iT邦幫忙

1

ISO 27001 資訊安全管理系統 【解析】(三十九)

  • 分享至 

  • xImage
  •  

玖、 第九章 績效評估
資訊安全管理系統經過規劃建置、執行後必須評估做得夠不夠、有沒有需要改進的地方,第九章就是用來檢討前面的執行措施。
一、 9.1 監督、量測、分析與評估
要設定一些我們想要監控的項目,去看看執行的情況是不是如我們預期般,達到當初設定的目標或用意,ISO 27004這項標準就是有關監督量測的指引,對於如何執行監控量測有大量的範例可以參考。下圖是ISO 27004與條文9.1的對應:
https://ithelp.ithome.com.tw/upload/images/20221205/20145763aknh5s51XD.jpg

(一) 甚麼需要監控及量測
條文一開始就說明應評估資訊安全的績效與ISMS的有效性,監控就是決定系統、流程或活動的狀態是否滿足特定的需要,所以監控對象(系統、流程或活動)可包含下列事項:
• 執行ISMS的流程
• 資訊安全事件
• 弱點管理
• 配置管理
• 資訊安全認知與訓練
• 存取控制、防火牆及事件紀錄
• 稽核
• 風險評鑑流程
• 風險處理流程
• 第三方管理
• 營運持續
• 實體環境安全
• 資訊系統
所以監控狀態如果有一些數據產生,是可以用來執行量測,量測就是決定某項活動有效性或效能的一個值、狀態或趨勢,例如條文中要求執行ISMS人員的能力與認知,所以我們律定所有人每年必須接受資訊安全教育訓練三小時,以符合其認知及能力,那就可以量測整體員工接受相關教育訓練的比率,這就是一種量測。在整個條文中,可以看到有些條文強調有效性,例如:6.1.1.e).2組織必須評估因應風險及機會的有效性,這就需要量測才能決定是否符合預期的規劃,條文中有關有效性量測如下:
• 計畫行動
• 領導統御
• 風險管理
• 政策管理
• 資源管理
• 溝通
• 管理審查
• 文件化
• 稽核
另外有關附錄A控制措施的有效性也是需要監控與量測的,因為這些控制措施是從風險評鑑去決定的風險處理選項。針對控制措施需要量測以下事項,以確認風險是否真的降低或者殘餘風險確實如我們所預估的。
• 控制措施降低多少該風險的可能性
• 控制措施降低多少該風險可能造成的衝擊程度/等級
• 控制措施降低多少在資訊安全失效之前可應對的事件發生頻率
• 事件發生後經過多長時間,控制措施才能檢測到事件已發生

(二) 何時監控量測、分析及評估
組織應規劃監控量測項目的間隔與期程,可以參考監控量測項目本身的需求,或者是利害關係者的需要,舉例來說:對於資訊安全事件,組織應該持續不斷地監控,直到發生事件後,可能要對當事人或主管機關進行通報,所以對於量測的數字(例如:阻擋入侵事件等),需要有一個周期的報告,使得當事人或主管機關認同組織所採取的保護措施。所以何時監控量測,取決於需求,這個需求可以來自全景分析、計畫或執行;至於何時執行分析及評估作業,須取決於監控與量測所獲得的資訊是否足夠以及是否有額外的要求,例如:資訊安全目標為系統服務可用率99.9%,可以定義每個月蒐集系統實際可用率,每季將三個月的數字列入表格由業管主管審查,每年統計數字並於管理審查會議中檢討,就可以達到分析評估的作用,並持續監控措施被執行的有效性。組織可以建立程序來執行監控或量測,但條文並沒有要求一定要建立程序,組織可以自行決定是否需要建立。

(三) 何人執行監控量測及分析評估
條文5.3角色、責任與職權應與9.1結合,律定監控量測所需的人員及能力,執行監控量測基本的人員角色如下:
• 量測需求者:管理或關切量測結果的人員,可能是第三方或是管理人員,他們需要量測結果來決策或分析作為。
• 量測計畫者:規劃量測的人員,必須熟悉各項程序產生的數據關聯性與有效性。
• 量測審查者:審查確認規劃量測的方式及結果是否符合需求者的需要。
• 資訊擁有者:依照計畫執行量測並提供量測資訊的人員。
• 資訊蒐集者:負責蒐集、儲存及記錄相關資訊人員。
• 資訊分析者:負責分析監控所獲得的資訊。
• 資訊溝通者:負責將監控分析結果向需求者溝通的人員。
當然以上的角色並非固定或一定要不同的人來執行,端看組織規模及權限的分配,所以必須結合第五章及第七章的要求來執行。

(四) 監控量測方法
監控量測的種類區分兩種:

  1. 性能量測
    性能量測用以展現所規劃之措施(程序、控制措施、流程)的進展,監控量測該控制措施是否已執行、執行的情況等。量測的數據可以來自會議紀錄、簽到簿、專案計畫、自動掃描工具等,盡可能以自動化蒐集方式降低人為因素的干擾及降低成本,舉例:筆記型電腦硬碟加密率100%、管理審查參加人員出席情況。
  2. 效能量測
    效能量測用以展現控制措施之有效性、資訊安全目標是否已經達成,用來決定是否需要加強控制措施執行的方式或程度,例如:執行ISMS後降低資安事件所節省的成本、客戶信任程度的提升及資訊安全目標達成的比率。組織必須建立相關能力或方式來完成效能量測,例如:
    • 評估控制措施執行程度(藉由性能量測)
    • 建立工具蒐集所需要的資訊
    • 分析所蒐集資訊
    • 報告決策者相關監控量測的數據

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言