新創公司ISO27001驗證經驗分享-Day17-附錄A-A.12(上)
本文重點摘錄CNS 27001:2013之內容並針對稽核時常見發現事項加註實務見解以供讀者了解,如有實際閱讀需求,請參考官方連結進行購買:https://www.cnsonline.com.tw/
附錄A-參考控制項目及控制措施,自A.5到A.18,共包含 35 個控制目標及 114 控制措施。
A.12 運作安全
A.12.1 運作程序及責任:確保資訊處理設施之正確及安全操作。
A.12.1.1 文件化運作程序:運作程序應加以文件化,並使所有有需要之使用者均可取得。
作者經驗分享:在面對稽核常被問到-現有與運作安全相關的程序文件是哪份?程序文件放在哪裡?抽問同仁是否瞭解文件擺放位置?
A.12.1.2 變更管理:應控制對影響資訊安全之組織、營運過程、資訊處理設施及系統的變更。。
作者經驗分享:在面對稽核常被問到-現有與運作安全相關的作業變更流程有哪些?最近一次案例是什麼?
A.12.1.3 容量管理:各項資源之使用應受監視及調適,並對未來容量要求預作規劃,以確保所要求之系統效能。
作者經驗分享:在面對稽核常被問到-現有容量管理措施為何?程序書是否有明定容量警報值?可不可以看最近一次的容量告警通報與處理過程?
A.12.1.4 開發、測試及運作環境之區隔:應區隔開發、測試及運作之環境,以降低對運作環境未經授權存取或變更的風險。
作者經驗分享:在面對稽核常被問到-有沒有區隔開發、測試及運作之環境?可以請同仁實際說明/展示現有區隔的環境?
A.12.2 防範惡意軟體:確保資訊及資訊處理設施,以防範惡意軟體。
A.12.2.1 防範惡意軟體之控制措施:應實作防範惡意軟體之偵測、預防及復原控制措施,並合併適切之使用者認知。
作者經驗分享:在面對稽核常被問到-如何防範惡意軟體?如果有安裝防毒軟體,病毒碼多久更新一次?檢查防毒軟體主控台並抽查同仁電腦上的防毒軟體狀態
A.12.3 備份:防範資料漏失。
A.12.3.1 資訊備份:應依議定之備份政策,定期取得資訊、軟體及系統的影像備份複本,並測試之。
作者經驗分享:在面對稽核常被問到-公司現有的備份措施是什麼?如果使用雲端進行備份的話,有沒有異地備援?資料備份內容與備份週期是什麼?有沒有規劃進行還原演練?
本節於ISMS中常見對應文件名稱:運作安全管理辦法
參考資料:
CNS 27001
https://www.cnsonline.com.tw/