恩~繼續一路歪的標題~哈哈哈哈哈~而且你只能是被虐方,不會有追平地位這事的發生~
▉ISO27001的架構分成本文&控制項
• 本文共分成10章,第1~第3章,用來當參考資訊的~(就是。。。瞄過即可XD")
○ 一年一個的循環(定期的期間,不是特別規定1年)
○ 所以第四章~第十章都要做到唷~
• 控制項呢??恩,它不能吃,等我消化完,再來寫(這個人邏輯死了)
?大會廣播~又要插播很歪的例子,本文(它是大清律例),控制項(師爺還是補快,每日工作該完成的事項)
▉本文大魔王出場啦~~(賭聖的BGM來一下~周星祖~)
01、範圍
• 依據組織的特性去調整。但是條文的4~10都要做到
○ 所以有第4章~第10章被抓去角落畫圈圈的話,嗶嗶,不會通過的唷~或是會被列為重大缺失
02、參考標準
• 花里胡哨的眇一眇別人家的美人,在看看我家的河東狼(不是獅嗎??不好意思,我是女的,所以我的伴就變成狼了)
03、名詞的定義
• 小時候,考名詞解釋的時候,你懂的!!
▉好喔~正片開始~第4章~第10章(可以放賭神的BGM了~高進大哥!!!分我巧克力吧~)
04、組織環境(有人的地方就有江湖,哎唷,亂比喻耶~恩~鍵盤給你們扁,它自已KEY的,不是我)
我要講正經的,還是不正經的?讓我思考思考~
• 內部議題
• 外部議題
• 利害相關團隊、各項要求
05、領導(具有決策權的人,給人給錢給資源,給方向給目標)
06、規劃(這邊開始,就是袖子擼擼,開工啦~~)
07、支援(沒想好怎麼解釋,請放生我)
• (7.5文件化資訊)
○ 可以估狗:ISMS 文件四階、資訊安全管理文件規範
08、運作(昨天舉的那個例子啊,你可以承受設施多久的時間內復活能用)
09、績效評估(你怎麼證明人不是你殺的)
10、改善(恩哼~PDCA的最初?最終目地囉)
附錄A(選用)|日常的工作就靠它了,跟蠻牛一樣可靠。
正經的說~管理制度的循環(維運)是在本文,日常的的運作&安全性的技術或管制在附碌A。
▉上面這坨文字是個什麼東西!?還真不是個東西~來~我們拋棄它~重新再講一次~大聲公拿出來~
其實還是,如果這爛攤子,就這麼突然的到了你手上,就放生它吧~(最好可以這麼做)
講實際的好了,如果組織不是"初次"要引進ISO27001,而是,你只是接手人(資安團隊或只是要遵守),也不用那麼緊張~有前例可循嘛~(拋媚眼~不是眼睛抽筋喔)
└舉個例子,你是常常被外派出差的苦命人,帶著公司給的爛NB,這臺爛NB,它就是資產,因為爛NB裡面還躺著你們公司的資料,好死不死,這個資料還是客戶的資訊(個資啦~靠),那你就要參考一下公司的資安規定,第一~個資法嘛,所以你不能洩露它,第二嘛~雖然NB很爛,但你也不能讓它離開你身邊,吃飯上廁所睡覺,簡直比你的小被被還親密了~(這個我有點忘了是按照哪個規定,我再想想~)
└再舉個例子,如果你是那個衰尾道人,你就是你們單位的光(資安官)~哇哈哈哈哈~先笑你一遍~
恭禧你,上面的第四~第十章,都是你的責任(要我講人話嗎?)
就是:政策>規範>程序性>空白表單、紀錄及其他,都是要你當開山祖師,一路寫到完,謝謝。(甩筆)
└最後一個例子了,我保證,如果你是那個很BG的MIS。。。接手了之後,發現,竟然,進機房這件事,幾乎等於沒有控管,那你下面一捏,趕快逃啊~~~(不是這樣的好嗎)
這時候要考慮,人不是你殺的(有人來驗屍的時候,正經講叫稽核),有一句話叫預謀犯罪,不是,是為了保護自已
表示你有好好的控管?管控。。。
機房的進出記錄、委外廠商要進入機房的申請書、進行災難演練的SOP,都給他備的妥妥的,安啦,就不是你的責任了~(或者說會被開改善建議,總比被記重大缺失的話?)
└喔,我不是例子了,不可以打人
就是。。。我也真的不知道這樣寫筆記,會不會被謀殺 冏rz。。。可以不可以留言一下,有什麼想法啊?
方便讓我知道嗎?這樣的寫法會不會,讓人火冒三丈??