ISO 27001 資訊安全管理系統【解析】(四十)

資訊安全

kachung 2022-12-17 11:11:11 ‧ 975 瀏覽

(五) 監控量測流程
下圖為典型監控量測的流程：

定義監控量測資訊需求
從第三方需求、組織策略與方向、資訊安全政策與目標及風險處理決定需要監控量測的項目，檢驗資訊安全管理系統的流程、活動，例如：控制措施、法規命令要求及風險處理所需的資訊再區分優先順序，記錄這些需求的來源及要求。
創建與維持監控量測
根據前面的需求以及組織本身的需要，創建監控量測項目並維持運作，在適當時候更新這些監控量測，完成相關文件紀錄，維持高階管理者的參與，確保監控量測的正確運作。
建立監控量測程序
確認需要蒐集的資訊、蒐集的方式、負責的人員、報告的方式及整個與監控量測有關的程序。
執行監控量測
依照前面所建立的程序執行監控與量測。
分析監控量測結果
分析所獲得的監控量測資訊，與之前的需求比對。
評估效能及有效性
評估監控量測項目的效能及有效性，審查其適切性。