iT邦幫忙

2021 iThome 鐵人賽

DAY 10
2
IT管理

稽核師的挑戰系列 第 10

[Day10]資訊管理系統框架 - 高階系統框架

  • 分享至 

  • xImage
  •  

前面幾章都在談對於稽核相關的要求,再來我們要來談到 ISO 27001:2013 年版的框架。

ISO 27001:2013資訊安全管理系統


圖片來源:資安人
https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=7348

由上圖可以很清楚各章的每個階段的主要目標:計劃(Plan)、執行(Do)、檢查(Check)、改善(Act)
對應到主要的標準,快速用三句以內來做重點整理:

0.前言

  • 版本宣告
  • 兼容其他 ISO 體系

1.適用範圍

  • 標準宣告適用所有組織,且不得排除標準 4 - 10 節任何要求事項。

2.引用標準

  • 參考引用相關標準:CNS 27000 資訊技術- 安全技術- 資訊安全管理系統- 概觀及詞彙

3.用語標準

  • 名詞定義

= = = = = = = = = = . = = = = = = = = = = . = = = = = = = = = =

4. 組織全景(Plan)

  • 高層訪談
  • 資訊安全管理系統(ISMS) 目的、範圍

5. 領導作為(Plan)

  • 高層訪談
  • 組織架構

6. 規劃(Plan)

  • 資訊安全風險識別、分析、評估,產出風險處理計畫
  • 適用性聲明
  • 有效性量效之指標

7. 支援(Plan)

  • 人事任用、教育訓練
  • 政策宣達
  • 文件化資訊控制管理

= = = = = = = = = = . = = = = = = = = = = . = = = = = = = = = =

8. 運作(Do)

  • 風險評鑑
  • 風險處理

9. 績效評估(Check)

  • 有效性量測指標
  • 內部稽核

稽核

為獲得證據並對其進行客觀地評估,以確定滿足稽核準則的程度所進行有系統化的、獨立性及文件化的過程。

稽核七大準則

  • 誠信:職業精神的基礎
  • 公平陳述:公正客觀、準確地報告稽核結果
  • 職業素養:勤奮與判斷力在稽核中的運用 (經歷應該 3 - 5 年)
  • 保密性:資訊安全
  • 獨立性:稽核的公正性和稽核結論的客觀性
  • 基於證據的方法:稽核證據需可被驗證、合理獲得、可靠 & 可重現的稽核結論的方法
  • 基於風險的方法:考慮風險和機會的稽核方法

獨立性:不能稽核曾經從事過或是參與過的專案。
一致性:參照政策、程序或稽核相關的其他要求,並做比較,以尋求客觀證據,如:稽核查檢表。
= = = = = = = = = = . = = = = = = = = = = . = = = = = = = = = =

10. 改善(Act)

  • 針對內部稽核、管理審查或是追蹤事項是否有效改善

上一篇
[Day09]實習稽核常見情境
下一篇
[Day11]用ISO打造甜蜜的家:育兒計畫篇
系列文
稽核師的挑戰30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言