(來源:freepik)
忙碌的稽核生活,差一點就來不及打今天的文章~~~~~ (躺~
以導入ISO27001為主的資安管理系統,常見以參考ISO9001進行建置四階文件,以管理組織的資訊安全,而ISO9001:2015版,已經將四階文件架構取消,以因應數位時代的文件管理模式。
然而在大型組織且導入已久的ISO27001制度的paperwork控制下的風險管理,面對時代的進步,似乎存在的時效性的問題,無法及時且有效地處理透過網路發生的資訊安全事件,也稱為網路安全事件,因此NIST推出了NIST CSF框架,以因應該狀況。
在Day18 優雅面對資安事件:從領導承諾到好戲上場,已經有介紹NIST CSF 的 實務運用,本篇再引用一次那篇文章的圖,作為複習。
應變事件最常使用的框架為:事前預防/事中應變/事後復原,琅琅上口的三階段流程,下圖套用NIST CSF IDPRR跟治理層/管理層/基層,再加上輔以說明的事前/事中/事後,會變成如下圖:
再引用 CDM框架,透過該框架可以協助掌握全貌,上達長官溝通全貌,下達執行單位說明作法。CDM框架提供包含 技術(Technology) 和 人員(People) 和 程序(Process) 的維度供參考。
如果想要從既有的ISO27001的程序優化,其實是可以透過ISO27001:2013的,也就是ISMS去解決 資安管理的困境:paperwork控制下的時效問題
客戶A:等等,顧問你有說等於沒說阿,而且ISO27001:2022版要出來。
顧問:孩子,你一定還沒看過ISO27002:20222的新改版架指引齁(註:ISO27001附錄A即是參照ISO 27002直接引用)
客戶A:顧問我們哪有時間去看那些東西,而且我們也看不懂
顧問:簡單說ISO27002 對每個控制項增加了標籤,其中一個標籤幾乎等同於NIST CSF的5個功能,所以只要選識別標籤,就可以直接找到該控制項跟指引了
客戶A:原來如此,但是顧問,你還是沒說如何解決時效問題啊....
顧問:當然就是 有錢系統解,盡量減少沒錢管理解的項目阿, 才有辦法做到即時偵測,快速反應阿~~~