本文重點摘錄CNS 27001:2013之內容並針對稽核時常見發現事項加註實務見解以供讀者了解,如有實際閱讀需求,請參考官方連結進行購買:https://www.cnsonline.com.tw/
附錄A-參考控制項目及控制措施,自A.5到A.18,共包含 35 個控制目標及 114 控制措施。
A.6 資訊安全組織
A.6.1 內部組織目標:管理組織內部的資訊安全
A.6.1.1 資訊安全之角色及責任:所有的資訊安全職責皆須明確定義。
作者經驗分享:在面對稽核常被問到-是否已根據資安政策建立資訊安全管理架構及職責分配?
作者經驗分享:在面對稽核常被問到-是否已識別保護個別資產及執行特定資安程序之責任歸屬?
A.6.1.2 職務區隔:責任與職務範圍須作區隔,以降低未經授權的或非蓄意的修改或誤用組織資產之機會。
作者經驗分享:在面對稽核常被問到-是否已進行人員職務區隔?新創公司常見資訊人員兼任資安業務
A.6.1.3 與權責機關之連繫:須與相關主管機關維持適當的連繫。
作者經驗分享:在面對稽核常被問到-與主管機關之聯繫管道是否已明訂:何時、由誰聯繫;如何及時通報已識別之資安事件。
A.6.1.4 與特殊關注方之連繫 :須與特殊專業團體、或其他安全專業論壇與專業協會維持適當的聯繫。
作者經驗分享:在面對稽核常被問到-與特殊關注方之聯繫管道是否已明訂:何時、由誰聯繫;如何及時通報已識別之資安事件。
A.6.1.5 專案管理之資訊安全:不論何種專案形式,專案管理中皆應處理相關之資訊安全議題。
作者經驗分享:在面對稽核常被問到-如何識別?如何在專案過程中處理資安議題?
本節於ISMS中常見對應文件名稱:資訊安全組織管理規範
參考資料:
CNS 27001
https://www.cnsonline.com.tw/