敬請註冊 ... !    登入
關於本協會
登入
軟體品質資源專區
主選單
最新討論文章
討論區主頁
   資訊安全管理
     ISMS控制措施須融入營運過程中
無發表權

樹狀顯示 | 舊的在前 前一個主題 | 下一個主題 | 頁尾
發表者 討論內容
tyrone
發表時間: 2014-07-01 22:05
網站管理員
註冊日: 2003-04-19
來自: CSQA
發表數: 342
ISMS控制措施須融入營運過程中
ISMS控制措施融入組織營運過程:YouTube視訊~~
ISO/IEC 27001:2013-Business Processes與ISMS整合之實踐


----------------
引文:

凡所有相皆是虛妄。見諸相非相。即見如來。

林泰龍
◎軟體品質協會 理事
◎經濟部標準檢驗局資訊及通信國家標準技術委員會(TC21/SC3資訊軟體分組委員會)委員
Youtube Channel: http://www.youtube.com/user/tyrone9304

tyrone
發表時間: 2014-06-15 22:47
網站管理員
註冊日: 2003-04-19
來自: CSQA
發表數: 342
ISMS控制措施須融入營運過程中
組織在盤點資產及資訊資產時,營運過程及活動(Business processes and activities)屬於主要資產,也就是一定要識別的資產(否則的話一直強調ISMS應對組織營運目標之達成的助益,就成為空話)。而ISO 27001:2013年版本中,特別強調了資訊安全管理系統要求事項要與組織營運過程結合。
在ISO/IEC 27002:2013(Information technology − Security techniques − Code of practice for information security controls)中亦有一段話,也值得注意:"......each organization applying this standard should identify applicable controls, how important these are and their application to individual business processes.(適用本標準之組織,宜識別適用之控制措施、其重要性及對各別營運過程的應用)。很顯然,一個組織在SoA中填了適用全部的114項控制措施,很可能也必須交待,這些控制措施都適用到那些營運過程上。
ISO的管理系統標準(MSS),均採用過程導向,從ISO 27001:2005中也可以明顯看到這個要求,這個做法意味著,組織要把會影響營運目標達成之營運過程全部列出來,包含過程中的活動、工作(這個部分,如果組織已經導入ISO 9001可能會比較容易,但不見得所有組織的QMS範圍與ISMS範圍重疊)。
所有適用之資訊安全控制措施的組件(活動、工作、工作指導書、表單)進一步地加入影響組織營運目標達成之營運過程中,成為該項營運過程的一部分,這個工作其實很繁瑣,但也唯有如此,才能確保這些控制措施能真正落實、能夠量測、績效能夠評量、同時,資安也比較有東西可以稽核....


----------------
引文:

凡所有相皆是虛妄。見諸相非相。即見如來。

林泰龍
◎軟體品質協會 理事
◎經濟部標準檢驗局資訊及通信國家標準技術委員會(TC21/SC3資訊軟體分組委員會)委員
Youtube Channel: http://www.youtube.com/user/tyrone9304

樹狀顯示 | 舊的在前 前一個主題 | 下一個主題 | 頁首

無發表權
 
-=協會通訊地址:330047 桃園市桃園區大林路100號6樓 =-
電話:(03) 367-8567 電子信箱:register@csqa-tw.org.tw=-
-=本網著作權為中華民國資訊軟體品質協會所有,禁止未經授權轉貼節錄=-
Powered by XOOPS , Twe76.net