iT邦幫忙

2021 iThome 鐵人賽

DAY 30
0
IT管理

稽核師的挑戰系列 第 30

[Day30]ISO 27001 附錄 A.18 遵循性

A.18 遵循性

A.18.1 對法律及契約要求事項之遵循

目標:避免違反有關資訊安全之法律、法令、法規或契約義務,以及任何安全要求事項。

A.18.1.1 適用之法規及契約的要求事項之識別

對每個資訊系統及組織,應明確識別、文件化及保持更新所有相關法律、法令、法規及契約要求事項,以及組織為符合此等要求之作法。

  • 組織要識別適用法或契約的要求事項,如:電信產業需遵循電信法規、客戶合約
    一般而言,組織會比我們更了解內部需因應的適用法規,如果受稽方是政府單位,會再進一步確認遵循資通管理法的等級,如資通安全法規定政府單位有 A 政府機關、B 中華電信、C 級單位,入廠可能會依等級被檢查智慧手機、筆電或智慧錶。

A.18.1.2 智慧財產權

應實作適切程序,以確保遵循與智慧財產權及專屬軟體產品使用相關之法律、法令、法規及契約的要求事項。

  • 是否使用正當合法的軟體授權、授權人數是否合理

A.18.1.3 紀錄之保護

應依法令、法規、契約及營運要求保護紀錄,免於遺失、毀損、偽造、未經授權存取及未經授權發布。

  • 相關要求需要保留之紀錄,要進行保護

A.18.1.4 個人可識別資訊之隱私及保護

應依適用之相關法令、法規中之要求,以確保個人可識別資訊之隱私及保護。

  • 要依法保護個人資料,如:公開系統在個人資料在前端使用遮罩表示。如:中獎名單
  • 但如果範圍僅限於驗證資安管理系統,不是在於驗證個人資料,則在執行上依政策規範即可。

A.18.1.5 密碼式控制措施之監管

應使用密碼式控制措施 ,以遵循所有相關協議、法律及法規。

  • 因為演算法在國際上會認知是一種武器的概念,如有法規上要求對加密機制,就要依法規實施,如:很多金融單位有使用硬體加密器(HSM),在報廢設備時,必需要依規定進行處理其加密晶片。

A.18.2 資訊安全審查

目標:確保依組織政策及程序,實作及運作資訊安全。

A.18.2.1 資訊安全之獨立審查

應依規劃之期間或當發生重大變更時,獨立審查組織對管理資訊安全之作法及其實作(亦即資訊安全之各項控制目標、> 、政策、過程及程序)。

  • 組織進行獨立性審查,實務上,只要不會自己查自己單位即可,不一定是專責查核的單位,因為資源的關係很難做到。

在稽核時有一人球員兼裁判的時候,可能受稽方都會提出:「人力或資源不足。」
那麼我們可能會討論一個情境:「如果自己發現自己的嚴重失誤,會開缺失嗎?」
https://ithelp.ithome.com.tw/upload/images/20211015/20103647c7Cc1bYSEA.jpg

A.18.2.2 安全政策及標準之遵循性

管理人員應以適切之安全政策、標準及所有其他安全要求事項,定期審查其責任範圍內之安全處理及程序的遵循性。

  • 要定期依政策、主管機關或是產業安全要求,進行安全處理的遵循性,如果要求上變更,也需進行反應進行調整,如,支付卡產業需要符合定期驗證是否通過 PCI-DSS 的相關要求。

A.18.2.3 技術遵循性審查

應定期審查資訊系統對組織之資訊安全政策及標準的遵循性。

  • 針對技術性的部份定期進行遵循性的審查,如:主機弱點掃瞄、網站滲透測試、資安健檢等等。

參考文獻

國家標準(CNS)網路服務系統:https://www.cnsonline.com.tw/

恐怖遊戲推薦:

我美麗的面具笑容(My Beautiful Paper Smile)

我美麗的面具笑臉是一款心理學恐怖遊戲,故事講述關於一名孩童被囚禁於專門教育出完美孩子的機構。準備好逃出這個機構,發掘計畫裡黑暗的謎團並嘗試在痛苦中存活。

Steam:https://store.steampowered.com/app/1036700/My_Beautiful_Paper_Smile/

還沒玩,先列入追蹤清單。


上一篇
[Day29]ISO 27001 附錄 A.17 營運持續管理之資訊安全層面
下一篇
[Day31]那轉職稽核好玩嗎
系列文
稽核師的挑戰31

尚未有邦友留言

立即登入留言