敬請註冊 ... !    登入
關於本協會
登入
軟體品質資源專區
主選單
最新討論文章
討論區主頁
   資訊安全管理
     ISO 27001:2013 Annex A 的運用
無發表權

全部展開 前一個主題 | 下一個主題
發表者 討論內容
tyrone
發表時間: 2014-02-09 15:21
網站管理員
註冊日: 2003-04-19
來自: CSQA
發表數: 342
ISO 27001:2013 Annex A 的運用
ISO 27001:2013的Annex A與2005年版不同之處在於,雖然在2013依然Annex A下標示(normative)[意指其屬規範],但其原因應該是他與6.1.3綁在一起,而標準本文的4-10節為requirements,所以Annex A也被當成"規範"。但其用法,應該依據27001:2013標準6.1.3節內容揭示的步驟來使用,這個很重要,否則,就會跟2005年版一樣,不分青紅皂白,做了一缸子的控制措施(在2005年版中,能夠豁免的控制措施少之又少。這個問題,一方面也是因為2005年版中的資訊安全風險管理過程,是從資訊資產的識別開始做起,而不是從組織的全貌(SWOT)入手),整個組織花了很多錢,搞得人仰馬翻,但對於事業的績效沒有幫助。


----------------
引文:

凡所有相皆是虛妄。見諸相非相。即見如來。

林泰龍
◎軟體品質協會 理事
◎經濟部標準檢驗局資訊及通信國家標準技術委員會(TC21/SC3資訊軟體分組委員會)委員
Youtube Channel: http://www.youtube.com/user/tyrone9304

全部展開 前一個主題 | 下一個主題

主旨: 發表者 日期
 » ISO 27001:2013 Annex A 的運用 tyrone 2014-02-09 15:21

無發表權
 
-=協會通訊地址:330047 桃園市桃園區大林路100號6樓 =-
電話:(03) 367-8567 電子信箱:register@csqa-tw.org.tw=-
-=本網著作權為中華民國資訊軟體品質協會所有,禁止未經授權轉貼節錄=-
Powered by XOOPS , Twe76.net