iT邦幫忙

2022 iThome 鐵人賽

DAY 23
0
Security

合規合規,合什麼規?系列 第 23

[Day 23] ISO/IEC 27001 條文簡介(主條文 8~10)

  • 分享至 

  • xImage
  •  

8. 運作

  • 應規劃、實做、控制為了達成要求事項的過程,並實作因應風險和機會之行動、資安目標的達成計畫,且保存文件化資訊。
  • 應控制規劃的變更,並審核非預期變更的後果,在必要時採取行動。

9. 績效評估

9.1 監督、量測、分析、評估

  • 決定需監督和量測的事項,包括過程和控制措施。
  • 確定監督、量測、分析、評估的方法,並指定執行監督、量測的時間和人員,產出結果後決定分析和評估的時間及人員,且應保存文件化資訊。

9.2 內稽

  • 依規劃時間進行內稽,確認是否符合組織本身的 ISMS 要求和此標準的要求。
  • 必須規劃與實作稽核計畫,且應將本次的重點項目及上次的稽核結果納入考量。
  • 稽核結果需對相關管理層報告,並保存文件化資訊。

9.3 管審

  • 最高管理階層需審查 ISMS,確保其適切、合宜、有效。
  • 管審應考量:
  • 過去管審案件的處理情況。
  • 內外部議題。
  • 不符合項目與矯正措施。
  • 監督量測結果。
  • 稽核結果。
  • 目標是否達成。
  • 關注方的意見。
  • 風險評鑑結果與處理狀態。
  • 是否能持續改善。
  • 管審結果應保存文件化資訊。

10. 改善

  • 當有不符合項目時,應進行採取行動矯正,並處理後果。
  • 需針對不符合項目進行評估其改善方案,防止再發。
  • 審查矯正措施有效性,必要時變更 ISMS。
  • 應持改善 ISMS,使其合宜、適切、有效。

上一篇
[Day 22] ISO/IEC 27001 條文簡介(主條文 6、7)
下一篇
[Day 24] ISO/IEC 27001 條文簡介(附錄 A.5~A.11介紹)
系列文
合規合規,合什麼規?30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言