who we are… · • isms/iso27001 國際標準簡介與應用方式 •...

「ISMS 國際資安標準之應用及資通安全威脅與管理」研討會

ISMS 國際資安標準於電信業的應用

主講人:TÜ ViT Asia Pacific協理: 黃廷弘

Email: [email protected]

Agenda

• ISMS/ISO27001 國際標準簡介與應用方式

• 資訊安全風險評鑑與資訊安全控管措施介紹

• 機房管理與國際機房標準

• 驗證範圍與驗證過程介紹

2011 2

ISMS/ISO27001 國際標準簡介與應用方式

2011 3

ISO 27001 Certificates (Top 20)

3720

509 494 455 401

145 106 96 96 71 64 63 58 46 37 37 35 33 30 30 0

500

1000

1500

2000

2500

3000

3500

4000

Total number of certificates : 7,078 , Feb., 2011

ISO27001 Adopted by business category

資訊安全的各層領域- 1

System A

System B

Teleworking

Internet

Mobile

Computing

Database

Information

System C

Database

產品安全

系統安全

組織安全 Information Security Management Systems (ISMS)

6

合法使用者為企業機密資料的主要外洩管道

• 美國CSI (Computer Security Institute) 的調查數據

– 70% 內部合法使用者造成

– 39% 員工曾經將客戶資料寄出

– 52% 曾在離職時帶走工作資料

– 86% 習慣性將郵件轉寄他人

30.01.2011 7

管理系統 V.S. 資安技術機制

• 駭客入侵手法

– RSA 員工被誘導開啟惡意信件….

• 駭客能力

– Google, Apple, RSA, Sony…

• 單單依靠技術機制防禦並不足以防範

• 除了技術機制， ISO27001 標準重視

– 預防型的控制措施

– 多重層次的安全管控

– 從事故、事件中快速學習修正

2011 8

A6 A7

A8

控制措施之間的平衡

A9 A10

A8

A12 A14 A15

風險風險

ISO管理系統的核心架構 - PDCA

P D

C A

資訊

安全

品質

執行時間

10

管理系統的特徵(要件)

•Plan Do Check Act 執行架構

•管理責任與管理承諾

•提供管理資源

•人員能力、認知與訓練管理

•實施內稽、管審及監督

•預防、矯正措施

•持續改進

11

規劃

4.2.1

建立 ISMS

執行

4.2.2

實作與運作 ISMS

檢查

4.2.3

監視與審查 ISMS

行動

4.2.4

維持與改進 ISMS

ISO/IEC 27001 架構

ISO 管理系統剖析

ISO 20000-1

資訊服務管理系統

ISO 9001-2000

品質管理系統

ISO 27001

資訊安全管理系統

5.2 8 8.5 P-D-C-A

4.2 文件化要求

4.2.2 文件管制

4.2.3 紀錄管制

5. 管理階層責任

5.1 管理承諾

6. 資源管理

6.1 資源提供

6.2.2 能力、認知及訓練

7. 管理階層審查

8.5 改進

8.5.1 持續改進

8.5.2 矯正措施

8.5.2 預防措施

4.2.1-4.2.4 P-D-C-A

4.3 文件化要求

4.3.2 文件管制

4.3.3 紀錄管制

5. 管理階層責任

5.1 管理承諾

5.2 資源管理

5.2.1 資源提供

5.2.2 訓練、認知及能力

6. 內部稽核


8. ISMS 之改進

8.1 持續改進

8.2 矯正措施

8.3 預防措施

4.1- 4.4, 5 P-D-C-A

3.2 文件化要求

4.2.2 文件管制

4.2.3 紀錄管制

3.1 管理階層責任/承諾

3.1(e) 資源提供

3.2.2 能力、認知及訓練

3.1(g) 管理階層審查

4.4 持續改進

4.4.2(a) 矯正/預防措施

13

ISO 管理系統 DNA

ISO 9000

品質管理系統

ISO 20000-1

Ch 3-5

管理系統

Ch. 6-10

五大 IT服務

流程管理

ISO 27001

Ch 4-8

管理系統

A5-A15

133 項資安

控制措施

General

Management

System

Specific

Management

items

14

附錄 A (規定): 11 個領域, 39個控制目標, 133個控制措施

A.5 – 安全政策

A.6 –資訊安全的組織

A.7 – 資產管理

A.11 –存取控制

A.14 – 營運持續管理

A.13 –資訊安全事故管理

A.12 資訊系統獲取、

開發及維護

A.10 通訊與作業管理

A.9

實體與環境安全

A.8 人力資源安全

A.15 –遵循性

ISO27001 附錄 A

30.01.2011 16

ISO/IEC 27002: 歷史與發展

• November 2000: ISO/IEC 27002:2000

(BS 7799, Parf 1, 不變)

• Sept. 2002: BS 7799-2: 2002

• February 1995: BS 7799 Part 1

• February 1998: BS 7799 Part 2

• April 1999: BS 7799-1/-2:1999

• September 1993: „指導原則“

• January 1993:

產業工會團體

ISO/IEC 27002 update

•Jun. 2005: ISO/IEC 17799:2005

•Oct. 2005: ISO/IEC 27001: 2005

•July. 2007: ISO/IEC 27002:2005

ISO/IEC 17799 update

ISO/IEC 27001 issued

ISO 27001 -ISMS 11 個領域, 39個控制目標, 133個控制措施








開發及維護


A.9 實體與環境安全


A.15 –遵循性

4.2 建立與管理 ISMS

6 ISMS 內部稽核


8. ISMS 持續改進

4.3 文件化要求

5 管理責任 5.2 管理承諾 5.2 資源管理 5.2.2 教育

管理系統

資安特殊控制項

18

稽核案例分享- 離職員工


A.11 存取控制

A.13 資訊安全事故管理

30.01.2011 19

稽核案例分享- 水、電、空調故障



A.14 營運持續管

理

30.01.2011 20

稽核案例分享- 駭客入侵


A.11 存取控制


30.01.2011 21

結構化的管理: 人員管理應用參考

• 結構化的管理

– 聘僱前、聘僱期間、離職

• 聘僱前

2011 22

聘僱期間

2011 23

聘僱終止與變更

2011 24

存取控制

• A.11.2.1 使用者註冊控制措施

– 應有適當的正式使用者註冊與註銷註冊程序，以對所有資訊系統與服務核准和撤銷存取。

• A.11.2.3 使用者通行碼管理控制措施

– 應以正式的管理過程控制通行碼的配置。

• A.11.2.4 使用者存取權限的審查

– 管理階層應定期使用正式過程審查使用者的存取權限。

• A.11.3.1 通行碼的使用控制措施

– 應要求使用者遵照良好安全實務去選擇與使用通行碼。

• A.11.3.3 桌面淨空與螢幕淨空政策

– 應採用對紙本媒體與可移除式儲存媒體之桌面淨空政策，及資訊處理設施的螢幕淨空政策。

2011 25

個資法應辦事項整理

個資蒐集

個資處理

利用

停止

利用

刪除

接受當事人行使當事人權利

查詢閱覽補充更正制給複製本刪除

告知取得同意處理或利用前告知 (間接蒐集)

停止蒐集處理利用

15+15 日內 30+30 日內

採行適當資料檔案之安全措施(防止竊取、竄改、毀損、滅失、洩漏)

個人資料檔案安全維護計畫業務終止後個人資料處理方法

實施細則將規定

事業主管機關頒行

建立管理作業流程

1

4

3

6

7 8

2

§ 8 § 9

§ 11 § 10

個資遭竊、洩漏主動通知 § 12

§ 13 § 13

§ 11

§ 27

事項公開於電腦網站(公務) § 17

一、個人資料檔案名稱。

二、保有機關名稱及聯絡方式。

三、個人資料檔案保有之依據及特定目的。

四、個人資料之類別。

5

安全維護事項(施行細則中訂定)-1

• 1. 必要之組織

• 2. 界定個人資料之範圍

• 3. 隱私權影響評估

• 4. 個人資料蒐集、處理或利用之程序

• 5. 當事人行使權利之處理程序

• 6. 資料安全

• 7. 資料稽核

30.01.2011 27

安全維護事項(施行細則中訂定)-2

• 8. 人員管理及教育訓練

• 9. 設備管理

• 10. 紀錄與證據之保存

• 11. 緊急應變措施及通報

• 12. 改善建議措施

• 13. 其他安全維護事項

30.01.2011 28

隱私衝擊分析流程

業務流程分析資料流程分析

個人資料

清冊

環境分析資訊系統分析

個人檔案保護環境、系統及人員清冊

適法性檢查

Compliance checking 蒐集、處理、利用之適法性檢查

資安風險分析

Risk Assessment

選擇控制措施管理控制措施

技術控制措施

個資風險

處理計畫

個資盤點衝擊分析現況、環境分析

處理計畫

個資衝擊分析 Privacy Impact Analysis

個資蒐集利用現況調查

適法性衝擊評估

資安風險評鑑報告

選擇控制措施管理控制措施

技術控制措施

29

與”網站(Web application)”有關

1. 釣魚網頁

2. 在拍賣網站從事詐欺

3. 在遊戲網站盜取寶物

4. …

使用者電腦被植入木馬程式

在電子郵箱進行SPAM並散播病毒

企業、政府機關及學校等資料庫遭駭客侵入

Internet

eMail

server

Database

有可能洩露個人資料的地方與網路使用行為…

資訊安全與個人資料保護趨勢（一）

30

與”網站(Web application)”有關

1. 隱藏買家個人資料

2. 健全個資保護法令

確保交易金流安全

1. 網路安全教育宣導

2. 使用自然人憑證

Internet

eMail

server

Database

如何保護企業裡的個人資料與隱私

電子信箱惡意程式偵測

1. 使用動態密碼

2. 安全圖章及拍賣網外連結提醒

1. 資料使用紀錄

2. 定期稽查

資訊安全與個人資料保護趨勢（二）

網路型

DLP 主機型

DLP

DB

安全稽核系統

Level 7

過濾器

側錄

弱埽

弱埽

31

ISO27001 應用

• A.8.1.3 聘僱條款與條件控制措施

– 身為契約義務的一方，員工、承包者及第三方使用者應同意並簽署其聘僱契約之條款與條件，該契約應陳述其與組織對資訊安全的責任。

• A.8.2.2 資訊安全認知、教育及訓練控制措施

– 組織所有員工和相關的承包者及第三方使用者，均應接受與其工作職務相關，以及定期更新的組織政策與程序內容之適切認知訓練。

• A.10.7.1 可移除式媒體的管理

– 應有適當的程序以管理可移除式媒體。

2011 32

Monitoring監控應用 ISO27001

2011 33

資訊安全風險評鑑與資訊安全控管措施介紹

2011 34

規劃 - 建立 ISMS

a.界定資訊安全管理系統之範圍及界限

b.界定資訊安全管理系統之政策

c.界定組織的風險評鑑方法

d.識別各項風險

e.分析與評估各項風險

f.識別並評估風險處理之各項選項作法

g.選擇控制目標及控制措施以處理風險

h.取得管理階層對所提議剩餘風險的核准

i.取得管理階層對實作和操作資訊安全管理系統的授權

風險處理

風險評鑑

風險管理過程

j.擬定一份適用性聲明書

參考 ( ISO/IEC 27001:2005 4.2.1.a~j, 10 步驟 )

風險評鑑過程







• 風險評鑑方法

− 可比較(Comparable)

− 可再產生(Reproducible)

• 風險接受的準則(criteria)

• 風險可接受的等級(Acceptable levels of risk)

風險評鑑過程




1. 識別風險

2.風險值/評等

3.保證程度




什麼是風險 ?

脆弱點?

威脅?

衝擊? (直接/間接)

../../../../../../Documents and Settings/Daniel CC Lee.RWTUV/Local Settings/Temp/暫時目錄 5 用於 A17242-v2r3 - Published.zip/A17242-v2r3 - Published/Course Materials/Visual Aid - Presentation/Day 1/A17242-presentation 2 - vulnerabilities.PPT

風險描述的全貌

• 三要素

– 資產

– 威脅

– 脆弱點

• 兩參數

– 衝擊

– 可能性

脆弱點/ 威脅

• 脆弱點 (Vulnerabilities) – 與資產相關的脆弱點包括實體排列、組織、程序、人員、管理、

行政、硬體、軟體或資訊的弱點. Vulnerabilities associated with assets include weakness in physical layout, organization, procedures, personnel, management, administration, hardware, software or information.

– 它們可能會被造成IT 系統或營運目標傷害的威脅所利用。脆弱性本身不會造成傷害。 They may be exploit by a threat that may cause harm to the IT system or business objectives. A vulnerability in itself does not cause harm;

• 威脅 (Threat) – 威脅有可能發生不想要的事故而對系統或組織及其資產造成傷害

。 A threat has the potential to cause an unwanted incident which may result in harm to a system or organization and its assets.

ISO/IEC TR 13335 page 6, 8.2

ISO/IEC TR 13335 page 8, 8.3

風險

• 風險是某威脅將利用脆弱點直接或間接造成組織一個或一群資產受到漏失或損害(衝擊)的可能性。 Risk is

the potential that a given threat exploit

vulnerabilities to cause loss or damage (impact) to

an asset or group of assets, and hence directly or

indirectly to the organization.

Ref: ISO/IEC TR 13335, page 8

風險識別公式(example)

• 威脅(動詞，即將造成的傷害)

– 天災火災水災地震 SARS

– 人禍（動機，選擇性)

• 脆弱點(形容詞)

– 不足、不夠、不強

– 本身不會造成傷害

• 風險= 衝擊(資產,威脅,脆弱點) X 可能性

評鑑風險 – 可能性(likelihood)

• 範例 - 評估可能性的

可能性說明

很低事情幾乎很少發生

低事情不常發生，也許三年發生一次

普通事情不定期會發生，也許每年發生一次

高事情可預期會發生，一年會發生幾次

很高事情可合理預期會發生，每月經常發生

評鑑風險 – 衝擊(impact)

• 範例 - 評估衝擊的大小 (導致組織衝擊)

潛在組織衝擊

組織運作和財務健康

法令規定與義務

名聲與商譽個人資訊

低很少或沒有破壞 / 財物損失

沒有違反法令規定和義務

在組織內有很少或有限的困窘

沒有痛苦或困窘產生

普通不利於組織效率 / 財務健康

法令規定和義務上有技術缺失

對於客戶或股東有負面衝擊

對個人有些微的痛苦或困窘

高造成嚴重破壞 / 財物損失

嚴重違反法令規定和義務

對於客戶或股東有嚴重的負面衝擊

嚴重的痛苦或困窘

很高可能導致破產可能導致組織關閉

威脅到組織的未來

廣泛且嚴重的痛苦或困窘

評鑑風險 – 風險值 (risk value)

• 範例 : 風險值 = 可能性 * 衝擊 (risk value = likelihood x impact)

可能性很低低普通高很高

衝擊

低 1 3 5 7 9

普通 3 9 15 21 27

高 5 15 25 35 45

很高 7 21 35 49 63

風險評鑑報告

辨別風險: a. 資產 / 威脅 / 脆弱點

b. 衝擊 (風險) 評估風險: a. 估計程度

b. 決定可接受準則

風險處理 a. 採用適當的控制措施

b. 符合風險可接受準則

c. 避免/轉移風險

地點

類別.

資產

數量

威脅

脆弱點

可能性

衝擊值

風險值

選擇控制措施

研發部門

系統

檔案伺服器

(windows

2000 伺服器)

1 惡意程式,

濫用, 人員失誤, 未授權使用, ..

系統脆弱點 5 5 25 A.9.2.4

A.10.1.1~A.10.1.4

A.10.4.1~A.10.4.2

A.11.x.x

支援文件 a. 資產清冊

b. … 支持文件 a. 風險評鑑程序

b. …

風險處理過程







1.選擇控制措施

2.風險處理

3.剩餘風險

風險處理

• 風險處理計畫的可能內容:

1. 處理風險所選擇的方法

2. 採用何種控制措施

3. 提出何種額外的控制措施

4. 執行所提出控制措施的時程規劃

5. 辨別風險可接受的等級(保證等級)

• 決定風險可接受的等級，比如其它行動皆不可行，或成本太高

• 轉移風險

• 降低風險到可接受的等級

威脅名稱資產對策控制措施/

預防措施

資源成本執行時程

較弱的系統績效

整個網路基礎建設

從技術和營運面提升效能計畫

A.10.3.1 1. 網路…

2. …

$xxxx

階段 1:…

階段 2:…

使用者犯錯

顧客資料

Help Desk及訓練

A.8.2.2 1. 訓練..

2. …

$xxxx

風險處理計畫的範例

ISO27001 原理及步驟

2011 49

持續管理循環

發佈政策程序、實行監控檢查、持續改善

實施風險評鑑(Risk Assessment)

透過風險評鑑了解組織的風險，實施控制措施(技術、管理)來降低風險

實施資產盤點

資訊資產包括軟體、硬體、資料、人員、服務等資產

應用案例

• 透過資產盤點及風險評鑑後發現

– 地點: A3 服務機房

– 資產名稱: CISCO 3960 Switch

– Threat: 設備故障

– Vulnerability: 單點失效無備援設備

– Likelihood: 中(兩年可能發生一次)

– Impact: A3 網路失能，目前與廠商契約為8 小時完修，最大衝擊值為網路中斷 8 小時。

• 風險處理方式?

2011 50

ISO 27001 -ISMS 11 個領域, 39個控制目標, 133個控制措施








開發及維護




A.15 –遵循性

4.2 建立與管理 ISMS

6 ISMS 內部稽核


8. ISMS 持續改進

4.3 文件化要求

5 管理責任 5.2 管理承諾 5.2 資源管理 5.2.2 教育

管理系統

資安特殊控制項

51

針對風險進行控管項目應用

• 購買設備、實作 HA 或 Standby 安全管控

• A.9.2.4 設備維護控制措施

– 應正確地維護設備，以確保其持續的可用性與完整性。

• A.10.1.2 變更管理控制措施

– 對資訊處理設施與系統的變更應受控制。

• A.10.10.2 監控系統的使用控制措施

– 應建立資訊處理設施使用的監視程序，並定期審

– 查監視活動的結果。

• 實施風險再評鑑，仍有部分風險? 兩台一起失效? 接受?

• A.14.1.3 發展與實作包括資訊安全的持續計畫

– 應發展與實作各項計畫，當重要營運過程中斷或失效後，可藉以維持或恢復運作，並確保資訊的可用性在要求時間內達到所要求等級。

2011 52

風險處理方式 (應用)

• 4.2.2 實作與運作ISMS

• 組織應執行下列事項：

– (a) 為管理資訊安全風險，架構一項風險處理計畫，以識別適當管理措施、資源、責任及優先順序。

– (b) 實作風險處理計畫，以達成所識別的各項控制目標，其中包括賦予資金的考量以及角色與責任的配置。

– (c) 實作第4.2.1 節(g)所選擇的控制措施，以符合控制目標。

– (d) 界定如何量測所選擇的控制措施或控制措施群的有效性，並規定如何使用這些量測去評鑑控制措施的有效性，以產生可比較

– (e) 實作訓練與認知計畫。

2011 53

風險處理

• 風險處理計畫的可能內容:

1. 處理風險所選擇的方法

2. 採用何種控制措施

3. 提出何種額外的控制措施

4. 執行所提出控制措施的時程規劃

5. 辨別風險可接受的等級(保證等級)

• 決定風險可接受的等級，比如其它行動皆不可行，或成本太高

• 轉移風險

• 降低風險到可接受的等級

威脅名稱資產對策控制措施/

預防措施

資源成本執行時程

較弱的系統績效

整個網路基礎建設

從技術和營運面提升效能計畫

A.10.3.1 1. 網路…

2. …

$xxxx

階段 1:…

階段 2:…

使用者犯錯

顧客資料

Help Desk及訓練

A.8.2.2 1. 訓練..

2. …

$xxxx

風險處理計畫的範例

機房管理與國際機房標準

2011 55

A.7 資產管理

A.7.1 資產責任 (3)

A.7.2 資訊分類 (2)

1. 資產清冊

2. 資產的擁有權

3. 資產之可被接受的使用

1. 分類指導綱要

2. 資訊標示與處置 Need to protect?

Yes No

Rec

epti

on

Server room

IT and Development

Meeting room

Reception area

Kitchen / Cafe Finance Meeting room

Management

Sales / Marketing

Customer service / Logistics

Doo

r


A.9.1 安全區域 (6)

A.9.2 設備安全 (7)

ISO27001 附錄 A , A9 實體與環境安全管理

2011 58

2011 59


資訊系統 A

作業環境

系統B

開發環境

A.10.1 作業之程序與責任 (4)

A.10.3系統規劃與驗收 (2)

A.10.4防範惡意碼與行動碼 (2)

A.10.5 備份 (1)

A.10.7媒體的處置 (4)

A.10.10 監視 (6)

A.10.6 網路安全管理 (2)

系統 C

外部設備

A.10.8資訊交換 (5)

資料庫

資料庫

A.10.2 第三方服務交付管理 (3)

A.10.9 電子商務服務 (3)

機房管理問題

• 耗能問題

2011 61

Data Center Standards

• BICSI,

• BICSI 002-2011,

• Data Center Design and

Implementation Best

Practices

2011 62

ANSI/BICSI 002-2011, Data Center Design and

Implementation Best Practices

• 1 Introduction

2 Scope

3 References

4 Definitions, Acronyms,

Abbreviations, And Units Of

Measurement *

5 Space Planning

6 Site Selection

7 Architectural

8 Structural

9 Electrical Systems *

10 Mechanical

11 Fire Protection

12 Security

13 Building Automation

Systems

14 Telecommunications *

15 Information Technology

16 Commissioning

17 Data Center Maintenance

Annex A: Design Process

(Informative)

Annex B: Reliability And

Availability (Informative)

Annex C: Referenced

Documents (Informative)

2011 63

TIA 942

• TIA, Telecommunications

Industry Association

• Telecommunications

Infrastructure Standard for

Data Center

2011 64

機房管理- 功能區域規劃

2011 65

Tier of Data Center

• Tier 1 – basic data center

– no redundancy

• Tier 2 – redundant components

– Single distribution path with redundant components

• Tier 3 – concurrently maintainable

– Multiple distribution paths with only one active

• Tier 4 – fault tolerant

– Multiple active distribution paths

2011 66

Data Center Certification

2011 67

ePI, Singapore TUViT, Germany

http://www.epi-ap.com/index.php

© TÜ V Informationstechnik GmbH – Member of TÜ V

NORD Group

Requirements subdivided into 8 fields

Mission critical

Infrastructures

• Comprehensive

• Complete

• In-depth analysis


NORD Group

TSI Katalog V3.0: 157 Requirements

ENV (10) CON (27) FIR (12) SEC (21)

POW (37) ACV (22) ORG (13) DOC (15)

© TÜ V Informationstechnik GmbH – Member of TÜ V NORD Group

Validation & Certification Process

Validation

report

Site

inspection Document inspection

Work-

shop

Project decision

Site Visit

Introduction to TSI

Important requirem.

Document demands

Project

Meeting possible 2-5 auditors

1-2 days

Supplementary

Audit in case of

stipulations

Com-

ments

© TÜ V Informationstechnik GmbH – Member of

TÜ V NORD Group

Document Demands

Security concept

Fire protection concept

Alarm lists

Floor plans

Crossection plans

Surrounding map

Projections on floor plans regarding

• cable routes

• security zones

• intrusion detection elements

• access controls

• CCTV

• sensors, e.g. of leakage system

Schematics of

• Access Control System

• Intrusion Detection System

• Fire Alarm System

• Fire Extinguishing System

• Electricity system

• HVAC system

Number plate information

of all important components

Like transformer, UPS,

Battery, EPU, chiller, etc.

Energy balance

Cooling balance


NORD Group

TSI pre-check / certification

DESIGN

PHASE IN OPERATION

PRE-CHECK CERTIFICATION

CONSTRUCTION

PHASE

其他機房認證

• PUE, Power Usage Effectiveness 能源使用效率

– 總用電量 / IT設備用電量

• 能源與環境先導設計（Leadership in Energy and

Environmental Design，LEED）美國綠建築協會

– 基本的認證、銀級認證、黃金級認證，白金級認證

2011 73

驗證範圍與驗證過程介紹

2011 74

現行 ISO27001 規定

• 1、各電信事業應於每年9月底前，依其自我評估作業編號之資通安全等級，提報下列資料至本會：

• （1）附件一、附件二、附件五及附件六。

• （2）依第八點執行內部稽核，勾選檢查項目「否」者，頇提報附件七及附件八。

• （3）依第八點執行內部稽核，勾選檢查項目「不適用」者，頇提報附件九及附件十。

• 2、電信事業經本會認可之資通安全管理機制驗證機構進行外部驗證，並取得ISO/IEC 27001證明者，僅頇提報附件六至附件八及附件十，得免提報附件五及附件九，惟頇檢附該驗證證書及驗證報告等相關資料影本。

June 2009 75

ISO27011 適用規範

• 赴大陸投資

– 投資電信業（第二類電信事業之一般業務）受理審查原則如下：

– (一) 開放赴大陸投資第二類電信事業一般業務，現階段適用範圍為大陸地區所稱之「存儲轉發業務、信息服務業務、在線數據處理及交易處理業務、因特網數據中心業務及因特網接入服務業務」。

– (二) 赴大陸投資之臺灣業者應檢具已取得規範電信事業資訊安全管理系統（ISMS）之ISO 27011認證之證明文件。

– (三) 涉及國人個人資料之事項或業務部門、業務功能及系統等，例如電信業者之用戶資料庫、客服系統／客服中心、帳務系統/帳務中心等，均限制不得移往大陸設置營運或於當地投資、合作。

June 2009 Autho

r:

Philip

Ku,

Introd

uciton

to

TUV

NOR

D IT

servic

es

76


• 海纜業者

– 電信事業資訊通訊安全管理作業要點第五點第二項，將修正為「電信事業依固定通信業務管理規則第七十條第一項第二款或第七十二條之一，建置兩岸直接海纜通信網路者，應於申請通信網路技術審驗前，向本會認可之資通安全管理機制驗證機構，就核准之作業範圍申請驗證，並取得符合ISO/IEC 27001標準及電信事業資通安全管理手冊之ISO/IEC 27011增項稽核表驗證合格證明。」

June 2009 Autho

r:

Philip

Ku,

Introd

uciton

to

TUV

NOR

D IT

servic

es

77


• 管理要點第五條

– 電信事業申請在大陸地區投資相當於國內第二類電信事業一般業務前，應將其資通安全管理之實施作業範圍報經本會核准後，向本會認可之資通安全管理機制驗證機構，就核准之作業範圍申請驗證，並取得符合ISO/IEC 27001標準及電信事業資通安全管理手冊之ISO/IEC 27011增項稽核表驗證合格證明。

June 2009 Autho

r:

Philip

Ku,

Introd

uciton

to

TUV

NOR

D IT

servic

es

78

ISMS Scope

驗證範圍的決定

驗證範圍

企業本身

顧問公司/導入人員驗證公司

事業合作 Partners

客戶 $$, Resources

$$, Resources

Image, Marketing, Mgmt

$$, Compliance

Trust, Mgmt

Trust

主管機關

範圍大小

客戶管理產品/服務管理帳務處理

機房管理

業務行銷

設備管理

I.T. MIS 財務會計

後勤支援

行政管理

人事管理

郵遞/貨運

委外開發維運合約

客戶需求

核心業務過程

業務開發

支援管理過程

外部支援過程客戶滿意

設備供應商專線提供

外部顧問

程式、系統開發

ISO27001/ISO27011 外部稽核活動介紹

證書取得

證書持續

Pre-Audit

預評

階段一稽核

Stage 1

Audit

階段二稽核

Stage 2

Audit

稽核計畫 Stage 1

稽核報告

Stage 2

稽核報告 1 2 3

稽核活動的綜述

開始稽核

- 指派稽核小組長 - 確定稽核目標、範圍、標準

- 決定稽核可行性 - 選擇稽核小組 - 建立和被稽核者的初步合約

執行文件審查

- 審查相關管理系統文件，包含紀錄，即決定其適用的標準

準備現場稽核活動

- 準備稽核計畫 - 指派稽核小組工作 - 準備工作文件

執行現場稽核活動

- 召開起始會議 - 稽核時的溝通 - 引導者和觀察者的角色和責任 - 收集和驗證資訊 - 產生稽核發現點 - 準備稽核結論 - 召開結案會議

準備、認可、及寄發稽核報告

- 準備稽核報告 - 認可和寄發稽核報告

完成稽核執行稽核追蹤

Ref: ISO 19011:2000, page 10

第一階段稽核第二階段稽核

收集資訊的方法

面談

主要幹部與一般會議

審查文件

程序與計畫

了解管理系統的

有效性

觀察

特定區域和活動的現場參觀

資料與紀錄

監視紀錄

客觀證據

資訊的來源

收集適當的

樣本和驗證

根據稽核標準

來評估

審查

稽核檢論

稽核證據

稽核發現點

ISMS 驗證過程

步驟 1 步驟 2 步驟 3

步驟 7 步驟 6

步驟 5 步驟 4

步驟 8+

討論 ISMS

的範圍審查合約

同意

服務規定

規劃

基本資訊審查

第一階段稽核

(包含文件審查)

第二階段稽核

現場稽核

發行

ISO 27001

證書

追查稽核

(每年)

3 年更新循環

Who we are…

June 2009 Author: Philip Ku, Introduciton to TUV NORD IT services 85

Asia Pacific – IT business dept.

謝謝

谢谢

Thank you

Vielen Dank

June 2009 Author: Philip Ku, Introduciton to TUV NORD IT services 86

Asia Pacific – IT business dept.