iT邦幫忙

2024 iThome 鐵人賽

DAY 26
0
佛心分享-IT 人的工作軟技能

新創公司ISO27001驗證經驗分享系列 第 26

新創公司ISO27001驗證經驗分享-Day26-附錄A-A.18(下)

  • 分享至 

  • xImage
  •  

本文重點摘錄CNS 27001:2013之內容並針對稽核時常見發現事項加註實務見解以供讀者了解,如有實際閱讀需求,請參考官方連結進行購買:https://www.cnsonline.com.tw/

附錄A-參考控制項目及控制措施,自A.5到A.18,共包含 35 個控制目標及 114 控制措施。

A.18 遵循性

A.18.1 對法律及契約要求事項之遵循:避免違反有關資訊安全之法律、法令、法規或契約義務,以及任何安全要求事項。
A.18.1.5 密碼式控制措施之監管:應使用密碼式控制措施,以遵循所有相關協議、法律及法規。
作者經驗分享:在面對稽核常被問到-如公司適用的法規上有要求對加密機制,就要依法規實施,如:金融單位使用硬體加密器(HSM),在設備的報廢或汰除時,要依規定進行處理其加密晶片。

A.18.2 資訊安全審查:確保依組織政策及程序,實作及運作資訊安全。
A.18.2.1 資訊安全之獨立審查:應依規劃之期間或當發生重大變更時,獨立審查組織對管理資訊安全之作法及其實作 (亦即資訊安全之各項控制目標、控制措施、政策、過程及程序)。
作者經驗分享:在面對稽核常被問到-公司最近一次進行資訊安全之獨立審查(俗稱管審會)是什麼時候?有沒有會議簡報與會議記錄可以確認?並對會議中的審查內容進行標準的輸入輸出確認

A.18.2.2 安全政策及標準之遵循性:管理人員應以適切之安全政策、標準及所有其他安全要求事項,定期審查其責任範圍內之安全處理及程序的遵循性。
作者經驗分享:在面對稽核常被問到-審查內容有沒有包含資訊安全政策?會議中檢視了什麼樣的指標以確認資訊安全管理體系運作的完善?

A.18.2.3 技術遵循性審查:應定期審查資訊系統對組織之資訊安全政策及標準的遵循性。
作者經驗分享:在面對稽核常被問到-審查內容有沒有包含量測指標以確認資訊安全管理體系運作的完善?內部稽核的執行結果?安全檢測報告的追蹤情形?

本節於ISMS中常見對應文件名稱:通常會合併在資訊安全組織實施管理辦法中進行要求

參考資料:
CNS 27001
https://www.cnsonline.com.tw/


上一篇
新創公司ISO27001驗證經驗分享-Day25-附錄A-A.18
下一篇
新創公司ISO27001驗證經驗分享-Day27-內部稽核
系列文
新創公司ISO27001驗證經驗分享30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言