iT邦幫忙

2021 iThome 鐵人賽

DAY 29
0
IT管理

稽核師的挑戰系列 第 29

[Day29]ISO 27001 附錄 A.17 營運持續管理之資訊安全層面

組織持續交付產品及服務的能力,不會與身俱來,需要培養、維持與持續改善。
所以會從先前的內外部環境分析,讓產品與服務交付不要中斷:

  • 事前:做好準備
  • 事中:做好因應
  • 事後:做好快速復原

A.17 營運持續管理之資訊安全層面

A.17.1 資訊安全持續

目標:資訊安全持續應嵌入組織之營運持續管理系統中。

A.17.1.1 規劃資訊安全持續

組織應決定其對資訊安全之要求事項,以及於不利情況下(例:危機或災難期間),對資訊安全管理之持續性要求事項。

  • 營運持續的政策與計畫,常見有 BIA 營運衝擊分析書,以識別相關的風險,並依其風險做其規劃及控管。
    常見的情境是針對核心業務設備或系統,並沒有列入營運衝擊分析書中;僅列入近期要演練的內容。

A.17.1.2 實作資訊安全持續

組織應建立、文件化、實作及維持過程、程序及控制措施,以確保不利情況期間所要求之資訊安全持續等級。

  • 是否有相關演練實作記錄?
  • 依計畫進行演練實做,要有演練的紀錄,且要看演練的情境是否足夠,如:實作時專責人員已在場,但核心系統失效的時,需要供應商才能進行回復,但與供應商簽定的合約是 5x8 4hr on-site,所以未加上最差的情境如加上4hr廠商到場的時間,演練的計畫是RTO 4hr的要求,未有考量廠商到場的所需時間。

A.17.1.3 查證、審查並評估資訊安全持續

組織應定期查證所建立及實作之資訊安全持續控制措施,以確保其於不良情況期間係生效及有效。

  • 演練後的檢討紀錄,如有不符合的項目,要提出改善的作法,如:增加資源、調整執行流程、或是接受未來恢復時間延長決定

A.17.2 多重備援

目標:確保資訊處理設施之可用性。

A.17.2.1 資訊處理設施之可用性

應對資訊處理設施實作充分之多重備援,以符合可用性要求。

  • 資訊系統或是設備一旦喪失可用性,針對各種風險有什麼備援機制呢?
  • 這裡要注意的是備援不是備份!這裡指的是多重備援的機制。如:雲服務、備援機、重啟資料倒回的虛擬機

參考文獻

國家標準(CNS)網路服務系統:https://www.cnsonline.com.tw/

恐怖遊戲推薦:

恐怖!廃病院からの脫出:無影燈

無影燈:真相

恐怖美術館からの脱出

《恐怖!廢棄醫院逃脫:無影燈》講述一個大三的學生,在暑假期間被朋友邀請去試驗膽量。而試驗的地點卻在一個叫做「山下醫院」的廢棄醫院,在來的途中,他的朋友向他講述了這間醫院發生的事情:據說曾傳出有醫生殺害護士和病人的事件,最後自殺,從此醫院就開始出現一連串奇怪的事情,因而被廢棄掉了。就在學生們進入醫院後,入口的門卻自動關上了…
原文網址:https://kknews.cc/game/rerelrv.html

這 3 款在 iOS / Android 平臺上都可以下載:)
唯一的問題就是只有日文,手機擷圖後丟 Google 翻譯囉…


上一篇
[Day28]ISO 27001 附錄 A.16 資訊安全事故管理
下一篇
[Day30]ISO 27001 附錄 A.18 遵循性
系列文
稽核師的挑戰31

尚未有邦友留言

立即登入留言