iT邦幫忙

iso 27001相關文章
共有 36 則文章
鐵人賽 Security DAY 24
合規合規,合什麼規? 系列 第 24

技術 [Day 24] ISO/IEC 27001 條文簡介(附錄 A.5~A.11介紹)

今天開始介紹附錄,附錄的內容主要為控制措施的實作要求,但組織可以依照自身情況決定是否實作,只要能符合主條文的規定即可。由於附錄大多為實做措施,無法詳細列出,因此...

鐵人賽 Security DAY 25
合規合規,合什麼規? 系列 第 25

技術 [Day 25] ISO/IEC 27001 條文簡介(附錄 A.11~A.18)

A.12 運作安全 控制對影響資安的組織、營運過程、資訊設施和系統變更。 系統資源應監視與調整,並預留未來需使用的容量。 開發、測試、正是環境應區隔。 實作惡...

技術 ISO 27001 機房管理部份之二

定義 :ISO 27001 ISMS 導入適用範圍:機房管理、網路管理、BPM、ERP系統開發及維護相關. 資訊安全管理系統架構 :...

鐵人賽 Security DAY 23
合規合規,合什麼規? 系列 第 23

技術 [Day 23] ISO/IEC 27001 條文簡介(主條文 8~10)

8. 運作 應規劃、實做、控制為了達成要求事項的過程,並實作因應風險和機會之行動、資安目標的達成計畫,且保存文件化資訊。 應控制規劃的變更,並審核非預期變更的...

鐵人賽 Security DAY 20
合規合規,合什麼規? 系列 第 20

技術 [Day 20] 國際標準?(ISO/IEC 2700x)

簡介 今天開始來介紹國際標準,相信很多人聽過的就是 ISO/IEC 27001,但 27001 其實只是 27000 系列中最基礎的一項標準,在 27000 系...

鐵人賽 Security DAY 26

技術 [Day 26] 組態管理

組態管理 (Configuration Management) 是ISO 27002:2022中所新增的11項控制措施之一,屬於技術控制措施,但它也是這11個控...

鐵人賽 Security DAY 30

技術 [Day 30] 最終考驗:第三方稽核活動

當組織依照ISO 27001:2022所要求的活動制訂ISMS管理制度、運作執行並完成內部稽核與管理審查後,即算完成一個週期的ISMS活動,並即將要接受最終考驗...

鐵人賽 Security DAY 6

技術 [Day 6] 認識資訊安全管理系統 (ISMS)

在系列文章的一開始先由管理系統的概念開始導入,先對管理系統的定義有些認知後,再回頭來看ISMS會比較能理解它到底是什麼,以及它要達到什麼目的,導入ISMS對組織...

鐵人賽 Security DAY 3

技術 [Day 3] 傳說中的「說寫做一致」

在七年前開始接觸導入ISMS的時候,因為什麼都還不太懂,上網查了一些相關的資訊時,有特別注意到多數的文章都會提到「說寫做一致」這個術語,還有些文章說這是所謂的「...

鐵人賽 Security DAY 18

技術 [Day 18] 確認管理系統制度的有效性:內部稽核

前面已經提到對管理系統制度有效性確認所需要執行的監督、量測、分析及評估的活動,不過即便有進行了這些活動,仍然有可能會使制度的有效性存疑,而存疑的來源是信任風險,...

鐵人賽 Security DAY 7

技術 [Day 7] 透視你的組織—組織全景

注意:自本篇文章開始,會使用 「主條文」(Clause) 一詞來簡稱 ISO 27001:2022 的本文。 在組織中,管理制度會依照其管理範疇 (Scop...

鐵人賽 Security DAY 1

技術 [Day 0] 緣起

7年前,某個再也平常不過的日子,在窗外灑落金黃色的光芒,即將下班前的時刻,老闆召喚我進辦公室,對著我說: 「我們公司要導ISMS制度,這個任務就交給你了。」 開...

鐵人賽 Security DAY 16

技術 [Day 16] 運作你的制度

現在事前的準備大致都完成了,由組織高度檢視整個經營環境、匡列要導入ISMS的範圍、檢視相關的風險並完成評鑑、針對無法接受的風險也已經辨識出來、最高管理階層也已表...

鐵人賽 Security DAY 10

技術 [Day 10] 最高管理階層的責任

在組織要推行任何的制度,不管是不是管理系統,最高管理階層的支持佔了推行成功至少一半的比例,即便制度再好再優,最高管理階層不支持的話必定成不了氣候,最高管理階層握...

鐵人賽 Security DAY 4

技術 [Day 4] 顧問的角色與協助

對一個沒有導入過ISO管理系統標準制度的組織來說,因為沒有接觸過,也沒有任何經驗,連什麼叫「管理系統」可能都不知道,多數的組織都會選擇請管理顧問或是專門輔導管理...

鐵人賽 Security DAY 2

技術 [Day 2] 何謂文件化資訊

在前面我們說明了管理系統標準的形成以及組織在導入管理系統時所必備的兩個要素,也就是描述組織如何運行整套管理系統的文件,以及證明組織管理系統運作成效的記錄,這兩個...

鐵人賽 Security DAY 25

技術 [Day 25] 技術控制措施

技術控制措施 (Technological Control) 共有34項,可以將它視為把其他三類控制措施「落地」的方法,技術控制措施所指引的是如果要某項要求要做...

鐵人賽 Security DAY 1

技術 [Day 1] 何謂管理系統?

所謂的ISMS,是資訊安全管理系統 (Information Security Management System) 的縮寫,顧名思義,ISMS就是一個以資訊安...

鐵人賽 Security DAY 27

技術 [Day 27] 專案管理之資訊安全

當看到「專案管理」這四個字時,相信應該不少懂的人會心頭一驚,畢竟專案管理 (Project Management) 本身就是一門很大的學問,大到有專門的學術組織...

鐵人賽 Security DAY 13

技術 [Day 13] 資訊安全風險管理

前面已經走完風險、風險評鑑及風險處理的程序,再回到ISMS對這部份的要求,ISMS的存在最重要的目標,就是能讓組織能有效的面對資訊安全風險 (Informati...

鐵人賽 Security DAY 22

技術 [Day 22] 組織控制措施

正如其名,組織控制措施 (Organizational Controls) 是站在組織層級的觀點所施加的控制措施,也就是一個站在管理的角度來施行的控制方式,共有...

鐵人賽 Security DAY 23

技術 [Day 23] 人員控制措施

任何的管理制度的本質都是在控制人類的行為,即便是再好的管理制度,只要人這個因素沒有控制好,走鐘或失敗的機會就會很高,有再好的設備、再好的技術都一樣,人的決策經常...

鐵人賽 Security DAY 15

技術 [Day 15] 準備推行制度所需的資源

任何管理制度的推行,不外乎是與人、過程及過程相關的資源 (有形或無形都算) 有關係,為了要有效的在組織內推動制度,適當且必要的資源是必備條件,ISMS自然也不例...

鐵人賽 Security DAY 29

技術 [Day 29] 系統開發之控制措施 (下)

在安全開發生命週期的範疇下,軟體開發的各個階段型塑了生命週期下的環節,由需求分析出發的應用系統安全要求事項 (A.8.26)、系統分析與設計的安全系統架構及工程...

鐵人賽 Security DAY 21

技術 [Day 21] 控制措施實作的概念

在講完整個ISMS的要求過程後,再來就是講一下ISO 27001:2022附錄A的「控制措施」。 ISO 27002對控制措施的定義是: Control is...

鐵人賽 Security DAY 8

技術 [Day 8] 決定你能做多大—定義範圍

組織的規模類型很多,有些組織只是小型或微型企業,有些則是中大型企業或跨國企業,雖然前一個主題要ISMS制度規劃者要透視整個組織,然而ISMS並沒有規定一定得要「...

鐵人賽 Security DAY 12

技術 [Day 12] 風險評鑑過程

在前面組織已經決定了風險準則,準備好進行風險評鑑。 風險評鑑由組織全景開始,由於組織經營過程中到處都有風險,因此由全景開始進行檢視是最洽當的,由上而下進行檢視,...

鐵人賽 Security DAY 28

技術 [Day 28] 系統開發之控制措施 (上)

今天就來談談我的老本行「軟體開發」的控制措施吧,軟體開發可是資訊技術中與硬體平起平坐的生產單位,由於不像硬體是有形 (tangible) 的資產,為妥善且有效的...

鐵人賽 Security DAY 5

技術 [Day 5] 「符合性評鑑」與「稽核」的概念

組織依照ISO管理系統標準來規劃、設計、建構一整套的管理制度,並且依制度運作,一般來說通常都會達到預期的成果,然而若只是組織自己說,基本上很難有公信力,畢竟人大...

鐵人賽 Security DAY 24

技術 [Day 24] 實體控制措施

除以全遠端方式營運的組織外,多半組織都會有一個辦公場域,會有一部或多部的個人電腦或主機 (統稱資訊處理設施)、網路佈建以及需嚴格保護的區域 (如機房) 等,這些...