文本描述
ISO27001:2005信息安全管理系统-主导稽核员教材
课程大纲
ISO27001:2005法规说明
附录A控制措施简介
资产评估
风险评鉴
风险处理
适用性声明书
稽核
ISO27001:2005法规说明
ISO27001:2005法规说明
BS7799:分为BS7799-1和BS7799-2两部份
BS7799-1:2005 / ISO17799:2005主要是做为参考文件,提供广泛性的安全控制措施,作为现行信息安全之最佳作业方法,其中包含11个控制措施章节,但不作为评鉴与验证标准。
BS7799-2:2005 / ISO27001:2005系根据BS7799-1,提供信息安全管理系统(ISMS)之建立实施与书面化之具体要求,依据个别组织的需求,规定要实施之安全控制措施的要求。
ISO27001:2005法规说明
BS7799-1:2005 / ISO17799:2005
信息安全管理作业要点
用意是做为参考文件
提供广泛性的安全控制措施
现行信息安全之最佳作业方法
包含11个控制章节
无法作为评鉴与验证
ISO27001:2005法规说明
BS7799-2:2005 / ISO27001:2005
信息安全管理系统要求
根据BS7799-1:2005
ISMS之建立实施与文件化之具体要求
依据个别组织的需求,规定要实施之安全控制措施的要求。
ISO27001:2005法规说明
信息是一种资产,就像其它重要的企业资产依样,对组织具有价值,因此需要受到适当的保护。
ISO27001:2005法规说明
信息的类型
书写或打印于纸上
储存在电子媒体上
以邮寄或电子储存媒体传输
显示于企业影片上
言语-在对话中提出
不管信息的形式是什么,或者共享或储存的方式是什么,都应该受到适当的保护。
ISO27001:2005法规说明
信息安全
保护信息的机密性、完整性与可用性;另外,亦可包含如可鉴别性(真实性)、可归责性、不可否认性及可靠性等特性。
ISO27001:2005法规说明
机密性(Confidentiality)
信息不可被未经授权之个人、实体、流程所取得或揭露之特性。
完整性(Integrity)
保护资产准确性和完整性之特性。
可用性(Avaliability)
基于需要可由授权者存取及使用之特性。
ISO27001:2005法规说明
关键的成功因素(Critical success factors)经验显示,组织的信息安全能否成功实施,下列常为关键因素:
能反映营运目标的信息安全政策、目标及活动。
与组织文化一致之实施、维护、监控、及改进信息安全的方法与框架。
来自所有管理阶层的实际支持和承诺。
对信息安全要求、风险评鉴以及风险管理的深入了解。
向全体管理人员、受雇人员、及相关人员有效推广信息安全以达到认知。
资助信息安全管理活动。
提供适切的认知、训练及教育。
制定有效的信息安全事故管理过程。
实施ㄧ个用于评估ISMS的绩效及改进的回馈建议之量测系统。
ISO27001:2005法规说明
4. Information security management system
4.1 一般要求組織應在整體業務活動與所面臨風險下建立、實施、操作、監控、審查、維護及改進一文件化ISMS,為本國際標準之目的,所採用之過程以下圖所示之PDCA模式為基礎。