iT邦幫忙

2022 iThome 鐵人賽

DAY 14
0
Security

物聯網與網路的資訊安全-初探系列 第 14

鐵人賽(Day 14)-總結27001的重要步驟

  • 分享至 

  • xImage
  •  

前面總共分別敘述了關於ISO27001的導入步驟、要素與驗證流程。但因為篇數分得較雜,這邊再稍微整理一次,下一篇沒意外的話就是比較27001與其他標準的差異。

ISO 27001執行步驟與要素:

1.建立專責團隊: 籌組資安小組負責推動與擬訂導入27001標準認證的計畫。

2.研擬執行計畫: 專責團隊負責研擬資安計畫的細節項目。

3.推動 ISMS: 開始推動ISMS時可以採用(類)滾動式修正法(continual improvement methodology),像是Plan-Do-Check-Act模型。

4.定義出ISMS的範疇: 資料儲存的位置、如何索取、哪些領域不該被納為列管範圍。

5.定義資安的基準線: 找出企業在正常執行業務的情況下,所需要的最低資訊安全標準

6.建立風險管理程序: 思考資安風險與決定處理的優先層級,可採用風險評估的方式。

7.導入風險應對計畫: 確保各項安全控制可以保護資安財產。控制途徑有調整風險、避免風險、分散風險與容忍風險。

8.評估、監控與檢討: 通過內部審查(至少一年一次)與外部審查(認證ISMS,一年內需複檢、每三年換證一次)。

風險評估是導入ISO27001中相當關鍵的一個步驟,風險評估可以確保ISMS可以更全面且適當當的處理資安威脅。
風險評估的內容包刮明確定義資安弱點,並依據風險的層級進行分類,再依此決定需要採取的對應執行步驟或是資源成本以預防資安事件的發生。
定義風險評估的方法:
風險評估的方法並沒有在ISO27001被明確定義出來,因此可以依照企業的需求採取不同的方法。首先依據企業所適用的法律規範或是企業精神宗旨去定義ISMS的保護目標,並讓其能夠符合對於企業的期待。再來是評估風險的影響範圍,去檢查各個潛在風險可能造成的影響以及可能發生的原因。值得注意的是,風險評估內的指標與量測方法必須是具有定量的特性,如此一來才能夠將兩項受風險評估的事件進行比較。最後,需要定義出可接受的風險範圍,因為並不可能消弭各種風險,所以必須定義出哪些風險程度是屬於可被允許的範圍。

風險評估步驟 -
1.建立風險評估的框架(RAF, Risk Assessment Framewrok)
2.指出風險的所在
3.風險分析
4.風險計算
5.選擇對應的風險管理


上一篇
鐵人賽(Day13)-27001刷
下一篇
鐵人賽 (Day 15) - 27001 vs 27002 vs 27003
系列文
物聯網與網路的資訊安全-初探30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言