[閒聊] iPas資訊安全工程師中級–DAY13

看板Marginalman作者 (超級帳本)時間2年前 (2023/03/23 13:36), 編輯推噓0(000)
留言0則, 0人參與, 最新討論串1/1
Day 13 ISO 27001 資訊安全管理系統, kachung (iThome) https://ithelp.ithome.com.tw/users/20145763/articles 關於 ISO 27001 覺得整理的最完整的是這些文章 繼續看 ISO 27001 柒、支援 一、資源 資訊安全管理系統所需要的資源是資金、人員、時間、資訊安全知識 、設備及場地,所以組織必須事先衡量資訊安全管理系統及其相關活 動所需資源的數量及品質,設法獲得這些所需的資源(例如:聘請資 通安全專業人員),持續提供資源並在與資訊安全管理系統相關的流 程或活動中維持這些資源,最後審查資源的適切性,並考量是否需要 新的資源。 以最有效益的資源達到組織自己所能接受的風險,這才是資源管理的 意義。 二、人員能力 人員能力代表有足夠的知識與技能達成所預期的結果,包含經驗、知 識及智慧等因素,一般區分兩種、通用:軟性因素、可信賴度、基本 的技術及管理;特殊:特別領域知識。 三、 認知 資訊安全的基本要素其中之一是人員,人員是最重要也是最難管理的 ,綜觀所有資訊安全事件,大部分都與人有關。資訊安全不是架設一 個防火牆或是安裝防毒軟體、監控設備就可以達成的,若員工缺乏責 任感、不知道哪些流程規範可以遵守、沒有適當的培訓,導致員工不 了解正在做的事情會危害資訊安全,這才是資訊安全管理最需要面對 的議題。安全的意識不會憑空產生,組織必須訂定相關作法讓員工都 能知道資訊安全政策、對ISMS有效性及改進資訊安全效益之貢獻以及 不遵循ISMS要求的可能影響。 (1) 計畫準備 對於所面臨的威脅以及條文內要求之事項,計畫及準備在認知上所 要採取的行動(通知方式、週期)與員工與外部相關人員要認知的資 訊。 (2) 執行認知做法 依照計畫的步驟方法及期程對人員進行認知的做法,做法可以包含 製作文宣、小冊子、標語或警示,以加強認知的效果。 (3) 實際演練 組織可藉由實際演練來加強認知的行為,公務機關行之有年的社交 工程演練、將帶有警示的 USB放在隨手可得的地方或者將帶有機敏性 資訊的紙張放入回收箱等,都可以實際了解員工對於認知的實踐,當 然也可以在認知的培養過程中展示一些實際的案例,也有助人員能應 對相關的資訊安全事件。 (4) 持續進行 一次性的認知活動通常不足以讓人員產生警覺或實際了解資訊安全 的重要性,應定期性不斷地持續認知活動,並且將認知融入日常活動 中。 (5) 確認了解所要認知的訊息與行為 執行完認知的做法後,必須評估認知的有效性,通常以測驗或是實 際測試來確認人員是否真正認知而且能夠依照條文要求,去知道需要 知道的事項。 四、 溝通 這段條文是大多數組織做得最不好的一段,如同第四章背景分析還 有第六章風險分析,都需要溝通才能獲得正確的理解,藉以推行資訊 安全管理系統。條文的要求很簡單,溝通什麼?何時溝通?和誰溝通 ?誰應溝通以及應實現哪種溝通過程。首先必須決定要溝通甚麼? 列舉以下幾個項目供參考: .風險評鑑的執行 .資訊安全目標的設定 .資訊安全事件的檢討與矯正 .組織之角色、職掌及授權的設計 .資訊交換協議的型式 .資訊安全管理系統的變更 .法令法規、主管機關或監管機關之要求 .外部團體(客戶、使用者等)的期望 設計溝通的方式及步驟如下: (1) 確定溝通目標:確定本項溝通要達成何種目標。 (2) 選擇溝通對象:確認要溝通的對象。 (3) 設計溝通資訊:想要對方了解何種資訊?對方需要何種資訊,以 這些作為思考範圍,設計所需要溝通的資訊。 (4) 選擇溝通方式:溝通格式(電子、文件)、方法(郵件、通訊軟體) (5) 規劃雙向溝通:既然定義為溝通,就應該設計雙向機制,讓接受 資訊的一方,可以回饋所接受的資訊,達成溝通的目標。 https://i.imgur.com/B9UqkYw.png
(6) 確定溝通時間範圍:決定本項溝通時間、週期、及範圍內所需的 活動。 (7) 資源:評估執行溝通的所需資源,包含人力、預算、設備等。 (8) 實施計劃:依照前面所訂的溝通方式進行溝通。 (9) 監控結果並尋找改進的方法:將持續改善的精神融入溝通,確保 整體運作效能達到要求。 五、 文件化資訊 ISO 27001標準內要求必須文件化的資訊如下: ‧ 資訊管理系統的範圍(4.3) ‧ 資訊安全政策(5.2e) ‧ 風險評估程序(6.1.2) ‧ 風險處理過程(6.1.3) ‧ 適用性聲明書(6.1.3d) ‧ 資訊安全風險處理計畫(6.1.3e) ‧ 資訊安全目標(6.2) ‧ 人員能力證明(7.2d) ‧ 適當實施各項ISMS流程(8.1) ‧ 資訊安全風險評鑑結果(8.2) ‧ 資訊安全風險處理結果(8.3) ‧ 監控與量測結果的證據(9.1) ‧ 內部稽核流程與稽核結果的證據(9.2) ‧ 管理審查結果證據(9.3) ‧ 不符合事項的性質與任何採取的後續措施(10.1f) ‧ 任何矯正措施的結果(10.1g) 目前的標準要求來看,對文件架構並沒有太多的要求,著重的是文件的有效性。 ◎小結: 怎麼準備考試?可以看看這段影片的說明。 大人的Small Talk|EP1 如何有效率地準備考試 https://www.youtube.com/watch?v=ZdJ07dRAlVQ
-- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 60.249.138.241 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Marginalman/M.1679549767.A.407.html
更多 Hyperledger 的文章
文章代碼(AID): #1a6-L7G7 (Marginalman)