門的長處和弱點要素的長處和弱點,稽核結論和建議,資訊安全管理系統是否有效系統有無任何失效有無對任何特別區域需注意的事管理階層們是否承諾持續改進,稽核建議,建議註冊 沒有發現不符合區域。建議 當收到可接受的矯正措施的計畫。部分的再稽核 主要不符合事項在某一區域找到，但系統的其它部分仍有效的運作。全部再次稽核 ISMS中不只一個區域發現重大缺失。稽核小組須對某一階段再

49、重新稽核一次。,稽核報告,報告最少應包括下列資訊：稽核發現的摘要稽核的區域BS7799-2/ISO27001:2005的稽核條款不符合事項報告相關的觀察事項被稽核方的工作頭銜或被稽核部門的名稱(不要記錄姓名),稽核報告,用清楚的方式記錄不符合事項，讓被稽核方能了解和解讀。確保所有的不符合事項報告是有事實根據的。紀錄觀察事項。這些是具正面的特質，但是通常反應可能發生的潛在不符合事項狀況。稽核報告應易讀的。,結束會議,稽核小組組長準備和運作一個議程和控制會議出席者感謝目標/範圍報告系統限制機密性稽核總結報告建議同意澄清離開,跟蹤行動,被稽核方接收不符合事項報告準備矯正措施計畫將計劃(如果有的話)提交給稽核員稽核員評估回應被稽核方實施計劃被稽核方評估有效性如有必要，被稽核方修改計畫被稽核方文件變更稽核員驗證實施情況和有效性紀錄(稽核員和被稽核方)採取的所有措施,持續稽核循環,一年兩次稽核結束上次所發現不符合事項審查風險評鑑的有效性審查適用性聲明的有效性安全政策管理審查安全事故政策和程序的有效實施,