談到資料安全稽核機制,就是PDCA的Check機制之一, Check的目的不在找缺點, 而在檢視制度面是否落實, 以及制度面或執行面是否有可以改善的地方.
要建立資料安全稽核機制, 一方面可以培訓同仁熟悉稽核技巧, 另一方面亦可建立日常檢核機制, 如有技術性的稽核工具來做為輔助查核更可以使稽核工作更易落實執行.
以下將說明對應ISO 27001的本文及控制目標與措施的要求.
Clause 4.2.3 在已規劃的期間對於資訊安全管理系統進行內部稽核
Clause 6
組織應在規劃的期間內進行資訊安全管理系統之內部稽核,以決定其資訊安全管理系統之控制目標、控制措施、過程及程序是否:
符合本國際標準及相關法律或法規的要求;
符合所識別的資訊安全要求;
有效的實施與維持;及
如預期的執行。
A.10.10.1 Audit logging 稽核存錄
A.10.10.2 Monitoring system use 監控系統的使用
A.10.10.3 Protection of log information 日誌資訊的保護
A.15.2 Compliance with security policies and standards, and technical compliance 安全政策與標準的遵循性以及技術遵循性
A.15.2.1 Compliance with security policies and standards安全政策與標準的遵循性
A.15.2.2 Technical compliance checking 技術遵循性查核
資安這東西似乎沒個底限...
只要風險不高, 資安的需求就不高, 但相對的, 有風險就要處理, 就會有新的要求, 尤其是個資法實施後, 風險似乎也提高了 :-(