iT邦幫忙

2022 iThome 鐵人賽

DAY 22
0
Security

合規合規,合什麼規?系列 第 22

[Day 22] ISO/IEC 27001 條文簡介(主條文 6、7)

  • 分享至 

  • xImage
  •  

6. 規劃

6.1 因應風險和機會之行動

  • 決定需要因應的風險和機會,規劃因應的行動並評估其有效性;確保達成 ISMS 的預期成果、預防或減少意外影響、持續改善。
  • 風險評鑑前,需先訂定風險接受準則後,再進行風險評鑑。
  • 風險評鑑步驟:
  • 識別:識別機密性、完整性、可用性的風險,以及風險的擁有者。
  • 分析:分析風險發生的可能性與發生時的潛在後果,並決定風險等級。
  • 評估:以風險接受準則對分析出的風險進行評估,以及處理的優先等級。
  • 依照風險評鑑結果,決定風險的處理措施,並比對附錄 A 確認沒有忽略必要的控制措施。
  • 制訂風險處理計畫,並取得風險擁有者的同意及接受殘餘風險。

6.2 資安目標與達成規劃

  • 資安目標要與資安政策一致。
  • 目標被訂定後,要被確實傳達及適當更新。
  • 規劃達成目標的方法時,要敲定 Todo list、需要的資源、負責人、達成目標的時間與評估方式。

7. 支援

  • 組織需提供建立與維運 ISMS 的資源。
  • 決定對可能影響資安的人員所需能力,確保該人員的能勝任,且應保留文件化資訊為證;組織亦可在必要時採取行動(例如採取定期教育訓練)。
  • 員工需要對資安政策、自己對 ISMS 的幫助、不遵守 ISMS 的可能後果有認知。
  • 要確實將 ISMS 給內外部溝通或傳達。
  • 所有此要求要被文件化、或是組織認為需要背文件化的資訊,應確實被以文件提供。
  • 文件化資訊要有適當的識別與描述、格式、媒體,並且通過適合、適切性的審核。
  • 確保文件化資訊可及性、適用性,且被適當保護,確保機密性、完整性、可用性。
  • 針對文件化資訊進行控制措施,確保傳達、存取使用、檢索、儲存、變更、留存或到期的處置程序。

上一篇
[Day 21] ISO/IEC 27001 條文簡介 - 主條文 1~5
下一篇
[Day 23] ISO/IEC 27001 條文簡介(主條文 8~10)
系列文
合規合規,合什麼規?30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言