iT邦幫忙

2021 iThome 鐵人賽

DAY 2
0
自我挑戰組

在你身邊倒熱水之iso27001:2013筆記系列 第 2

Day02_話說從頭~ISO27001幹嘛用的~能吃嗎~XD"

  • 分享至 

  • xImage
  •  

我可以吃,啊不對,是ISO27001可以吃,更不對XDDD"是賺來的錢錢可以買好吃的~(冷!!!)

▉課程學習目標:
└解釋資訊安全管理系統(ISMS)的目地
以及被定義於ISO27001:2013中,ISMS包含建立,執行,運作,監督,檢視及持續改善之程序。(PDCA吧?)
└說明ISO27001新舊版差異、ISO27001:2013內容,以及ISMS為因應新版要求所應進行的調整作業。
重點>人員上怎麼配合
初階課程>條文&控制項的要求,以例子來分享

▉資訊安全管理系統的相關標準:
└ISO的條文由27001&27006這兩個延伸出來的標準、規範、技術文件等。
27001|Requirements for information security management
27002|Code of practice for information security management
27005|Information Security Risk Management
27006|Requirements for bodies providing audit and certification of information security management systelas
19011|Guidelines for management system auditing

▉補充說明:
27001>風險管理,在台灣的應用,標檢局轉換為CNS 27001,國內採行的標準。--它是教科書
27002>144個控制項的實作指引。--它是參考書
27005>風險評鑑
27006>驗證公司用的
19011>(沒記到XDDD 有好心人可以幫補充一下嗎)

▉相關的LINK:
└經濟部標準檢驗局|法規查詢 https://www.bsmi.gov.tw/lawVue/#/lawList
└CNS 27001資訊安全管理系統國家標準(更新版) (行政院國家資通安全會報-作業規範) https://nicst.ey.gov.tw/Page/7CBD7E79D558D47C/45d1f417-ca0c-4b30-aafa-ffeb9070a257
└IS027001:2013|PDF付費下載: https://www.iso.org/standard/54534.html
118法郎約是3仟五佰多台幣XDD" 暫時買不起~
└CNS27001|PDF付費下載: https://www.cnsonline.com.tw/?node=result&generalno=27001&locale=zh_TW

▶溫馨提示:所謂的『系統』,它講的是『管理制度』,別誤會成"軟體程式"之類的系統嘿。
▶也依據自身的需求來思考,為什麼會想導入ISO27001?因為公司叫我來念書 可能來自外部,也可能是內部,如果是依循法規,個資法啦,資通安全法啦,也可能會是導入的因素之一

▉舉例子|iThome 2021資安大預測>資安威脅趨勢:
①遠距工作成常態網路漏洞頻現(遠端開會、VPN連進公司)
②疫情成網路釣魚誘餌(因為你看不到我,所以我被冒充了XDDDD")
③網通與資安產品漏洞頻傳(別懷疑,使用產品都是有風險的XDDD)
④BEC商業郵件詐騙事件攀升(長期的埋伏,收集資料,偽裝商業往來的對象。)
⑤勒索軟體攻擊以資料外洩要脅(這個。。。感覺今年這個類型的威脅,直線上升)
└遊輪業者Carnival使用了含有CVE-2019-19781漏洞的Citrix伺服器。
└威聯通NAS(勒索軟體:Qlocker,檔案變成密碼保護的7ZIP檔)
└NAS使用弱密碼(拜託,舉手之勞,換一下密碼,保護網管脆弱的小心臟XDDD)
⑥軟體供應鏈與供應商成攻擊破口(恩,我想不到例子)
⑦針對製造業發動目標式與DDOS攻擊(這個是不是說製造業比較容易使用舊制的設備之類的!?)
⑧5G乾淨網路採中國網通設備(對岸的。。。)

▉依我自身遇過的例子
└NAS>大家都設同樣的權限,所以全部看光光啦,而且全部都可以殺光光唷~
(真妖壽,狼后依台了了,再兩手一攤跟你說,HI~安安~為什麼別人的資料我也可以砍呢!?ɾ⚈▿⚈ɹ)。
└應該>依職階去設定或者依部門決定能看到的資料夾。就 是 不 要 給 一 樣 的 權 限 !!
└ISO27001裡面,會談到,設定。
(人為的管理,可是實作應該是參考27002,不確定喔,我還沒消化完27001&27002)

▉為何有本文跟控制項(附錄)的分別?
└因為有些公司(或組織)用不到的項目(比如:系統開發是委外,就跳過某些控制項?),依據此風險評鑑來做使用。
└另外,ISO組織通常5~8年會做微調,讓其更符合目前的做法。(過渡期是三年左右,轉版)
啊。。。所以我們是不是等2021版出來再去上主導稽核員的課比較好XDDD"

▉如果看到條文用Requiremets、Code Of practice的差異:
└Requiremets(驗證要求)
• 資訊安全管理系統要求
• ISMS之建立實施與文件化之具體要求
• 依據個別組織的需求,規定要實施之安全控制的要求。
└Code Of practice(實作指引)
• 資訊安全管理作業要點
• 用劾是做為參考文件
• 提供廣泛性的安全控制措施
• 現行資訊安全之最佳作業方法
• 包含14個控制章節
• 無法作為評鑑與驗證

27001的目的:
• 提供最佳資訊安全管理實務
• 讓組織能據以發展、導入、維運.以及量測資訊安全管理實務的有效性
• 讓交易雙方能因此俱備信心與信任
• 適用於各種大小、業態與規模的組織
27001的目標:
• 以事前應對(proactive)、系統化(systematic)及邏輯化(logical)的方法來描述資訊安全問題。

▉今天的補充,可看可不看..
1、來自 https://www.ithome.com.tw/news/144340
#金融業 #資安法規遵循
證交所修訂重大訊息處理程序,上市公司發生資安事故應揭露於重大訊息
為了強化資安事件重大訊息發布的重要性,並使得法源依據明確,臺灣證券交易所在4月27日傍晚發布公告,修訂重大訊息處理程序,指出已明訂上市公司一旦發生重大資安事件,應對外發布重大訊息。
對於相關修正條文的發布,是在第4條上市公司重大訊息中的第26項規範,正式將資通安全事件明確訂於法規定義需公告的重大情事範圍。

2、『資安責任險』也許今年會被重視一下|https://www.ithome.com.tw/news/116740


上一篇
Day01_老太太的前言~落落長~XD"
下一篇
Day03_神說要有光~資安三要素V.S.資產盤點 XD"(我會不會因為亂下標題被打)
系列文
在你身邊倒熱水之iso27001:2013筆記30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 則留言

0
Kirsi
iT邦新手 5 級 ‧ 2021-09-15 22:02:25

我自已能不能回我自已的留言呀XD" 第二天寫完了,累~
一樣嘿~鞭小力點,感恩,我想我還是無法寫的很專業。
我就跟唐僧一樣,一路碎念到第30天吧XDDD"

【**此則訊息已被站方移除**】

我要留言

立即登入留言