褪色的世界．斑剝的記憶

資訊安全管理系統(ISMS)有很多種做法，ISO 27001只是其中之一，像美國就不用ISO 27001而是NIST:CSF。

ISO 27001目標：

1.提供最佳的資訊安全作法。

2.在組織交易之間提供信心和信任。

3.適用於廣法的組織。

4.具有整合性，與其他ISO相容。

ISO 27001:2013

1.主條文1~3沒有要求

2.主條文4~7是PDCA循環的PLAN

3.主條文8是PDCA循環的DO

4.主條文9是PDCA循環的CHECK

5.主條文10是PDCA循環的ACT

6.附錄A是有104個控制項，可對應至主條文的8.1

與「最高管理階層」有關的主條文有5.1、5.2、5.3、9.3。

主條文6是預防風險的方法論；

風險管理=風險評鑑+風險處理；

風險評鑑包含風險識別、風險分析、風險評估；

風險分析：理解風險本質並決定風險等級的流程，換句話說，風險分析為風險發生的可能性(機率)及風險發生後的影響(對CIA的衝擊、嚴重性)，計算風險等級(風險值)。

風險評估：比較風險分析結果與風險準則來決定風險與/或嚴重程度是否可接受或容忍的流程，換句話說，將風險分析的結果分級，再依據風險接受準則決定需要控管的風險及排定優先序。

風險處理的選項：

(1)Avoid-決定不著手或繼續活動以避免風險。

(2)接受或增加風險以尋求機會。EX:彎道超車，經濟不景氣下擴廠，待景氣復甦後便有更多產能。

(3)Reduce-移除風險來源。EX:不使用USB。

(4)Reduce-改變可能性。EX:USB加密。

(5)Reduce-改變後果。EX:USB內的檔案內容進行遮罩或代碼化。(降低資產價值)

(6)Sharing-分攤風險給其他團體

(7)Accept-保留風險。

決定適當的控制措施以達到可接受風險等級時，應考量：

(1)高階管理者的承諾。

(2)人力/能力。

(3)時間。

(4)成本。

(5)利害關係者的期待。

(6)技術。

(7)競爭態勢。

主條文6.1.3(d)適用性聲明書的用意在於說明控制項的排除與否。

主條文7.2(a)的意涵為職務需要xxxx能力。

主條文7.2(b)的意涵為此人具有xxxx能力。

主條文7.2(c)的意涵為如果(a)及(b)有GAP，要採取的行動，例如教育訓練。

主條文7.3可對應至A7.2.2

主條文8是實作部份。

不符合項目的來源：KPI未達成、客訴。

如果發現電腦中毒，矯正與矯正措施的差異？

矯正：立即掃毒。

矯正措施：為了預防再度發生，排定每星期五中毒進行掃描。

【控制項說明(部份)】

A.6.1.5專案管理之資訊安全，例如規定資安在專案要占比7%的預算。

A.8.2.3資產之處置，講的是標示與處置的關係，例如極機密文件銷毀成粉狀、機密文件銷毀成條狀。

A.8.3媒體處理，這部份指的媒體是無運算能力的光碟、USB、磁帶。

A.9.2.3具特殊存取權限之管理，例如系統使用帳號，設定禁止遠端登入。

A.9.2.4使用者之秘密鑑別資訊的管理，例如密碼如何傳遞。

A.9.3.1秘密鑑別資訊之使用，例如密碼不可貼在螢幕上。

A.9.4.2保全登入程序，例如One Time Password。

A.9.4.3通行碼管理系統，例如提示密碼太弱。

A.9.4.4具特殊權限公用程式之使用，指的是伺服器端的服務。

A.9.4.5對程式源碼之存取控制，例如版本控管。

A.11.1.5於保全區域內工作，例如陪同廠商進入電腦機房。

A.12.1.2變更管理，在此泛指一般軟硬體。

A.12.5.1運作中系統之軟體安裝，例如patch。

A.12.6.2對軟體安裝之限制，例如收回使用者安裝軟體權限。

A.13.2.3電子傳訊，例如使用DLP。

A.14.1資訊系統之安全要求事項，例如資安規格(可參考技服中心的文件)。

A.14.2.3運作平台變更後，應用之技術審查，例如Win2008升級為Win2016。

A.14.2.6保全開發環境，例如開發者的電腦。

A.16.1.4資訊安全事件評估及決策，例如事件是否判定為事故。

A.16.1.6由資訊安全事故中學習，例如Lesson Learn。

A.18.1.1適用之法規及契約要求事項之識別，例如資安法修訂，組織的ISMS文件配合修正。

A.18.1.4個人可識別資訊之隱私及保護，這塊是個人資料的範圍。

A.18.2.1資訊安全之獨立審查，例如內稽。