iT邦幫忙

2021 iThome 鐵人賽

DAY 6
0
自我挑戰組

在你身邊倒熱水之iso27001:2013筆記系列 第 6

Day06_本部的規範就是沒有規範XD"如果聽到這句,是要興奮的舉手我來還是原地放生,逃跑呢?XD"

今天沒有前言,幽默感本人去見周公,還未回歸。

└第六章、規劃
6. 規劃
6.1 因應風險及機會之行動
6.1-1 一般要求
6.1-2 資訊安全風險評鑑
6.1-3 資訊安全風險處理
6.2 資訊安全目標及其達成之規劃

▉怎麼開始規劃呢?
(1)分析>
企業>業務衝擊分析(BIA)>非關鍵業務(會議室管理、採購管理)
關鍵業務>風險評鑑>營運持續施選擇(營業持續要件)
依照"重要與敏感程度"定義不同作業程序的關鍵次序與機密等級
在組織內形成營運持續的資安共識
提供管理階層在訂定營運持續性策略和購置支援設備時的參考資料

資通系統分析(以政府機關已有資安等級,私人企業六個構面?)
►參考:行政院資通安全處-資通安全責任等級分級及應辦事項說明
https://download.nccst.nat.gov.tw/attachfilehandout/02._%E8%B3%87%E9%80%9A%E5%AE%89%E5%85%A8%E8%B2%AC%E4%BB%BB%E7%AD%89%E7%B4%9A%E5%88%86%E7%B4%9A%E5%8F%8A%E6%87%89%E8%BE%A6%E4%BA%8B%E9%A0%85%E8%AA%AA%E6%98%8E_v.7.pdf

參考已經發生過的(借鑑別人的事件)
舉例:應用程式>缺乏設計規範、安全測試不足、未檢視程式碼

• 風險擁有者>事件發生時應負責的單位,對於風險的接受程度,發生風險的圖重程度
• 發生的機率,發生的次數,嚴重的程度(財務損失?)

(2)風險處理對策>
調整、分攤(備援、資安責任險)、避免(實體的比如禁USB)、保留(風險超過可接受範圍但因預算限制:維持現狀不惡化)
(3)營運持續計劃>
事故管理流程、營運持續管理流程

(4)與附錄A控制措施加以比較
適用性聲明書
適用/排除(都要聲明理由)

▉模擬練習:什麼樣的業務(系統)>什麼的風險>風險處理
資訊流程盤點(就大家常看到的流程圖)
以人事系統來舉例(這個通常大家都有后XDDD"")
►登入(身份檢核)>打卡、請假(分成這兩個路線之後)
打卡>實體門禁卡或線上刷卡
請假>假別、日期、事由
• 在每一個環節有可能發生的資安問題
○ 舉例:在登入時的身份檢核,是否可能被盜用

補充|google:業務衝擊分析
►參考:中華電信的『資訊安全 營運持續運作管理』
LINK: https://isms.ym.edu.tw/ezfiles/267/1267/img/1168/1030731.pdf
上面這個就寫的蠻清析的XD"
今天的筆記蠻廢的, 抱歉啊,寫的超級混亂,傷眼了。

►真的不知道怎麼開始,可以參考一下何飛鵬社長的『說我所做,寫我所說』
LINK: https://feipengho.pixnet.net/blog/post/47858955-%e5%8c%96%e7%b9%81%e7%82%ba%e7%b0%a18%e5%ad%97%e8%a8%a3%ef%bc%9a-%e8%aa%aa%e6%88%91%e6%89%80%e5%81%9a%ef%bc%8c%e5%af%ab%e6%88%91%e6%89%80%e8%aa%aa


上一篇
Day05_客倌~要不要來一塊小叮噹的翻譯蒟蒻XD"
下一篇
DAY07_終於要來資產搬點啦~啊~不是~是盤點XDDD" 搬點是要搬家是嗎~
系列文
在你身邊倒熱水之iso27001:2013筆記30

尚未有邦友留言

立即登入留言