為因應資訊時代潛在資訊安全風險的防護措施,ISO 27001:2013 資訊安全管理系統(Information Security Management System,ISMS)成了許多組織建立資訊安全管理系統的最佳選項。
在導入 ISO 27001 前,為建立符合標準的資訊安全管理系統,必須先進行落差分析工作,除了是要檢視目前的作業流程,更是針對資訊系統檢視弱點,以瞭解實際狀況與日後欲達成的目標差距多少。
在 ISO 27001 的導入前製作業當中,重要的工作有三項:定義導入範圍、進行落差分析以及實施教育訓練。
1. 定義導入範圍:範圍可以說是一個組織向大眾告知服務內容的主項目,以此為第一步也是幫助組織在進行規劃前有初步的概念,藉此協助組織清楚知道在進行落差分析時可以提出和刪去的分析項目。
2. 進行落差分析:此階段可分成「技術面」和「管理面」兩個部份。
技術面會分成四個步驟執行,風險評估(嘗試破解系統,最後提出安全漏洞報告)弱點修復(找出漏洞和弱點,釐清問題並由負責人處理)安全防護(針對屢次發生的漏洞額外加強防護)風險屢勘(修復完前述幾點後,請專業團隊測試,比對先前測試結果);就管理面而言,則需透過資產清查(針對範圍內的所有資產,逐一清查列冊)和風險評鑑(完成資產清查後,
需對每項資產評估其風險值)進行落差分析。
3. 實施教育訓練:舉辦內部訓練,提升同仁資安意識與技術能力。
參考資料:http://www.cc.ntu.edu.tw/chin…/epaper/0007/20081220_7002.htm
免責聲明:
轉載此文是出於傳遞更多訊息為目的,若有來源標註錯誤或侵犯了您的合法權益,請作者持權屬證明與本網聯繫,我們將及時更正、刪除,謝謝。