[閒聊] iPas資訊安全工程師中級–DAY15
Day 15
ISO 27001 資訊安全管理系統, kachung (iThome)
https://ithelp.ithome.com.tw/users/20145763/articles
關於 ISO 27001 覺得整理的最完整的是這些文章
繼續看 ISO 27001
玖、 績效評估
資訊安全管理系統經過規劃建置、執行後必須評估做得夠不夠、有沒
有需要改進的地方,第九章就是用來檢討前面的執行措施。
一、 9.1 監督、量測、分析與評估
要設定一些我們想要監控的項目,去看看執行的情況是不是如我們
預期般,達到當初設定的目標或用意, ISO 27004這項標準就是有關
監督量測的指引。
(1) 甚麼需要監控及量測
條文一開始就說明應評估資訊安全的績效與ISMS的有效性,監控就
是決定系統、流程或活動的狀態是否滿足特定的需要,所以監控對象
(系統、流程或活動)可包含下列事項:
.執行ISMS的流程
.資訊安全事件
.弱點管理
.配置管理
.資訊安全認知與訓練
.存取控制、防火牆及事件紀錄
.稽核
.風險評鑑流程
.風險處理流程
.第三方管理
.營運持續
.實體環境安全
.資訊系統
監控狀態如果有一些數據產生,是可以用來執行量測,量測就是決定
某項活動有效性或效能的一個值、狀態或趨勢。
在整個條文中,可以看到有些條文強調有效性,組織必須評估因應風
險及機會的有效性,這就需要量測才能決定是否符合預期的規劃,
條文中有關有效性量測如下:
.計畫行動
.領導統御
.風險管理
.政策管理
.資源管理
.溝通
.管理審查
.文件化
.稽核
另外有關附錄 A控制措施的有效性也是需要監控與量測的,因為這些
控制措施是從風險評鑑去決定的風險處理選項。
(2) 何時監控量測、分析及評估
組織應規劃監控量測項目的間隔與期程,可以參考監控量測項目本
身的需求,或者是利害關係者的需要。
何時監控量測,取決於需求,這個需求可以來自全景分析、計畫或
執行;至於何時執行分析及評估作業,須取決於監控與量測所獲得的
資訊是否足夠以及是否有額外的要求。組織可以建立程序來執行監控
或量測,但條文並沒有要求一定要建立程序,組織可以自行決定是否
需要建立。
(3) 何人執行監控量測及分析評估
條文 5.3角色、責任與職權應與 9.1結合,律定監控量測所需的人
員及能力。
(4) 監控量測方法
監控量測的種類區分兩種:
1.性能量測
性能量測用以展現所規劃之措施的進展,監控量測該控制措施是
否已執行、執行的情況等。
量測的數據可以來自會議紀錄、簽到簿、專案計畫、自動掃描工具
等,盡可能以自動化蒐集方式降低人為因素的干擾及降低成本。
2.效能量測
效能量測用以展現控制措施之有效性、資訊安全目標是否已經達
成,用來決定是否需要加強控制措施執行的方式或程度。
組織必須建立相關能力或方式來完成效能量測。
(5) 監控量測流程
下圖為典型監控量測的流程:
https://i.imgur.com/ip1jyGu.jpg
1.定義監控量測資訊需求
從第三方需求、組織策略與方向、資訊安全政策與目標及風險處
理決定需要監控量測的項目,檢驗資訊安全管理系統的流程、活動
。
2.創建與維持監控量測
根據前面的需求以及組織本身的需要,創建監控量測項目並維持
運作,在適當時候更新這些監控量測,完成相關文件紀錄,維持高
階管理者的參與,確保監控量測的正確運作。
3.建立監控量測程序
確認需要蒐集的資訊、蒐集的方式、負責的人員、報告的方式及
整個與監控量測有關的程序。
4.執行監控量測
5.分析監控量測結果
6.評估效能及有效性
二、 9.2 內部稽核
內部稽核主要目標為監控及確認組織本身有關ISMS的要求以及
ISO 27001 標準的要求,並監控所採取措施的實施和有效性。因此,
必須訂定稽核方案並實施稽核計劃,計畫應包含頻率、程序、角色和
職責、相關要求及可追溯性和報告等方面。另外,必須定義一種處理
矯正和預防措施的方法,並且必須確定誰將追蹤以確保矯正措施得到
實施。
稽核方案是一個循環過程,包括計劃、定義、執行、監控以及審核
程序本身的過程,必須在稽核計劃和特定稽核活動是基於風險的考量
,稽核計劃中需要考慮受影響流程(核心流程、損害影響、業務重要
性)和IT系統以及先前審核結果的重要性。通用稽核標準必須在稽核
方案中定義。稽核方案管理報告必須定期產生有關稽核計劃的績效、
稽核活動及其結果的資訊。
ISO 19011 管理系統稽核指引以ISO 27007 資訊安全管理系統稽核
指引及ISO 27008 控制措施稽核指引提供稽核規劃、執行及檢討等相
關的規範。
稽核是管理系統內連結執行及改善的重要環節,在實作資訊安全管
理系統的時候,有些問題可能潛藏在組織內部而難以被發現,此時就
要借助稽核來幫助管理系統發現問題。所以內部稽核主要的目標是在
協助組織發現問題,找出所規範的流程內有沒有不順暢、窒礙難行、
浪費資源或是效能不彰的地方,讓整個管理系統能更加精進,達到持
續改善的目標。
(1) 建立稽核方案
首先要為每一場稽核確立目標及範圍,稽核方案是規劃如何進行稽
核的基礎,如果沒有明確的目標與範圍,會造成稽核時的困擾。
(2) 遴選稽核人員
結合條文 7.2人員能力,所以必須挑選具備稽核能力的人員執行內
部稽核作業,當然這通常是組織覺得比較困擾的地方。雖然稽核技巧
、方式及手法可以經過訓練培養獲得,但是專業知識技能卻很難訓練
,所以在挑選稽核人員時可以參考下列事項:
.定義所需要稽核員的能力
.遴選符合能力的稽核人員(內部或外部)
.設置監控稽核團隊效能之程序
.執行人員或稽核團隊都必須具備特定領域的專業知識或技能。
.稽核人員獨立性、公正性及適切性
(3) 執行稽核作業
稽核是一個尋找證據的過程,證據可以經由訪談人員、觀察現場活
動或是審查文件資料獲得,內部稽核著重在組織本身內部流程的稽核
,確認內部作業是否依照設定的規範進行,並檢查現有流程及措施效
能,整體是否符合 ISO 27001標準的要求。
(4) 稽核結論
稽核的目標是確認作業流程是否符合標準,如有發現不符合事項應
向高階管理人員報告,並由稽核團隊決定後續追蹤及確認消除不符合
事項的方式,對於不符合事項在後面的章節還會提到,此處先確認不
符合事項應由稽核人員確認是否改善完畢,因為不符合事項是稽核人
員所發現,事實的判定或依據應由稽核員進行確認。
(5) 稽核監控審查
稽核作業也是資訊安全管理系統的一環,也必須對本項作業監控審
查,確認稽核的有效性,所以針對稽核方案及計畫的適切性、範圍及
目標、稽核所需資源、稽核員能力、稽核證據及稽核文件化資訊都必
須適當審查及確認。
三、 9.3 管理審查
管理審查涉及決策,也是維持整個管理系統持續改善的重要活動。
先經由前面的監控量測及內部稽核了解管理系統的問題及效能,再透
過定期審查機制確認需要改善或變更的地方。
管理審查本身也是一種持續性的活動,不需要拘泥任何形式,所以
每年或每半年的管理審查是經由日積月累的審查堆疊而成。
進行管理審查是為了使ISMS能夠持續保持適切、充分和有效的狀態
,以支持資訊安全。管理審查必須計劃相關時間間隔,以策略的方式
並在最高管理層級上執行,以最適合業務需求的方式一次或部分地覆
蓋所有要求的檢討。
高階管理人員應審查先前核定的作業實施、可能影響ISMS的重要內
部和外部議題、資訊安全績效以及持續改善機會,以便可以實施相關
的調整和改善的機會。
由於最高管理階層的直接參與,管理審查是與ISMS持續性最相關的
作業,並且必須記錄來自管理審查的所有詳細資訊和資料,以確保
ISMS可以遵循組織的特定要求和整體策略方向。
管理審查是ISMS的基本要素、是高階管理人員審查ISMS有效性並確
保其與組織策略方向保持一致的正式時機,因此必須按計劃的時間間
隔進行,並且整個計劃審查(即一次會議或幾次會議)必須至少覆蓋
9.3所要求的領域。
召開一次涵蓋整個要求項目的管理審查會議不是必須的,可以舉行
一系列會議,不同會議中可以有不同的輸入項目。在管理審查中保留
記錄的必要資訊,必須包含所做的任何決定和所採取的行動的記錄,
最好是有責任分配和時間表。
管理審查是一種過程導向,以輸入、審查及輸出作為基本要素組成
一個管理審查的過程。相關文件化資訊必須記錄,如果管理審查區分
不同主題分次進行,必須確認一定周期內將所有項目審查完畢。
◎小結:
ISO 27004: 資訊安全管理系統–量測
ISO 27007: 資訊安全管理系統稽核指引
ISO 27008: 控制措施稽核指引提供稽核規劃、執行及檢討等相關的規範
亂入一下考古題:
完整備份:全部複製一份。
差異備份:針對「完整備份」的更新記錄。
增量備份:根據上一次備份資料差異記錄。
.備份速度:增量備份 > 差異備份 > 完整備份
最大可容忍的停機時間(MTD, Maximum tolerable downtime, MTD))
恢復時間目標(RTO, Recovery Time Objective)
恢復點目標(RPO, Recovery Point Objective)
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.239.128.223 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/Marginalman/M.1679721405.A.7CF.html