欢迎来到天天文库
浏览记录
ID:33781730
大小:468.00 KB
页数:33页
时间:2019-03-01
《4w_I-DC-4014_稽核工作底稿doc》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、世新大學稽核工作底稿文件編號:DC-4014版本:1.1機密等級:£公開R校內£敏感£機密紀錄編號:稽核工作底稿稽核範圍:稽核執行期間:年月日~年月日出具稽核報告:年月日章節敘述符合度說明與結果非常尚屬不盡不適用4資訊安全管理系統4.1通則 4.1.1組織應建立、維持並持續改善一個文件化的資訊安全管理系統,該文件化的資訊安全管理系統應涵蓋組織整體之作業及風險。4.2建立及管理資訊安全管理系統目標 4.2.1建立資訊安全管理系統 組織應執行下列作業: a)依照組織的業務特性、位置、資產及技術來定義資訊安全管理系統的範圍與範圍之界線; b)依照組織的業務特性、
2、位置、資產及技術來制定資訊安全政策; 1)包含建立一套有明確目標、總體指導原則與行動規範的資訊安全架構£永久保存R定期保存5年※使用本表單時,請先確認表單版次是否已更新第33頁,共33頁世新大學稽核工作底稿文件編號:DC-4014版本:1.1機密等級:£公開R校內£敏感£機密紀錄編號: 2)需考量業務需求、法律規範與組織相關合約中之條款 3)需符合風險管理相關結果 4)需建立風險評估之標準 5)需由管理階層核准 c)制訂組織之風險評鑑程序; 1)需辨識出適合資訊安全管理制度之風險管理方法與業務資訊安全、法律與相關標準之要求 2)發展組織辨識可接受風險之標準並辨識出組織可接受
3、風險值 d)辨識風險; 1)辨識範圍內之資訊資產與其權責單位/人員 2)辨識資訊資產所面臨之威脅 3)辨識資訊資產可能為威脅所利用之弱點 4)從機密性、完整性與可用性辨別出失去資訊資產之衝擊 e)分析與評估風險 1)從機密性、完整性與可用性考量資訊資產損失對組織之衝擊 2)評估安全事件中影響之資訊資產之威脅、弱點、衝擊與現有控制 £永久保存R定期保存5年※使用本表單時,請先確認表單版次是否已更新第33頁,共33頁世新大學稽核工作底稿文件編號:DC-4014版本:1.1機密等級:£公開R校內£敏感£機密紀錄編號: 3)建立風險等級 4)決
4、定是否直接接受風險分析結果或需建立風險評估標準 f)風險控管 1)適當的控制措施,以降低風險 2)謹慎、客觀的接受風險,並使其符合組織政策與風險評鑑標準 3)規避風險 4)轉嫁風險,如:保險等 g)實施風險控管措施;控制目標與控制措施應符合風險評估與風險改善程序,並應考量可接受風險值、法律、相關標準之要求 h)需由管理階層確認殘餘風險 i)由管理階層授權實施ISMS j)適用性聲明 1)說明控制目標、控制措施與其原由 2)控制目標與現行控制措施 3)排除於
5、本文與附錄條文之項目 4.2.2建置及運作ISMS £永久保存R定期保存5年※使用本表單時,請先確認表單版次是否已更新第33頁,共33頁世新大學稽核工作底稿文件編號:DC-4014版本:1.1機密等級:£公開R校內£敏感£機密紀錄編號: 組織應執行下列作業: a)擬定風險改善計畫;風險改善計畫應制訂適當之管理措施、責任及管理資訊安全風險之優先順序。 b)執行風險改善計畫以達成制訂之控制目標; c)建立組織選擇之控制以符合控制目標; d)訂定評估選擇控制點有效性之指標並說明如何產生結果之程序 e)進行教育訓練及認知推廣活動;(See5.2.2Training,
6、AwarenessandCompetency)additemD f)管理作業; g)管理資源;(See5.2-ResourceManagement); h)建立安全事件回應程序及其他相關控制。4.2.3監督及檢視ISMS 組織應執行下列作業: a)執行監控程序及其他控制以: 1)當作業發生錯誤時,主動偵測出作業錯誤; 2)主動辨識失敗及成功的安全漏洞及事件; 3)使管理階層有判斷指定專人負責或由資訊技術執行之安全活動是否如預期般確實執行;additemA&C£永久保存R定期保存5年※使用本表單時,請先確認表單版次是否已更新第33頁,共33頁世新大學稽核工作底稿文件
7、編號:DC-4014版本:1.1機密等級:£公開R校內£敏感£機密紀錄編號: 4)執行監控安全事件並藉由指標量測來預防事件再次發生; 5)辨別修補安全漏洞的措施是否有效。 b)進行ISMS有效性定期檢視(包括達成安全政策及目標,檢視安全控制),應參考資訊安全稽核、事件、其他相關單位之建議及回應。 c)確認控制措施是否有效地符合安全需求 d)檢視殘餘風險及可接受風險之程度,應考量下列元件之改變: 1)組織; 2)技術; 3)營運目標及作業。 4)已辨識之威脅。 5)已建立控制項目之有效性。 6)外部環境,例如:法令規
此文档下载收益归作者所有
