Day02_话说从头~ISO27001干嘛用的~能吃吗~XD"

我可以吃，啊不对，是ISO27001可以吃，更不对XDDD"是赚来的钱钱可以买好吃的~(冷!!!)

▉课程学习目标：
└解释资讯安全管理系统(ISMS)的目地
以及被定义於ISO27001:2013中，ISMS包含建立，执行，运作，监督，检视及持续改善之程序。(PDCA吧?)
└说明ISO27001新旧版差异、ISO27001:2013内容，以及ISMS为因应新版要求所应进行的调整作业。
重点>人员上怎麽配合
初阶课程>条文&控制项的要求，以例子来分享

▉资讯安全管理系统的相关标准：
└ISO的条文由27001&27006这两个延伸出来的标准、规范、技术文件等。
27001|Requirements for information security management
27002|Code of practice for information security management
27005|Information Security Risk Management
27006|Requirements for bodies providing audit and certification of information security management systelas
19011|Guidelines for management system auditing

▉补充说明：
27001>风险管理，在台湾的应用，标检局转换为CNS 27001,国内采行的标准。--它是教科书
27002>144个控制项的实作指引。--它是参考书
27005>风险评监
27006>验证公司用的
19011>(没记到XDDD 有好心人可以帮补充一下吗)

▉相关的LINK：
└经济部标准检验局|法规查询 https://www.bsmi.gov.tw/lawVue/#/lawList
└CNS 27001资讯安全管理系统国家标准(更新版) (行政院国家资通安全会报-作业规范) https://nicst.ey.gov.tw/Page/7CBD7E79D558D47C/45d1f417-ca0c-4b30-aafa-ffeb9070a257
└IS027001:2013|PDF付费下载： https://www.iso.org/standard/54534.html
118法郎约是3仟五佰多台币XDD" 暂时买不起~
└CNS27001|PDF付费下载： https://www.cnsonline.com.tw/?node=result&generalno=27001&locale=zh_TW

▶温馨提示：所谓的『系统』，它讲的是『管理制度』，别误会成"软件程序"之类的系统嘿。
▶也依据自身的需求来思考，为什麽会想导入ISO27001?因为公司叫我来念书 可能来自外部，也可能是内部，如果是依循法规，个资法啦，资通安全法啦，也可能会是导入的因素之一

▉举例子|iThome 2021资安大预测>资安威胁趋势：
①远距工作成常态网路漏洞频现(远端开会、VPN连进公司)
②疫情成网路钓鱼诱饵(因为你看不到我，所以我被冒充了XDDDD")
③网通与资安产品漏洞频传(别怀疑，使用产品都是有风险的XDDD)
④BEC商业邮件诈骗事件攀升(长期的埋伏，收集资料，伪装商业往来的对象。)
⑤勒索软件攻击以资料外泄要胁(这个。。。感觉今年这个类型的威胁，直线上升)
└游轮业者Carnival使用了含有CVE-2019-19781漏洞的Citrix服务器。
└威联通NAS(勒索软件:Qlocker，档案变成密码保护的7ZIP档)
└NAS使用弱密码(拜托，举手之劳，换一下密码，保护网管脆弱的小心脏XDDD)
⑥软件供应链与供应商成攻击破口(恩，我想不到例子)
⑦针对制造业发动目标式与DDOS攻击(这个是不是说制造业比较容易使用旧制的设备之类的!?)
⑧5G乾净网路采中国网通设备(对岸的。。。)

▉依我自身遇过的例子
└NAS>大家都设同样的权限，所以全部看光光啦，而且全部都可以杀光光唷~
(真妖寿，狼后依台了了，再两手一摊跟你说，HI~安安~为什麽别人的资料我也可以砍呢!?ɾ⚈▿⚈ɹ)。
└应该>依职阶去设定或者依部门决定能看到的资料夹。就 是 不 要 给 一 样 的 权 限 ！！
└ISO27001里面，会谈到，设定。
(人为的管理，可是实作应该是参考27002，不确定喔，我还没消化完27001&27002)

▉为何有本文跟控制项(附录)的分别?
└因为有些公司(或组织)用不到的项目(比如：系统开发是委外，就跳过某些控制项?)，依据此风险评监来做使用。
└另外，ISO组织通常5~8年会做微调，让其更符合目前的做法。(过渡期是三年左右，转版)
啊。。。所以我们是不是等2021版出来再去上主导稽核员的课比较好XDDD"

▉如果看到条文用Requiremets、Code Of practice的差异：
└Requiremets(验证要求)
• 资讯安全管理系统要求
• ISMS之建立实施与文件化之具体要求
• 依据个别组织的需求，规定要实施之安全控制的要求。
└Code Of practice(实作指引)
• 资讯安全管理作业要点
• 用劾是做为参考文件
• 提供广泛性的安全控制措施
• 现行资讯安全之最佳作业方法
• 包含14个控制章节
• 无法作为评监与验证

27001的目的:
• 提供最佳资讯安全管理实务
• 让组织能据以发展、导入、维运.以及量测资讯安全管理实务的有效性
• 让交易双方能因此俱备信心与信任
• 适用於各种大小、业态与规模的组织
27001的目标:
• 以事前应对(proactive)、系统化(systematic)及逻辑化(logical)的方法来描述资讯安全问题。

▉今天的补充，可看可不看..
1、来自 https://www.ithome.com.tw/news/144340
＃金融业 ＃资安法规遵循
证交所修订重大讯息处理程序，上市公司发生资安事故应揭露於重大讯息
为了强化资安事件重大讯息发布的重要性，并使得法源依据明确，台湾证券交易所在4月27日傍晚发布公告，修订重大讯息处理程序，指出已明订上市公司一旦发生重大资安事件，应对外发布重大讯息。
对於相关修正条文的发布，是在第4条上市公司重大讯息中的第26项规范，正式将资通安全事件明确订於法规定义需公告的重大情事范围。

2、『资安责任险』也许今年会被重视一下|https://www.ithome.com.tw/news/116740