[Day12]ISO 27001 标准:验证范围

其实 ISO 系统都是通用的,从 ISO 9001、 ISO 14001、 ISO 50001、ISO 45001 跟27001…
都是采用高阶管理架构:

4.组织全景 - 重点在於依领导要求订范围!

4.1 了解组织及其全景

组织应决定与其目的有关且影响达成其资讯安全管理系统预期成果能力者之内部及外部议题。
备考:决定此等议题,系指建立於CNS31000[5]5.3中所考量之组织内部及外部全景。
Ⓞ CNS31000 企业风险管理

内部议题:组织架构、组织文化、重大变更

  • 组织文化
  • 策略、目标及达成的方法
  • 组织架构、角色、执掌及治理
  • 资源及人力
  • 近期组织架构是否有重大变更?
  • 近期有扩展相关资安的业务吗?
  • 政策与目标相符?

外部议题:主管机关、法规规范、标准改版

  • 社会、文化? 如:疫情影响?
  • 政治、法术规范?
  • 主管机关?组织适用资通管理法吗?
  • 针对近期同业的相关资安新闻有什麽措施?

4.2 了解关注方之需要及期望

组织应决定下列事项。
(a)与资讯安全管理系统有关之关注各方。
(b)此等关注方对资讯安全之要求事项。
备考:关注方之要求事项可能包括法律及法规要求,以及契约义务。

顾问导向

  • 客户合约对组织的要求?企业义务?
  • 应用特殊产业法规?水电、消防、电信?
  • 契约或合约对资安的要求有哪些?有什麽规定呢?

4.3 决定资讯安全管理系统之范围

依据 4.1 的内外部议题 及 4.2 关注方要求事项确认范围。
(a) 4.1 中所提及之内部及外部议题。
(b) 4.2 中所提及之要求事项。
(c) 组织履行之活动与其他组织履行之活动间的介面及相依性。
适用范围应予文件化资讯并易於取得。
就是 Paper Work 啦…

利害关系人

员工、股东、系统使用者、外部稽核、顾问、厂商、客户等等等…

以上述内容订边界,可产出适用性声明书

  • 导入 ISO 27001 的目的?
  • 是否为内部议题(4.)关注方要求而验证的范围?
  • 是否有扩厂或是新增业务而扩大验证范围?(官网)

范围订定

由於大家都要验机房,所以…
资通法草案"未来"应要将资讯系统清册盘点完,分级执行,「核心系统」及「资料库资讯系统」列入范围内。
政府单位要来编预算了…

(1) 列出核心业务
.核心业务
.依公司产品/业务产业列出核心业务 >> 设计开发、客户资料、研发资料等等应该算是核心业务。
.实体范围:集团总部、分公司、等等…

(2) 决定适用范围
(3) 排除范围协议
(4) 管理阶层核淮

参考排除项目:历史共业所签订之 SLA、MOU、… 等等

人天怎麽算呢?

以顾问级距 27006 以计算人天。
如果只验机房 第一级距 10 人以内,合理;但是,是否符合客户要期望呢?
客户说要通过,但只通过机房??? 合理吗?

4.4 资讯安全管理系统

依标准之要求事项,建立、实作、维持及持续改善资讯安全管理系统。

5.领导作为 -

5.1 领导及承诺

最高管理阶层应藉由下列事项,展现对资讯安全管理系统之领导及承诺。
(a) 确保已建立资讯安全政策及资讯安全目标, 并与组织之策略方向相容。
(b) 确保资讯安全管理系统要求事项整合入组织之各项过程。
(c) 确保资讯安全管理系统所需之资源可取得。
(d) 传达有效之资讯安全管理的重要性,以及符合资讯安全管理系统要求事项之重要性。
(e) 确保资讯安全管理系统达成其预期成果。
(f) 指导及支援人员, 以促进资讯安全管理系统之有效性。
(g) 宣导持续改善。
(h) 当适用其他相关管理角色之责任范围时, 加以支持以展现其领导权。

组织领导由谁担任呢?

资讯部门长官可以吗?不建议。

因为高阶管理阶层需要提供承诺及资源,不能只能讲讲,要给钱给人给资源~
而且要协调各大部门协助执行,要确实执行,有奖有罚,要给承诺并实现。

所以会建议由副总级担任。

管理阶层定义并核准後的营运策略提供资源。

  • 组织政策需要装行动装置管理软件(MDM),那麽有没有预算足以落实到每个使用者的装置上呢?
  • 如果因应疫情的关系,所以需要远端办公,那麽公司有没有提供什麽远端连线的配套措施呢?

5.2政策

最高管理阶层应建立包含下列事项之资讯安全政策。
(a) 适合於组织之目的。
(b) 包括资讯安全目标(参照6.2)或提供设定资讯安全目标使用之框架。
(c) 包括对满足相关於资讯安全之适用要求事项的承诺。
(d) 包括对持续改善资讯安全管理系统之承诺。
资讯安全政策应符合下列项目。
(e)以文件化资讯提供。
(f)於组织内传达。
(g)适用时,提供给关注方。

由高阶主管订定方向高阶政策 >> 资安政策 >> 特定项目存取政策 (资讯单位执行)

  • 长官访谈中,应观察他如何展示他对资讯安全的关注度,参与度如何呢?
  • 长官访谈如果言之有物,可以往未来的目标讨论?
  • 资讯安全政策近期是否有重大变更或是定期审查记录?

在高阶访谈时,请注意面对的是高层长官,该有的礼貌尊重都要有噢!

5.3 组织角色、责任及权限

[考题] 什麽叫职责跟职权?
职责:责任内应该要完成的事情。执行单位。
职权:有决定工作项目的权力。审核管理单位。

最高管理阶层应确保资讯安全相关角色之责任及权限已指派并传达。
最高管理阶层应指派下列责任及权限。
(a)确保资讯安全管理系统符合本标准之要求事项。
(b)向最高管理阶层报告资讯安全管理系统之绩效。
备考:最高管理阶层亦可指派报告组织内资讯安全管理系统绩效之责任及权限。

  • 资讯安全委员会或是组织内的资安单位的组织架构图,最高管理阶层是哪位?相关的权限?
  • 请提供组织架构图?作业职掌各是什麽呢? (权责归属 \ 分工分权)
  • 高层领导的阶级是哪位呢? ((後续会检查政策发布是不是有签到最高长官

长官定期去进行审查执行成效吗?

通常,在最後高阶管理访谈还是会再问一下:

  • 长官近期有关注的议题吗?
  • 此次稽核活动有什麽要给我们的建议或是期许吗?

参考文献

国家标准(CNS)网路服务系统:https://www.cnsonline.com.tw/

恐怖游戏推荐

直到黎明

巴哈姆特游戏介绍:

直到黎明-阿津版本:https://youtu.be/8y1jofpyyug


<<:  Day 27 - Click and Drag to Scroll

>>:  [Day_13]选择性结构- 单向选择结构、双向选择结构

Day 28 烂番茄影评网爬取

今天的影片内容为爬取一个非常有名的影评网—Rotten Tomatoes(烂番茄) 还会介绍网页图片...

定时器爬虫练习

这次我用上篇练习的基本定时器进行爬虫,但是过程中遇到了困难,总感觉连资料都没办法好好抓取,所以只好先...

追求JS小姊姊系列 Day11 -- 流程错了怎办?难道要跟D特终老?

前情提要 终於做出时间了,却又卡在流程问题,这次解决是否能顺利回到过去? 我:那要怎麽样避免因为流程...

Day1 工业控制系统与普渡模型

工业控制系统 Industrial Control System 简称 ICS = 电脑与工业设备...

[Python 爬虫这样学,一定是大拇指拉!] DAY13 - HTTP / HTTPS (4)

本篇主要讲解 HTTP 状态码代表的意思。 主要是针对状态码的类别做讲解,所以不用担心会太多。且并不...