[閒聊] iPas資訊安全工程師中級–DAY14已回收
Day 14
ISO 27001 資訊安全管理系統, kachung (iThome)
https://ithelp.ithome.com.tw/users/20145763/articles
關於 ISO 27001 覺得整理的最完整的是這些文章
繼續看 ISO 27001
捌、執行
這個章節是要按照第六章計畫的處理措施去執行,執行時仍應配合前
面所有的條文,可以考量下列事項:
.第六章所決定之風險處理措施可以結合組織日常或通用流程進行程
序化,不要疊床架屋、造成執行上的困擾以及負擔。資訊安全管理
系統不是一個獨立的系統必須與日常作業及管理結合,這樣才能正
確發揮管理系統應有的效能。
.從日常作業流程中去找到資訊安全應該如何執行,在識別風險時以
業務流程進行,所以在執行時也要從日常作業中去做。
.面對各種情況時(例如人員轉換職務時),對進行之活動有明確定
義和溝通相關資訊安全風險事項(例如帳號權限轉移)。
.依照 5.3條組織角色、責任與職權,分配每項活動應有的權責,納
入第 6章考量風險後採取控制措施,相對應的權責應該可以更加清
楚地分配,也需要相對應的人能夠了解自己的職責。
.充分分配資源,以確保相關活動可以在需要時進行。執行控制措施
需要資源,一定要事先確認資源是否充足、有沒有需要再補充或重
新考量的問題,以確保執行能順利。
.對每項過程的資訊安全風險控制措施進行有效性的評估,藉以達到
持續改善並且符合組織的目標。
一、 條文8.1 變更管理及委外管理
https://i.imgur.com/AKVvxon.png
(1) 變更管理
1.問題管理
2.配置和資產管理
3.發布和部署管理
4.業務持續性
5.安全管理
6.知識管理
7.組合管理
因為資訊環境變化快速,軟硬體更新頻繁,各項要求也隨著變化接
踵而來,所以變更是資訊安全管理不可或缺的一部分應該依循一定
的規範,不可隨意而行,應該事先做好變更的分類,設計流程、定
義關鍵角色與職責、定義指標、了解本身風險承受能力,執行完整
的評估後再執行相關變更作業。
(2) 委外管理
組織為了節省成本、專注於本身核心業務、有效利用其他便宜的
勞動成本、資源、技術等各種原因,會將本身的業務或作業委託給
其他人執行。經過時間的演變,在現今資訊化的社會下,委外的行
為已經無所不在了,也正因此,委外對於組織資訊安全來說就是一
種威脅。
組織應確認委外之過程是被建立及控管。
委外管理最重要的觀念:委外跟組織內執行業務應該都要遵守資訊
安全管理系統的規範。換言之,委外不是例外,都要遵守資訊安全
政策及程序(除非另有規定)。
委外的重點在於事前準備工作,組織應先想清楚要委外的事項,以
及這些事項與資訊安全的關係。
二、 條文8.2 資訊安全風險評鑑
第六章所述述的風險評估方法和技術必須應用於組織ISMS範圍內的
所有流程、資產、資訊和活動,由於風險不是一成不變的,因此必須
以適當的頻率審查這些評估的結果。通常至少每年一次,或者如果評
估確定存在一個或多個重大風險,則更頻繁。
以下情況,也應執行風險審查:
.完成風險處理措施後
.法規命令變更
.協議或合約變更
.新的專案
.組織的資產、資訊、基礎設施或流程有所變化
.確定新的風險產生
.依據經驗或新資訊,已識別風險的可能性和後果已改變
三、 條文8.3 資訊安全風險處理
由 6.1.3所決定的相關風險處理的選項及作法,經由 8.2更新後,
組織必須執行這些選項及作法。這些控制措施必須持續執行。風險識
別是識別 8.3正在執行的控制措施,再藉由 8.2不斷更新風險評鑑,
決定控制措施,這樣才是一個完整的做法。
◎小結:
委外注意這個:
ISO 27001: 資訊安全管理系統
ISO 27036-2: 供應商關係資訊安全系統
亂入一下考古題考的東西。
*關於 CVSS
CVSS(通用漏洞評分系統)是一個開放框架,用於傳達軟件漏洞的特
徵和嚴重性。它由事件響應和安全團隊論壇 (FIRST)擁有並管理,該
組織是美國的一家非營利組織,其任務是幫助全球計算機安全事件響
應團隊。
CVSS由三個度量標準組組成:基本,時間和環境。
.基本組:漏洞的內在性質,隨時間推移以及在用戶環境中保持不變
。基本指標產生的分數介於 0到10之間,然後可以通過對時間和環
境指標進行評分來進行修改。
.時間組:隨時間變化的漏洞的特徵。
.環境組:用戶環境特有的漏洞特徵。
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 60.249.138.241 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/Marginalman/M.1679627664.A.C09.html