ISO 27001 介紹

大綱 ISO27001 的歷史 ISO 的過程導向PDCA ISO27001 的架構(條文) ISO 27001 的三要素 ISO27001 的實作(Example) ISO 27001能帶來什麼好處

ISO27001 的歷史

名詞解釋-ISO & BSI BSI –英國國家標準協會,資訊安全管理機制http://www.bsi.org.uk/ ISO –國際標準化組織( International Organization for Standardization) http://www.iso.org

資訊安全管理制度簡史 1995 英國BSI 訂定「資訊安全管理實務準則」之國家標準BS7799 part 1，並提交ISO國際標準組織 1996 ISO審議6個月後，沒通過BS7799成為ISO標準 1998 英國公佈BS7799 part 2，並成為資訊安全管理認證之依據 2000 增修後之BS7799 part 1通過ISO審議成為ISO/IEC17799國際標準 2002 英國BSI 公佈發行BS7799-2:2002修訂版 我國經濟部標準檢驗局依據ISO/IEC 17799及BS7799-2:2002版公佈國家標準CNS17799及CNS17800 2005 ISO國際標準組織修定公佈ISO/IEC 17799(2005年版) 2005/10/14 修定BS7799 part 2通過ISO審議成為ISO/IEC27001國際標準 2007 將ISO/IEC 17799改為ISO/IEC 27002，使資訊安全標準成為ISO 27000系列

BS17799 & ISO27001 ISO 17799(ISO 27002)(BS7799 – Part 1) Code of Practice for Information Security Management 作業規範 ISO 27001 (BS7799 – Part 2) Specification for Information Security Management Systems 要求事項

ISO27001:2005 ISO 27001是ISMS 系統驗證的判定標準 重於預防而非矯正措施 11個控制領域, 39個控制目標 133控制措施

ISO27001 的過程導向-PDCA

ISO27001 過程導向-PDCA 鑑定改善需求 執行改善工作 報告執行結果 確認目標達成 持續追縱改善 建立ISMS環境 資訊安全政策 Act—改善 Plan—計劃 鑑定改善需求 執行改善工作 報告執行結果 確認目標達成 持續追縱改善 建立ISMS環境 資訊安全政策 資訊安全目標 資訊安全組織 風險評估及管理 確認控制目標 Check—檢查 Do—執行 執行監控程序 風險再評估 定期施行稽核 績效評估 建立管理文件體系 建置控制方法 資訊安全程序文件 營運持續運作計畫 執行管理程序 教育訓練及宣導

ISO27001 的條文

ISO27001 的架構 0.簡介- 1.適用範圍 2.引用標準 3.用語釋義 資產,資訊安全,可用性….

ISO27001 條文 4. ISMS (資訊安全系統) 5.管理階層責任 (PDCA 中的D) 4.2.1 建立ISMS (PDCA 中的P) 4.2.2 實作ISMS (PDCA 中的D) 4.2.3 監視與審查(PDCA中的C) 4.2.4 維持與改進(PDCA中的A) 4.3 文件化要求 5.管理階層責任 (PDCA 中的D) 6.ISMS 內部稽核 (PDCA 中的C) 7.ISMS管理階層審查 (PDCA 中的C) 8.ISMS 改進 (PDCA 中的A)

ISO27001 的附錄A 資訊安全政策 資 訊 系 統 稽 核 資訊安全組織 資訊資產分類與管理 人 員 安 全 資安事件管理 實體與環境安全 通訊與操作管理 存 取 控 制 系統發展與維護 (A8) (A9) (A10) (A11) (A12) (A13) 業務持續運作之管理 (A14) 法令規章之遵循 (A15)

ISO27001 – 附錄A(控制領域) 資訊安全政策訂定與評估(A.5) 資訊安全組織(A.6) 資訊資產分類與管制(A.7)

ISO27001 – 附錄A 通訊與作業安全管理(A.10) 存取控制安全(A.11) 系統開發與維護之安全(A.12)

資訊安全制度文件管理架構(4.3) 政策 規範、辦法 作業程序 表單、記錄 一階 二階 三階 四階 建立資訊安全制度之文件管理架構

ISMS 三要素

資訓安全的三要素 Confidentiality 機密性 Integrity完整性 Availability 可用性 保護資訊不被非法存取或揭露 Integrity完整性 確保資訊在任何階段沒有不適當的修改或損毀 (如網頁被駭,就是完整性的問題) Availability 可用性 經授權的使用者能適時的存取所需資訊 (如硬體故障,使得授權的使用者無法使用)

建立ISMS

IS27001 ISO 27001“以風險為基礎”的方法論,定義政策,程序和適當的控制項目來管理風險

資訊安全 資訊就是一種資產，和其他重要的營運資產一樣有價值，因此需要持續給予妥善保護。 資訊安全包含技術面與管理面，需要通過實施一整套適當的控制措施才能實現。

建立ISMS-條文4.1 a.界定ISMS 的範圍及界限 b.界定ISMS 的政策 ---------------------------------------------- c.界定組織的風險評鑑方法 d.識別各項風險 e.分析與評估各項風險 -------------------------------------------- (c-e 稱為風險評鑑)

建立ISMS ------------------------------------------------- f. 識別並評估風險處理的各項選項辦法 g.選擇控制目標及控制措施以處理風險 h.取得管理階層對殘餘風險的核準 -----------------------------------(f-h 為風險處理) i.取得管理階層實作及操作資訊安全管理系統的授權 j.擬一份適用性聲明

ISO 27001 說明 ISO 27001 只是一個要求事項 要達成ISO 27001 的要求事項方法很多 可以是人工的 可以使用軟體工具

ISO27001 實作

ISO27001 實作 成立ISO27001 小組 界定公司ISMS 的範圍及界限 界定公司ISMS 的政策 清查資訊資產 針對資訊資產評定其風險值 選擇風險處理的方法 寫一份適用聲明書

成立資訊安全推動工作小組 資訊安全官 管理代表(簡稱“管代”) 資訊安全部主管 管理部 文件管理中心 稽核 資安政策形成之初, 公司需成立資訊安全推動工作小組 (或資訊安全委員會)

ISO27001 實作 界定公司ISMS 的範圍及界限 界定公司ISMS 的政策 養成良好資安習慣 例如：XX公司或XX機關

資訊資產六大類 軟體 硬體 人員 資料 文件 環境

ISO27001 針對資訊資產評定其風險值 對於風險等級超過一定值(例如16分)需要風險處理降低其風險 威脅性-低,中,高,極高 弱點等級-低,中,高,極高 風險等級=資訊資產價值*威脅*弱點等級 對於風險等級超過一定值(例如16分)需要風險處理降低其風險

ISO27001 風險處理方法有 取得管理階層對剩餘風險的核準 採取降低風險的措施—面對它,處理它 如果無法降低—接受它(剩餘風險) 迴避它 轉移風險– 利用保險或其他方式處理 取得管理階層對剩餘風險的核準

ISO27001 擬一份適用性聲明書 -適用性聲明書指的是對附錄A中排除的理由說明

ISO27001 評鑑 每年要複評 每三年要重新評鑑

ISO 27001能帶來什麼好處

ISO 27001能帶來什麼好處 資訊安全管理系統的運行及ISO 27001驗證能為企業帶來許多重要的策略與營運優勢

ISO 27001能帶來什麼好處 強化企業安全： 透過資訊安全管理系統的運行及ISO27001驗證程序，可減少企業網路的弱點，並提高企業的風險控管能力。 減少弱點意味著較少的安全漏洞，詐騙行為、財物風險與法律風險也會跟著減少，當然網路的連續運作時間與顧客信心也會隨之提高。

ISO 27001能帶來什麼好處 提高安全規劃效率 ISO27001列舉了分屬於十項領域共 127 條控制項目及其控制細項目，將明確導引企業如何進行人力資源、法務與突發事件應變的規劃。這些針對資訊安全而提出的全面性詳細建議，可使得企業開始導入安全措施時，作到更完善、更容易管控且非常符合經濟效益。

ISO 27001能帶來什麼好處 提高安全管理成效 企業將開始制定或重新檢視其資訊安全政策與程序。與企業一般的安全計劃不同的是，ISO27001已證實是資訊安全的最佳實務準則法則，並且在實際商業資訊安全中測試過其成效。

ISO 27001能帶來什麼好處 持續保護 企業經過驗證後，稽核機構的持續檢驗與ISO27001的持續更新，將確保企業隨時了解最新的弱點以及最佳的實務準則法則。

ISO 27001能帶來什麼好處 改善與供應商的合作關係

ISO 27001能帶來什麼好處 安全的電子商務 資訊安全管理系統的運行及ISO27001驗證等於是一個安全徽章，無論是財務機構或電子商城，消費者都能輕易分辨出哪些是經過驗證值得信賴的電子商務公司。

ISO 27001能帶來什麼好處 提高顧客信心 隨著顧客與廠商對網路安全漏洞愈來愈謹慎，他們也會開始尋求具體的安全保障，資訊安全管理系統的運行及ISO27001驗證能提供他們需要的信心。

ISO 27001能帶來什麼好處 降低法律風險 企業透過資訊安全管理系統的運行及ISO27001驗證後，將可減少因為資訊安全突發事件而　　面臨的法律問題， 因為法庭將會把企業符合ISO27001該項標準的事實，認定為企業已經做到足夠程度的安全防護。

謝謝,簡報結束