iT邦幫忙

2022 iThome 鐵人賽

DAY 24
0
Security

合規合規,合什麼規?系列 第 24

[Day 24] ISO/IEC 27001 條文簡介(附錄 A.5~A.11介紹)

  • 分享至 

  • xImage
  •  

今天開始介紹附錄,附錄的內容主要為控制措施的實作要求,但組織可以依照自身情況決定是否實作,只要能符合主條文的規定即可。
由於附錄大多為實做措施,無法詳細列出,因此此處僅簡介各節內容。

A.5 資安政策

  • 規定了資安政策的核准、變更、傳達控制措施。

A.6 資安組織

  • 資安組織中的職務角色與責任,並與有關單位保持聯繫。
  • 管理在組織中使用行動裝置與遠距辦公的風險。

A.7 人力資源安全

  • 聘僱員工前所需進行的工作,以及簽署契約明訂資安的責任。
  • 管理層要求員工及委外廠商,確實遵守資安規定、接受教育訓練,並對違規者懲處。
  • 聘僱結束或變更後,對資安的責任和義務依然有效。

A.8 資產管理

  • 識別資產製作成冊,並確保其被合理使用與歸還。
  • 應針對資訊進行分級、標示、處置,確保其受到適當保護。
  • 對媒體的傳送、報廢銷毀進行保護與遵循程序,並對可攜式媒體進行管控。

A.9 存取控制

  • 對使用者進行存取管理,實作正式註冊與取消過程。
  • 實作正式使用者權限配置程序,並限制特殊權限使用、管理秘密鑑別資訊配置,並定期審查。
  • 根據存取控制政策限制對系統的存取,並以保全登入程序對系統存取進行控制。
  • 限制特殊程式(具有系統管理權限)使用。
  • 限制對 Source Code 的存取。

A.10 密碼學

  • 實作密碼控制措施,以及整個生命週期的密碼使用、保護、生命週期。

A.11 實體與環境安全

  • 定義實體安全的邊界,並對其施行控制措施,防範外部和環境威脅。
  • 針對保全區域、交付裝卸區進行控制與隔離。
  • 保護及正確設備,並保護設備的電力來源、各種纜線受到保護。
  • 未經授權不得攜出財產,若需攜出應考量其風險。
  • 設備報廢前,應確保敏感性資料或版權資料已被確實移除。
  • 對無人看管設備進行保護,並執行桌面及螢幕淨空政策。

上一篇
[Day 23] ISO/IEC 27001 條文簡介(主條文 8~10)
下一篇
[Day 25] ISO/IEC 27001 條文簡介(附錄 A.11~A.18)
系列文
合規合規,合什麼規?30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言