1、 1 印月 96 10 月 本標準非經本局同意得翻印 中華民國國家標準 CNS 總號 號 ICS 35.040 X604927001經濟部標準檢驗局印 公布日期 修訂公布日期 95 6 月 16 日 96 10 月 24 日 (共 36 頁 )資訊技術安全技術資訊安全管理系統要求事項 Information technology Security techniques Information security management systems Requirements 目錄 節次 頁次 0. 簡介 . 3 0.1 概述 3 0.2 過程導向 . 3 0.3 與其他管理系統之相容性 4 1.
2、適用範圍 . 5 1.1 概述 5 1.2 應用 5 2.引用標準 . 5 3.用語釋義 . 5 4.資訊安全管理系統 . 7 4.1 一般要求 . 7 4.2 建立與管理 ISMS. 7 4.2.1 建立 ISMS 7 4.2.2 實作與運作 ISMS 9 4.2.3 監視與審查 ISMS 9 4.2.4 維持與改進 ISMS.10 4.3文件化要求 .10 4.3.1 概述 .10 4.3.2 文件管制 .11 4.3.3 紀錄管制 .11 5.管理階層責任 .11 5.1 管理階層承諾 .11 5.2 資源管理 12 5.2.1 資源提供 .12 5.2.2 訓練、認知及能力 .12 6
3、.ISMS 內部稽核 .12 7.ISMS 之管理階層審查 .13 7.1 概述 .13 2 CNS 27001, X 6049 7.2 審查輸入 13 7.3 審查輸出 13 8.ISMS 之改進 .13 8.1 持續改進 13 8.2 矯正措施 13 8.3 預防措施 14 附錄 A(規定 ) 控制目標與控制措施 . 15 附錄 B(參考 ) OECD 原則與本標準 . 30 附錄 C(參考 ) CNS 12681(ISO 9001: 2000)、 CNS 14001(ISO 14001: 1996)與本標 準間之對照 31 參考資料 33 英中名詞對照表 . 34 3 CNS 27001
4、, X 6049 0. 簡介 0.1 概述 本標準之制定係為提供用以建立、實作、運 作、監視、審查、維持及改進資訊安全管理系統( Information Security Management System, ISMS)之模型。採用 ISMS宜為組織的策略性決策( strategic decision) 。組織的 ISMS 之設計與實作受其需求與目標、安全要求、所採用的過程,以及組 織之規模與架構所影響。這些項目及其支援系統會隨時間而改變。期望 ISMS 的實作與組織的需求相稱,例如:簡單的情況只需簡單的 ISMS 解決方案。 本標準適用於有利害相關之內部與外部團體,藉以評鑑符合性。 0.2
5、過程導向 (作法 )( process approach) 本標準倡導採用過程導向 (作法 ),以建立、實作、運作、監視、審查、維護及改進組織的 ISMS。 組織需要識別與管理許多活動方能有效運行。任何使用資源與管理以促成將輸入轉換為輸出之活動,可視為過程。通常一個過程之輸出直接地形成下個過程之輸入。 組織內各過程系統之應用,連同此等過程之 識別與相互作用,以及其管理,可被稱為過程導向 (作法 ) 。 本標準內所展現之資訊安全管理的過程導向 (作法 ),鼓勵其使用者強調下列事項之重要性: (a) 瞭解組織資訊安全要求,以及瞭解建立資訊安全之政策與目標的需求。 (b) 在組織整體營運風險之全景
6、(context)中,實作及運作各項控制措施以管理組織的資訊安全風險。 (c) 監視與審查 ISMS 之績效與有效性。 (d) 基於客觀的測量以持續改進。 本標準採用規劃 執行 檢查 行動( Plan-Do-Check-Act, PDCA) 過程模型,適用於建置所有 ISMS 過程。圖 1 說明 ISMS 如何納採資訊安全要求與利害相關者之期望作為輸入,經由各必要行動與過程,產生符合此等要求與期望的資訊安全輸出結果。圖 1 同時說明本標準第 4 節至第 8 節中各過程如何環環相扣。 PDCA 模型的採用亦將反映經濟合 作暨發展組織 (Organisation for Economic Co-o
7、peration and Development, OECD)指導綱要 (2002)(1)內所宣告之治理資訊系統與網路安全的原則。本標準提供指導風險 評鑑、安全設計與實作、安全管理及再評鑑等之指導綱要內實作各原則的強健模型。 註 (1) OECD Guidelines for the Security of Information Systems and Networks Towards a Culture of Security. Paris: OECD, July 2002. www.oecd.org 範例 1: 要求可能為:違反資訊安全,但未對組織造成嚴重的財物損失及 /或造成組織之困窘
8、。 範例 2: 期望可能為:若發生嚴重事故時 (如駭客入侵組織的電子商務網站 ),宜有對適當程序具有充分訓練之人員將衝擊降至最低。 4 CNS 27001, X 6049 圖 1 適用於 ISMS 過程之 PDCA 模型 規劃(建立 ISMS) 建立與管理風 險及改進資訊安全相關之 ISMS的政策、目標、過程及程序以產生與組織整體政策和目 標相一致之結果。 執行 (實作與運作 ISMS) 實作與運作 ISMS的政策、控制措施、過程及程序。 檢查 (監視與審查 ISMS)依據 ISMS政策、目標及實際經驗,評鑑 及在適用時測量過程績效,並將結果回報給管理階層審查。 行動 (維持與改進 ISMS)
9、基於 ISMS內部稽核與管理階層審查結果 或其它相關資訊採取矯正與預防措施,以達成 ISMS的持續改進。 0.3 與其他管理系統之相容性 本標準已與 CNS 12681品質管理系統要求及 CNS 14001環境管理系統附使用指引之要求事項相調和,藉以支援各相關 管理標準之一致性並整合其實作與運作。合適設計的管理系統因而能滿足所有此等標準的要求。附錄 C 表 C.1說明本標準、 CNS 12681 及 CNS 14001 各節次之對應關係。 本標準設計成讓組織得以將其 ISMS 與相關管理系統要求校準或整合。 注意:本標準未意謂包含合約之所有必要條款。本標準之使用者需負責其正確使用。符合標準並無
10、法豁免法律義務。 利害相關者 資訊安全 要求及期望 利害相關者 受管的 資訊安全 建立 ISMS 實作與 運 作 ISMS維持與 改 進 ISMS監視與審查 ISMS規劃行動檢查執行 5 CNS 27001, X 6049 1. 適用範圍 1.1 概述 本標準涵蓋所有型式的組織(例如 :商業企業、政府機構及非營利組織)。本標準規定在組織整體營運風險全景 內建立、實作、運作、監視、審查、維持及改進已文件化之 ISMS 的要求。其規定依據個別組織或部分單位之需求量身打造之安全控制措施的實作要求。 ISMS 係被設計以確保選擇適切的及相稱的安全控制措施,以保護資訊資產並賦予利害相關者信賴。 備考 1
11、. 本標準內提及的營運,宜廣義地解釋為為組織存在目的所進行的核心活動。 2. 當設計各項控制措施時,可使用 CNS 27002資訊技術安全技術資訊安全管理之作業規範提供的實作指引。 1.2 應用 本標準敘述之要求為一般性的,且 適用所有組織,與其型式、規模大小及性質無關。在組織宣稱符合本標準時,排除本標準第 4 節至第 8 節所規定之任何要求,均不被接受。 若發現某些控制措施為滿足風險接 受準則而有必要排除者,需加以衡量並提供相關風險已被可歸責人員接受之證 據。當排除任何控制措施時,除非不影響該組織提供以符合由風險評鑑及適用 之法規要求所決定之安全要求的資訊安全之能力及 /或責任,否則宣告符合
12、本標準時,均不被接受。 備考: 若組織已有運作中之營運過程管理系統(例如:關聯於 CNS 12681 或 CNS 14001),在多數情況下以現有管理系統,加上本標準的要求會更好。 2. 引用標準 下列參考文件對本標準之應用是不可或缺的。有註記日期的引用標準,僅適用於引用的版本。未註記日期的引用標準,適用於該引用標準的最新版本 (包括任何修訂) 。 CNS 27002 資訊技術安全技術資訊安全管理之作業規範。 3. 用語釋義 為本標準之目的,適用以下的用語及定義: 3.1 資產 (asset) 對組織有價值的任何事物。 ISO/IEC 13335-1:2004 3.2 可用性( availab
13、ility) 經授權個體因應需求之可存取及可使用的性質。 ISO/IEC 13335-1:2004 3.3 機密性 (confidentiality) 使資訊不可用或不揭露給未經授權之個人、個體或過程的性質。 ISO/IEC 13335-1:2004 3.4 資訊安全 (information security) 保存資訊的機密性、完整性及可用 性;此外,亦能涉及如鑑別性、可歸責性、 6 CNS 27001, X 6049 不可否認性及可靠度等性質。 CNS 27002 3.5 資訊安全事件 (information security event) 系統、服務或網路發生一個已識別 的狀態,其指
14、示可能的資訊安全政策違例或保護措施失效,或是可能與安全相關而先前未知的狀況等。 ISO/IEC TR 18044:2004 3.6 資訊安全事故 (information security incident) 單一或一連串有顯著機率可能危害 營運作業與威脅資訊安全之非所欲或非預期的資訊安全事件。 ISO/IEC TR 18044:2004 3.7 資訊安全管理系統 (Information Security Management System, ISMS) 整體管理系統的一 部分,以營運風險導向 (作法 )為基礎,用以建立、實作、運作、監視、審查、維持及改進資訊安全。 備考: 管理系統包括組織
15、架構、政策、規劃活動、責任、實務、程序、過程及資源。 3.8 完整性 (integrity) 保護資產的準確度 (accuracy)和完全性 (completeness)的性質。 ISO/IEC TR 18044:2004 3.9 剩餘風險 (residual risk) 風險處理後所剩餘的風險。 CNS 14889 風險管理詞彙標準使用指導綱要 3.10 風險接受 (risk acceptance) 決定接受某風險。 CNS 14889 3.11 風險分析 (risk analysis) 系統性的使用資訊,以識別緣由與估計風險。 CNS 14889 3.12 風險評鑑 (risk asses
16、sment) 風險分析與風險評估的整個過程。 CNS 14889 3.13 風險評估 (risk evaluation) 把預估的風險和已知的風險準則進行比較的過程,以決定風險的顯著性。 CNS 14889 3.14 風險管理 (risk management) 藉由協調各項活動以指導與控管組織之有關風險。 CNS 14889 3.15 風險處理 (risk treatment) 選擇與實作措施的過程藉以修正風險。 CNS 14889 7 CNS 27001, X 6049 3.16 適用性聲明 (statement of applicability) 描述與組織之 ISMS 相關且對其適用之
17、各項控制目標與控制措施的已文件化聲明。 備考: 控制目標與控制措施係以風險評鑑與風險處理之各項過程的結果與結論、法律或法規要求、契約義務,以及組織對資訊安全的營運要求為基礎。 4. 資訊安全管理系統 4.1 一般要求 組織應在其整體營運活動與其所面臨風險的全景中,建立、實作、運作、監視、審查、維持及改進已文件化之 ISMS。本標準之目的,採用之過程以圖 1 所示之PDCA 模型為基礎。 4.2 建立與管理 ISMS 4.2.1 建立 ISMS 組織應執行下列事項: (a) 依據營運、組織、其所在位置、資產及技術等特性,並納入該範圍內所有排除項目的細節和衡量理由,來界定 ISMS 之範圍及諸邊界
18、 (參照第1.2 節 )。 (b) 依據營運、組織、其所在位置、資產及技術等特性,界定 ISMS 政策,其: (1) 包括用以設定目標之框架,並建立方向 之整體意識 及關於資訊安全之各項行動原則。 (2) 考量營運與法律或法規要求,以及契約的安全義務。 (3) 與組織的策略性風險管理全景相校準, ISMS 在此全景中 建立及維持。 (4) 建立可藉以評估風險之準則 (參照第 4.2.1 節 (c)。 (5) 由管理階層所核准。 備考: 為本標準之目的, ISMS 政策被視為資訊安全政策的超集合。此等政策能描述於一份文件中。 (c) 界定組織的風險評鑑作法。 (1) 識別適合 ISMS 及已識別
19、之營運資訊安全、法律與法規要求的風險評鑑方法論。 (2) 發展風險接受的準則,並識別風險可接受的等級 (參照第 5.1 節 (f)。 所選擇的風險評鑑方法應確保風險評鑑產生可比較與可再產生的結果。 備考: 風險評鑑有各種不同的方法論。風險評鑑方法論的範例在 CNS 14929-3資訊技術 資訊技術安全管理指導綱要 第 3 部:資訊技術安全管理之技術中有所討論。 (d) 識別各項風險。 (1) 識別 ISMS 範圍內之各項資產以及此等資產之擁有者 (2)。 註 (2) 擁有者指的是負有被認可管理責任的個人或個體,其控制資產的生產、發展、維護、使用及安全,擁有者一詞並非意指該人員實際上對該資產有任
20、何財產權。 (2) 識別對該等資產的各項威脅。 8 CNS 27001, X 6049 (3) 識別此等威脅可能利用之各項脆弱性。 (4) 識別對此等資產可能造成機密性、完整性及可用性之損失的各項衝擊。 (e) 分析與評估各項風險。 (1) 評鑑安全失效時可能造成對組織之 營運衝擊,並將資產的機密性、完整性及可用性之損失的後果納入考量。 (2) 根據最常見之威脅、脆弱性及與此 等資產有關的衝擊,以及現行實作的控制措施,來評鑑此種安全失效發生的實際可能性。 (3) 估計各風險之等級。 (4) 決定風險是否可接受或要求使用第 4.2.1 節 (c)(2)所建立之風險接受準則來處理。 (f) 識別並
21、評估風險處理之各項選項作法。 可能的措施包括: (1) 採用適切的控制措施。 (2) 若其明顯的符合組織的政策與風險接受準則 ( 參閱第 4.2.1 節(c)(2),則知悉與客觀地接受此等風險。 (3) 迴避風險。 (4) 轉移相關之營運風險至他者,例如:承保者、供應者。 (g) 選擇各項風險之處理的控制目標與控制措施。 應選擇並實作控制目標與控制措施,以符合由風險評鑑和風險處理過程所識別的各項要求。此選擇應考量風險接受準則 (參照第 4.2.1 節 (c),以及法律、法規與契約的要求。 應從附錄 A 所列之各項控制目標與控制措施中,選擇可恰當涵蓋此些要求者,作為本過程的部分。 附錄 A 所列
22、之各項控制目標與控制措施並未盡列 (exhaustive),亦可選擇其他額外的控制目標與控制措施。 備考: 附錄 A 包含一份已發現於各組織中共同相關之控制目標與控制措施的詳盡清單。本標準之使用者被引導以附錄 A 作為控制措施選擇的起點,以確保不會忽略重要的控制措施選項。 (h) 取得管理階層對所提議之各項剩餘風險的核准。 (i) 取得管理階層對實作和運作 ISMS 的授權。 (j) 擬定一份適用性聲明書。 適用性聲明書之擬定應包括下列事項: (1) 於第 4.2.1 節 (g)所選擇之各項控制目標與控制措施,以及其選擇之理由。 (2) 目前已實作的各項控制目標與控制措施 (參照第 4.2.1
23、 節 (e)(2)。 (3) 所排除之所有附錄 A 中之各項控制目標與控制措施及其被排除的衡量理由。 備考:適用性聲明書提供關於風險處理決策的彙總。衡量排除項目,採 9 CNS 27001, X 6049 取交叉核對 (cross-check)使無控制措施被不慎省略。 4.2.2 實作與運作 ISMS 組織應執行下列事項: (a) 為管理資訊安全風險,架構一項風險處理計畫,以識別適當管理措施、資源、責任及優先順序 (參照第 5 節 )。 (b) 實作風險處理計畫,以達成所識別的各項控制目標,其中包括賦予資金的考量以及角色與責任的配置。 (c) 實作第 4.2.1 節 (g)所選擇的控制措施,以
24、符合控制目標。 (d) 界定如何量測所選擇的控制措施或控制措施群的有效性,並規定如何使用這些量測去評鑑控制措施的有效性,以產生可比較與可再產生的結果(參照第 4.2.3 節 (c)。 備考: 量測控制措施的有效性使管理者與幕僚人員可判定控制措施達成所規劃控制目標的程度。 (e) 實作訓練與認知計畫 (參照第 5.2.2 節 )。 (f) 管理 ISMS 的運作。 (g) 管理 ISMS 的資源 (參照第 5.2 節 )。 (h) 實作能立即偵測安全事件與回應安全事故之程序以及其他各項控制措施 (參照第 4.2.3 節 (a)。 4.2.3 監視與審查 ISMS 組織應執行下列事項: (a) 執
25、行監視與審查程序以及其他控制措施,以便: (1) 立即的偵測出處理結果之錯誤。 (2) 立即的識別試圖的與已成功的安全危害和事故。 (3) 使管理階層能判定已委任給人員或 已藉由資訊技術實作的各項安全活動,是否均已如預期般履行。 (4) 藉由使用各項指標 (indicator),以協助偵測安全事件,並預防安全事故。 (5) 判定所採取解決安全危害的措施是否有效。 (b) 定期審查 ISMS 的有效性 (包括是否符合 ISMS 政策與目標,以及安全控制措施的審查 ),並將安全稽核、事故、有 效性測量,以及來自所有利害相關者之建議與回饋之結果納入考量。 (c) 量測控制措施的有效性,以查證已符合各
26、項安全要求。 (d) 依已規劃的期間,審查風險評鑑,並審查剩餘風險的等級與已識別的可接受風險,並將下列事項之變更納入考量: (1) 組織。 (2) 技術。 (3) 各項營運目標與過程。 (4) 已識別的威脅。 (5) 已實作之控制措施的有效性。 10 CNS 27001, X 6049 (6) 外部事件,諸如法律或法規環境之 變化、已變更之契約義務及社會氛圍之變化。 (e) 依已規劃的期間施行 ISMS 內部稽核 (參照第 6 節 )。 備考: 內部稽核有時稱為第一方稽核,是由組織本身或由代表組織者,為內部目的而施行者。 (f) 定期執行 ISMS 之管理階層審查,以確保其範圍維持適當,且 I
27、SMS 過程之各項改進均已識別 (參照第 7.1 節 )。 (g) 考量監視與審查活動的發現,以更新安全計畫。 (h) 記錄對 ISMS 有效性或績效有衝擊之措施與事件 (參照第 4.3.3 節 )。 4.2.4 維持與改進 ISMS 組織應定期執行下列事項: (a) 實作所識別之 ISMS 各項改進。 (b) 依據第 8.2 節及第 8.3 節採取適當矯正與預防措施。並運用從其他組織及由組織本身之安全經驗中習得之教訓。 (c) 以適切於情況的詳盡程度,與所有利害相關者就各項措施與改進進行溝通,若與其相關時,並協議進行方式。 (d) 確保各項改進達到其預期目標。 4.3 文件化要求 4.3.1
28、 概述 文件化應包括管理階層決策的紀 錄,確保各項措施可追溯至管理階層決策及政策,並確保所記錄的結果是可再產生的 (reproducible)。 能夠展示從所選擇的控制措施回 溯到和風險評鑑與風險處理過程的結果間之關係,且接著能夠回溯其至和 ISMS 政策與目標間之關係是重要的。 ISMS 文件化應包括: (a) ISMS 政策 (參照第 4.2.1 節 (b)與各項目標之已文件化聲明。 (b) ISMS 之範圍(參照第 4.2.1 節 (a))。 (c) 支援 ISMS 之各項程序及控制措施。 (d) 風險評鑑方法論 (參照第 4.2.1 節 (c)的描述。 (e) 風險評鑑報告 (參照第
29、4.2.1 節 (c)至第 4.2.1 節 (g)。 (f) 風險處理計畫 (參照第 4.2.2 節 (b)。 (g) 組織為確保有效規劃、運作及控制其資訊安全過程,以及描述如何量測控制措施的有效性所需之文件化程序 (參照第 4.2.3 節 (c)。 (h) 本標準要求之各項紀錄(參照第 4.3.3 節)。 (i) 適用性聲明書。 備考 1. 本標準所言之已文件化程序係指已建立、文件化、實作及維持的程序。 2. 每個組織因下列事項之差異,可能有不同之 ISMS 文件化程度。 組織規模及其活動型式。 11 CNS 27001, X 6049 安全要求及受管理系統之範圍與複雜度。 3. 各項文件與
30、紀錄可存於任何形式 (form)或型式 (type)之媒體。 4.3.2 文件管制 ISMS 所需之文件應受保護及管制。應建立已文件化程序,以界定下列各事項所要求之各項管理措施: (a) 在文件發行前核准其適切性。 (b) 必要時,審查與更新並重新核准文件。 (c) 確保文件之變更與最新修訂狀況已予以識別。 (d) 確保在使用處,備妥適切版本之適用文件。 (e) 確保文件保持易於閱讀並容易識別。 (f) 確保文件對其需要者可隨時取得,且依據適用其分類的程序予以傳送、儲存以及最終作廢。 (g) 確保外部來源之文件已加以識別。 (h) 確保文件分發受管制。 (i) 防止作廢的文件被誤用。 (j)
31、作廢的文件若為任何目的而保留時,應施予適當識別。 4.3.3 紀錄管制 應建立並維持各項紀錄,以提供要求之符合性及 ISMS 之有效運作的證據。紀錄應加以保護與管制。 ISMS 應將任何相關的法律或法規要求以及契約義務納入考量。紀錄應保持易於閱讀,容易 識別及檢索。紀錄之識別、儲存、保護、檢索、保存期限及作廢所需的各項控制措施, 應予以文件化並實作。 應保存如第 4.2 節所條列各項過程之績效的紀錄,以及所有相關於 ISMS 的重大安全事故發生之紀錄。 範例:紀錄之範例,如訪客登記簿、稽核報告及已填好之存取授權表格。 5. 管理階層責任 5.1 管理階層承諾 管理階層應藉由下列各項,提供其對
32、ISMS 之建立、實作、運作、監視、審查、維持與改進之承諾的證據: (a) 建立一份 ISMS 政策。 (b) 確保建立 ISMS 各項目標及計畫。 (c) 建立資訊安全之各種角色與責任。 (d) 向組織傳達符合各項資訊安全目標、符合資訊安全政策及法律規範下之組織責任,以及持續改進之需求等的重要性。 (e) 提供充分資源以建立、實作、運作、監視、審查、維持與改進 ISMS(參照第5.2.1 節 )。 (f) 決定接受風險的準則與可接受風險等級的準則。 (g) 確保施行內部 ISMS 稽核 (參照第 6 節 )。 (h) 施行 ISMS 之管理階層審查 (參照第 7 節 )。 12 CNS 27
33、001, X 6049 5.2 資源管理 5.2.1 資源提供 組織應決定並提供下列工作所需之資源: (a) 建立、實作、運作、監視、審查、維持及改進 ISMS。 (b) 確保各項資訊安全程序支援營運要求。 (c) 識別並因應法律與法規要求,以及契約的安全義務。 (d) 正確應用所有已實作的控制措施,以維護適當之安全。 (e) 必要時進行審查,並針對此等審查之結果作適切反應。 (f) 需要時,改進 ISMS 之有效性。 5.2.2 訓練、認知及能力 組織應確保在 ISMS 中界定之被指定責任的所有人員,有能力藉由下述事項履行被要求之工作,包括: (a) 決定履行影響 ISMS 之工作的人員之必
34、要能力。 (b) 提供訓練或採取其他措施 (如聘僱有能力之人員 ),以滿足此等需求。 (c) 評估所採措施之有效性。 (d) 維持教育、訓練、技能、經驗及評定資格等之紀錄 (參照第 4.3.3 節)。 組織亦應確保所有相關人員已認 知其所從事的資訊安全活動之關聯性與重要性,以及他們如何對 ISMS 各項目標之達成有所貢獻。 6. ISMS 內部稽核 組織應依已規劃的期間施行 ISMS 內部稽核,以判定其 ISMS 之控制目標、控制措施、過程及程序是否: (a) 符合本標準及相關法律或法規的要求。 (b) 符合所識別的資訊安全要求。 (c) 被有效的實作與維持。 (d) 如預期的履行。 稽核計畫
35、應被規劃,並將過程與將受稽核的領域之狀況和重要性,以及先前稽核的結果納入考量。稽核準則、範圍、頻率及方法應被界定。稽核人員的選擇與稽核的施行應確保稽核過程的客觀性及公平性。稽核人員不應稽核其本身的工作。 規劃與施行稽核,以及報告結果與維持紀錄 (參照第 4.3.3 節 )之責任與要求,應以文件化程序加以界定。 受稽核領域之負責管理階層,應確保所採行的措施無不當延誤,以致偵測出之不符合事項及其原因消失。跟催 (follow-up)活動應包括所採行措施之查證與查證結果之報告 (參照第 8 節 )。 備考: CNS 14809品質與 /或環境管理系統稽核指導綱要可提供有助於執行 ISMS內部稽核的指
36、引。 13 CNS 27001, X 6049 7. ISMS 之管理階層審查 7.1 概述 管理階層應依已規劃的期間 (至少一年一次 ),審查組織的 ISMS,以確保其持續的適用性、適切性及有效性。此項審查應包括評鑑改進之機會與評鑑 ISMS 變更之需求,包括資訊安全政策與資 訊安全目標。審查結果應清楚的文件化,且紀錄應予以維持 (參照第 4.3.3 節 ) 7.2 審查輸入 管理階層審查之輸入應包括: (a) ISMS 稽核與審查之結果。 (b) 來自利害相關者之回饋。 (c) 可用於組織以改進 ISMS 績效與有效性之技術、產品或程序。 (d) 預防與矯正措施之狀況。 (e) 於先前風險
37、評鑑未適切因應之脆弱性或威脅。 (f) 有效性測量的結果。 (g) 先前管理階層審查之跟催措施。 (h) 可能影響 ISMS 之任何變更。 (i) 改進之各項建議。 7.3 審查輸出 管理階層審查之輸出應包括有關下列事項之任何決策與措施: (a) ISMS 有效性之改進。 (b) 風險評鑑與風險處理計畫之更新。 (c) 影響資訊安全之程序與控制措施之必要時的修改,以回應可能衝擊 ISMS 之內部或外部事件,包括下列事項之變更: (1) 各項營運要求。 (2) 各項安全要求。 (3) 影響既有各項營運要求之營運過程。 (4) 法律或法規各項要求。 (5) 契約的各項義務。 (6) 風險等級及 /
38、或風險接受準則。 (d) 資源需求。 (e) 控制措施的有效性如何量測之改進。 8. ISMS 之改進 8.1 持續改進 組織應藉由使用資訊安全政策、資訊安全目標、稽核結果、監視事件之分析、矯正與預防措施以及管理階層審查 (參照第 7 節 ),以持續改進 ISMS 之有效性。 8.2 矯正措施 為了防止再發生,組織應決定措施,以消除與 ISMS 要求不符合之原因。矯正措施的文件化程序應界定各項要求,以: 14 CNS 27001, X 6049 (a) 識別各項不符合事項。 (b) 判定各項不符合之原因。 (c) 評估措施之需求,以確保各項不符合事項不復發。 (d) 決定及實作所需之矯正措施。
39、 (e) 記錄所採取措施的結果 (參照第 4.3.3 節 )。 (f) 審查所採取之矯正措施。 8.3 預防措施 組織應決定措施,以消除與 ISMS 要求潛在不符合之原因,並防止其發生。所採取之預防措施應與潛在問題之衝 擊相稱。預防措施之已文件化程序應界定各項要求,以: (a) 識別潛在的各項不符合事項及其原因。 (b) 評估措施的需求,以防止不符合事項的發生。 (c) 決定及實作所需之預防措施。 (d) 記錄所採取措施之結果 (參照第 4.3.3 節 )。 (e) 審查所採取之預防措施。 組織應識別已變更之風險並識別 針對注意重大已變更之風險的 預防措施之要求。 預防措施之優先順序,應依據風
40、險評鑑之結果決定。 備考:預防不符合事項之措施通常較矯正措施更具成本效益。 15 CNS 27001, X 6049 附錄 A (規定 ) 控制目標與控制措施 表 A.1 所列之各項控制目標與控制措施,乃直接取自 CNS 27002 第 5 至 15 節,並能與之校準。此等表格內所列項目並未盡列,各組織可考量必要的各項額外控制目標與控制措施。應選擇此等表格中之控制目標與控制措施,作為本標準第 4.2.1 節所規定之 ISMS 過程的部分。 CNS 27002 第 5 節至第 15 節提供支援本附錄 A.5 至 A.15 所列各項控制措施之最佳實務的實作建議與指導。 表 A.1 控制目標與控制措
41、施 A.5 安全政策 A.5.1 資訊安全政策 目標:依照營運要求及相關法律與法規,提供管理階層對資訊安全之指示與支持。 A.5.1.1 資訊安全政策文件 控制措施 資訊安全政策文件應由管理階層核准,並公布傳達給所有員工與相關各外部團體。 A.5.1.2 資訊安全政策之審查 控制措施 資訊安全政策應依規劃之期間或發生重大變更時審查,以確保其持續的適用性、充分性及有效性。A.6 資訊安全的組織 A.6.1 內部組織 目標:於組織內管理資訊安全。 A.6.1.1 管理階層對資訊安全的承諾 控制措施 管理階層應在組織內藉由清楚的指示、展現的承諾、明確的指派及對資訊安全責任的確認,主動地支持安全。 A
42、.6.1.2 資訊安全協調工作 控制措施 資訊安全活動應由組織內具有相關角色與工作功能之不同部門的代表協調。 A.6.1.3 資訊安全責任的配置 控制措施 應明確界定所有資訊安全責任。 A.6.1.4 資訊處理設施的授權過程 控制措施 應定義與實作對新資訊處理設施的管理階層授權過程。 16 CNS 27001, X 6049 A.6.1.5 機密性協議 控制措施 宜識別與定期審查反映組織對資訊保護之需求的機密性或保密協議要求。 A.6.1.6 與權責機關的聯繫 控制措施 應與相關權責機關維持適當聯繫。 A.6.1.7 與特殊利害相關團體的聯繫 控制措施 應與各特殊利害相關團體或其他各種專家安全
43、性論壇及專業協會維持適當聯繫。 A.6.1.8 資訊安全的獨立審查 控制措施 應依所規劃 的期間或當安全實作發生顯著變更時,獨立審查組織對管理資訊安全的作法與其實作(例如:資訊安全的各項控制目標、 控制措施、政策、過程及程序) 。 A.6.2 外部團體 目標:維持外部團體所存取、處理、管理或與其通信之組織資訊與資訊處理設施的安全。 A.6.2.1 與外部團體相關的風險之識別 控制措施 由涉及外部團體的營運過程產生對組織資訊及資訊處理設施之風險,應在核准外部團體存取之前加以識別,並實作適當的控制措施。 A.6.2.2 處理客戶事務的安全說明 控制措施 在賦予客戶存取組織資訊或資產的權限之前,應闡
44、明所有已識別的安全要求。 A.6.2.3 第三方協議中之安全說明 控制措施 涉及存取、處理、通信或管理組織的資訊或資訊處理設施,或在資訊處理設施上附加產品或服務的與第三方之協議,應涵蓋所有相關的安全要求。 A.7 資產管理 A.7.1 資產責任 目標:達成及維持組織資產的適切保護。 A.7.1.1 資產清冊 控制措施 應明確識別所有資產,並製作與維持所有重要資產的清冊。 A.7.1.2 資產的擁有權 控制措施 與資訊處理設施相關的所有資訊及資產應由組織指定的部門 擁有 (3)。 A.7.1.3 資產之可被接受的使用 控制措施 與資訊處理設施相關的資訊與資產,其可被接受的使用之規則應予以識別、文
45、件化及實作。 17 CNS 27001, X 6049 A.7.2 資訊分類 目標:確保資訊受到適切等級的保護。 A.7.2.1 分類指導綱要 控制措施 資訊應依其對組織的價值、法律要求、敏感性及重要性加以分類。 A.7.2.2 資訊標示與處置 控制措施 應依照組織所採用的分類法,發展與實作一套適當的資訊標示與處置程序。 註 (3) 擁有者指的是負有被認可管理責任的個人或個體,其控制資產的生產、發展、維護、使用及安全,擁有者一詞並非意指該人員實際上對該資產有任何財產權。 A.8 人力資源安全 A.8.1 聘僱 (4)之前 目標:確保員工、承包者及第三方使用者了解其責任,並勝任其所被認定的角色,
46、以降低竊盜、詐欺或設施誤用的風險。 A.8.1.1 角色與責任 控制措施 員工、承包者及第三方使用者的安全角色與責任,應依照組織的資訊安全政策加以界定與文件化。 A.8.1.2 篩選 控制措施 應依照相關法律、法規及倫理,並兼顧營運要求的相稱性、所存取資訊的保密類別及所察覺的風險,對所有聘僱之應徵者、承包者及第三方使用者的背景查證檢核 (verification check)。 A.8.1.3 聘僱條款與條件 控制措施 身為契約義務的一方,員工、承包者及第三方使用者應同意並簽署其聘僱契約之條款與條件,該契約應陳述其與組織對資訊安全的責任。 A.8.2 聘僱期間 目標:確保所有員工、承包者及第三
47、方使用者認知資訊安全的威脅與關切事項、其基本責任與強制責任,並有能力在日常工作中支持組織安全政策與降低人為錯誤的風險。 A.8.2.1 管理階層責任 控制措施 管理階層應要求員工、承包者及第三方使用者,依照組織已制定的政策與程序施行安全事宜。 A.8.2.2 資訊安全認知、教育及訓練 控制措施 組織所有員工和相關的承包者及第三方使用者,均應接受與其工作職務相關,以及定期更新的組織政策與程序內容之適切認知訓練。 18 CNS 27001, X 6049 A.8.2.3 懲處過程 控制措施 對違反安全的員工,應有正式的懲處過程。 A.8.3 聘僱的終止或變更 目標:確保員工、承包者及第三方使用者以
48、有條理的方式脫離組織或變更聘僱。 A.8.3.1 終止責任 控制措施 執行聘僱終 止或變更的責任應明確的界定與指派。 A.8.3.2 資產的歸還 控制措施 所有員工、承包者及第三方使用者在其聘僱、契約或協議終止時,應歸還其擁有的所有組織資產。 A.8.3.3 存取權限的移除 控制措施 所有員工、承包者及第三方使用者對資訊及資訊處理設施的存取權限,在其聘僱、合約或協議終止時,或因變更而調整時,均應予以移除。 註 (4) 聘僱一字在此係指包括下列所有不同的情況:人員的聘僱 (臨時或長期 )、工作角色之指定、工作角色之變更、契約之任務及任何此等協議之終止。 A.9 實體與環境安全 A.9.1 安全區
49、域 目標:防止組織場所與資訊遭未經授權的實體存取、損害及干擾。 A.9.1.1 實體安全周界 控制措施 應使用安全周界(諸如牆、卡控入口閘門或人員駐守的接待櫃檯等屏障) ,以保護含有資訊及資訊處理設施的區域。 A.9.1.2 實體進入控制措施 控制措施 安全區域應藉由適當的入口控制措施加以保護,以確保只有經授權人員方可允許進出。 A.9.1.3 保全辦公室、房間及設施 控制措施 應設計辦公室、房間及設施的實體安全 並施行之。 A.9.1.4 對外部與環境威脅的保護 控制措施 應設計並施行實體保護,以避免遭受火災、洪水、地震、爆炸、民眾暴動及其它天然或人為災難的損害。 A.9.1.5 在安全區域內工作 控制措施 應設計在安 全區域內工作的實體保護與指導綱要,並施行之。 19 CNS 27001, X 6049 A.9.1.6 公共進出、收發及裝卸區 控制措施 諸如收發與裝卸區及其他未經授權人員可進入作業場所之進出點宜加以控制;若可能,並宜與資訊處理設施隔
