# ISO/IEC 27001:2022 foundation II 本文6-10 ## 6. 規劃 ### 6.1 因應風險及機會之行動 - 6.1.1 一般要求 於規劃資訊安全管理系統時,組織應考量 4.1 所提及之議題及 4.2 所提及之要求事項, 並決定需因應之風險及機會, 以達成下列事項。 - a 確保資訊安全管理系統能達成其預期成果。 - b 預防或減少非所欲之影響。 - c 達成持續改善。 組織應規劃下列事項。 - d 因應此等風險及機會之行動。及 - e 執行下列事項之方法。 - 1 將各項行動整合及實作於其資訊安全管理系統過程中。 - 2 評估此等行動之有效性。 ![image](https://hackmd.io/_uploads/r1UevSIUJl.png) - 6.1.2 資訊安全風險評鑑 組織應定義及應用資訊安全風險評鑑過程於下列事項中。 - a 建立及維持包括下列準則之資訊安全風險準則: - 1 風險接受準則。及 - 2 執行資訊安全風險評鑑之準則。 [ 請參閱條款 8.2 ] - b 確保重複之資訊安全風險評鑑產生一致、有效及可比較的結果。[ 請參閱 資訊安全風險與機會之行動程序書 (範例) ] - c <font color='yellow'>識別</font>資訊安全風險。 - 1 應用資訊安全風險評鑑過程,以識別資訊安全管理系統範圍內與喪失資訊 (資產) 之機密性、完整性及可用性相關聯的風險。 備考:[ 請參閱 附錄 A, 資產管理 (Asset management) 相關資訊安全風險控制措施 ] 備考:[ 請參閱 附錄 A, 資訊保護 (Information protection) 相關資訊安全風險控制措施 ] - 2 識別風險當責者 (risk owner)。 - d <font color='yellow'>分析</font>資訊安全風險。 - 1 評鑑若 6.1.2 (c)(1) 中所識別之風險實際發生時,可能導致之潛在後果。 - 2 評鑑 6.1.2 (c)(1) 中所識別之風險發生的實際可能性。及 - 3 判定風險等級。 - 後果 影響程度 - 可能性 發生機率 - e <font color='yellow'>評估</font>資訊安全風險。 - 1 以 6.1.2 (a) 中所建立之風險準則,比較風險分析結果。及 - 2 訂定已分析風險之風險處理優先序。 組織應保存關於 [ 資訊安全風險評鑑過程 ] 之文件化資訊。 - 6.1.3 資訊安全風險處理 組織應定義並應用資訊安全風險處理過程,以達成下列事項: - a 考量風險評鑑結果,選擇適切之資訊安全風險處理選項。 ![Screenshot from 2025-01-04 13-38-56](https://hackmd.io/_uploads/r1kqKr881e.png) - 備考 1:因應“負面風險”,處理的選項與策略,可包含下列一項或者多項之組合: - 規避風險, 組織決定不開始,或不繼續可能提高風險的相關活動。 - 為了追求機會,而承擔風險。 - 消除風險來源。 - 影響、改變發生的機率或衝擊。 - 分擔風險,例如如透過合約,或者保險機制。 - 接受風險。 - 備考 2:因應“正面風險” 或 "機會"可能之行動,可包含下列一項或者多項之組合: - 導入新的作業方法, - 開發新產品, - 開拓新市場, - 開發新客戶, - 建立合作關係, - 使用新科技,及 - 其他可能發現客戶需求的方法 - b 對所選定資訊安全風險處理選項, 決定所有必須實作之控制措施。 - 備考 1:組織可依要求設計控制措施,或由任何來源識別之。例如: - 附錄 A, 5.34, 參照 ISO/IEC 27701 個人資料與隱私保護管理 (PIMS, Privacy Information Management System) 要求與指引,對於個人資料控管方 (controller) 與個人資料處理方 (processor) 之擴充要求與額外控制目標及控制措施。 - 附錄 A, 5.23, 參照 ISO/IEC 27017 雲服務 (cloud services) 安全指引,對於雲服務用戶 (cloud service customers) 與雲服務供應商 (cloud service providers) 之擴充要求與額外控制目標及控制措施。 - 附錄 A, 5.23, 參照 ISO/IEC 27018 對於個人資料 (PII, personally identifiable information) 在使用公有雲服務 (public cloud) 過程中,個人資料處理之擴充要求與額外控制目標及控制措施。 - 電信監管機構要求, 參照 ISO/IEC 27011 電信服務供應商 (telecommunications organizations) 安全指引,對於電信服務供應商之擴充要求與額外控制目標及控制措施。 - 其他... - c 比較上述 6.1.3 (b) 中所決定之控制措施 與 [ 附錄 A ] 中者, 並查證 (verify) 未忽略 [ 必要的控制措施 ]。 - 備考 1:[ 附錄 A ] 包含可能的資訊安全控制措施清單。本標準之使用者參照附錄 A,以確保未忽略必要的資訊安全控制措施。 - 備考 2:[ 附錄 A ] 中所列之各項資訊安全控制措施並未盡列,故可能需要包括 “ 額外 ” 的資訊安全控制措施。 ![](https://hackmd.io/_uploads/SysYqBLI1x.png) - 備考 3:ISO/IEC 27001 使用 [ 附錄 A ] 資訊安全控制措施參考的要求,指的是將組織確定的 “資訊安全控制措施” (6.1.3 b)) 與 “附錄 A 中的資訊安全控制措施” 之間的 "比對過程 " (6.1.3 c)),以及產生 "適用性聲明 (statment of applicability, SoA)" (6.1.3 d)) 與 資訊安全風險處理計畫 (risk treatment plan, RTP) (6.1.3 e))。 通過將必要的資訊安全控制措施與附錄 A 中的控制進行比對,組織可以確認所有附錄 A 中必要的資訊安全控制措施不會被疏忽、遺漏。比對過程中,如果發現無意中遺漏了必要的資訊安全控制措施,組織應更新其風險處理計劃 (risk treatment plan, RTPs),以適應額外的必要資訊安全控制措施,並實施它們。 - d 產生<font color='yellow'>適用性聲明</font> (Statement of Applicability, SoA),包含下列各項: - 必要之控制措施(參照 6.1.3 b)和 c))。 - 納入之衡量理由。 - 是否實作必要之控制措施。及 - 排除任何附錄 A 控制措施之衡量理由。 - 備考 1:對於上述控制目標與控制措施納入,或排除之理由,可能包含下列: - 參照 6.1.3 a), b) 之風險處理選項,選擇不同屬性之控制措施。 - 參照 4.2 之關注方 (interested parties) 及 適用之要求事項。 - 備考 2:參考範本:[ 適用性聲明 (Statement of Applicability, SoA) ] - e 制訂資訊安全風險處理計畫 (risk treatment plan, RTP)。及 - f 取得 [ 風險擁有者 (risk owner) ] 對資訊安全風險處理計畫 (RTPs) 之核准,以及對剩餘資訊安全風險 (residual risk) 的接受。 組織應保存關於 [ 資訊安全風險處理過程 ] 之文件化資訊。 - 備考: 本標準中之資訊安全風險評鑑與風險處理過程與 ISO 31000 / CNS 31000 內提供之原則及通用指導綱要調和。 ![image](https://hackmd.io/_uploads/BJIlRB8Lyl.png) --- ### 6.2 資訊安全目標及其達成之規劃 組織應於各相關部門及層級建立資訊安全目標。 資訊安全目標應滿足下列事項。 - a 與資訊安全政策 (參照 5.2) 一致。 - b 可量測 (若可行時)。 - c 考量適用之資訊安全要求事項 (參照 4.2), 以及風險評鑑 (參照 6.1.2) 及風險處理 (參照 6.1.3) 之結果。 - d 受監視 (參照 9.1)。 - e 被傳達 (參照 7.3, 7.4)。 - f 於適切時, 更新之。 - g 以文件化資訊提供。 組織應保存關於資訊安全目標之文件化資訊。 於規劃如何達成資訊安全目標時,組織應決定下列事項。 - h 待辦事項。 - i 所要求資源。[ 請參閱條款 7.1 ] - j 負責人員。[ 請參閱條款 5.3 ] - k 完成時間。及 - l 結果之評估方式。 --- (2022唯一新增的章節) ### 6.3 變更之規劃 當組織決定需要對資訊安全管理系統變更時,應以規劃之方式執行變更。 - 備考 1:本條款所指的變更規劃,包含了 [ 組織 (核心) 的過程 ] 與 [ 本標準要求的管理過程 ] 變更時,應按照規劃的方式進行執行,適用於組織全體。 - 備考 2:在管理系統實作層面 (參閱條款 8),因應 [ 產品/服務生命週期管理過程 ] 、[ 風險處理與控制措施實施過程 ] 中的變更,標準在 [ 附錄 A, 8.32 變更管理 ] 提出實作層面應執行變更管理的特定要求。 --- 面對風險處理的選項有哪些? -> 可參考 ISO 31000 & 27005 - 避免風險:消極躲避風險。比如避免火災可將房屋出售,避免航空事故可改用陸路運輸等。因為存在以下問題,所以一般不採用。 可能會帶來另外的風險。比如航空運輸改用陸路運輸,雖然避免了航空事故,但是卻面臨著陸路運輸工具事故的風險。 會影響企業經營目標的實現。比如為避免生產事故而停止生產,則企業的收益目標無法實現。 - 預防風險:採取措施消除或者減少風險發生的因素。例如為了防止水災導致倉庫進水,採取增加防洪門、加高防洪堤等,可大大減少因水災導致的損失。 - 自保風險:企業自己承擔風險。途徑有: 小額損失納入生產經營成本,損失發生時用企業的收益補償。 針對發生的頻率和強度都大的風險建立意外損失基金,損失發生時用它補償。帶來的問題是擠占了企業的資金,降低了資金使用的效率。 對於較大的企業,建立專業的自保公司。 - 轉移風險:在危險發生前,通過採取出售、轉讓、保險等方法,將風險轉移出去。 ISO/IEC 27005:2008 Risk Reduction 風險降低 Risk Retention 風險保留 Risk avoidance 風險避免 Risk transfer 風險轉移 ISO/IEC 27005:2018 Risk modification 風險修訂 Risk Retention 風險保留 Risk avoidance 風險避免 Risk sharing 風險分擔 ISO 31000:2018 6.5.2 風險處理選項 風險處理選項病不必要相互排除或是宜於所有狀況。選項可包含下列: a. 藉決定不開始或不繼續會引起風險的活動以避免風險 b. 承受或增加風險以尋求機會 c. 移除風險來源 d. 改變可能性 e. 改變後果 f. 分擔風險(列如:透過合約或購買保險) g. 藉由明智的決定保留此風險 iso31000 vs iso27005 -> iso 31000 是方法論 -> iso 27005 是在資訊安全的範圍裡面去討論風險(27系列皆是如此) ISO 27005 and ISO 31000: Key Differences You Need to Know Unlike ISO 27005, which focuses on information security, ISO 31000 is a generic framework that can be applied to manage risks of all types and is not limited to a specific context --- ## 7. 支援 ### 7.1 資源 組織應決定並提供建立、實作、維持及持續改善資訊安全管理系統所需之資源。 ### 7.2 能力 (competence) 組織應採取下列措施。 - a 決定於組織控制下執行工作, 影響其資訊安全績效人員之必要能力。 - b確保此等人員於適切教育、訓練或經驗之基礎上能勝任。 - c於適用時,採取行動取得必要能力,並評估所採取行動之有效性。 - d 保存適切之文件化資訊, 作為勝任之證據。 ### 7.3 認知 (awareness) 於組織控管下,執行工作之人員應認知下列事項: - a 資訊安全政策。[ 請參閱條款 5.2 ] - b 其對資訊安全管理系統有效性之貢獻,包括改善的資訊安全績效之益處。及 - c 未遵循資訊安全管理系統要求事項之可能後果。 ### 7.4 溝通或傳達 組織應決定,相關於資訊安全管理系統之內部及外部溝通或傳達的需要,包括下列事項: - a 溝通或傳達事項 (what)。 - b 溝通或傳達時間 (when)。 - c 溝通或傳達對象 (who)。 - d 溝通或傳達方式 (how)。 ### 7.5 文件化資訊 - 7.5.1 一般要求 組織之資訊安全管理系統應包括下列內容: - a 本標準要求之文件化資訊。及 - b 由組織所決定對資訊安全管理系統有效性,必要之文件化資訊。 ![image](https://hackmd.io/_uploads/S1HYUULLyx.png) 四階文件 1.政策 -> 5.2 2.程序 -> 3.(SOP)辦法,指引,程序書 -> 4.表單,紀錄,報告 -> - 7.5.2 制訂及更新 於[ 制訂 ] 及 [ 更新 ] 文件化資訊時,組織應確保適切之下列項目: - a 識別及描述 (例: 標題、日期、作者或參引號碼)。 - b 格式 (例: 語言、軟體版本、圖形) 及媒體 (例: 紙本、電子)。及 - c 合宜性及適切性之審查及核可。 - 7.5.3 文件化資訊之控制 應控制資訊安全管理系統及本標準要求之文件化資訊,以確保下列事項: - a 其於需要處及需要時為可用及適用。及 - b 其受適切保護 (例: 防止漏失機密性、不當使用或漏失完整性)。 為控制文件化資訊,組織應於適用時,闡明下列活動: - c 派送、存取、檢索及使用。 - d 儲存及保存, 包括可讀性之保存。及 - e 變更之控制 (例: 版本控制)。 - f 留存(retention) 及屆期處置(disposition)。 #### 標準那些主題會要求要產生"文件化資訊"要求? 4.3 決定資訊安全管理系統之範圍 5.2 政策 6.1.2 資訊安全風險評鑑 6.1.3 資訊安全風險處理 6.2 資訊安全目標及其達成之規劃 7.2 能力 (competence) 8.1 運作之規劃及控制 8.2 資訊安全風險評鑑 8.3 資訊安全風險處理 9.1 監督 (monitoring)、量測 (measurement)、分析 (analysis) 及評估 (evaluation) 9.2.2 內部稽核方案 (Internal audit programme) 管理 9.3.3 管理審查結果 10.2 不符合 (nonconformity) 事項 及矯正措施 ## 8. 運作 ### 8.1 運作之規劃及控制 組織應規劃、實作及控制 [ 符合要求事項 ] 所需之過程 (process),並藉由下列方式,實作第 6 節中所決定之行動: - 建立過程之準則 (criteria for the processes); - 依準則實作過程之控制措施。 應保存 [ 應提供文件化資訊 ],其程度須具 [ 足以達成其過程已依規劃執行之信心 ]。 組織應控制所規劃之變更 (參照 6.3),並審查非預期變更的後果,必要時採取行動以減輕任何負面效果。 組織應確保與資訊安全管理系統相關 [ 外部所提供 (externally provided) 之過程、產品或服務 ] 受控制。 -> 外部:計算機中心以外的就是外部,非組織以 ### 8.2 資訊安全風險評鑑 組織應依 [ 規劃之期間 ],或當 [ 提議 ] 或 [ 發生重大變更 ] 時,考量 6.1.2(a) 所建立之準則,<font color='yellow'>執行資訊安全風險評鑑</font>。(6.1.2 and 6.1.3有關聯) 組織應保存 [ 資訊安全風險評鑑結果 ] 之文件化資訊。 風險管理的方法論 第六章Plan 第八章Do ### 8.3 資訊安全風險處理 組織應實作 [ 資訊安全風險處理計畫 ]。 組織應保存 [ 資訊安全風險處理結果 ] 之文件化資訊。 --- ![image](https://hackmd.io/_uploads/HkaObvLUkx.png) --- ## 9. 績效評估 ### 9.1 監督 (monitoring)、量測 (measurement)、分析 (analysis) 及評估 (evaluation) 組織應決定下列事項: - a 需要監督及量測之事項, 包括資訊安全過程及控制措施。 - b 監督、量測、分析及評估之適用方法,以確保<font color='yellow'>有效</font>的結果。 所選擇之方法宜產生適於比較 (comparable) 及可重製 (reproducable) 視為有效的結果。 - c 應執行監督及量測之時間。 - d 應執行監督及量測之人員。 - e 監督及量測結果應分析及評估之時間。 - f 應執行分析及評估此等結果之人員。 應具備文件化資訊,作為結果之證據 組織應評估資訊安全績效及資訊安全管理系統 [ 請參閱條款 6.2 ] 之有效性。 ### 9.2 內部稽核 - 9.2.1 一般要求 組織應依規劃之期間施行內部稽核,以提供資訊安全管理系統之下列資訊: - a 是否 “符合 (conforms)” 下列事項: - 1 組織本身對其資訊安全管理系統之要求事項。 - 2 本標準之要求事項。 - b 是否有效實作 (effectively implemented) 及維持 (maintained)。 ![image](https://hackmd.io/_uploads/HJRNGv8L1e.png) - 9.2.2 內部稽核方案 (Internal audit programme) 管理 組織應規劃、建立、實作及維持 “ 稽核方案 (audit programme(s)) “, 包括頻率、稽核方法、責任、規劃要求事項及報告。 於建立內部稽核方案時,組織應考量 所關切過程之重要性 及 先前稽核 的結果。 ![image](https://hackmd.io/_uploads/r1UoMDIIJx.png) 組織應採取下列作為: - a 定義各稽核之 [ 稽核準則 (audit criteria) ] 及 [ 稽核範圍 (audit acope) ]。 - b [ 選擇稽核員 ] 及 [ 施行稽核 ], 以確保 [ 稽核過程之公正性 (impartiality) ] 及 [ 稽核結論 (audit conclusion) 之客觀性 (objectivity) ] 。 - c 確保 [ 稽核之結果 ] 對 [ 相關管理階層 ] 報告。 應具備文件化資訊,作為 [ 稽核方案 (audit programme) 實作 ] 及 [ 稽核結果 ] 之證據。 ![image](https://hackmd.io/_uploads/HJ60GvUU1l.png) - 9.3 管理審查 - 9.3.1 一般要求 <font color='yellow'>最高管理階層</font>應於規劃之期間,審查組織之資訊安全管理系統,以確保其持續的合宜性(suitability)、適切性(adequacy) 及有效性(effectiveness)。 - 9.3.2 管理審查輸入 管理審查應包括對下列事項之考量: - a 過往管理審查之決議的處理狀態。 - b 與資訊安全管理系統有關之<font color='yellow'>外部及內部議題</font>的變更。(參照 4.1) - c 與資訊安全管理系統相關<font color='yellow'>關注方之需要及期望</font>的變更。(參照 4.2) - d 資訊安全績效之回饋,包括下列之趨勢: - 1 不符合事項及矯正措施。 (參照 10.2) - 2 監督及量測結果。 (參照 9.1) - 3 稽核結果。 (參照 9.2) - 4 資訊安全目標之達成。 (參照 5, 6.2, 9.1) - e 關注方之回饋。 - f 風險評鑑結果及風險處理計畫之狀態。 (參照 6, 8) - g 持續改善之機會。 (參照 10) - 9.3.3 管理審查結果 管理審查之結果,應包括與持續改善機會相關的決策,以及任何對資訊安全管理系統變更之需要。 應具備文件化資訊,以作為管理審查結果之證據。 ## 10. 改善 -> Action ### 10.1 持續改善 (continual improvement) 組織應持續改善 (continually improvement) 資訊安全管理系統之合宜性、適切性及有效性。 ### 10.2 不符合 (nonconformity) 事項 及矯正措施 不符合事項發生時,組織應有下列作為: - a 對不符合事項 反應,並於適用時,採取下列作為: - 1 採取行動,以控制並修正 (correction) 之。 - 2 處理其後果。 - b 藉由下列作為, 評估對消除不符合事項之原因的行動之需要, 使其不再發生且不於他處發生: - 1 審查不符合事項。 - 2 判定不符合事項之原因。及 - 3 判定是否有類似之不符合事項存在, 或可能發生。 - c 實作所有所需行動。 - d 審查所有所採取矯正措施 (corrective action) 之有效性。 - e 若必要時, 則對資訊安全管理系統進行變更。 矯正措施應切合所遇到之不符合事項之影響。 應具備文件化資訊,以作為下列事項之證據: - f 不符合事項之本質及後續採取的所有行動。 - g 所有矯正措施之結果。 ![image](https://hackmd.io/_uploads/Sy-l4vLU1e.png) 管理審查討論的議題? 針對本文4-10章的內容,在說甚么? 考試範圍也包含ISO 19011 62pt (稽核也是考試的一環) 附錄A的四個主題? 組織 人員 實體 技術 --- 管理系統重要的概念 - 持續改善 - PDCA循環(本文4-10章) - 風險管理 - 系統核心的部份 - 如何控管風險? --- 要了解本文的核心架構和附錄A的控制項 ---