ISO/IEC 27001:2022 fundation III - 附錄 A - 5.組織控制措施

## ISO/IEC 27001:2022 foundation III - 附錄 A ### 5 Organizational controls (37) 組織控制措施 #### 5.1(A.5.1.1,A.5.1.2) 資訊安全政策 - 本文 5.2 - 控制措施：[ 資訊安全政策 ] 及 [主題特定政策 ] 應予以定義、由管理階層核可、發布、傳達予相關人員及相關關注方，且其係知悉，並依規劃期間及發生重大變更時審查。 - 系統測試 - 目視檢查 - 目的：依營運、法律、法令、法規及契約要求事項，確保管理指示之持續合宜性、適切性及有效性，以及對資訊安全的支持。 - 參照文件化資訊或設計及實施控制措施的可能證據: — [ 資訊安全政策 ] — 組織認定有必要的 [ 資訊安全主題特定政策 ] a）存取控制政策； b）實體和環境安全政策； c）資產管理政策； d）資訊傳輸政策； e）安全配置及使用者終端裝置使用政策； f）網路安全政策； g）資訊安全事件管理政策； h）備份政策； i）密碼學和金鑰管理政策； j）資訊分類和處理政策； k）技術漏洞管理政策； l）安全開發政策。 — 向相關人員及相關各方宣導政策 - 納入或排除衡量理由: c, d, e #### 5.2 (A.6.1.1) 資訊安全之角色及責任 - 本文 5.3 - 控制措施：應依組織需要，定義並配置資訊安全之角色及責任。 - 目的：建立已定義、經核可及已瞭解之結構，用於組織內資訊安全的實作、運作及管理。 - 參照文件化資訊或設計及實施控制措施的可能證據: — 分配資訊安全實施、操作及管理職務及責任 #### 5.3 (A.6.1.2) 職務區隔 - 控制措施：衝突之職務及衝突的責任範圍應予以區隔。 - 目的：降低詐欺、錯誤及繞過資訊安全控制措施之風險。 #### 5.4 (A.7.2.1) 管理階層責任 - 本文 5.1 - 控制措施：[ 管理階層 ] 應要求所有人員，依組織所建立 [ 資訊安全政策 ]、[ 主題特定政策 ] 及 [ 程序 ]，實施資訊安全。 - 目的：確保管理階層瞭解其於資訊安全中之角色，並採取旨在確保所有人員認知並採取其資訊安全責任的行動。 #### 5.5 (A.6.1.3) 與權責機關之聯繫 - 控制措施：組織應建立並維持與相關權責機關之聯繫。 - 目的：就資訊安全而言，確保組織與相關法律、法規及監督權責機關間，進行適切的資訊流。 #### 5.6 (A.6.1.4) 與特殊關注群組之聯繫 - 控制措施：組織應建立並維持與各特殊關注群組或其他各專家安全論壇及專業協會之聯繫。 - 目的：就資訊安全而言，確保進行適切之資訊流。 #### 5.7 (new) 應蒐集並分析與資訊安全威脅相關之資訊，以產生威脅情資。 - 控制措施：應蒐集並分析與資訊安全威脅相關之資訊，以產生威脅情資。 - 目的：提供對組織威脅環境之認知，以便採取適切的減緩措施。 #### 5.8 (A.6.1.5, A.14.1.1) 專案管理之資訊安全 - 控制措施：資訊安全應整合入[ 專案管理 ] 中。 - 目的：確保於整個 [ 專案生命週期 ] 之專案管理中，有效因應與專案及交付項目相關的資訊安全風險。 #### 5.9 (A.8.1.1, A.8.1.2) 資訊及其他關聯資產之清冊 - 控制措施：應製作並維護資訊及其他相關聯資產 (包括擁有者) 之清冊。 - 目的：識別組織之資訊及其他相關聯資產，以保護其資訊安全並指定適切之擁有者。 #### 5.10 (A.8.1.3, A.8.2.3) 可接受使用資訊及其他相關聯資產 - 控制措施：應識別、[ 書面記錄 ] 及實作對處置資訊及其他相關聯資產之可接受使用的 [ 規則 ] 及 [ 程序 ]。 - 目的：確保資訊和其他相關資產得到適當的保護、使用和處理。 #### 5.11 (A.8.1.4) 資產之歸還 - 控制措施：適切時，人員及其他關注方於其聘用、契約或協議變更或終止時，應歸還其持有之所有組織資產。 - 目的：將保護組織之資產，作為變更或終止聘用、契約或協議之過程的一部分。 #### 5.12 (A.8.2.1) 資訊之分類分級 - 控制措施：資訊應依組織之資訊安全需要，依機密性、完整性、可用性及相關關注方要求事項分類分級。PIMS 延伸要求 - A.8.2.1, 資訊之分級 - 目的：依資訊對組織之重要性，確保識別及瞭解資訊的保護需要。 #### 5.13 (A.8.2.2) 資訊之標示 - 控制措施：應依組織所採用之資訊分類分級方案，發展及實作一套適切的 [ 資訊標示程序 ]。PIMS 延伸要求 - A.8.2.2, 資訊之標示 - 目的：為促進資訊分類分級之溝通或傳達，並支持資訊處理及管理的自動化。 #### 5.14 (A.13.2.1, A.13.2.2, A.13.2.3) 資訊傳送 - 控制措施：應備妥資訊傳送 [ 規則 ]、 [ 程序 ] 或 [ 協議 ]，用於組織內及組織與其他各方間之所有型式的傳送設施。PIMS 延伸要求 - A.13.2.1, 資訊傳送政策及程序 - 目的：維護於組織內及與任何外部關注方傳送之資訊的安全性。 #### 5.15 (A.9.1.1, A.9.1.2) 存取控制 - 控制措施：應依營運及資訊安全要求事項，建立並實作對資訊及其他相關聯資產之實體及邏輯存取控制的規則。 - 目的：對資訊及其他相關聯資產，確保經授權之存取並防止未經授權的存取。 #### 5.16 (A.9.2.1) 身份管理 - 控制措施：應管理 [ 身分之整個生命週期 ] 。PIMS 延伸要求 - A.9.2.1, 使用者註冊及註銷 - 目的：用以唯一識別容許存取組織資訊及其他相關聯資產之個人及系統，並用以啟用適切指派存取權限。 #### 5.17 (A.9.2.4, A.9.3.1, A.9.4.3) 鑑別資訊 - 控制措施：鑑別資訊之配置及管理應由管理過程控制，包括告知人員關於鑑別資訊的適切處理。 - 目的：確保正確之個體鑑別並防止鑑別過程失效。 #### 5.18 (A.9.2.2, A.9.2.5. A.9.2.6) 存取權限 - 控制措施：應依組織之存取控制的 [ 主題特定政策 ] 及 [ 規則 ]，提供、審查、修改及刪除對資訊及其他相關聯資產之存取權限。PIMS 延伸要求 - A.9.2.2, 使用者存取權限之配置 - 目的：確保依營運要求事項，定義及授權對資訊及其他相關聯資產之存取。 #### 5.19 (A.15.1.1) 應者關係中之資訊安全 - 控制措施：應定義並實作 [ 過程 ] 及 [ 程序 ]，管理與 [ 供應者產品或服務 ] 之使用相關聯的資訊安全風險。 - 目的：於供應者關係中維持議定之資訊安全等級。 #### 5.20 (A.15.1.2) 於供應商協議中闡明資訊安全 - 控制措施：應依供應者關係之型式，建立相關的資訊安全要求事項，並與各供應者議定。PIMS 延伸要求 - A.15.1.2, 於供應者協議中闡明安全性 - 目的：於供應者關係中維持議定之資訊安全等級。 #### 5.21 (A.15.1.3) 管理 ICT 供應鏈中之資訊安全 - 控制措施：應定義並實作 [ 過程 ] 及 [ 程序 ]，管理與 ICT 產品及服務供應鏈相關聯之資訊安全風險。 - 目的：於供應者關係中維持議定之資訊安全等級。 #### 5.22 (A.15.2.1, A.15.2.2) 供應者服務之監視、審查及變更管理 - 控制措施：組織應定期監視、審查、評估及管理供應者資訊安全實務作法及服務交付之變更。 - 目的：依供應者協議，維持議定之資訊安全及服務交付等級。 #### 5.23 (NEW) 使用雲服務之資訊安全 - 控制措施：應依組織之資訊安全要求事項，建立獲取、使用、管理及退出雲端服務的過程。 - 目的：規定並管理使用雲端服務之資訊安全性。 #### 5.24 (A.16.1.4) 資訊安全事故管理規劃及準備 - 控制措施：組織應 [ 評鑑資訊安全事件 ]，並判定是否將其歸類為 [ 資訊安全事故 ]。 - 目的：確保對資訊安全事件有效分類及定優先序。 #### 5.25 (A.16.1.4) 資訊之評鑑及決策 - 控制措施：組織應 [ 評鑑資訊安全事件 ]，並判定是否將其歸類為 [ 資訊安全事故 ]。 - 目的：確保對資訊安全事件有效分類及定優先序。 #### 5.26 (A.16.1.5) 對資訊安全事故之回應 - 控制措施：應依 [ 書面記錄 ] [ 程序 ]，回應 [ 資訊安全事故 ]。PIMS. 延伸要求 - A.16.1.5, 對資訊安全事故之回應 - 目的：確保有效率且有效地回應資訊安全事故。 #### 5.27 (A.16.1.6) 由資訊安全事故中學習 - 控制措施：應使用由資訊安全事故中所獲得之知識，強化及改善資訊安全控制措施。 - 目的：降低未來事故之可能性或後果。 #### 5.28 (A.16.1.7) 證據之蒐集 - 控制措施：組織應建立並實作 [ 程序 ]，用以識別、蒐集、獲取及保存與資訊安全事件相關之證據。 - 目的：保對與資訊安全事故相關之證據的一致且有效管理，供獎懲及法律行動用途。 #### 5.29 (A.17.1.1, A.17.1.2, A.17.1.3) 中斷期間之資訊安全 - 控制措施：組織應規劃，如何於 [ 中斷期間 ] 維持資訊安全於適切等級。 - 目的：於中斷期間，保護資訊及其他相關聯資產。 #### 5.30 (NEW) 營運持續之 ICT 備妥性 - 控制措施：應依營運持續目標 (例如 MTPD, RTO) 及 ICT 持續之要求事項，規劃、實作、維護及測試 ICT 備妥性。 - 目的：確保於 [ 中斷期間 ]，組織之資訊及其他相關聯資產的可用性。 #### 5.31 (A.18.1.1, A.18.1.5) 法律、法令、法規及契約要求事項 - 控制措施：應識別、[ 書面紀錄 ] 及保持更新資訊安全相關法律、法令、法規及契約之要求事項，以及組織為符合此等要求事項的做法。PIMS 延伸要求 - A.18.1.1, 適用之法規及契約的要求事項之識別 - 目的：確保遵循與資訊安全相關之法律、法令、法規及契約的要求事項。 #### 5.32 (A.18.1.2) 智慧財產權 - 控制措施：組織應實作適切 [ 程序 ]，以保護智慧財產權。 - 目的：確保遵循與智慧財產權及專屬產品使用相關之法律、法令、法規及契約的要求事項。 #### 5.33 (A.18.1.3) 記錄之保護 - 控制措施：應保護紀錄，免於遺失、毀損、偽造、未經授權存取及未經授權發布。PIMS 延伸要求 - A.18.1.3, 紀錄之保護 - 目的：確保遵循與紀錄保護及可用性相關之法律、法令、法規及契約的要求事項，以及行業期望或社會期望。 #### 5.34 (A.18.1.4) 隱私及個人可識別資訊 (PII) 之保護 - 控制措施：組織應依適用之法律、法規及契約的要求事項，識別並符合關於隱私保護及 PII 保護之要求事項。 - 目的：確保與 PII 保護之資訊安全層面相關的法律、法令、法規及契約之要求事項的遵循性。 #### 5.35 (A.18.2.1) 資訊安全之獨立審查 - 控制措施：應依規劃之期間或當發生重大變更時，獨立審查組織對管理資訊安全的作法及其實作 (包括人員、過程及技術)。PIMS 延伸要求 - A.18.2.1, 資訊安全之獨立審查 - 目的：確保組織對管理資訊安全之作法的持續合宜性、適切性及有效性。 #### 5.36 (A.18.2.2, A.18.2.3)資訊安全的政策、規則及標準之遵循性 - 控制措施：應定期審查組織資 [ 資訊安全政策 ]、[ 主題特定政策 ] 、[ 規則 ] 及 [ 標準 ] 之遵循性。PIMS 延伸要求 - A.18.2.3, 技術遵循性審查 - 目的：確保依組織之資訊安全政策、主題特定政策、規則及標準，實作及運作資訊安全。 #### 5.37 (A.12.1.1) 書面記錄之運作程序 - 控制措施：應 [ 書面記錄資訊處理設施 ] 之 [ 運作程序 ]，並使所有需要的人員均可取得。 - 目的：確保資訊處理設施之正確及安全運作。