iso27001顧問輔導內部稽核
TRANSCRIPT
文/萬弘資訊顧問有限公司 周世洪顧問 [email protected]
萬弘資訊
ISO 27001顧問輔導內部稽核
連絡人:萬弘資訊顧問周世洪先生
Email:[email protected]
Web:http://www.wanhung.com.tw
Lineid:wanhung1911
1
文/萬弘資訊顧問有限公司 周世洪顧問 [email protected]
項目:
「稽核計畫」的排定與執行
矯正措施的進度跟催
於資訊安全管理審查會議說明「稽核結果」、「矯正措施」的跟催狀況
稽核人員的執掌
3
文/萬弘資訊顧問有限公司 周世洪顧問 [email protected]
項目:
ISO 27000 (名詞定義)
ISO 27001:2013 (可參考ISO 27002) 本文章節4~10,以及附錄控制項A.5~A.18
CNS 27001:2013
適用之法令法規 例:包括產業相關法規、營業秘密法、個人資料保護法、著作權法…等。
「適用」之合約
內部制定之資安相關規範
稽核依據
4
文/萬弘資訊顧問有限公司 周世洪顧問 [email protected]
稽核目標
目標:
確保受稽核範圍遵循所訂定之資訊安全管理規範、適用法規與合約並將相關管控措施有效落實,若有未落實之處應予以提出並加以改善。
5
文/萬弘資訊顧問有限公司 周世洪顧問 [email protected]
稽核方法與技巧
7
• 方法 (面談+觀察)
–找到適當的人提問
–提問方式須讓對方清楚了解
–給予受稽方時間回答
–維持公正
• 技巧
–眼觀四方、耳聽八方
–查文件、抽紀錄、確認結果
文/萬弘資訊顧問有限公司 周世洪顧問 [email protected] 10
• 現況訪談
– 瞭解與ISMS標準要求的差異程度。
• 管理制度建構
– 建置資安管理文件。
• 風險管理
– 風險評鑑。
– 風險處理。
• 制度施行與檢核
– 管理制度頒行並進行稽核。
• 改善作業
– 矯正不符合事項以達到改善之效果。
現況訪談作業
風險管理作業
管理制度建構作業
制度施行與檢核作業
改善作業
制度施行與檢核作業
文/萬弘資訊顧問有限公司 周世洪顧問 [email protected]
• 需有一書面程序界定: – 規劃、執行、報告結果與維護紀錄之責任與要求 – 稽核準則、範圍、頻率及方法
• 稽核員之遴選與稽核之執行,應確保 –客觀性、公正性 –不應稽核自身工作 –矯正措施之查證與結果之報告 –受稽區域負責之管理階層,應確保所採行的措施無不當延誤
–跟催活動應包括所採行措施之查證與查證結果之報告
內部稽核
文/萬弘資訊顧問有限公司 周世洪顧問 [email protected] 12
• 資訊安全政策、目標、考慮之內外議題、範圍之決定
• 風險評鑑制定準則、比較準則 • 風險評鑑過程/風險處理過程 • 風險評鑑結果、風險處理結果 • 確保所有執行過程有效之相關紀錄與資料 • 內部稽核的活動與規劃 • 不符合事項之矯正活動與追蹤 • 管理審查會議
內部稽核-標準本文
文/萬弘資訊顧問有限公司 周世洪顧問 [email protected] 13
內部稽核-附錄控制項(一)
• A.5資訊安全政策 • A.6 資訊安全組織 • A.7 人力資源安全 • A.8 資產管理 • A.9 存取控制 • A.10密碼學 • A.11實體與環境安全 • A.12作業安全
文/萬弘資訊顧問有限公司 周世洪顧問 [email protected]
A.13通訊安全 A.14系統獲取、開發與維護 A.15 供應商關係 A.16 資安事故管理 A.17 資安營運持續管理 A.18 遵循性
內部稽核-附錄控制項(二)
14
完整資訊提供
文/萬弘資訊顧問有限公司 周世洪顧問 [email protected] 文/萬弘資訊顧問有限公司 周世洪顧問 [email protected]
資訊安全顧問服務輔導(萬弘資訊首頁)
ISO27001:2013資安管理制度顧問輔導(資安顧問服務)
資訊安全風險管理顧問服務(資安顧問服務)
資訊安全風險管理與營運持續管理(資安顧問服務)
資訊安全營運持續管理(資安顧問服務)
資訊安全服務與文章
文/萬弘資訊顧問有限公司 周世洪顧問 [email protected] 文/萬弘資訊顧問有限公司 周世洪顧問 [email protected]
ISO27001pdf(資安顧問)
ISO27001:2013資安管理制度相關文章
ISO 27001:2013資訊安管理系統新版控制項介紹(資安顧問簡述)
資訊安全管理系統ISO 27001:2013本文簡介 (資安顧問簡述)
ISO 27001:2005與ISO 27001:2013重點差異說明pdf (資安顧問簡述)
ISO 27001:2013資訊安全管理系統(資安顧問簡述)
資訊安全服務與文章
文/萬弘資訊顧問有限公司 周世洪顧問 [email protected] 文/萬弘資訊顧問有限公司 周世洪顧問 [email protected]
個資委外監督稽核查核服務(資安顧問服務)
網路個資刪除移除服務與諮詢(資安顧問服務)
個資法管理制度顧問輔導(資安顧問服務)
個資風險管理評估服務(資安顧問服務)
個資法顧問個資盤點 (Dropbox pdf)
個資法顧問供應商監督(Dropbox pdf)
個資保護服務與文章
文/萬弘資訊顧問有限公司 周世洪顧問 [email protected] 文/萬弘資訊顧問有限公司 周世洪顧問 [email protected]
建立產生線上QR code製作
實用資訊分享(Android app、雲端服務、小工具)
密碼保護
實用資訊提供
文/萬弘資訊顧問有限公司 周世洪顧問 [email protected] 文/萬弘資訊顧問有限公司 周世洪顧問 [email protected]
資訊安全案例(Virus shield)資安顧問提供
最大風險說明與實務經驗分享(資安顧問觀點)
資訊安全例例_申請網上支付 (資安顧問案例)
個資管理制度與品牌(資安顧問案例)
資訊安全案例分享 (資安顧問實戰經驗分享)
文/萬弘資訊顧問有限公司 周世洪顧問 [email protected] 文/萬弘資訊顧問有限公司 周世洪顧問 [email protected]
資訊安全範例分享(資安顧問提供)
whoscall個資外洩與追蹤(資安顧問案例)
資訊安全內部稽核案例(資安顧問服務)
資訊安全內部稽核實務(備份)_資安顧問觀點
資訊安全案例分享 (資安顧問實戰經驗分享)
文/萬弘資訊顧問有限公司 周世洪顧問 [email protected] 文/萬弘資訊顧問有限公司 周世洪顧問 [email protected]
ISO 27001:2013資安管理制度建置實務
ISO 27001:2013轉版教育訓練
相關教育訓練