討論區主頁 資訊安全管理 ISMS控制措施須融入營運過程中 | 無發表權 |
樹狀顯示 | 舊的在前 | 前一個主題 | 下一個主題 | 頁尾 |
發表者 | 討論內容 |
---|---|
tyrone | 發表時間: 2014-07-01 22:05 |
網站管理員 註冊日: 2003-04-19 來自: CSQA 發表數: 342 |
ISMS控制措施須融入營運過程中 ISMS控制措施融入組織營運過程:YouTube視訊~~
ISO/IEC 27001:2013-Business Processes與ISMS整合之實踐
凡所有相皆是虛妄。見諸相非相。即見如來。 |
tyrone | 發表時間: 2014-06-15 22:47 |
網站管理員 註冊日: 2003-04-19 來自: CSQA 發表數: 342 |
ISMS控制措施須融入營運過程中 組織在盤點資產及資訊資產時,營運過程及活動(Business processes and activities)屬於主要資產,也就是一定要識別的資產(否則的話一直強調ISMS應對組織營運目標之達成的助益,就成為空話)。而ISO 27001:2013年版本中,特別強調了資訊安全管理系統要求事項要與組織營運過程結合。
在ISO/IEC 27002:2013(Information technology − Security techniques − Code of practice for information security controls)中亦有一段話,也值得注意:"......each organization applying this standard should identify applicable controls, how important these are and their application to individual business processes.(適用本標準之組織,宜識別適用之控制措施、其重要性及對各別營運過程的應用)。很顯然,一個組織在SoA中填了適用全部的114項控制措施,很可能也必須交待,這些控制措施都適用到那些營運過程上。 ISO的管理系統標準(MSS),均採用過程導向,從ISO 27001:2005中也可以明顯看到這個要求,這個做法意味著,組織要把會影響營運目標達成之營運過程全部列出來,包含過程中的活動、工作(這個部分,如果組織已經導入ISO 9001可能會比較容易,但不見得所有組織的QMS範圍與ISMS範圍重疊)。 所有適用之資訊安全控制措施的組件(活動、工作、工作指導書、表單)進一步地加入影響組織營運目標達成之營運過程中,成為該項營運過程的一部分,這個工作其實很繁瑣,但也唯有如此,才能確保這些控制措施能真正落實、能夠量測、績效能夠評量、同時,資安也比較有東西可以稽核....
凡所有相皆是虛妄。見諸相非相。即見如來。 |
樹狀顯示 | 舊的在前 | 前一個主題 | 下一個主題 | 頁首 |
無發表權 | |