[閒聊] iPas資訊安全工程師中級–DAY11

看板Marginalman作者 (超級帳本)時間2年前 (2023/03/21 12:28), 編輯推噓1(100)
留言1則, 1人參與, 2年前最新討論串1/1
Day 11 ISO 27001 資訊安全管理系統, kachung (iThome) https://ithelp.ithome.com.tw/users/20145763/articles 關於 ISO 27001 覺得整理的最完整的是這些文章 繼續看 ISO 27001 伍、領導統御 成功的ISMS是由上而下實行的,透過考慮利害關係者的要求及採取 有效控制措施將營運業務流程的風險降低到可接受的水平,從而在營 運目標與資訊安全之間建立聯繫,因此必須了解營運目標和要求,並 且必須建立適當的組織(例如組織中風險管理流程的實施/適應), 高階管理人員的核准和支持是必要的,以確保強制性和接受導入的管 理系統流程。 實務上,普遍都認資訊安全是資訊部門的事情給予必要的支援即可並 不太需要過於重視,畢竟做好資訊安全這件事並無法帶來立即而明顯 績效。 https://i.imgur.com/iSZ7dvi.png
一、領導統御 .高階管理者專注於組織的策略性目標、資訊安全政策與組織策略 方向的一致性,資訊安全目標也是為了達成組織目標而訂定。 .確保資訊安全的各項控制措施能夠融入組織日常的流程中,不會 被孤立或忽視。 .依照第四章全景分析的結果適當分配資源(資金、人員、設備及 場地)。 .確保ISMS的溝通能順利進行(上下及內外的溝通)。 .藉由既定的內部報告機制(主管會議等)瞭解ISMS運作之情況及效 能。 .參加管理審查。 .讓各階層管理資訊安全的人在對應的位置上發揮功能,找對的人 去做正確的事情。 導入ISMS之前建議能向高階管理者做一個完整的介紹及說明,因為需 要執行ISMS的組織大多是因為法令或合約要求進行,而高階管理者其 實對於資訊安全並沒有完整且清晰的概念。 二、資訊安全政策 高階管理者必須訂定資訊安全政策,這個政策應與組織高階策略一 致,可以從第四章全景分析資料中得到基礎資訊,再利用這些資訊去 完善相關資訊安全政策。資訊安全政策中應包含保護機敏性資訊的敘 述及目標。通常政策是作為一種高階的宣示,確認資訊安全管理的目 標及方向,提供框架讓後續的管控措施或其他管理行為有一個依據, 也能讓所有人都能實際體認組織對於資訊安全管理的高階規範。 典型的組織通常對於政策區分三個等級:等級最高的是一般政策( 組織策略、行為守則),再來是各種管理類型的政策(資訊安全政策 、品質管理政策),第三種則是細部程序規範需要遵守的政策(存取 政策、密碼政策等),藉由等級分類,使得組織由上到下都能有一定 的規範可以遵循,並且以階層式的安排,使得政策間有其依循性。 (1) 發展政策時除了參考第四章全景分析的資料以及高階管理者的意 見外,還需要考量的 事項如下: 1.組織的願景與方向 2.策略調整以適應組織目標 3.組織架構與流程調整 4.願景與方向與政策的整合 5.考量高階管理策略的關聯性 6.政策驅動目標群組 (2) 發展資訊安全政策的關鍵要素: 1.目的: 為了建立資訊安全的通用規則、檢測並防止資訊安全的損 害等,組織基於各項因素建立資訊安全政策。 2.範圍: 資訊安全政策應詳細說明哪個部門及哪種工作是在政策要 求下執行,這邊的範圍要看組織自行的定義,有些組織導入範圍 與驗證範圍不同,比較好的做法是資訊安全管理政策應擴及全組 織。 3.資訊安全目標: 想要強制執行新規則時,高階管理者如何看待資 訊安全是第一步,此外如果組織具有相當大的架構,策略可能會 有所不同,因此應加以隔離,以便在組織的預期下定義相互間的 資訊安全,資訊安全被認為可以維護三個主要目標:機密性、完 整性及可用性。 4.原則: 描述為了達成目標所採取的行動或規則,在某些情況下可 以幫助找到流程中與政策的關聯性。 5.人員的責任、權利和義務: 指派相關人員負責前面所規範的行動 ,並針對政策的可歸責性提出說明。 6.相關政策: 與資訊安全有關連性的相關政策、要求或需求。 基本上對於政策訂定的做法有很多種,建議採取一種對組織適合的 方式去訂定。 (3) 高階管理者應該指派有關ISMS之角色、分配相關責任與職權,這 些角色將會執行ISMS的相關活動如下: .整合建立、維護、管理、報告效能、改善。 .風險評估及處置的建議 .設計流程及系統 .設置標準內的控制措施及執行 .管理資安事件 .審查及稽核 除了上述的活動,與資訊本身相關的角色也應該指派,以避免責任 無法區分。組織可以根據其資源和要求自定義資訊安全組織架構及 人員。各類型角色應賦予不同責任與權限,用來組成ISMS人員的架 構,以協助執行整個管理工作。 ◎小結: 這個章節在講領導者對於資訊安全態度的重要性,強調政策的制度 、責任的分配。這些做法會影響之整個 ISMS 的成功與否。 NOTE: 考古題背一下↓ ISO 27017: 雲端服務資訊安全管理 ISO 27018: 雲端服務之個人隱私保護 PCI DSS: 針對信用卡產業所制定的資料安全標準 *機密性、完整性、可用性(後面兩個一直分不清楚…) -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 60.249.138.241 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Marginalman/M.1679372934.A.01E.html
03/21 12:32, 2年前 , 1F
大師
03/21 12:32, 1F
更多 Hyperledger 的文章
文章代碼(AID): #1a6JA60U (Marginalman)