who we are… · • isms/iso27001 國際標準簡介與應用方式 •...

86
ISMS 國際資安標準之應用及資通安全威脅與管理」 研討會 ISMS 國際資安標準於電信業的應用 主講人:TÜ ViT Asia Pacific協理: 黃廷弘 Email: [email protected]

Upload: others

Post on 28-Dec-2019

8 views

Category:

Documents


0 download

TRANSCRIPT

Page 1: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

「ISMS 國際資安標準之應用及資通安全威脅與管理」研討會

ISMS 國際資安標準於電信業的應用

主講人:TÜ ViT Asia Pacific協理: 黃廷弘

Email: [email protected]

Page 2: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

Agenda

• ISMS/ISO27001 國際標準簡介與應用方式

• 資訊安全風險評鑑與資訊安全控管措施介紹

• 機房管理與國際機房標準

• 驗證範圍與驗證過程介紹

2011 2

Page 3: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

ISMS/ISO27001 國際標準簡介與應用方式

2011 3

Page 4: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

ISO 27001 Certificates (Top 20)

3720

509 494 455 401

145 106 96 96 71 64 63 58 46 37 37 35 33 30 30 0

500

1000

1500

2000

2500

3000

3500

4000

Total number of certificates : 7,078 , Feb., 2011

Page 5: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

ISO27001 Adopted by business category

Page 6: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

資訊安全的各層領域- 1

System A

System B

Teleworking

Internet

Mobile

Computing

Database

Information

System C

Database

產品安全

系統安全

組織安全 Information Security Management Systems (ISMS)

6

Page 7: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

合法使用者為企業機密資料的主要外洩管道

• 美國CSI (Computer Security Institute) 的調查數據

– 70% 內部合法使用者造成

– 39% 員工曾經將客戶資料寄出

– 52% 曾在離職時帶走工作資料

– 86% 習慣性將郵件轉寄他人

30.01.2011 7

Page 8: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

管理系統 V.S. 資安技術機制

• 駭客入侵手法

– RSA 員工被誘導開啟惡意信件….

• 駭客能力

– Google, Apple, RSA, Sony…

• 單單依靠技術機制防禦並不足以防範

• 除了技術機制, ISO27001 標準重視

– 預防型的控制措施

– 多重層次的安全管控

– 從事故、事件中快速學習修正

2011 8

Page 9: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

A6 A7

A8

控制措施之間的平衡

A9 A10

A8

A12 A14 A15

風險 風險

Page 10: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

ISO管理系統的核心架構 - PDCA

P D

C A

資訊

安全

品質

執行時間

10

Page 11: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

管理系統的特徵(要件)

•Plan Do Check Act 執行架構

•管理責任與管理承諾

•提供管理資源

•人員能力、認知與訓練管理

•實施內稽、管審及監督

•預防、矯正措施

•持續改進

11

Page 12: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

規劃

4.2.1

建立 ISMS

執行

4.2.2

實作與運作 ISMS

檢查

4.2.3

監視與審查 ISMS

行動

4.2.4

維持與改進 ISMS

ISO/IEC 27001 架構

Page 13: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

ISO 管理系統剖析

ISO 20000-1

資訊服務管理系統

ISO 9001-2000

品質管理系統

ISO 27001

資訊安全管理系統

5.2 8 8.5 P-D-C-A

4.2 文件化要求

4.2.2 文件管制

4.2.3 紀錄管制

5. 管理階層責任

5.1 管理承諾

6. 資源管理

6.1 資源提供

6.2.2 能力、認知及訓練

7. 管理階層審查

8.5 改進

8.5.1 持續改進

8.5.2 矯正措施

8.5.2 預防措施

4.2.1-4.2.4 P-D-C-A

4.3 文件化要求

4.3.2 文件管制

4.3.3 紀錄管制

5. 管理階層責任

5.1 管理承諾

5.2 資源管理

5.2.1 資源提供

5.2.2 訓練、認知及能力

6. 內部稽核

7. 管理階層審查

8. ISMS 之改進

8.1 持續改進

8.2 矯正措施

8.3 預防措施

4.1- 4.4, 5 P-D-C-A

3.2 文件化要求

4.2.2 文件管制

4.2.3 紀錄管制

3.1 管理階層責任/承諾

3.1(e) 資源提供

3.2.2 能力、認知及訓練

3.1(g) 管理階層審查

4.4 持續改進

4.4.2(a) 矯正/預防措施

13

Page 14: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

ISO 管理系統 DNA

ISO 9000

品質管理系統

ISO 20000-1

Ch 3-5

管理系統

Ch. 6-10

五大 IT服務

流程管理

ISO 27001

Ch 4-8

管理系統

A5-A15

133 項資安

控制措施

General

Management

System

Specific

Management

items

14

Page 15: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

附錄 A (規定): 11 個領域, 39個控制目標, 133個控制措施

A.5 – 安全政策

A.6 –資訊安全的組織

A.7 – 資產管理

A.11 –存取控制

A.14 – 營運持續管理

A.13 –資訊安全事故管理

A.12 資訊系統獲取、

開發及維護

A.10 通訊與作業管理

A.9

實體與環境安全

A.8 人力資源安全

A.15 –遵循性

Page 16: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

ISO27001 附錄 A

30.01.2011 16

Page 17: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

ISO/IEC 27002: 歷史與發展

• November 2000: ISO/IEC 27002:2000

(BS 7799, Parf 1, 不變)

• Sept. 2002: BS 7799-2: 2002

• February 1995: BS 7799 Part 1

• February 1998: BS 7799 Part 2

• April 1999: BS 7799-1/-2:1999

• September 1993: „指導原則“

• January 1993:

產業工會團體

ISO/IEC 27002 update

•Jun. 2005: ISO/IEC 17799:2005

•Oct. 2005: ISO/IEC 27001: 2005

•July. 2007: ISO/IEC 27002:2005

ISO/IEC 17799 update

ISO/IEC 27001 issued

Page 18: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

ISO 27001 -ISMS 11 個領域, 39個控制目標, 133個控制措施

A.5 – 安全政策

A.6 –資訊安全的組織

A.7 – 資產管理

A.11 –存取控制

A.14 – 營運持續管理

A.13 –資訊安全事故管理

A.12 資訊系統獲取、

開發及維護

A.10 通訊與作業管理

A.9 實體與環境安全

A.8 人力資源安全

A.15 –遵循性

4.2 建立與 管理 ISMS

6 ISMS 內部稽核

7. 管理階層審查

8. ISMS 持續改進

4.3 文件化 要求

5 管理責任 5.2 管理承諾 5.2 資源管理 5.2.2 教育

管理系統

資安特殊控制項

18

Page 19: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

稽核案例分享- 離職員工

A.8 人力資源安全

A.11 存取控制

A.13 資訊安全事故管理

30.01.2011 19

Page 20: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

稽核案例分享- 水、電、空調故障

A.9 實體與環境安全

A.13 資訊安全事故管理

A.14 營運持續管

30.01.2011 20

Page 21: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

稽核案例分享- 駭客入侵

A.10 通訊與作業管理

A.11 存取控制

A.13 資訊安全事故管理

30.01.2011 21

Page 22: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

結構化的管理: 人員管理應用參考

• 結構化的管理

– 聘僱前、聘僱期間、離職

• 聘僱前

2011 22

Page 23: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

聘僱期間

2011 23

Page 24: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

聘僱終止與變更

2011 24

Page 25: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

存取控制

• A.11.2.1 使用者註冊 控制措施

– 應有適當的正式使用者註冊與註銷註冊程序, 以對所有資訊系統與服務核准和撤銷存取。

• A.11.2.3 使用者通行碼管理 控制措施

– 應以正式的管理過程控制通行碼的配置。

• A.11.2.4 使用者存取權限的審查

– 管理階層應定期使用正式過程審查使用者的存取權限。

• A.11.3.1 通行碼的使用 控制措施

– 應要求使用者遵照良好安全實務去選擇與使用通行碼。

• A.11.3.3 桌面淨空與螢幕淨空政策

– 應採用對紙本媒體與可移除式儲存媒體之桌面淨空政策, 及資訊處理設施的螢幕淨空政策。

2011 25

Page 26: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

個資法應辦事項整理

個資蒐集

個資處理

利用

停止

利用

刪除

接受當事人行使當事人權利

查詢 閱覽 補充 更正 制給複製本 刪除

告知 取得同意 處理或利用前告知 (間接蒐集)

停止蒐集處理利用

15+15 日內 30+30 日內

採行適當資料檔案之安全措施(防止竊取、竄改、毀損、滅失、洩漏)

個人資料檔案安全維護計畫 業務終止後個人資料處理方法

實施細則將規定

事業主管機關頒行

建立管理作業流程

1

4

3

6

7 8

2

§ 8 § 9

§ 11 § 10

個資遭竊、洩漏 主動通知 § 12

§ 13 § 13

§ 11

§ 27

事項公開於電腦網站(公務) § 17

一、個人資料檔案名稱。

二、保有機關名稱及聯絡方式。

三、個人資料檔案保有之依據及特定目的。

四、個人資料之類別。

5

Page 27: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

安全維護事項(施行細則中訂定)-1

• 1. 必要之組織

• 2. 界定個人資料之範圍

• 3. 隱私權影響評估

• 4. 個人資料蒐集、處理或利用之程序

• 5. 當事人行使權利之處理程序

• 6. 資料安全

• 7. 資料稽核

30.01.2011 27

Page 28: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

安全維護事項(施行細則中訂定)-2

• 8. 人員管理及教育訓練

• 9. 設備管理

• 10. 紀錄與證據之保存

• 11. 緊急應變措施及通報

• 12. 改善建議措施

• 13. 其他安全維護事項

30.01.2011 28

Page 29: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

隱私衝擊分析流程

業務流程分析 資料流程分析

個人資料

清冊

環境分析 資訊系統分析

個人檔案保護環境、系統及人員清冊

適法性檢查

Compliance checking 蒐集、處理、利用之適法性檢查

資安風險分析

Risk Assessment

選擇控制措施 管理控制措施

技術控制措施

個資風險

處理計畫

個資盤點 衝擊分析 現況、環境分析

處理計畫

個資衝擊分析 Privacy Impact Analysis

個資蒐集利用現況調查

適法性衝擊評估

資安風險評鑑報告

選擇控制措施 管理控制措施

技術控制措施

29

Page 30: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

與”網站(Web application)”有關

1. 釣魚網頁

2. 在拍賣網站從事詐欺

3. 在遊戲網站盜取寶物

4. …

使用者電腦被植入木馬程式

在電子郵箱進行SPAM並散播病毒

企業、政府機關及學校等資料庫遭駭客侵入

Internet

eMail

server

Database

有可能洩露個人資料的地方與網路使用行為…

資訊安全與個人資料保護趨勢(一)

30

Page 31: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

與”網站(Web application)”有關

1. 隱藏買家個人資料

2. 健全個資保護法令

確保交易金流安全

1. 網路安全教育宣導

2. 使用自然人憑證

Internet

eMail

server

Database

如何保護企業裡的個人資料與隱私

電子信箱惡意程式偵測

1. 使用動態密碼

2. 安全圖章及拍賣網外連結提醒

1. 資料使用紀錄

2. 定期稽查

資訊安全與個人資料保護趨勢(二)

網路型

DLP 主機型

DLP

DB

安全稽核系統

Level 7

過濾器

側錄

弱埽

弱埽

31

Page 32: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

ISO27001 應用

• A.8.1.3 聘僱條款與條件 控制措施

– 身為契約義務的一方, 員工、承包者及第三方使用者應同意並簽署其聘僱契約之條款與條件, 該契約應陳述其與組織對資訊安全的責任。

• A.8.2.2 資訊安全認知、教育及訓練控制措施

– 組織所有員工和相關的承包者及第三方使用者,均應接受與其工作職務相關, 以及定期更新的組織政策與程序內容之適切認知訓練。

• A.10.7.1 可移除式媒體的管理

– 應有適當的程序以管理可移除式媒體。

2011 32

Page 33: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

Monitoring監控應用 ISO27001

2011 33

Page 34: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

資訊安全風險評鑑與資訊安全控管措施介紹

2011 34

Page 35: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

規劃 - 建立 ISMS

a.界定資訊安全管理系統之範圍及界限

b.界定資訊安全管理系統之政策

c.界定組織的風險評鑑方法

d.識別各項風險

e.分析與評估各項風險

f.識別並評估風險處理之各項選項作法

g.選擇控制目標及控制措施以處理風險

h.取得管理階層對所提議剩餘風險的核准

i.取得管理階層對實作和操作資訊安全管理系統的授權

風險處理

風險評鑑

風險管理過程

j.擬定一份適用性聲明書

參考 ( ISO/IEC 27001:2005 4.2.1.a~j, 10 步驟 )

Page 36: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

風險評鑑過程

c.界定組織的風險評鑑方法

d.識別各項風險

e.分析與評估各項風險

f.識別並評估風險處理之各項選項作法

g.選擇控制目標及控制措施以處理風險

h.取得管理階層對所提議剩餘風險的核准

• 風險評鑑方法

− 可比較(Comparable)

− 可再產生(Reproducible)

• 風險接受的準則(criteria)

• 風險可接受的等級(Acceptable levels of risk)

Page 37: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

風險評鑑過程

c.界定組織的風險評鑑方法

d.識別各項風險

e.分析與評估各項風險

1. 識別風險

2.風險值/評等

3.保證程度

f.識別並評估風險處理之各項選項作法

g.選擇控制目標及控制措施以處理風險

h.取得管理階層對所提議剩餘風險的核准

Page 39: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

風險描述的全貌

• 三要素

– 資產

– 威脅

– 脆弱點

• 兩參數

– 衝擊

– 可能性

Page 40: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

脆弱點/ 威脅

• 脆弱點 (Vulnerabilities) – 與資產相關的脆弱點包括實體排列、組織、程序、人員、管理、

行政、硬體、軟體或資訊的弱點. Vulnerabilities associated with assets include weakness in physical layout, organization, procedures, personnel, management, administration, hardware, software or information.

– 它們可能會被造成IT 系統或營運目標傷害的威脅所利用。脆弱性本身不會造成傷害。 They may be exploit by a threat that may cause harm to the IT system or business objectives. A vulnerability in itself does not cause harm;

• 威脅 (Threat) – 威脅有可能發生不想要的事故而對系統或組織及其資產造成傷害

。 A threat has the potential to cause an unwanted incident which may result in harm to a system or organization and its assets.

ISO/IEC TR 13335 page 6, 8.2

ISO/IEC TR 13335 page 8, 8.3

Page 41: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

風險

• 風險是某威脅將利用脆弱點直接或間接造成組織一個或一群資產受到漏失或損害(衝擊)的可能性。 Risk is

the potential that a given threat exploit

vulnerabilities to cause loss or damage (impact) to

an asset or group of assets, and hence directly or

indirectly to the organization.

Ref: ISO/IEC TR 13335, page 8

Page 42: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

風險識別公式(example)

• 威脅(動詞,即將造成的傷害)

– 天災 火災 水災 地震 SARS

– 人禍 (動機,選擇性)

• 脆弱點(形容詞)

– 不足、不夠、不強

– 本身不會造成傷害

• 風險= 衝擊(資產,威脅,脆弱點) X 可能性

Page 43: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

評鑑風險 – 可能性(likelihood)

• 範例 - 評估可能性的

可能性 說明

很低 事情幾乎很少發生

低 事情不常發生,也許三年發生一次

普通 事情不定期會發生,也許每年發生一次

高 事情可預期會發生,一年會發生幾次

很高 事情可合理預期會發生,每月經常發生

Page 44: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

評鑑風險 – 衝擊(impact)

• 範例 - 評估衝擊的大小 (導致組織衝擊)

潛在組織衝擊

組織運作和財務健康

法令規定與義務

名聲與商譽 個人資訊

低 很少或沒有破壞 / 財物損失

沒有違反法令規定和義務

在組織內有很少或有限的困窘

沒有痛苦或困窘產生

普通 不利於組織效率 / 財務健康

法令規定和義務上有技術缺失

對於客戶或股東有負面衝擊

對個人有些微的痛苦或困窘

高 造成嚴重破壞 / 財物損失

嚴重違反法令規定和義務

對於客戶或股東有嚴重的負面衝擊

嚴重的痛苦或困窘

很高 可能導致破產 可能導致組織關閉

威脅到組織的未來

廣泛且嚴重的痛苦或困窘

Page 45: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

評鑑風險 – 風險值 (risk value)

• 範例 : 風險值 = 可能性 * 衝擊 (risk value = likelihood x impact)

可能性 很低 低 普通 高 很高

衝擊

低 1 3 5 7 9

普通 3 9 15 21 27

高 5 15 25 35 45

很高 7 21 35 49 63

Page 46: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

風險評鑑報告

辨別風險: a. 資產 / 威脅 / 脆弱點

b. 衝擊 (風險) 評估風險: a. 估計程度

b. 決定可接受準則

風險處理 a. 採用適當的控制措施

b. 符合風險可接受準則

c. 避免/轉移風險

地點

類別.

資產

數量

威脅

脆弱點

可能性

衝擊值

風險值

選擇控制措施

研發部門

系統

檔案伺服器

(windows

2000 伺服器)

1 惡意程式,

濫用, 人員失誤, 未授權使用, ..

系統脆弱點 5 5 25 A.9.2.4

A.10.1.1~A.10.1.4

A.10.4.1~A.10.4.2

A.11.x.x

支援文件 a. 資產清冊

b. … 支持文件 a. 風險評鑑程序

b. …

Page 47: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

風險處理過程

c.界定組織的風險評鑑方法

d.識別各項風險

e.分析與評估各項風險

f.識別並評估風險處理之各項選項作法

g.選擇控制目標及控制措施以處理風險

h.取得管理階層對所提議剩餘風險的核准

1.選擇控制措施

2.風險處理

3.剩餘風險

Page 48: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

風險處理

• 風險處理計畫的可能內容:

1. 處理風險所選擇的方法

2. 採用何種控制措施

3. 提出何種額外的控制措施

4. 執行所提出控制措施的時程規劃

5. 辨別風險可接受的等級(保證等級)

• 決定風險可接受的等級,比如 其它行動皆不可行,或成本太高

• 轉移風險

• 降低風險到可接受的等級

威脅名稱 資產 對策 控制措施/

預防措施

資源 成本 執行時程

較弱的系統績效

整個網路基礎建設

從技術和營運面提升效能計畫

A.10.3.1 1. 網路…

2. …

$xxxx

階段 1:…

階段 2:…

使用者犯錯

顧客資料

Help Desk及訓練

A.8.2.2 1. 訓練..

2. …

$xxxx

風險處理計畫的範例

Page 49: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

ISO27001 原理及步驟

2011 49

持續管理循環

發佈政策程序、實行監控檢查、持續改善

實施風險評鑑(Risk Assessment)

透過風險評鑑了解組織的風險,實施控制措施(技術、管理)來降低風險

實施資產盤點

資訊資產包括軟體、硬體、資料、人員、服務等資產

Page 50: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

應用案例

• 透過資產盤點及風險評鑑後發現

– 地點: A3 服務機房

– 資產名稱: CISCO 3960 Switch

– Threat: 設備故障

– Vulnerability: 單點失效無備援設備

– Likelihood: 中(兩年可能發生一次)

– Impact: A3 網路失能,目前與廠商契約為8 小時完修,最大衝擊值為網路中斷 8 小時。

• 風險處理方式?

2011 50

Page 51: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

ISO 27001 -ISMS 11 個領域, 39個控制目標, 133個控制措施

A.5 – 安全政策

A.6 –資訊安全的組織

A.7 – 資產管理

A.11 –存取控制

A.14 – 營運持續管理

A.13 –資訊安全事故管理

A.12 資訊系統獲取、

開發及維護

A.10 通訊與作業管理

A.9 實體與環境安全

A.8 人力資源安全

A.15 –遵循性

4.2 建立與 管理 ISMS

6 ISMS 內部稽核

7. 管理階層審查

8. ISMS 持續改進

4.3 文件化 要求

5 管理責任 5.2 管理承諾 5.2 資源管理 5.2.2 教育

管理系統

資安特殊控制項

51

Page 52: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

針對風險進行控管項目應用

• 購買設備、實作 HA 或 Standby 安全管控

• A.9.2.4 設備維護 控制措施

– 應正確地維護設備, 以確保其持續的可用性與完整性。

• A.10.1.2 變更管理 控制措施

– 對資訊處理設施與系統的變更應受控制。

• A.10.10.2 監控系統的使用 控制措施

– 應建立資訊處理設施使用的監視程序, 並定期審

– 查監視活動的結果。

• 實施風險再評鑑,仍有部分風險? 兩台一起失效? 接受?

• A.14.1.3 發展與實作包括資訊安全的持續計畫

– 應發展與實作各項計畫, 當重要營運過程中斷或失效後, 可藉以維持或恢復運作, 並確保資訊的可用性在要求時間內達到所要求等級。

2011 52

Page 53: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

風險處理方式 (應用)

• 4.2.2 實作與運作ISMS

• 組織應執行下列事項:

– (a) 為管理資訊安全風險, 架構一項風險處理計畫, 以識別適當管理措施、資源、責任及優先順序。

– (b) 實作風險處理計畫,以達成所識別的各項控制目標,其中包括賦予資金的考量以及角色與責任的配置。

– (c) 實作第4.2.1 節(g)所選擇的控制措施, 以符合控制目標。

– (d) 界定如何量測所選擇的控制措施或控制措施群的有效性,並規定如何使用這些量測去評鑑控制措施的有效性,以產生可比較

– (e) 實作訓練與認知計畫。

2011 53

Page 54: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

風險處理

• 風險處理計畫的可能內容:

1. 處理風險所選擇的方法

2. 採用何種控制措施

3. 提出何種額外的控制措施

4. 執行所提出控制措施的時程規劃

5. 辨別風險可接受的等級(保證等級)

• 決定風險可接受的等級,比如 其它行動皆不可行,或成本太高

• 轉移風險

• 降低風險到可接受的等級

威脅名稱 資產 對策 控制措施/

預防措施

資源 成本 執行時程

較弱的系統績效

整個網路基礎建設

從技術和營運面提升效能計畫

A.10.3.1 1. 網路…

2. …

$xxxx

階段 1:…

階段 2:…

使用者犯錯

顧客資料

Help Desk及訓練

A.8.2.2 1. 訓練..

2. …

$xxxx

風險處理計畫的範例

Page 55: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

機房管理與國際機房標準

2011 55

Page 56: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

A.7 資產管理

A.7.1 資產責任 (3)

A.7.2 資訊分類 (2)

1. 資產清冊

2. 資產的擁有權

3. 資產之可被接受的使用

1. 分類指導綱要

2. 資訊標示與處置 Need to protect?

Yes No

Page 57: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

Rec

epti

on

Server room

IT and Development

Meeting room

Reception area

Kitchen / Cafe Finance Meeting room

Management

Sales / Marketing

Customer service / Logistics

Doo

r

A.9 實體與環境安全

A.9.1 安全區域 (6)

A.9.2 設備安全 (7)

Page 58: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

ISO27001 附錄 A , A9 實體與環境安全管理

2011 58

Page 59: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

2011 59

Page 60: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

A.10 通訊與作業管理

資訊 系統 A

作業環境

系統B

開發環境

A.10.1 作業之程序與責任 (4)

A.10.3系統規劃與驗收 (2)

A.10.4防範惡意碼與行動碼 (2)

A.10.5 備份 (1)

A.10.7媒體的處置 (4)

A.10.10 監視 (6)

A.10.6 網路安全管理 (2)

系統 C

外部設備

A.10.8資訊交換 (5)

資料庫

資料庫

A.10.2 第三方服務交付管理 (3)

A.10.9 電子商務服務 (3)

Page 61: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

機房管理問題

• 耗能問題

2011 61

Page 62: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

Data Center Standards

• BICSI,

• BICSI 002-2011,

• Data Center Design and

Implementation Best

Practices

2011 62

Page 63: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

ANSI/BICSI 002-2011, Data Center Design and

Implementation Best Practices

• 1 Introduction

2 Scope

3 References

4 Definitions, Acronyms,

Abbreviations, And Units Of

Measurement *

5 Space Planning

6 Site Selection

7 Architectural

8 Structural

9 Electrical Systems *

10 Mechanical

11 Fire Protection

12 Security

13 Building Automation

Systems

14 Telecommunications *

15 Information Technology

16 Commissioning

17 Data Center Maintenance

Annex A: Design Process

(Informative)

Annex B: Reliability And

Availability (Informative)

Annex C: Referenced

Documents (Informative)

2011 63

Page 64: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

TIA 942

• TIA, Telecommunications

Industry Association

• Telecommunications

Infrastructure Standard for

Data Center

2011 64

Page 65: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

機房管理- 功能區域規劃

2011 65

Page 66: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

Tier of Data Center

• Tier 1 – basic data center

– no redundancy

• Tier 2 – redundant components

– Single distribution path with redundant components

• Tier 3 – concurrently maintainable

– Multiple distribution paths with only one active

• Tier 4 – fault tolerant

– Multiple active distribution paths

2011 66

Page 67: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

Data Center Certification

2011 67

ePI, Singapore TUViT, Germany

Page 68: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

© TÜ V Informationstechnik GmbH – Member of TÜ V

NORD Group

Requirements subdivided into 8 fields

Mission critical

Infrastructures

• Comprehensive

• Complete

• In-depth analysis

Page 69: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

© TÜ V Informationstechnik GmbH – Member of TÜ V

NORD Group

TSI Katalog V3.0: 157 Requirements

ENV (10) CON (27) FIR (12) SEC (21)

POW (37) ACV (22) ORG (13) DOC (15)

Page 70: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

© TÜ V Informationstechnik GmbH – Member of TÜ V NORD Group

Validation & Certification Process

Validation

report

Site

inspection Document inspection

Work-

shop

Project decision

Site Visit

Introduction to TSI

Important requirem.

Document demands

Project

Meeting possible 2-5 auditors

1-2 days

Supplementary

Audit in case of

stipulations

Com-

ments

Page 71: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

© TÜ V Informationstechnik GmbH – Member of

TÜ V NORD Group

Document Demands

Security concept

Fire protection concept

Alarm lists

Floor plans

Crossection plans

Surrounding map

Projections on floor plans regarding

• cable routes

• security zones

• intrusion detection elements

• access controls

• CCTV

• sensors, e.g. of leakage system

Schematics of

• Access Control System

• Intrusion Detection System

• Fire Alarm System

• Fire Extinguishing System

• Electricity system

• HVAC system

Number plate information

of all important components

Like transformer, UPS,

Battery, EPU, chiller, etc.

Energy balance

Cooling balance

Page 72: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

© TÜ V Informationstechnik GmbH – Member of TÜ V

NORD Group

TSI pre-check / certification

DESIGN

PHASE IN OPERATION

PRE-CHECK CERTIFICATION

CONSTRUCTION

PHASE

Page 73: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

其他機房認證

• PUE, Power Usage Effectiveness 能源使用效率

– 總用電量 / IT設備用電量

• 能源與環境先導設計(Leadership in Energy and

Environmental Design,LEED)美國綠建築協會

– 基本的認證、銀級認證、黃金級認證,白金級認證

2011 73

Page 74: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

驗證範圍與驗證過程介紹

2011 74

Page 75: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

現行 ISO27001 規定

• 1、各電信事業應於每年9月底前,依其自我評估作業編號之資通安全等級,提報下列資料至本會:

• (1)附件一、附件二、附件五及附件六。

• (2)依第八點執行內部稽核,勾選檢查項目「否」者,頇提報附件七及附件八。

• (3)依第八點執行內部稽核,勾選檢查項目「不適用」者,頇提報附件九及附件十。

• 2、電信事業經本會認可之資通安全管理機制驗證機構進行外部驗證,並取得ISO/IEC 27001證明者,僅頇提報附件六至附件八及附件十,得免提報附件五及附件九,惟頇檢附該驗證證書及驗證報告等相關資料影本。

June 2009 75

Page 76: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

ISO27011 適用規範

• 赴大陸投資

– 投資電信業(第二類電信事業之一般業務)受理審查原則如下:

– (一) 開放赴大陸投資第二類電信事業一般業務,現階段適用範圍為大陸地區所稱之「存儲轉發業務、信息服務業務、在線數據處理及交易處理業務、因特網數據中心業務及因特網接入服務業務」。

– (二) 赴大陸投資之臺灣業者應檢具已取得規範電信事業資訊安全管理系統(ISMS)之ISO 27011認證之證明文件。

– (三) 涉及國人個人資料之事項或業務部門、業務功能及系統等,例如電信業者之用戶資料庫、客服系統/客服中心、帳務系統/帳務中心等,均限制不得移往大陸設置營運或於當地投資、合作。

June 2009 Autho

r:

Philip

Ku,

Introd

uciton

to

TUV

NOR

D IT

servic

es

76

Page 77: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

ISO27011 適用規範

• 海纜業者

– 電信事業資訊通訊安全管理作業要點第五點第二項,將修正為「電信事業依固定通信業務管理規則第七十條第一項第二款或第七十二條之一,建置兩岸直接海纜通信網路者,應於申請通信網路技術審驗前,向本會認可之資通安全管理機制驗證機構,就核准之作業範圍申請驗證,並取得符合ISO/IEC 27001標準及電信事業資通安全管理手冊之ISO/IEC 27011增項稽核表驗證合格證明。」

June 2009 Autho

r:

Philip

Ku,

Introd

uciton

to

TUV

NOR

D IT

servic

es

77

Page 78: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

ISO27011 適用規範

• 管理要點 第五條

– 電信事業申請在大陸地區投資相當於國內第二類電信事業一般業務前,應將其資通安全管理之實施作業範圍報經本會核准後,向本會認可之資通安全管理機制驗證機構,就核准之作業範圍申請驗證,並取得符合ISO/IEC 27001標準及電信事業資通安全管理手冊之ISO/IEC 27011增項稽核表驗證合格證明。

June 2009 Autho

r:

Philip

Ku,

Introd

uciton

to

TUV

NOR

D IT

servic

es

78

Page 79: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

ISMS Scope

驗證範圍的決定

驗證範圍

企業本身

顧問公司/導入人員 驗證公司

事業合作 Partners

客戶 $$, Resources

$$, Resources

Image, Marketing, Mgmt

$$, Compliance

Trust, Mgmt

Trust

主管機關

Page 80: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

範圍大小

客戶管理 產品/服務管理 帳務處理

機房管理

業務行銷

設備管理

I.T. MIS 財務會計

後勤支援

行政管理

人事管理

郵遞/貨運

委外開發 維運合約

客戶需求

核心業務過程

業務開發

支援管理過程

外部支援過程 客戶滿意

設備供應商 專線提供

外部顧問

程式、系統開發

Page 81: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

ISO27001/ISO27011 外部稽核活動介紹

證書取得

證書持續

Pre-Audit

預評

階段一稽核

Stage 1

Audit

階段二稽核

Stage 2

Audit

稽核計畫 Stage 1

稽核報告

Stage 2

稽核報告 1 2 3

Page 82: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

稽核活動的綜述

開始稽核

- 指派稽核小組長 - 確定稽核目標、範圍、標準

- 決定稽核可行性 - 選擇稽核小組 - 建立和被稽核者的初步合約

執行文件審查

- 審查相關管理系統文件,包含紀錄,即決定其適用的標準

準備現場稽核活動

- 準備稽核計畫 - 指派稽核小組工作 - 準備工作文件

執行現場稽核活動

- 召開起始會議 - 稽核時的溝通 - 引導者和觀察者的角色和責任 - 收集和驗證資訊 - 產生稽核發現點 - 準備稽核結論 - 召開結案會議

準備、認可、及寄發稽核報告

- 準備稽核報告 - 認可和寄發稽核報告

完成稽核 執行稽核追蹤

Ref: ISO 19011:2000, page 10

第一階段稽核 第二階段稽核

Page 83: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

收集資訊的方法

面談

主要幹部與一般會議

審查文件

程序與計畫

了解管理系統的

有效性

觀察

特定區域和活動的現場參觀

資料與紀錄

監視紀錄

客觀證據

資訊的來源

收集適當的

樣本和驗證

根據稽核標準

來評估

審查

稽核檢論

稽核證據

稽核發現點

Page 84: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

ISMS 驗證過程

步驟 1 步驟 2 步驟 3

步驟 7 步驟 6

步驟 5 步驟 4

步驟 8+

討論 ISMS

的範圍 審查合約

同意

服務規定

規劃

基本資訊審查

第一階段稽核

(包含文件審查)

第二階段稽核

現場稽核

發行

ISO 27001

證書

追查稽核

(每年)

3 年更新循環

Page 85: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

Who we are…

June 2009 Author: Philip Ku, Introduciton to TUV NORD IT services 85

Asia Pacific – IT business dept.

謝謝

谢谢

Thank you

Vielen Dank

Page 86: Who we are… · • ISMS/ISO27001 國際標準簡介與應用方式 • 資訊安全風險評鑑與資訊安全控管措施介紹 • 機房管理與國際機房標準 • 驗證範圍與驗證過程介紹

June 2009 Author: Philip Ku, Introduciton to TUV NORD IT services 86

Asia Pacific – IT business dept.