ISO 27001
出自KMU Wiki
ISO
ISO 27001
ISO27001為建立一個ISMS的資訊安全管理系統 ISO27001:2005 的內容
總共分成 11 個領域、 39 個控制目標、 133 個控制要點。 11 個領域包括
- 0 Introduction
- 1 Scope
- 2 Normative references
- 3 Terms and definitions
- 4 Information security management system
4.1 Study general ISMS requirements
4.2 Develop your organization's ISMS
4.2.1 Define and plan your ISMS
4.2.2 Implement and operate your ISMS
4.2.3 Monitor and review your ISMS
4.2.4 Maintain and improve your ISMS
4.3 Document your organization's ISMS
- 5 Management reponsibility
- 6 Intermal ISMS audits
- 7 Management review of the ISMS
- 8 ISMS improvement
- Annex A: Control objectives and controls
- A.5 Security Policy
- A.6 Organization of information security
- A.7 Asset management
- A.8 Human resources security
- A.9 Physical and environmental security
舉例:機房的位置必須放在沒有窗戶的地方,或至少不透光的窗戶、且窗戶封死再加上入侵偵測(例如震動警報器)。
機房門禁等級?刷卡?看眼球?由風險評估決定。刷卡建議採用 two factors,也就是磁卡加上按密碼。
監視器要能拍到門口以及重要設備。監視器影帶如何保存?誰可以取得這些監視影帶?誰可以刪除?
防火設備有沒有考慮動線的問題?滅火器的檢查紀錄有無確實?冷氣出風循環對流等等.
- A.10 Communications and operations management
- A.11 Access control
- A.12 Information systems acquisition, development and maintenance
- A.13 Information security incident management
- A.14 Business continuity management
- A.15 Compliance
- Annex B.C.(Informative)
台灣比較常見的驗證公司有 BSI 、 DNV 、 SQS 、 BVQI 、標準檢驗局、
以及各大會計師事務所 (KPMG 、 Price Waterhouse Coopers 、 DTT 等 ) 。
