iT邦幫忙

1

ISO 27001 資訊安全管理系統 【解析】(十九)

  • 分享至 

  • xImage
  •  

二、 ISO 27005 架構
ISO 27005資訊安全風險管理架構如下圖:
https://ithelp.ithome.com.tw/upload/images/20220329/20145763tqtuylDzUl.png

先說明建立全景的步驟:
https://ithelp.ithome.com.tw/upload/images/20220329/20145763j64Ne4GIgA.png

在這個階段我們利用第四章所分析的資訊,建立基本準則、範圍範疇及組織對資訊安全風險管理的組織架構,以下分別就這三個部分說明:
(一) 基本準則
要發展一套良好的風險管理方法,組織應該選用或開發一些基本準則,如風險評估準則、衝擊準則、風險接受準則。根據風險管理的範圍和目標的不同,不同組織可能採用不同的方法跟準則,每一循環所採用的方法也可能不同,所以組織須確保下列資源可用,以進行相關準則選用或開發:
• 執行風險評估和確定風險處置計畫
• 定義和實施方針和程序,包括實施已選擇的控制措施
• 監視控制措施
• 監視資訊安全風險管理過程

  1. 風險評估準則:
    組織應定義用於評估風險重要性的準則,而這些準則應反映組織的價值觀、目標和資源,其中某些準則可能是藉由法律、監管要求以及組織其他要求產生。風險評估準則應與組織的管理政策一致,在任何管理過程開始時定義並不斷進行審查、確保符合事實且可用,可以參考的因素如後:
    • 企業資訊處理對組織的策略價值
    • 重要資訊資產應納入考量
    • 法律及規定的需求、合約履行的義務
    • 運作時的機密性、可用性與完整性
    • 經營者期待與認知、期望與聲譽的負面評價預估
    https://ithelp.ithome.com.tw/upload/images/20220329/20145763tc4iPXscEb.png
    上表僅為一個範例,組織可依照全景分析的結果訂定相關的評估準則,此類準則應可明確區分每一個等級及解釋每個等級所代表的意義,如此才能確保重複的資訊安全風險評鑑能產出一致的、有效的和可比較的結果。

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言