出自KMU Wiki

[編輯] ISO

[編輯] ISO 27001

ISO27001為建立一個ISMS的資訊安全管理系統 ISO27001:2005 的內容

總共分成 11 個領域、 39 個控制目標、 133 個控制要點。 11 個領域包括

• 0 Introduction 簡介
• 1 Scope 適用範圍
• 2 Normative references 引用標準
• 3 Terms and definitions 名詞與定義
• 4 Information security management system 資訊安全管理系統

4.1 Study general ISMS requirements 一般要求

4.2 Develop your organization's ISMS建立與管理資訊安全管理系統

4.2.1 Define and plan your ISMS
4.2.2 Implement and operate your ISMS
4.2.3 Monitor and review your ISMS
4.2.4 Maintain and improve your ISMS

4.3 Document your organization's ISMS文件管制要求

• 5 Management reponsibility 管理階層責任

5.1 管理階層承諾

5.2 資源管理

• 6 Intermal ISMS audits 內部資訊安全管理系統稽核
• 7 Management review of the ISMS 資訊安全管理系統之管理階層審查

7.1 一般要求

7.2 審查輸入

7.3審查輸出

• 8 ISMS improvement 資訊安全管理系統之改進

8.1 持續改善

8.2 矯正措施

8.3 預防措施

• Annex A: Control objectives and controls 管制目標與管制
• A.5 Security Policy
• A.6 Organization of information security
• A.7 Asset management
• A.8 Human resources security
• A.9 Physical and environmental security

舉例:機房的位置必須放在沒有窗戶的地方，或至少不透光的窗戶、且窗戶封死再加上入侵偵測(例如震動警報器)。

機房門禁等級？刷卡？看眼球？由風險評估決定。刷卡建議採用 two factors，也就是磁卡加上按密碼。

監視器要能拍到門口以及重要設備。監視器影帶如何保存？誰可以取得這些監視影帶？誰可以刪除？

防火設備有沒有考慮動線的問題？滅火器的檢查紀錄有無確實？冷氣出風循環對流等等.

• A.10 Communications and operations management
• A.11 Access control
• A.12 Information systems acquisition, development and maintenance
• A.13 Information security incident management
• A.14 Business continuity management
• A.15 Compliance
• Annex B:OECD原則與本國際標準
• Annex B:ISO 9001:2000, ISO 14001:2004與與本國際標準之關連

台灣比較常見的驗證公司有 BSI、 DNV、 SQS、 BVQI、標準檢驗局、以及各大會計師事務所 (KPMG、Price Waterhouse Coopers、DTT 等 )。

[編輯] References

[1]教育體系資通安全管理規範[2]

Openfind

認證

國際資訊安全標準ISO 27001之網路架構設計

ISO 27001:2005 vs. BS 7799-2:2002

wiki