本文重點摘錄CNS 27001:2013之內容並針對稽核時常見發現事項加註實務見解以供讀者了解,如有實際閱讀需求,請參考官方連結進行購買:https://www.cnsonline.com.tw/
附錄A-參考控制項目及控制措施,自A.5到A.18,共包含 35 個控制目標及 114 控制措施。
A.10 密碼學
A.10.1 密碼式控制措施:確保適當及有效使用密碼學,以保護資訊之機密性、鑑別性及/或完整性。
A.10.1.1 使用密碼式控制措施之政策:應發展及實作政策,關於資訊保護之密碼式控制措施的使用。
作者經驗分享:在面對稽核常被問到-有對應密碼學建立相關政策嗎?
A.10.1.2 金鑰管理:應發展及實作政策,關於貫穿其整個生命週期之密碼金鑰的使用、保護及生命期。
作者經驗分享:在面對稽核常被問到-公司如何評估現在使用的加密標準?有沒有確認組織所使用的加密技術是否符合業界標準,如AES、RSA等
A.11 實體及環境安全
A.11.1 保全區域:防止組織資訊及資訊處理設施遭未經授權之實體存取、損害及干擾。
A.11.1.1 實體安全周界:應定義及使用安全周界,以保護收容敏感或重要資訊及資訊處理設施之區域。
作者經驗分享:在面對稽核常被問到-有沒有定義安全邊界?實際走訪安全邊界並詢問存取權限
A.11.1.2 實體進入控制措施:保全區域應藉由適切之進入控制措施加以保護,以確保僅允許經授權人員進出。
作者經驗分享:在面對稽核常被問到-保全區域在哪?誰可以進出?有沒有門禁紀錄與影像?
A.11.1.4 防範外部及環境威脅:應設計並施行實體保護,以防範天然災害、惡意攻擊或事故。
作者經驗分享:在面對稽核常被問到-保護措施是什麼?是否已考量各種可能面臨的天然災害或是攻擊?
A.11.1.5 於保全區域內工作:應設計並施行於保全區域內工作之程序。
作者經驗分享:在面對稽核常被問到-保全區域的工作程序是哪份?人員如何落實程序要求?
A.11.1.6 交付及裝卸區:對諸如交付及裝卸區及其他未經授權人員可進入作業場所之進出點,應加以控制;若可能,應與資訊處理設施隔離,以避免未經授權之存取。
作者經驗分享:在面對稽核常被問到-公司的交付及裝卸區在哪?是否有保留cctv影像檔?
本節於ISMS中常見對應文件名稱:加密金鑰管理辦法&實體安全管理辦法
參考資料:
CNS 27001
https://www.cnsonline.com.tw/