.

iT邦幫忙

2024 iThome 鐵人賽

DAY 8
0
佛心分享-IT 人的工作軟技能

新創公司ISO27001驗證經驗分享系列 第 8

新創公司ISO27001驗證經驗分享-Day8-本文(1)

  • 分享至 

  • xImage
  •  

本文重點摘錄CNS 27001:2013之內容並針對稽核時常見發現事項加註實務見解以供讀者了解,如有實際閱讀需求,請參考官方連結進行購買:https://www.cnsonline.com.tw/

  1. 適用範圍
    1. 作者經驗分享:如要驗證本標準,不得排除本文中第四節(組織全景)至第十節(改善)所規定之任何要求事項
  2. 引用標準
    1. 引用CNS 27000資訊技術-安全技術-資訊安全管理系統-概觀及詞彙
  3. 用語與定義
    1. CNS 27000所規定之用語及定義適用於本標準
  4. 組織全景
    1. 瞭解組織及其全景
    2. 瞭解關注方之需要及期望
    3. 決定資訊安全管理系統之範圍
    4. 資訊安全管理系統
  5. 領導作為
    1. 領導及承諾
      1. 最高管理階層應藉由下列事項,展現對資訊安全管理系統之領導及承諾,如(僅摘錄):
        1. 確保已建立資訊安全政策及資訊安全目標,並與組織之策略方向相容 。
        2. 確保資訊安全管理系統所需之資源可取得。
        3. 傳達有效之資訊安全管理的重要性
        4. 確保資訊安全管理系統達成其預期成果。
    2. 政策組織角色/責任及權限
  6. 規劃
    1. 因應風險及機會之行動
      1. 建立及維持包括下列準則之資訊安全風險準則:
        1. 風險接受準則。
        2. 履行資訊安全風險評鑑之準則 。
      2. 作者經驗分享:換言之,組織要擬定一套風險評估的方法,詳情可參考CNS31000風險管理-指導綱要
    2. 資訊安全目標及其達成之規劃
      1. 組織應於各相關部門及層級建立資訊安全目標
      2. 作者經驗分享:擬定目標時,須留意本文有要求必要的滿足項目,如:與資訊安全政策一致.稽核常見實務為將政策與資訊安全目標進行比對,確保資訊安全目標與資訊安全政策一致
  7. 支援
    1. 資源
    2. 能力
      1. 組織宜採取下列措施。
        1. 決定於組織控制下執行工作,影響其資訊安全績效人員之必要能力。
        2. 確保此等人員於適當教育、訓練或經驗之基礎上能勝任 。
        3. 於適當時,採取取得必要能力之行動 ,並評估所採取行動之有效性 。
        4. 保存適切之文件化資訊,作為勝任之證據。
      2. 作者經驗分享:換言之,滿足此要求之方式常見為:組織要保留員工為具備該職位同等職能之受訓/參與研討會之出席/測驗/問卷紀錄;稽核常見實務為抽驗教育訓練紀錄,確認:
        1. 相關教育訓練要求皆已滿足,如:
          1. 相關課程內容是否皆已滿足法令法規或相關利害關係人要求,須留意寫好的文件卻未完成應完成之訓練課程
          2. 應出席之人數是否皆已達到出席之時數要求並留存出席紀錄
          3. 如有測驗或是問卷紀錄,是否皆已完整保留可供抽驗
    3. 認知
    4. 溝通或傳達
    5. 文件化資訊

參考資料:
CNS 27001
https://www.cnsonline.com.tw/


上一篇
新創公司ISO27001驗證經驗分享-Day7-文件化作業-文件討論及修訂方式
下一篇
新創公司ISO27001驗證經驗分享-Day9-本文(2)
系列文
新創公司ISO27001驗證經驗分享30
.
圖片
  直播研討會

尚未有邦友留言

立即登入留言