資訊安全核心知識
資訊安全政策
資訊安全管理制度
資訊安全管理制度
資訊安全第一步是建立資訊安全制度 ( Information Security Management System, 以下簡稱 ISMS ),ISMS 是一套營運風險評估為基礎的組織管理系統,透過 ISMS 的建構將所有資訊進行全面性清查及管理,以提升資訊的安全及防護。現行 ISMS 國際 ISO 標準如下:
- ISO / IEC 27000 :資訊安全管理系統標準-概述和詞彙
- ISO / IEC 27001 :資訊安全管理系統標準-規範要求
- ISO / IEC 27002 :資訊安全管理系統標準-作業規範
- ISO / IEC 27003 :資訊安全管理系統標準-導入指南
- ISO / IEC 27004 :資訊安全管理系統標準-評測
- ISO / IEC 27005 :資訊安全風險管理
- ISO / IEC 27006 :提供資訊安全管理系統認證機構的規範要求
- ISO / IEC 27007 :資訊安全管理系統稽核指南
- ISO / IEC TR 27008 :資訊安全管理稽核人員準則
- ISO / IEC 27009 :針對 ISO / IEC 27001 特定部門應用規範要求
- ISO / IEC 27010 :跨部門與組織間通訊間之資訊安全管理
- ISO / IEC 27011 :基於ISO / IEC 27002 電信組織資訊安全管理指南
- ISO / IEC 27013 :ISO / IEC 27001 和 ISO / IEC 20000-1 綜合實施指南
- ISO / IEC 27014 :資訊安全管理
- ISO / IEC 27015 :金融服務資訊安全管理指南
- ISO / IEC 27016 :資訊安全管理系統標準-- 組織經濟
- ISO / IEC 27017 :基於 ISO / IEC 27002 雲端服務資訊安全控制實務守則
- ISO / IEC 27018 :基於 ISO / IEC 27002 公有雲個人資料保護守則
- ISO / IEC 27799 :針對醫療行業資安認證導入指南
PDCA 管理模型
PDCA 管理模型
ISMS 國際標準採用 PDCA ( Plan-Do-Check-Act ) 做為管理基礎,循環改善 ISMS 制度及執行過程,以維護 ISMS 品質降低危害風險。
- 計畫 ( Plan ) - 建構 ISMS
建立 ISMS 制度規範,以管理風險及強化資訊安全,使組織目標、政策、法規、相關程序等規範標準一致。
- 執行 ( Do ) - 實行 ISMS
依據組織內建立之 ISMS 確實實施。
- 考核 ( Check ) - 管控與稽核 ISMS
依據 ISMS 程序確實進行稽查,並回報管理單位審視。
- 改善 ( Act ) - 維護與修正 ISMS
依據稽查成果及最新標準規範進行適當修正及改良,以維持 ISMS 品質及架構。
資訊安全政策 ISMS 建立事項
資訊安全政策 ISMS 建立事項
- 建立適合組織內的目標。
- 設定明確資訊安全規範及目標。
- 達成國際資訊安全相關相求標準。
- 依據國家相關法令強化組織內規範。
- 政策資訊應文件化且透明化。
- 於組織內外部適度宣導。
參考試題
參考試題
1. 以下那些是ISO國際標準化組織針對資訊安全所編制?(請選擇兩個答案)
A. ISO / IEC 27001
B. ISO / IEC 17025
C. ISO 9001
D. ISO / IEC 27002
2. 哪一套模型是 ISMS 制度執行過程中,以維護 ISMS 品質及降低危害風險用?
A. PERT 計畫模型 。
B. RBAC 管理模型。
C. PDCA 管理模型 。
D. MRP 需求模型。
3. 建立 ISMS 應 ?
A. 將公司內部員工招集後一起討論如何建置 ISMS 。
B. ISMS文件通常只需要製作成會議紀錄即可。
C. 公開相關制度規範即完成導入 ISMS ,沒必要再另外宣導。
D. 結合當地國家法令,以強化 ISMS 內部政策。