ISO27001信息安全管理系统主导稽核员教材.pptx
- 文档编号:18811276
- 上传时间:2023-11-30
- 格式:PPTX
- 页数:158
- 大小:1.01MB
ISO27001信息安全管理系统主导稽核员教材.pptx
《ISO27001信息安全管理系统主导稽核员教材.pptx》由会员分享,可在线阅读,更多相关《ISO27001信息安全管理系统主导稽核员教材.pptx(158页珍藏版)》请在冰点文库上搜索。
ISO27001:
2005信息安全管理系统-主导稽核员教材,课程大纲,ISO27001:
2005法规说明附录A控制措施简介资产评估风险评鉴风险处理适用性声明书稽核,ISO27001:
2005法规说明,ISO27001:
2005法规说明,BS7799:
分为BS7799-1和BS7799-2两部份BS7799-1:
2005/ISO17799:
2005主要是做为参考文件,提供广泛性的安全控制措施,作为现行信息安全之最佳作业方法,其中包含11个控制措施章节,但不作为评鉴与验证标准。
BS7799-2:
2005/ISO27001:
2005系根据BS7799-1,提供信息安全管理系统(ISMS)之建立实施与书面化之具体要求,依据个别组织的需求,规定要实施之安全控制措施的要求。
ISO27001:
2005法规说明,BS7799-1:
2005/ISO17799:
2005信息安全管理作业要点用意是做为参考文件提供广泛性的安全控制措施现行信息安全之最佳作业方法包含11个控制章节无法作为评鉴与验证,ISO27001:
2005法规说明,BS7799-2:
2005/ISO27001:
2005信息安全管理系统要求根据BS7799-1:
2005ISMS之建立实施与文件化之具体要求依据个别组织的需求,规定要实施之安全控制措施的要求。
ISO27001:
2005法规说明,信息是一种资产,就像其它重要的企业资产依样,对组织具有价值,因此需要受到适当的保护。
ISO27001:
2005法规说明,信息的类型书写或打印于纸上储存在电子媒体上以邮寄或电子储存媒体传输显示于企业影片上言语-在对话中提出不管信息的形式是什么,或者共享或储存的方式是什么,都应该受到适当的保护。
ISO27001:
2005法规说明,信息安全保护信息的机密性、完整性与可用性;另外,亦可包含如可鉴别性(真实性)、可归责性、不可否认性及可靠性等特性。
ISO27001:
2005法规说明,机密性(Confidentiality)信息不可被未经授权之个人、实体、流程所取得或揭露之特性。
完整性(Integrity)保护资产准确性和完整性之特性。
可用性(Avaliability)基于需要可由授权者存取及使用之特性。
ISO27001:
2005法规说明,关键的成功因素(Criticalsuccessfactors)经验显示,组织的信息安全能否成功实施,下列常为关键因素:
能反映营运目标的信息安全政策、目标及活动。
与组织文化一致之实施、维护、监控、及改进信息安全的方法与框架。
来自所有管理阶层的实际支持和承诺。
对信息安全要求、风险评鉴以及风险管理的深入了解。
向全体管理人员、受雇人员、及相关人员有效推广信息安全以达到认知。
资助信息安全管理活动。
提供适切的认知、训练及教育。
制定有效的信息安全事故管理过程。
实施个用于评估ISMS的绩效及改进的回馈建议之量测系统。
ISO27001:
2005法规说明,4.Informationsecuritymanagementsystem,4.1一般要求組織應在整體業務活動與所面臨風險下建立、實施、操作、監控、審查、維護及改進一文件化ISMS,為本國際標準之目的,所採用之過程以下圖所示之PDCA模式為基礎。
4.Informationsecuritymanagementsystem,4.2資訊安全管理系統之建立及管理,4.2.1建立資訊安全管理系統組織應:
依據業務、組織、所在位置、資產及技術等特性,定義資訊安全管理系統之範圍及界限,並包括任何自範圍排除之細節及理由。
依據業務、組織、所在位置、資產及技術等特性,定義資訊安全管理系統之政策,且:
包含設定目標之框架,並建立有關資訊安全之整體方向亦是與行動原則。
考慮企業及法律或法規要求,以及合約性的安全責任。
與組織策略性之風險管理內容配合,使ISMS得以建立及維持。
建立評估風險之標準,及被管理階層核准。
4.2資訊安全管理系統之建立及管理,定義組織之風險評鑑辦法鑑別一風險評鑑方法論,並適合其ISMS、已鑑別之企業資訊安全、以及法律與法規要求。
發展可接受風險之標準以及鑑別風險至可接受的程度。
所選擇之風險評鑑方法論應確保產出可比較及可重複之結果。
鑑別各項風險鑑別ISMS控制範圍內之資產以及該資產之擁有者(owner)。
擁有者(owner)一詞係指已核准資產管理責任之個人或實體,針對資產之生產、開發、維護、使用及安全之管制。
擁有者(owner)一詞並不是指實際具有資產產權之人員。
4.2資訊安全管理系統之建立及管理,分析及評估各項風險鑑別並評估風險處理之選項方法選擇控制目標及控制措施以處理風險:
應選擇並實施控制目標與控制措施,以符合風險評鑑與風險處理過程所鑑別之要求。
控制目標與控制措施應於本標準之附錄A中加以選擇,為此過程的一部份並適當滿足所鑑別之要求。
4.2資訊安全管理系統之建立及管理,所提出之殘餘風險須取得管理階層之核准ISMS亦須獲得授權才能實施與操作擬訂一份適用性聲明書,須包括下列:
於4.2.1節所選擇之管制目標與控制措施,其選擇之理由。
現行已實施之控制目標與控制措施。
附錄A中任何排除之控制目標與控制措施,及其排除之正當理由。
4.2資訊安全管理系統之建立及管理,4.2.2資訊安全管理系統之實施與操作組織應有系統的陳述一項風險處理計畫以鑑別適當管理措施、資源、權責及優先順序,以便管理資訊安全風險。
實施風險處理計畫,以達到所鑑別的安全目標,計畫內容包括投資的考慮以及角色與責任的分派。
實施4.2.1所選之控制措施以符合管制目標。
定義如何測量所選擇控制措施或控制措施群組織有效,及具體說明如何使用這些測量來評估控制措施之有效性,並產出可比較即可再現的結果。
實施訓練與認知計畫。
管理ISMS作業。
管理ISMS資源。
實施能即時偵知安全事故,並予以回應安全事件處理之作業程序及其他控制措施。
4.2資訊安全管理系統之建立及管理,4.2.3資訊安全管理系統之監控及審查執行監控與審查程序及其他控制措施,以便:
立即偵知系統處理結果之錯誤。
立即鑑別企圖及已成功之安全破壞及事故。
促使管理階層決定是否委託他人或藉由資訊技術之實施均已如預期般實行。
使用指標幫助偵測安全事件並防止安全事故。
決定所採取解決安全漏洞之措施是否有效。
定期審查ISMS之有效性(包含符合ISMS政策、目標及控制措施之審查),並考慮來自安全稽核、事件、來自有效性量測之結果、股東及利害關係團體之建議及回饋之結果。
測量控制措施有效性,以確認符合安全要求。
4.2資訊安全管理系統之建立及管理,在規劃期間審查風險評鑑及審查殘餘風險,與鑑別之可接受風險等級,並考慮下列之變數:
組織技術企業目標及過程已鑑別之威脅控制措施實施有效性外部事件,例如法律或法規環境之變化、合約責任之變化,以及社會環境之變化。
在規劃期間執行內部ISMS稽核內部ISMS稽核有時稱為第一方稽核,是由組織自己或其代表基於內部目的所實施。
4.2資訊安全管理系統之建立及管理,定期執行ISMS管理階層審查,以確保範圍保持適當,及ISMS過程之各項改進均已鑑別。
考量監控與審查活動之發現,更新安全計畫。
紀錄對ISMS之有效性或績效有衝擊之活動與事件。
4.2資訊安全管理系統之建立及管理,4.2.4維持及改進資訊安全管理系統組織應定期進行下述:
實施ISMS所鑑定之改進活動。
依據第8.2及8.3節採取適當矯正及預防措施。
採用從其他組織及本身之安全經驗吸取教訓。
以適切於情況的詳盡程度與所有利害相關團體就各項措施及改進活動進行溝通,並在適當時取得進行方式的同意。
確保各項改進措施達到預期目標。
4.3文件要求,4.3.1一般要求文件應包括管理決策紀錄,確保相關活動可追溯至管理決策與政策,並確保所紀錄之結果是可再現的。
重要的是能夠證明所選擇之控制措施回溯至風險評鑑與風險處理過程結果,及回溯至ISMS政策及目標之關聯性。
資訊安全管理系統文件應包含:
ISMS政策與安全目標之書面聲明資訊安全管理系統之範圍支援ISMS之相關程序書及控制措施風險評鑑方法論之說明書風險處理計畫,4.3文件要求,組織為確保有效規畫、操作與控制資訊安全過程,及說明如何量測控制措施有效所需之書面程序。
本國際標準要求之各紀錄。
適用性聲明書。
所有文件應依據ISMS之政策要求隨時可供取用。
4.3文件要求,ISMS文件的廣度,其範圍和細節取決於:
產品和流程的複雜性顧客和法規的要求工業標準和規範教育、經驗和訓練勞動力的穩定性過去發生的安全問題,4.3文件要求,Level1安全政策手冊為管理架構的摘要,其中包括了資訊安全政策和控制措施目標,以及適用性聲明書中所提及已實施的控制措施。
Level2程序程序用來實施所要求的控制措施,描述who、what、when、where等安全流程和不同部門間的控制措施。
4.3文件要求,Level3工作指導書、檢查清單、表格等解釋特殊工作和活動的細節,以及如何完成特定的工作。
包括詳細的工作指導書、表單、流程圖、服務標準和系統手冊等。
Level4紀錄紀錄活動實行以符合等級1、2和3文件要求的客觀證據。
可能是強制性的隱含在每個BS7799條款中。
例如:
機房訪客登記簿、稽核記錄和存取授權等。
4.3文件要求,4.3.2文件管制ISMS所需之文件應受保護和管制。
應建立文件化程序,以界定所需之管理措施,用以:
在文件發行前核准其適切性。
必要時,審查和更新並重新核准文件。
確保文件之變更與最新改訂狀況已予以識別。
確保在使用場所備有相關適用版次文件。
確保文件保持易於閱讀並容易識別。
確保有需要之人員均有文件可用,且依照其適用之傳遞、儲存及最終處理予以分類。
確保外來原始文件已加以識別。
確保文件分發已管制。
防止失效文件被誤用。
過期文件為任何目的需保留時,應予以適當識別。
4.3文件要求,4.3.3紀錄管制為提供ISMS符合要求及有效運作之證據,所建立並維持之紀錄,應予以保護級管制。
ISMS應將相關法律或法規要求及合約責任列入考量。
紀錄應清晰易讀,容易檢索及識別。
為了紀錄之鑑別、儲存、保護、檢索、保存期限及報廢,應建立文件化程序,以界定所需之管制。
所需之紀錄及其範圍應由管理過程加以決定。
紀錄應加以保存,如4.2節所述各項過程之績效,以及所有與ISMS有關之重大安全事故紀錄。
5.管理階層責任,5.1管理階層承諾管理階層應藉由下列各項,對ISMS之建立、實施、操作、監控、審查、維護與改進之承諾提供證據:
建立一份ISMS政策。
確保建立各項ISMS目標及計畫。
為資訊安全建立角色與權責。
向全組織傳達符合資訊安全目標、遵守資訊安全政策、在法律下要求之權責,以及持續改進之需求。
提供充分資源以建立、實施、操作、監控、審查、維護與改進ISMS。
決定可接風險之標準,以及可接受風險之等級。
確保實施內部ISMS稽核。
執行ISMS之管理階層審查。
5.2資源管理,5.2.1資源提供組織應決定並提供下列工作必要之資源:
建立、實施、操作、監控、審查、維護與改進ISMS。
確保資訊安全程序足以支持企業的需求。
藉由修改所有實行的控制措施,來維持適當的安全。
5.2.2訓練、認知及能力組織應確保在ISMS中規定有責任之所有員工,有能力藉由下述執行所要求的工作,包括:
決定執行影響ISMS工作之人員其所需之能力。
提供訓練或採取其他措施(如:
僱用具備能力之人員),以滿足該需求。
評估所提供訓練及所採取措施之有效性。
維持教育、訓練、技巧、經驗及資格之紀錄。
組織亦應確保所有相關人員已認知其所從事的資訊安全活動之相關性及重要性,以及他們如何對ISMS之目標達成有所貢獻。
6.內部ISMS稽核,組織應定期進行內部ISMS稽核已決定其控制措施目標、過程及程序是否:
符合本標準及相關法律或管理的要求符合所識別的資訊安全要求有效的實作與維護如預期的執行稽核計畫應事先規劃,考慮稽核的過程與區域之狀況及重要性,以及先前稽核的結果。
稽核準則、範圍、頻率及方法應予以界定。
稽核人員的選擇與稽核的執行應確保稽核過程的客觀及公平。
另外,稽核人員不應稽核其本身的工作。
6.內部ISMS稽核,規劃與執行稽核,及報告結果與維持紀錄之責任與要求。
應以書面程序予以界定。
被稽核區域管理階層之責任,應確保採行措施沒有不當之延誤,以消除所發現之不符合與其原因。
跟催活動應包括所採行措施之查證,與查證結果之報告。
7.ISMS之管理階層審查,7.1概述管理階層應在規劃期間內(至少一年一次),審查組織的ISMS,以確保其持續的適用性、適切性及有效性。
審查應包含改進時機之評估,以及ISMS變更之需求,含資訊安全政策與資訊安全目標。
審查結果應予以清楚的文件化,紀錄應予以維持。
7.ISMS之管理階層審查,7.2審查輸入管理階層審查輸入應包括下列資訊:
ISMS稽核與審查之結果。
來自利害相關團體之回饋。
可用以改進組織ISMS績效及有效性之技術、產品或程序。
預防與矯正措施之狀況。
先前風險評鑑未適切提出之脆弱性或威脅。
來自有效性量測之結果。
先前管理階層審查之跟催措施。
可能影響ISMS之任何變更。
改進之建議。
7.ISMS之管理階層審查,7.3審查輸出管理階層審查之輸出應包括下列有關之任何決定與措施:
ISMS有效性之改進。
更新風險評鑑及風險處理計畫。
未因應可能影響ISMS之內部或外部事件,必要時將影響資訊安全之程序及控制措施予以修訂,包括營運需求安全需求影響既有營運需求之營運過程法令或法規要求合約責任風險等級風險可接受程度之標準資源需求。
測量控制措施有效性之改進。
8.ISMS之改進,8.1持續的改進尋求持續的改進透過下列改進ISMS的有效性安全政策安全目標安全審查的結果安全稽核矯正措施預防措施管理審查,8.ISMS之改進,8.2矯正措施應該採取措施以消除不合格的原因,避免復發。
在ISMS內的書面程序應該定義:
鑑別不符合事項確定原因評估避免復發所需的活動確定和實施矯正措施紀錄結果審查行動的有效性,8.ISMS之改進,8.3預防措施為防止不符合事項發生,組織應決定措施,消除ISMS要求之潛在不符合事項之原因,以防止其發生。
所採取之預防措施應與潛在問題之影響相稱。
預防措施之文件化程序應訂出以下要求:
鑑別潛在的不符合與其原因。
評估採取預防發生不符合措施的需求。
決定並實施所需之措施。
紀錄所採取措施之結果。
審查所採用之預防措施。
組織應鑑別已變化之風險及鑑別預防措施要求之焦點放在顯著變化之風險上。
預防措施之優先順序應依據風險評鑑之結果加以決定。
課程大綱,ISO27001:
2005法規說明附錄A控制措施簡介資產評估風險評鑑風險處理適用性聲明書稽核,ISO27001:
2005(BS7799-2:
2005)控制措施,ISO27001:
2005(BS7799-2:
2005)控制措施,ISO27001:
2005(BS7799-2:
2005)控制措施,ISO27001:
2005(BS7799-2:
2005)控制措施,ISO27001:
2005(BS7799-2:
2005)控制措施,ISO27001:
2005(BS7799-2:
2005)控制措施,ISO27001:
2005(BS7799-2:
2005)控制措施,ISO27001:
2005(BS7799-2:
2005)控制措施,ISO27001:
2005(BS7799-2:
2005)控制措施,ISO27001:
2005(BS7799-2:
2005)控制措施,ISO27001:
2005(BS7799-2:
2005)控制措施,ISO27001:
2005(BS7799-2:
2005)控制措施,ISO27001:
2005(BS7799-2:
2005)控制措施,ISO27001:
2005(BS7799-2:
2005)控制措施,ISO27001:
2005(BS7799-2:
2005)控制措施,ISO27001:
2005(BS7799-2:
2005)控制措施,ISO27001:
2005(BS7799-2:
2005)控制措施,不是所有的控制措施都與每種情況相關,也無法考量到所有的當地環境或技術限制,或以適合組織內每位潛在使用者形式呈現。
課程大綱,ISO27001:
2005法規說明附錄A控制措施簡介資產評估風險評鑑風險處理適用性聲明書稽核,資產評估,BS7799要求所有資產的詳細清冊應被制定和維護,以及這些資產的可歸責應被定義。
資產評估,何謂資產?
資產就是對組織有價值的任何事物。
是組織直接賦予價值且需要被保護的。
必須是相關於ISMS的範圍。
資產評估,ISMS資產分類可分為:
資訊資產如資料檔案、使用手冊等。
書面文件如合約書、指南等。
軟體資產如應用程式、系統軟體等。
實體資產如電腦、磁碟片等。
人員員工公司形象與聲望服務如通訊、技術等。
資產評估,資產價值和潛在衝擊組織已經鑑別其資訊資產的價值嗎?
決定每個資產價值是決定一個有效率安全政策的第一步。
是什麼樣的系統?
14或是低到非常高這是風險評鑑過程中極為重要的部份。
資產評估,資產價值對於BS7799:
2005/ISO27001:
2005來說,資產並不一定包括組織內一般視為有價值的所有事物。
組織必須自行決定哪些資產的缺乏或降級可能實際影響產品或服務的交付。
課程大綱,ISO27001:
2005法規說明附錄A控制措施簡介資產評估風險評鑑風險處理適用性聲明書稽核,風險評鑑,安全風險安全風險是指特定威脅利用脆弱性,造成資產或資訊資產損失或損毀的潛在可能。
BS7799的實施和驗證是基於正式風險評鑑的結果。
評鑑風險資訊保護是基於防範營運資訊之風險,此為本國際標準的基礎,使組織能夠採取適當的安全控制措施。
若安全控制措施太少,則營運資訊會暴露在各種風險當中;若太多則會導致企業負擔過多的成本。
風險評鑑,組織必須定義(並製成文件)其風險評鑑的方法。
4.2.1C這也表示選擇與文件化之風險評鑑方法論,可使風險評鑑產生可比較與可重複(再現)的結果。
4.2.1C和4.2.3D現在風險評鑑規定必須有計畫地定期進行審查,並且讓管理階層審查更新的風險評鑑與風險處理計畫。
7.3B此活動必須至少一年執行一次,是ISMS管理審查的一部份。
7.1,風險評鑑,在稽核的過程中,稽核員會注意所選用之控制措施予風險處理過程之間的關係,這些控制措施需溯及風險評鑑的結果,並溯及ISMS的政策與目標。
風險評鑑,風險評鑑過程鑑別資產和指派資產價值。
鑑別資產的相關威脅和評鑑它們的可能性。
鑑別脆弱性和評鑑它們可能如何被利用。
鑑別如何藉由控制措施的實施以提供保護。
評鑑上述之全面的風險結果。
風險評鑑,威脅宣告意圖造成損害、痛苦或不幸。
可能造成一個有害的事件,且這事件可能對系統、組織和資產造成傷害。
蓄意的或是意外的,人為的或是天災的。
資產容易受到許多威脅,這些威脅來自於利用脆弱性。
風險評鑑,威脅天災洪水、暴風、地震和閃電等。
人為人員短缺、錯誤維護、使用者操作錯誤等。
科技的網路故障、流量超過負荷、硬體故障等。
蓄意的威脅意外的威脅威脅頻率,風險評鑑,脆弱性脆弱性是組織資訊安全的漏洞或弱點。
脆弱性本身並不會造成傷害,而是可能允許威脅影響資產的一種或多種情況。
脆弱性如果沒有適當管理,將促使威脅形成。
風險評鑑,脆弱性關鍵人員的缺席不穩定的動力未保護的電纜線安全意識的缺乏密碼權限的錯誤分配安全訓練的不足未安裝防火牆未鎖的門,風險評鑑,風險評鑑的工具和方法Q:
BS7799建議什麼工具?
A:
風險評鑑應該鑑別對組織資產的威脅、脆弱性和衝擊,而且應該決定風險程度。
課程大綱,ISO27001:
2005法規說明附錄A控制措施簡介資產評估風險評鑑風險處理適用性聲明書稽核,風險處理,風險處理計畫風險處理計畫是定義行動以降低無法接受的風險,和實施所需的控制措施以保護資訊的一種合作文件。
風險處理,風險處理方向避免風險降低風險到可接受程度轉移風險接受剩餘的風險,風險處理,可接受風險的等級要達到完全的風險是不可能的。
總是有剩餘的風險。
什麼樣程度的剩餘風險能為組織所接受?
風險處理,需考量的因素有:
地點已存在的安全攻擊者的數量可用的設施累積的機會宣傳層次營運持續計劃,風險處理,風險處理的步驟定義一個可接受的殘餘風險等級。
持續的審查威脅和脆弱性。
對已存在之安全控制措施的審查。
應用其它安全控制措施,如BS7799。
導入政策和程序。
風險處理,控制措施的選擇風險要求的保證程度(即強度)成本實施的容易性服務法律和法規的要求客戶和其它的合約要求,風險處理,成本預算限制。
用控制措施的成本是否會超過資產本身的價值?
也許必須選擇”最佳價值”範圍內的控制措施。
風險處理,實施的容易性環境是否支援控制措施?
控制措施需要多久才有辦法開始實施?
控制措施是否立即可用的?
風險處理,服務可獲得的技術是否能夠管理控制措施?
是否能夠立即的升級?
設備是否有當地工程師或協力廠商的支援?
風險處理,客戶和其它合約的要求安全篩選受限制的存取實體的安全邊界資料儲存加密數位簽章,風險處理,最佳作業的控制措施資訊安全政策文件資訊安全責任的分配資訊安全教育和訓練應用系統的正確處理技術脆弱點管理營運持續管理管理資訊安全事故和改善,風險處理,測量控制措施的有效性與4.2.2連接,用以監控ISMS的有效性。
在規劃期間審查風險評鑑及審查剩餘風險與鑑別之可接受風險等級,以考慮控制措施實施有效性之變化。
幫助監控已實施控制措施的效果。
風險處理,風險評鑑過程資產鑑別與價值評估威脅的鑑別脆弱性的鑑別衝擊的評估營運風險風險的分級風險管理過程現有的安全控制措施審查新安全控制措施的鑑別政策與程序實施與風險降低風險可接受度(殘餘風險),課程大綱,ISO27001:
2005法規說明附錄A控制措施簡介資產評估風險評鑑風險處理適用性聲明稽核,適用性聲明,是組織選擇適合其企業營運需求的目標與控制措施評論。
聲明也將記錄任何控制措施的排除。
聲明是展示組織如何控制風險的文件,應該沒有太多的細節能夠讓想要破壞安全的人取得寶貴的資訊。
它可能會被潛在的商業夥伴所要求持有的獨立文件,或是成為驗證機構所頒發證書的附加資訊,因此它有可能會是公開的資訊。
適用性聲明,適合其企業需求的目標與控制措施評論。
證明哪些控制措施是相關的紀錄哪些不相關的控制措施風險評鑑將決定哪一些控制措施應該被實施是完整文件審查的一部份將幫助決定最後評鑑階段的稽核計畫,適用性聲明,如果要求未被實施,為什麼?
風險因未暴露而未被確認預算、財務限制環境影響防護措施,如氣候、空間等。
技術,有些措施是技術上不可行的。
文化、社會限制時間,有些要求無法現在實施。
其它,課程大綱,ISO27001:
2005法規說明附錄A控制措施簡介資產評估風險評鑑風險處理適用性聲明稽核,稽核,至少需執行兩個階段而且都須見別隊BS7799-2和ISO27001:
2005的符合性。
稽核階段1文件審查審查ISMS核心要素。
稽核階段2實施稽核在現場進行,對政策、程序、和目標的有效性進行審查。
稽核階段1文件審查,目標為稽核計畫(階段2)提供重點,藉此了解組織安全政策和目標中ISMS的背景脈絡,尤其是為了稽核所做的準備聲明。
稽核階段1文件審查,主要活動審查ISMS管理架構確定ISMS範圍風險評鑑和管理適用性聲明安全政策和支援的關鍵程序發現結果的正式報告對組織解釋階段2,稽核階段2實施稽核,目標證明組織遵守本身的政策、目標和程序。
證明ISMS遵照所有ISMS標準或規範文件的要求,而且達成組織的政策目標。
測試ISMS的有效性。
稽核階段2實施稽核,主要活動訪問ISMS的所有權人和使用者審查高、中或低風險區域安全目標及標的安全和管理審查系統中核心文件的連結報告發現事項和做出最後是否發證之建議,稽核員的類型,第三方稽核員為獨立驗證機構。
第二方稽核員有從屬關係之組織。
第一方稽核員自己的部門、單位。
稽核專有名詞解釋,稽核員(Auditor)一個有資格去執行安全稽核的人。
主導稽核員(LeadAuditor)一個被指定管理安全稽核的稽核員。
客戶(Client)被稽核的組織。
被稽核方(Auditee)組織中被稽核的人。
主導稽核員的責任,在階段1之前指派計劃和管理所有的稽核階段執行階段1的稽核協助小組及對小組簡報控制衝突和處理困難的情形執行和控制所有的小組和被稽核者間的會議在稽核議題和ISMS上做
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ISO27001 信息 安全管理 系统 主导 稽核 教材
![提示](https://static.bingdoc.com/images/bang_tan.gif)