iT邦幫忙

2021 iThome 鐵人賽

DAY 14
1
IT管理

稽核師的挑戰系列 第 14

[Day14]ISO 27001 標準:資源傳達

  • 分享至 

  • xImage
  •  

今天一樣是 ISO 硬硬的標準,第七節 資源 及 傳達。
通常分切成【人力資源安全】及【文件化資訊】兩個範圍。

[考題]能力跟認知差異為何?
能力:滿足工作之需求,足以勝任工作。
認知:知道什麼該做,什麼不該做?

人力資源安全

其實這裡的人力資源安全常常被誤解說:是不是在 ISO 27001 時,我們要把人力資源系統納進來?
不是,其實我們只是要確認新進人員、離職人員或是職務異動的人員異動時:

  • 人力資源系統有沒有相關的記錄,是否有相對應的單據

  • 與其他資訊系統是否有相關權限的新增/修改或停用

  • 資訊單位目前的人力、能力是否足以因應目前的需求去確認適不適任

    • 學歷、經歷、資歷
    • 到職前的徵信記錄
  • 近期有沒有相關針對人員的教育訓練足以讓能力提升!

  • 驗證資訊安全人員之必要能力:

    • 教育訓練記錄時數、人員、課程內容是否符合要求
    • 新進員工有沒有依規定完成教育訓練
    • 教育訓練是否已傳達給各位學員:常見的方式是透過教育訓練後的問卷或考核為依據
    • 或是以原廠授課課明、考取證照也可以證明
  • 對於溝通與傳達的部份會抽樣員工對於資訊安全的執行作業規範熟不熟悉

  • 抽樣時可以抽樣近期發佈的事項、時間、對象、人員,是否已經知道新公告。

溝通之要求:

5W1H:
- 溝通什麼?
- 何時溝通?
- 和誰溝通?
- 誰應溝通?
- 實現哪種溝通過程?

文件化資訊

就是 Paper Work 啦,應該要管制整個標準化控制流程。

500 人規模的流程不一定適用 5 人規模的公司。

在驗證文件化資訊時,通常會從資訊安全政策的角度開始看,
但通常在資訊安全系統框架時,都會驗證完以下內容:
(1) 確認完 4.3 ISMS 範圍後,再來會看到一階文件的 5.2 資訊安全政策 及 二階文件 6.2 資訊安全目標
(2) 風險評鑑的部份,除了初次驗證以外,通常會直接從 8.1 風險計畫和控制、8.2 風險評鑑分析結果、8.3 風險評鑑處理結果去看,若是認為有缺漏的部份,才會回來看 6.1.2 風險評鑑計劃、6.1.3 風險評鑑處理的文件
(3) 人力資源的部份:就會確認有沒有與政策相應的教育訓練規定
(4) 9.2 內稽、9.3 管審相關的程序書版本,近期有沒有因應法規或是主要機關有新要求,需要改版的部份

所以,基本上如果以上的核心文件都看完了,我們就可以進一步來確認文管系統近期有沒有新文件發佈或是改版
來進一步確認此次稽核範圍或項目是否缺漏 或是 還有需要驗證的地方。
或是針對現有文件確認有沒有因應政策法規更新資安事件或是組織架構異動 來做複核。

文件化資訊有幾個抽樣重點:

  • 新進或是職務異動的人員,是否能透過文管而清楚明白組織的資訊安全政策 及 職能的作業程序
  • 是否有因應政策而去改版發佈的新規定,是否大家能依新版本去遵守執行
  • 或是想知道組織內有什麼控制措施,也可以簡單確認四階文件中有什麼表單,進而確認是否符合組織規範
  • 抽樣請教對於 資訊安全政策、資訊安全的執行作業規範 >> 相關人員是否知道存放的位置或規定

或是在稽核的過程中,對於不清楚的文件、或是怕稽核期間雙方認知有落差的時候,想要確認在哪一份文件,
也可以請求查看 文件一覽表 或是 ** 文管系統清冊 **,去進一步確認。

以往我們對 ISO 驗證稽核就是文件作業,但稽核就是希望透過文件作業去驗證有沒有落實執行的過程,
要達到說、寫、作一致性,就會透過文件進一步去驗證是否落實。

再來,我們直接看標準吧!

= = = = = = = = = = . = = = = = = = = = = .= = = = = = = = = = . = = = = = = = = = =

7. 支援

7.1 資源

組織應決定並提供建立、實作、維持及持續改善資訊安全管理系統所需之資源。

7.2 能力

組織宜採取下列措施。
(a) 決定於組織控制下執行工作,影響其資訊安全績效人員之必要能力。
(b) 確保此等人員於適當教育、訓練或經驗之基礎上能勝任。
(c) 於適當時,採取取得必要能力之行動,並評估所採取行動之有效性。
(d) 保存適切之文件化資訊,作為勝任之證據。
備考:適用之行動可能包括,例:對現有員工提供訓練、指導或重新指派,或是雇用或委外勝任人員。

7.3 認知

於組織控制下執行工作之人員,應認知下列事項。
(a) 資訊安全政策。
(b) 其對資訊安全管理系統有效性之貢獻,包括改善之資訊安全績效的益處。
(c) 未遵循資訊安全管理系統要求事項之可能後果。

7.4 溝通或傳達

組織應決定,相關於資訊安全管理系統之內部及外部溝通或傳達的需要,包括下列事項。
(a) 溝通或傳達事項。
(b) 溝通或傳達時間。
(c) 溝通或傳達對象。
(d) 溝通或傳達人員。
(e) 進行有效溝通或傳達所採用過程。

= = = = = = = = = = . = = = = = = = = = = .= = = = = = = = = = . = = = = = = = = = =

7.5 文件化資訊

文管系統的存取授權。

7.5.1 一般要求

組織之資訊安全管理系統應包括下列內容。
(a) 本標準要求之文件化資訊。
(b) 由組織所決定對資訊安全管理系統有效性,必要之文件化資訊。
備考:各組織之資訊安全管理系統文件化資訊內容,可能因下列因素而異。
(a) 組織規模,以及其活動之型式、過程、產品及服務。
(b) 各過程及其互動之複雜度。
(c) 人員之能力。

7.5.2 制訂及更新

於制訂及更新文件化資訊時,組織應確保適切之下列項目。
(a) 識別及描述(例:標題、日期、作者或參引號碼)。
(b) 格式(例:語言、軟體版本、圖形)及媒體(例:紙本、電子)。
(c) 合宜性及適切性之審查及核准。

7.5.3 文件化資訊之控制

應控制資訊安全管理系統及本標準要求之文件化資訊,以確保下列事項。
(a) 其於需要處及需要時為可用及適用。
(b) 其受適切保護(例:防止漏失機密性、不當使用或漏失完整性)。
為控制文件化資訊,組織應於適當時,闡明下列活動。
(c) 派送、存取、檢索及使用。
(d) 儲存及保存,包括可讀性之保存。
(e) 變更之控制(例:版本控制)。
(f) 留存及屆期處置(retentionanddisposition)。
於適當時,應識別及控制由組織所決定對資訊安全管理系統之規劃及運作為必要之外部來源的文件化資訊。
備考:存取意謂關於文件化資訊僅可檢視之許可、或檢視及變更文件化資訊之許可及權限的決策等。

參考文獻

國家標準(CNS)網路服務系統:https://www.cnsonline.com.tw/

恐怖遊戲推薦:瘟疫傳說:無罪(A Plague Tale: Innocence)

https://store.steampowered.com/app/752590/A_Plague_Tale_Innocence/

跟著年輕的艾蜜西亞與弟弟雨果展開令人揪心的旅程,體驗他們在歷史最黑暗之時的險境。在遭到宗教裁判所士兵追捕,以及潮水般鼠患的包圍下,艾蜜西亞和雨果將逐漸了解彼此,繼而相互信賴。當兩人在逆境中竭力抓住微弱的生存希望,也將在這殘忍無情的世界中找到生命的意義。

很推薦,不雷自己玩~


上一篇
[Day13]ISO 27001 標準:風險評鑑
下一篇
[Day15]ISO 27001 標準:內稽管審
系列文
稽核師的挑戰30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言