iT邦幫忙

2021 iThome 鐵人賽

DAY 9
1
Security

資訊安全制度建立與驗證系列 第 9

ISMS 程序書1~4階著樣寫

  • 分享至 

  • xImage
  •  

(一)政策性(第一階文件)

說明ISMS目標、方向及執行原則。

文件:資安政策、資安組織

ISMS-01-01政策大綱:目的、範圍 目標、策略、審查
ISMS-01-02組織大綱:設置資安組織原由簡述(大約100字簡略說明)、成立資訊安全管理委員會(以下簡稱管委會)、指定資安長為○○○、執行秘書為○○○、管理代表為○○○、以及其它資安組織角色職掌與工作內容(企業或機構大多由職員兼任,屬於任務編組性質)、管委員召開頻率、主辦單位與權責。


(二)規範性(第二階文件)

說明ISMS目標達成所需之行政規則。

規範性文件名稱可命名為規範、要點、注意事項等。

文件:文件管理、資訊安全、風險評鑑、存取控制、網路安全、個資保護、系統開發與維護、委外作業

ISMS-02-01文件管理:指定權責單位、編碼規則、紀錄保存方法、資料生命週期、電子/紙本檔案衝突依循準則、資料內容安全等級與標示。
ISMS-02-02資訊安全:指定權責單位、說明為了符合安全作業要築起什麼牆、舉起什麼盾、要求什麼對象遵守什麼規範。
ISMS-02-03風險評鑑:指定權責單位、說明風險識別、分析、排序的過程
ISMS-02-04存取控制:指定權責單位、說明帳密(個人/特權管理)、網路、資訊、資料、通訊、設備(私人/公務)...存取規範
ISMS-02-05網路安全:指定權責單位、網路相關管制程序說明
ISMS-02-06個資保護:指定權責單位、資通訊系統程序之個資相關保護措施
ISMS-02-07系統開發與維護:指定權責單位、SSDLC、檢測、驗收、審核、技術評估
ISMS-02-08委外作業:指定權責單位、說明企業或機構委外規範,常見的內容有保密條款、驗收標準、爭議處理、資安相關條款(例如:禁用危害技術猿、攻城獅...身心靈損害之實體或非科學領域OOXX)、委外廠商遵守事項...


(三)程序性(第三階文件)

針對規範性文件中之規定,敘述相關作業之辦理程序。

ISMS-03-01通訊安全:
ISMS-03-02內部稽核:
ISMS-03-03矯正改善:
ISMS-03-04教育訓練:
ISMS-03-05事件通報與處理:
ISMS-03-06內外部溝通:
ISMS-03-07供應商管理:
ISMS-03-08特權帳號管理:
ISMS-03-09資訊資產生命週期:
ISMS-03-10行動裝置安全規範:


(四)空白表單、紀錄及其他(第四階文件)

空白表單:ISMS作業所需使用之空白表單。

紀錄:ISMS作業已填寫資料之表單。

其他:ISMS作業所產生之文件、報告、計畫及相關參考資料。

ISMS-01-01-01資訊安全聲明書
ISMS-01-02-01資安組織名冊

ISMS-02-01-01文件管制清冊
ISMS-02-02-01挨踢需求申請單
ISMS-02-03-01資訊資產盤點表
ISMS-02-03-02資訊資產分級
ISMS-02-03-03資訊資產風險排序
ISMS-02-03-04風險評鑑計劃
ISMS-02-03-05風險評鑑報告
ISMS-02-03-06風險處理計劃
ISMS-02-04-01帳號申請表單
ISMS-02-05-01遠端連線申請單(VPN)
ISMS-02-06-01個資查閱申請單
ISMS-02-07-01SSDLC檢核表
ISMS-02-08-01保密同意書(NDA)/切結書

ISMS-03-01-01資訊機房巡檢表:
ISMS-03-01-02資訊機房設備/佈纜安全等級標示:紅(高)、黃(中)、藍(低)、白(非企業或機構資產)
ISMS-03-01-03機櫃設備一覽表
ISMS-03-01-04機房配備圖
ISMS-03-01-05網路架構圖
ISMS-03-01-06網路拓墣圖
ISMS-03-01-07網路佈線圖
ISMS-03-02-01內部稽核計劃:
ISMS-03-02-02內部稽核檢核表
ISMS-03-02-03內部稽核報告
ISMS-03-03-01矯正改善紀錄表:
ISMS-03-03-02矯正改善紀錄彙整表
ISMS-03-04-01教育訓練計劃
ISMS-03-04-02教育訓練簽到表
ISMS-03-04-03教育訓練報告
ISMS-03-05-01事件通報與處理表:
ISMS-03-06-01委外廠商聯絡表
ISMS-03-06-02委外廠商評核表
ISMS-03-06-03委外廠商彙整表
ISMS-03-06-04委外合約總表
ISMS-03-06-05拒絕往來廠商名冊
ISMS-03-07-01供應商資安等級評鑑表:
ISMS-03-07-02供應商資安事件通報單
ISMS-03-08-01存取權限審查表
ISMS-03-09-01資訊資產申請表:
ISMS-03-09-02資訊資產報廢表
ISMS-03-10-01行動裝置注意事項:
ISMS-03-10-02行動裝置借用/歸還紀錄表

梗圖


資料來源:
○○部資通安全政策
ISMS/PIMS顧問輔導
ISMS 資訊安全管理系統
政府機關為何要導入ISMS
公司為何要執行 ISMS資安管理系統 ?
JCIC「全組織一次通過」 ISO 27001資安驗證經驗分享


上一篇
擬定 ISMS 程序書撰寫方向
下一篇
傳說中的資訊安全全景圖
系列文
資訊安全制度建立與驗證40
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言