[閒聊] iPas資訊安全工程師中級–DAY16
Day 16
ISO 27001 資訊安全管理系統, kachung (iThome)
https://ithelp.ithome.com.tw/users/20145763/articles
關於 ISO 27001 覺得整理的最完整的是這些文章
繼續看 ISO 27001
拾、改進
終於到最後一章了,這個章節介紹不符合事項的改進以及持續改善。
不符合事項即不滿足要求
.ISO 27001標準的要求
.資訊安全管理系統的政策、程序、規範及控制措施
.法令、合約及客戶要求
發生不符合事項時必須即時反應並進行進行後續處理,透過檢討來確
定原因並進一步評估採取措施,讓事件不再發生。執行矯正措施時必
須審查有效性並必要時對資訊安全系統進行變更。
發生不符合事項時如果有適合的相對應措施以管理審查、內部稽核、
合規性、績效評估做為不符合事項及矯正措施的基礎減輕其後果並更
新流程來消除不符合事項,避免事情再度發生。這些方法必須經過評
估、記錄確認有效性。
ISO 27001 要求組織不斷改進其ISMS,這些改進來自許多活動,矯正
措施就是一種推動改進並解決管理系統內部缺陷的機制。
執行完矯正措施並將不符合事項消除後,須注意對於資訊安全管理系
統是否有新的機會產生,可以用來促進持續改善,從不符合事項發現
到最後改正完畢,相關必要的文件化資訊仍需要保留。
之前的管理系統標準強調「預防措施」,這個章節也有類似的措施,
矯正措施就是不讓不符事項再度發生。
ISO 27001 所採用的高階管理架構強調的是:
四、全景分析:獲得基本資訊。
六、風險管理:執行相關分析、決定管控措施以面對機會與風險。
十、矯正措施是維繫整個管理系統循環的基礎,持續不停帶領系統進
行改善與精進。
沒有一個資訊安全管理系統是完美的組織所面臨的環境變化不斷,如
果管理系統不能持續精進,就無法配合組織的成長。
持續改善就是利用前面所設定的各種機制,第四章全景分析、第六章
風險規劃、第八章風險處理及第九章監控審查、內部稽核、管理審查
去發現管理系統可以精進的地方,系統化的方式有助於持續改善的執
行。
貫穿整個條文的要求,可以知道 ISO 27001還是依照PDCA的循環來執
行管理系統應該做的事。
https://i.imgur.com/BJ75AMm.png
(1) 計劃
.建立控制目標並確認由誰負責實現目標。
.建立控制措施以實現控制目標並確認負責執行這些措施的人員。
.定義績效指標,以對照控制目標衡量績效。
.定義測量績效的過程,包括測量點、計算指標的方法和誤差範圍。
.定義矯正措施以將控制措施保持在正常範圍內。
(2) 執行
.持續衡量目標的實施情形,執行ISMS中的控制措施。
.如果發現缺陷或不符合事項,則採取矯正措施。
(3) 查核
.監控控制措施指標並將績效與控制目標進行比較。
.如果控制措施超出正常有效範圍,則對已實施的對策及其負責人員
進行監督。
.根據控制目標撰寫帶有管理關鍵績效指標的安全報告。
這些報告應包括針對所需管理決策的行動建議,他們應加強超出正
常範圍但仍在誤差範圍內的安全措施。
(4) 行動
.做出恢復控制措施的全部目標有效性所需的管理決策。
決策應下達到營運階層中以供實施。
.做出的決定應適當記錄包括對應之說明。
◎小結:
ISO 27001 到這篇翻完了,整個 ISO 27001 的運行模式就是照著
PDCA的循環在走,每個章節的進行流程是這樣,整體的架構也一樣
依循的這個模式讓資訊安全管理系統走在一個可控的範圍之中,持
續前進愈來愈好。
本來接著想看一些技術方面的東西了,做過考古題之後決定直接
從考古題比較弱的章節切進去看,這樣比較能讀到重點。
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.239.128.223 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/Marginalman/M.1679800661.A.F5A.html
推
03/26 11:22,
2年前
, 1F
03/26 11:22, 1F