ISO 27001

出自KMU Wiki

在2008年1月10日 (四) 21:38由Itchen (對話 | 貢獻)所做的修訂版本
(差異) ←上一修訂 | 當前修訂 (差異) | 下一修訂→ (差異)
跳轉到: 導航, 搜索

ISO

ISO 27001

ISO27001為建立一個ISMS的資訊安全管理系統 ISO27001:2005 的內容

總共分成 11 個領域、 39 個控制目標、 133 個控制要點。 11 個領域包括

  • 0 Introduction
  • 1 Scope
  • 2 Normative references
  • 3 Terms and definitions
  • 4 Information security management system

4.1 Study general ISMS requirements
4.2 Develop your organization's ISMS
4.2.1 Define and plan your ISMS
4.2.2 Implement and operate your ISMS
4.2.3 Monitor and review your ISMS
4.2.4 Maintain and improve your ISMS
4.3 Document your organization's ISMS

  • 5 Management reponsibility
  • 6 Intermal ISMS audits
  • 7 Management review of the ISMS
  • 8 ISMS improvement
  • Annex A: Control objectives and controls
  • A.5 Security Policy
  • A.6 Organization of information security
  • A.7 Asset management
  • A.8 Human resources security
  • A.9 Physical and environmental security

舉例:機房的位置必須放在沒有窗戶的地方,或至少不透光的窗戶、且窗戶封死再加上入侵偵測(例如震動警報器)。

機房門禁等級?刷卡?看眼球?由風險評估決定。刷卡建議採用 two factors,也就是磁卡加上按密碼。

監視器要能拍到門口以及重要設備。監視器影帶如何保存?誰可以取得這些監視影帶?誰可以刪除?

防火設備有沒有考慮動線的問題?滅火器的檢查紀錄有無確實?冷氣出風循環對流等等.

  • A.10 Communications and operations management
  • A.11 Access control
  • A.12 Information systems acquisition, development and maintenance
  • A.13 Information security incident management
  • A.14 Business continuity management
  • A.15 Compliance
  • Annex B.C.(Informative)

台灣比較常見的驗證公司有 BSI 、 DNV 、 SQS 、 BVQI 、標準檢驗局、

以及各大會計師事務所 (KPMG 、 Price Waterhouse Coopers 、 DTT 等 ) 。

References

Openfind

認證

國際資訊安全標準ISO 27001之網路架構設計

ISO 27001:2005 vs. BS 7799-2:2002

wiki