新創公司ISO27001驗證經驗分享-Day17-附錄A-A.12(上)

本文重點摘錄CNS 27001:2013之內容並針對稽核時常見發現事項加註實務見解以供讀者了解，如有實際閱讀需求，請參考官方連結進行購買：https://www.cnsonline.com.tw/

附錄A-參考控制項目及控制措施，自A.5到A.18，共包含 35 個控制目標及 114 控制措施。

A.12 運作安全

A.12.1 運作程序及責任：確保資訊處理設施之正確及安全操作。
A.12.1.1 文件化運作程序：運作程序應加以文件化，並使所有有需要之使用者均可取得。
作者經驗分享：在面對稽核常被問到-現有與運作安全相關的程序文件是哪份？程序文件放在哪裡？抽問同仁是否瞭解文件擺放位置？

A.12.1.2 變更管理：應控制對影響資訊安全之組織、營運過程、資訊處理設施及系統的變更。。
作者經驗分享：在面對稽核常被問到-現有與運作安全相關的作業變更流程有哪些？最近一次案例是什麼？

A.12.1.3 容量管理：各項資源之使用應受監視及調適，並對未來容量要求預作規劃，以確保所要求之系統效能。
作者經驗分享：在面對稽核常被問到-現有容量管理措施為何？程序書是否有明定容量警報值？可不可以看最近一次的容量告警通報與處理過程？

A.12.1.4 開發、測試及運作環境之區隔：應區隔開發、測試及運作之環境，以降低對運作環境未經授權存取或變更的風險。
作者經驗分享：在面對稽核常被問到-有沒有區隔開發、測試及運作之環境？可以請同仁實際說明/展示現有區隔的環境？

A.12.2 防範惡意軟體：確保資訊及資訊處理設施，以防範惡意軟體。
A.12.2.1 防範惡意軟體之控制措施：應實作防範惡意軟體之偵測、預防及復原控制措施，並合併適切之使用者認知。
作者經驗分享：在面對稽核常被問到-如何防範惡意軟體？如果有安裝防毒軟體，病毒碼多久更新一次？檢查防毒軟體主控台並抽查同仁電腦上的防毒軟體狀態

A.12.3 備份：防範資料漏失。
A.12.3.1 資訊備份：應依議定之備份政策，定期取得資訊、軟體及系統的影像備份複本，並測試之。
作者經驗分享：在面對稽核常被問到-公司現有的備份措施是什麼？如果使用雲端進行備份的話，有沒有異地備援？資料備份內容與備份週期是什麼？有沒有規劃進行還原演練？

本節於ISMS中常見對應文件名稱：運作安全管理辦法

參考資料：
CNS 27001
https://www.cnsonline.com.tw/