iT邦幫忙

3

ISO 27001 資訊安全管理系統 【解析】(完)

  • 分享至 

  • xImage
  •  

在以前的管理系統標準強調的「預防措施」,在本章節中一樣是有類似的措施,比如說矯正措施就是為了不讓不符合事項再度發生,已經有預防的用意,但是ISO 27001所採用的高階管理架構強調的是從第四章全景分析獲得基本資訊,到第六章執行相關分析並決定其管控措施以面對機會與風險,這些管控措施也已經包含預防的作用在裡面,到第十章的矯正是維繫整個管理系統循環的基礎,就像我們在之前提到的飛輪一樣,持續不斷帶領系統能夠繼續改善及精進,這就是10.2持續改進所要強調的,沒有一個資訊安全管理系統是完美的,組織所面臨的環境變化不斷,如果管理系統不能持續精進,就無法配合組織的成長,借用從A到A+的一句話,良好是卓越的敵人,如果自認為管理系統目前這樣就可以,那就沒有成長的空間,所以持續改善就是利用前面所設定的各種機制,第四章全景分析、第六章風險規劃、第八章風險處理及第九章監控審查、內部稽核、管理審查去發現管理系統可以精進的地方,例如:去年風險可接受等級為6,經過風險處理之後,今年需要處理的風險項目大幅降低,可以檢討將接受等級降低為5,讓風險更加降低,確保管理系統得以持續改善,而系統化的方式有助於持續改善的執行,例如:管理審查設定持續改善的目標,經由系統管理方式去達成目標,更有助於持續改善不會流於形式及口號。可以進行持續改善的機會如下:
• 內部稽核
• 管理審查
• 外部稽核
• 安全事件
• 安全審查和測試
• 矯正措施
貫穿整個條文的要求,可以知道ISO 27001還是依照PDCA的循環來執行管理系統應該做的事,下圖顯示條文與PDCA循環的關係:
https://ithelp.ithome.com.tw/upload/images/20230117/20145763x6DQVPfL9i.png

圖三十三、PDCA循環

(一) 計劃
• 建立控制目標並確認由誰負責實現目標
• 建立控制措施以實現控制目標並確認負責執行這些措施的人員
• 定義績效指標,以對照控制目標衡量績效
• 定義測量績效的過程,包括測量點、計算指標的方法和誤差範圍
• 定義矯正措施以將控制措施保持在正常範圍內
(二) 執行
• 持續衡量目標的實施情形,執行ISMS中的控制措施
• 如果發現缺陷或不符合事項,則採取矯正措施
(三) 查核
• 監控控制措施指標並將績效與控制目標進行比較
• 如果控制措施超出正常有效範圍,則對已實施的對策及其負責人員進行監督。
• 根據控制目標撰寫帶有管理關鍵績效指標的安全報告。這些報告應包括針對所需管理決策的行動建議,他們應加強超出正常範圍但仍在誤差範圍內的安全措施。
(四) 行動
• 做出恢復控制措施的全部目標有效性所需的管理決策。決策應下達到營運階層中以供實施。
• 做出的決定應適當記錄包括對應之說明。

寫了一段時間的解析,終於發布完了,因為改版關係所後面的控制措施就不再發表,如果對控制措施有興趣,可以等我將新版要求研究後再來寫。
謝謝大家


圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 則留言

1
李大瑋
iT邦好手 1 級 ‧ 2023-01-17 10:53:42

收穫良多

kachung iT邦新手 5 級 ‧ 2023-01-17 13:02:33 檢舉

謝謝您

謝謝老師的無私分享,期待老師後續2022版的分享,謝謝老師!!!

我要留言

立即登入留言