昨天我們看完 ISO 27001:2013 版的架構,我第一次接觸的時候就是一臉問號。這對沒有稽核經驗的我來說,真的太難了。 所以,這篇會用輕鬆愉快的方式來跟...
其實 ISO 系統都是通用的,從 ISO 9001、 ISO 14001、 ISO 50001、ISO 45001 跟27001…都是採用高階管理架構: 4.組...
風險 表示發生,可能會對價值或資產造成負面的衝擊。風險是外部威脅利用弱點對內部資產造成衝擊的可能性。 上篇講完用高層訪談,驗證完組織全景跟資訊安全管理系統框架,...
今天一樣是 ISO 硬硬的標準,第七節 資源 及 傳達。通常分切成【人力資源安全】及【文件化資訊】兩個範圍。 [考題]能力跟認知差異為何?能力:滿足工作之需求,...
是菜稽還是老稽,大部份可以看他們稽核的順序來辨別,有一陣子觀察五年以上的資深前輩,會從內稽、管審開始驗證結果,從而反向驗證先前的計畫及執行,因為內稽及管審包含前...
這是 ISO 27001 的最後一個章節,要表達的精神很簡單! 就是如果有人發現【機房的門沒有關】,請當下【立即關上】,然後去詢問是剛剛進出的人員忘記關。當然大...
看完 ISO 27001 標準,就會繼續看 ISO 27001 附錄 A。附錄 A 目前的版本是 2013 年版,包含 35 個控制目標及 114 控制措施。據...
A.6 資訊安全之組織 A.6.1 內部組織 A.6.1.1 資訊安全之角色及責任 應定義及配置所有資訊安全責任。預期能確認透過組織架構圖來確認資安組織程序或...
好的!【足以維護資訊系統的人才】已經到位啦!所以就就可以針對資訊資產來做管理! A.8 資產管理 A.8.1 資產責任 識別組織之資產並定義適切之保護責任。...
這個章節的重點就是權限。最小權限原則,全部關掉只開放給有特殊身份的授權人員。所以稽核的重點就在於該開的要開,該關的要關。 其實這裡也對應到 CISSP 的 I...