BSI在1999年發行BS7799 Part-1 and Part-2
- BS7799 part1 → ISO 17799 → ISO 27002
資訊安全實施的參考文件(實施指南)
- BS7799 part2 → ISO 27001(ISMS)
提供資訊安全管理系統(ISMS) 建立實施與書面化具體要求,依據個別組織的需求
規定要實施之安全控制措施,如果要得到證書要遵循此要求。
**
Information Security Management Systems (ISO 27001)
資訊安全管理系統 (ISMS)的正式定義為:
整體管理系統的一部分,以營運風險導向為基礎,用以建立、實作、運作、監視、審查、維持及改進資訊安全。
ISO 27001 非常重視持續改進的精神,因此,要求針對每個發生的資安事件擬定矯正措施,而非危機處理完畢就落幕,以防止類似的資安事件再次發生。
資訊安全管理系統(ISMS)的整體架構規劃而言,是採用 規劃–執行–檢查–行動 (Plan–Do–Check–Act,簡稱 PDCA)的模式來設。
規劃(建立 ISMS)ISO 27001 針對 11 個控制面相制訂了 39 個控制目標(133 個控制措施),由於這些控制面相具體呈現資訊安全管理系統(ISMS)的預防與查核重點,ISO 27001 雖然詳列了133 個控制措施以供參考,不過都還祇是原則式的敘述,為了進一步協助實際運作,另外有一個與ISO 27001相搭配的標準 ISO 27002(原為 ISO 17799) 資訊安全管理作業要點
建立資訊安全管理系統之政策、目標、標的、流程及相關程序,以管理風險及改進資訊安全,使結果與組織整體政策及組織目標一致。
執行(實施與操作ISMS)
資訊安全管理系統之政策、控制措施、流程與程序之實施與操作。
檢查(監控與審查ISMS)
依據資訊安全管理系統之政策、目標與實際經驗,以評鑑及測量(適當時)流程績效,並將結果回報給管理階層加以審查
行動(維持與改進ISMS)
依據內部稽核、管理階層審查結果或其他資訊,採取矯正與預防措施,以達成持續改進資訊安全管理系統之目的。
ISO 27001 對資訊安全管理系統(ISMS)的實作規劃,是以資產(Asset)為出發點,透過適當的風險評鑑(Risk Assessment)和風險處理(Risk Treatment)使剩餘風險(Residual Risk)皆在可接受的範圍內,藉以達到效益和成本的最佳平衡,並完成資訊安全的三個最主要目標:
機密性(Confidentiality)、完整性(Integrity)、可用性(Availability)
C - 資料的機密性要求(Confidentiality) :以下列出這 ISO 27001 (ISMS) 的 11 個管理要項:
確保只有被授權的用戶,才可依權限存取資料。保護資訊不被非法存取或揭露
I - 資料的完整性要求(Integrity) :
確保資料是完整的,沒有被竊取或不當修改。
A - 資料的可取用性(Availability) :
確保被授權的用戶,當有需要存取資料時,得以順利獲得。
1. 安全政策
提供資安願景、方向來指導資安流程。
2. 安全組織
內部組織:內部專責的組織負責資安作業
外部團體:資安委外給資訊安全管理者
3. 資產管理
進行資產的盤點、分類,鑑別出企業內所涵蓋的資產有那些,如此才知企業所要保護的資
產範圍。
4. 人員安全
降低粗心、人為錯誤,或者濫用資訊設備所帶來的風險。
人員的聘顧、解聘應該有的作業程序,例如該移除離職員工的 IS 存取權。
5. 實體與環境安全
避免未授權的存取、破壞實體設備,設備的安全保護。
6. 通訊與作業管理
維持通訊的可用性、確保資訊在網路上的保全、第三方服務交付管理、系統規劃與驗收。
7. 存取控制
使用者存取管理、網路存取控制、資料存取控制、偵測不正常授權行為
8. 系統獲取、開發及維護
確保所有的 IT 專案是在安全考量下進行、確保運作中的系統有內建安全機制。
9. 資訊安全事故管理
通報資訊事件與弱點、災害回復
10. 持續管理
持續管理的資訊安全層面
11. 遵循
安全政策與標準的遵循性以及技術遵循性
沒有留言:
張貼留言