# ISO 27001:2013 資訊安全管理系統主導稽核員課程 ## 文章說明 這份是 2021年上課時寫的筆記，即將要轉換 2022 了，等上了轉版課程再寫新的。 ## 相關條文事前準備 雖然說這門課是27001主導稽核員，但其實 ISO 還是有其他相關標準會會相關聯或影響，需要一併參考 * 27001 資安管理主條文 * 27002 資安控制措施 (也被抄錄在 ISO 27001 附錄A) * 27005 資安與個資風險管理 * 27701 隱私資訊管理 * 19011 稽核通用標準 * 17021 稽核驗證機構通用標準 * 27006 資安稽核標準 * 31000 5.3 內外部議題 ## 講師 練昱緯 DM 專長：資安 個資 9000品質（9000是基礎，但現在沒什麼在做9000，太忙了） ## Isms實績 (節錄) * 國內學校 台大 北醫 約23個大學 * 醫院 國泰 台中榮總約19間 * 企業 NEC 友達 仁寶 中油 台糖 正隆大園紙品廠 * 政府機構 北捷 國教院 國防部福利事業管理處 ## 課程概念閒聊 IT人員一直都要學，資訊變很快，管理系統雖然沒有技術領域變得那麼快，但還是有在變 上 iso27001 要以 LA主導稽核員的角度去看，如果是對ISO 27001 不了解，其實也有基礎課程，LA主導稽核員國外是直接教實務分析，但這次課程還是會稍微教一些ISO 27001基礎知識。 ISO 27001只是一個工具，甚至一人公司都可以導27001 ISO國際標準是配合資訊科技發展來調整的，2005 2013 各出過一版，這樣看週期約是8年 2019年時有說要改，但到了2022/02還沒改完，可能快改版了，但改版間約有2年緩衝期，所以拿到還可以用一段時間，轉版訓練約2天 27002也是一個標準，是關於比較詳細的資訊安全要注意的事項，ISO 27001的主條文很短，附錄A稍微長一些，這些具體的注意事項(控制措施)就是27002 上課一共五天，第四天會有起始和結束會議演練，第5天下午 1400考試三個小時 Iso 27001 資訊安全管理系統主條文 高階管理框架 27002 控制措施規範 ，裡面描述實踐準則 27003 實施指導或稱實施指引 企業導入執行綱要 27004 測評 執行績效標準 27005 風險管理 27007 驗證機構要求 27008 稽核員要求 往下追 先看程序 去找執行記錄 往上追 看到執行記錄 回頭去找有沒有符合程序 ## 資安法和 iso 27001 國際標準的關係 資安法原本想直接拿iso來用，但iso是國際泛用的標準，資安法應該要更嚴格並且明定什麼不能做什麼該做 所以現在是至少要通過27001，還需要滿足資安法要求 ## 上完這門課的好處 第一個一定是拿到證書 另一個是容易發現問題在哪，因為上課很注重根因分析，能幫助理解邏輯概念 Iso國際標準已經把高階架構統一了 會了 27001，要學 9000 14000 都很快，因為第1-10章都一樣 ## 課程期末考試方式 分組討論的結果評核 每個演練最少6分 最多10分 筆試 合格分數63 但若每大題未達50%要補考，有個人跟你笑的題目要注意 考試**不能看書，但可以看無註記的條文** 稽核檢查情境可能有 1. 明顯不符合 2. 不一定不符合 需要再追查 ## 常見資安問題 高權限技術人員 弱點或威脅，如果他的個人能力不好那就是弱點，如果是他的權限太大那就是威脅 無限制訪問 弱點 駭客 威脅 版控問題 弱點 文件缺少 弱點 ## 機密完整可用以外 真實性 責任性 鑑別性 不可否認性 可靠性 可控性 ## 問題 疏忽的員工 模糊 是什麼？ 員工明明知道有某個規定，但是實作的時候不用心沒有照規定作，這個行為稱為模糊 ## 資安要全員參與，那請水電師傅進機房修冷氣，他有簽進出管制簿是否就等於他參與了？ 是的，ISMS的範圍若有外部人員涉入，外部人員一樣要做適當的管控措施，所以水電工進入機房，需要符合組織要求的委外人員管理措施 不過是否只簽管制簿，或是增加保密切結書（因為看到機房配置或有機會看到保管人員姓名）就看組織怎麼訂 ## 保密切結書可否寫需永久保密或永久有效？ 通常保密會分為 1. 持有資料在超過合約執行期間（或人員在職期間）需要繳回或銷毀 2. 已知的商業機密需永久保密，違反的話有刑事責任（營業秘密保護法） ## 政策程序與控制措施 訂政策 訂程序 落實記錄 確保有被控制 ## 顧問要去找老闆或大頭，不要去找小承辦人 高階管理者的支持很重要，不論是要錢要人或是跨部門要求稽核（例如帳號盤點）都需要領導力 ## 看條文的部分 6.1有很多風險評鑑的措施 6.2就是訂出來的目標 連動9.1 第8章就是執行第6章的內容，依照附錄a 27002的內容來做 第7章支援 support 和 resource 7.5 文件化資訊 包含但不限於Sop 手冊 ## 4.1 了解組織背景 參考iso 31000:2009 5.3建立組織內外部環境考量事項 可包括但不侷限於下列 * 無論是國際、國家、區域抑或地方，其社會與文化、政治、法令、規章、財務、技術、經濟、自然及競爭環境 * 對組織的目標具有衝擊之主要推動者與趨勢，及與外部利害相關者的關係，以及外部利害相關者之感知與價值。 參考網址 https://www.bsmi.gov.tw/bsmiGIP/wSite/public/Data/f1461570545959.pdf ## 利害關係人包含 上下左右中 上級主管 下屬員工 左手供應商 右手客戶 中間管理層 ## 稽核範圍需要包含 4.1 內外部議題 4.2 利害關係人要求 4.3 與其他組織活動的介面與相依性 例如有個小部門雖然沒有導入27001，但是他繳回公司的文件需要符合公司27001的表單，互相配合 適用性聲明書可能遇到的排除情形 A.6.2.2 不同意遠距 A.10.1.2 沒有金鑰（但現在至少有 https A.18.1.5 沒有外部要求的密碼控制規定，只有A.9.4.3 通行碼自己公司訂的 ## 課堂作業 利害關係者需求 1. 總經理 有限的經費維護公司相關資安事項 導入相關資安管理制度 2. 用戶 保護他們處理的數據之機密性 ## 稽核出去文審第一件事 要先判斷程序是否完整 組織全景評鑑 目標管理程序書要求很重要 有可能客戶把這些內容合併放在組織管理程序書，這樣也ok，不要完全沒有就好 ## 訂資安政策一定要有以下項目 * 組織目的 * 資安目標 或設定框架 * 滿足資安要求的承諾 * 持續改進 * 文件化 * 組織內流通 * 適當被利息關係者取用 --- ## 課堂作業2 審查政策 查核 貳 資訊安全政策，發現總經理的話包含 組織目的 服務客戶，提供高品質之資訊產品，公司負有到的 參 目標 承諾 四政策 包含1-6等承諾 持續改進 四政策 7 持續改進原則 查核 文件化資訊，於 參 資訊安全管理系統文件 可查看相關文件 組織內流通 五遵循性 所有員工 委外人員 都被告知政策存在以及維護政策…等文字 適當的被利害關係者取用 --- ## 稽核要留意是否有持續改進ISMS資源 優先關注在大條的資源，小條沒記錄就算了 --- Clause7條文7 文件化的益處: * 有助於確保過程能一致執行 * 可以協助新員工或職務調整 * 員工可以容易取得資訊 過多文件化的缺點: * 難以找到正尋找的資訊 * 可能難以瀏覽導致人員略過文件 * 變更時難以維護，可能需同時變更多份文件 --- ## 把管理程序附上對應的條文來源 例如 A9.1.2 網路與網路服務存取 網路安全管理程序書之類的文字，這樣對自己或稽核員適合不錯，不過大多數沒做 但沒關係，適用性聲明書通常也會寫 ## 稽核員能力 有一項關閉稽核是什麼意思？ 稽核員能力包含 規劃稽核 執行稽核 報告稽核事項 關閉稽核 關閉稽核就是指後續追蹤矯正的部分 可能做的事大多是文件審查，嚴重的現場審查，不過隔年複評還會去現場再看一次 不符合事項有四個階段 1. 不符合原因 2. 公司改正方式 3. 主導稽核員的評述是否接受（到此今年就結束） 4. 去年的不符合 run了一年後續是否還有效？ 這一格留給明年的稽核團隊寫 ## 驗證公司的查核動作 條文沒寫 公司地址 員工數 營業登記 等等內容 ## 5.2 政策 要求 最高管理層有關的ISO 27001的責任或活動相關4個條款(P3) ‧領導和承諾(5.1) ・政策(5.2) ・組織角色・職責和權限(5.3) •管理審查(9.3) 這個不是稽核組織的最高管理階層，而是被授權的高階主管 其實可以先塞訪問稿給對方主管，讓他們事先準備做小抄 ## 稽核溝通技巧 寬容 體諒 信任 傾聽 理解 了解 接納對方公司的一切 使用可靠的事實和稽核證據，以自信和具權威的方式了解自身立場 盡量發現對方好的地方，我們不是要去把對方弄死，而是趁著機會幫他們把做得好的寫在報告上 例如 顧問：現行的做法如果遇到了某種情境，您是否也會擔心發生損害呢？ 不是要挑毛病，我們一起找出可以更好的做法 列次要不符合或建議事項就好 雖然也可以列主要不符合，但是風險不高，主管知道而且有意願改善，讓事情圓滿就好 ## 詢問主管的問法 總經理好，沒事啦 我要寫個記錄而已，我對你很有信心，你們的文件都寫得很好啦，會議紀錄該簽名的也都有簽名，沒問題的 有幾個問題是想跟您討論，或許我們可以發現更好的方法 也跟您提醒一下 這項目的這一塊可能有風險，可以多留意 ## 詢問第一線人員的問法 你們做的都很有水準，看得出來你們的努力，資料也都有準備得很完整，也有充份的資料 --- ## 風險評估的一些流程與產出 三步驟 1. 6.1.1 其實就是做資訊資產的識別（資訊資產清冊），這個階段應考量 4.1 4.2框列需求 2. 實施風險評鑑 3. 確定保護措施 風險評鑑(6.1.2)包含分析(6.1.2d)與評估(6.1.2e) 分析 是識別威脅 分析現有弱點 用這兩者算出風險值 評估 是利用風險接受水準比較 (6.1.2 a 1）建立的可接受風險準則（通常是指風險值有沒有超標），超標就走下面的風險處理流程 風險處理(6.1.3) 就是針對風險評鑑結果進行控制 降低風險 未超出風險接受水準 就使用原來控制程序做管控即可 有超出風險接受水準 就寫風險處理計畫(6.1.3 a b c d e f --- ## 上課問問題 稽核時 受稽核公司動作很慢的問題 稽核員可以請公司人員出示提供記錄或程序，但如果到現場稽核時，公司很拖（承辦人在開會） 或是給的很少 （只給程序書 沒給表單，給了表單只給一張但沒全部），甚至導致延誤稽核進度 先把承辦人找來 跟他說我的稽核時間來不及，稽核計畫雙方都同意要五點結束 目前給我的資料證據不足，我報告寫不出來是否下次再來？ 或是請動作快一點，我的稽核記錄完整才能完成驗證 或是跟我說說很慢的原因？ 沒有代理人（人力不足） 或是 不知道資料在那（不熟） --- ## 上課問問題 什麼風險都接受的問題 有個很壞的公司，風險接受值訂什麼都接受，而且最高管理層甚至老闆都在會議紀錄說，稽核遇到這種情況怎麼辦？ 去看他的風險評鑑，是不是分析的內容不夠深入或是不夠完整 例如電腦說有ups然後說很安全，然後沒做裡面的資料可能會損失的分析 --- ## 上課問問題 資訊資產或帳號盤點內容被公司列為機密怎麼辦？ 保管者說 完整email帳號清冊有敏感個資（臥底名單），公司列為最高機密只有組織最高管理者可看 資訊資產也是機密，因為有戒嚴時期的機密文件不能洩漏，人事時地物或總數的資訊通通都不能公開 即使稽核員有簽了保密切結書，公司還是覺得有風險不方便提供資訊 公司人員是有意願配合稽核，只是受限於利害關係人需求與稽核內容有衝突，這時候稽核員與公司雙方該如何協調這問題？ --- ## 上課問問題 風險處理的風險轉嫁 還是很虧不符成本怎麼辦？ 例如我用youtube放教育訓練錄影影片，youtube沒收我錢所以不能用也不會賠我錢 我為了降低風險，改用google drive付費空間，每個月付少少錢，假設他真的暫時不能用也只會賠我當月月費 如果我教育訓練被延宕一天，我的損失遠超過月費 可是我自架雲端串流影片主機，花的錢太高反而會造成公司虧損 怎麼辦？ 只能接受這個風險乖乖用免費youtube或廉價的google drive嗎？ --- ## 上課問問題 稽核過程中 是否需告知第一線執行人員待改進的小問題？ --- ## 風險要考量的東西 威脅利用弱點造成的衝擊的可能性 少數例子也能考量法遵性 --- ## 監督和量測是什麼意思？ 監督：在一定時間內觀察監督檢查或不斷審查 量測：使用測量系統或設備記錄某物的大小 數量 配置 容量或頻率 --- ## 稽核取證據的做法 1. 面談 主要幹部與一般會議 2. 審查文件 程序與文件 3. 資料與記錄 監視記錄 4. 觀察 特定區域活動的現場參觀 --- ## 條文5.2 有政策 附錄a 5.1也有政策 差在哪裡？ 條文是訂定政策的要求 附錄a是 實施政策的要求（控制措施的要求 例如 附錄a 5.1.1 只有說要管理階層核准 ## 資產處置是什麼？ 是報廢嗎？ 不是，是指資產應該在什麼位置 擺在何處，上架的流程，進出機房的流程 例如重要電腦設備需要放在除濕上鎖的櫃子 報廢放在A.11.2.7 設備的汰除或再使用之安全 --- ## 上課問問題 如果根因分析找錯了怎麼辦？ 假設某個公司稽核後，依據稽核發現的問題的發現寫了矯正措施預防表單也做了記錄，但其實公司當下填寫的問題並非真正的原因（其實有多個原因，初次記錄不完整），而是在矯正過程中逐步進行才找到真正原因 那麼公司該在怎麼記錄(如何記? 記在哪?)發現到的真正原因？ 解法： 公司自己開一張矯正措施單，描述問題，並寫上根據真正的原因該如何處置 然後在前一張開錯原因的矯正單結案，處理方式寫發現了真正的原因，因此要用新的處理方式，並寫上新開的矯正單編號 這樣未來在查核的時候，看到一年前找錯原因的矯正單，自然會知道新的矯正單編號，讓事情的脈絡能夠被一路追下去 --- ## 上課問問題 稽核員能不能告知公司修正方式？ 如果公司收到稽核發現的問題，但自己沒有發現根因，雖然有執行矯正而且公司自己覺得改好了(自我感覺良好)，但稽核員看了覺得還是有疑慮，能否回覆公司該怎麼改？ 有點擔心這樣做會變成稽核員幫忙下指導棋導致招攬過多責任在稽核員身上的問題 稽核員必須保持獨立性和中立的立場，因此只能記錄自身觀察到(聽、看、問)到的事實證據 並告知從ISO 27001的主條文、附錄A或是公司自己的程序、合約等等是否有牴觸的情形 因此稽核員不能夠自己主動提供修正方式 --- ## 上課問問題 媒體汰除原廠規定不給抹除怎麼辦？ 防火牆壞掉進不去操作介面要送修，裡面有硬碟，公司程序說資料要抹除才可以出去，但是原廠說不准拆殼不准動硬碟，雖可透過防火牆介面按恢復原廠設定，但是壞掉進不去，只能要送回給原廠 解法有4種 1. 陪著原廠去修，監督資料是否有被保護好 2. 再買一台，舊的不離開公司，就不修了 3. 如果事前有評估資料外洩的可能性不高或是衝擊不高，列為風險低就可以出去 4. 請對方簽保密切結書 信賴他不會亂來 --- ## 存取的範圍是進出 不只是帳號密碼 例如下載上傳檔案是存取（檔案進出） 人員設備進出機房也是存取（不過這個放在實體與環境安全） ## 稽核時怎麼查人員異動？ 請公司提供新進人員或離職人員記錄 不方便拿的話， 把去年的組織成員名冊借來看 ## 稽核時的權限配置技術審查 技術審查就是用IT的手法去觀察 例如看系統實際使用時是否會看到敏感或超出權限範圍的資訊 甚至可以去看程式碼是否有奇怪的邏輯 ## 稽核時 稽核員不要去碰資訊系統 有需要看的資料，用聲控的方式請對方人員代為操作 例如請對方點看看能不能讓工讀生看到總經理的人事資料 --- ## 上課問問題 允許使用者自行註冊的系統怎麼做帳號清查 我是遊戲公司，下載遊戲的人都可以註冊帳號，這樣也要盤點嗎？ 需要，但要考量盤點的目的，開放大眾存取的話，主要不是權限問題，而是觀察是否有機器人大量註冊破壞系統或公平性，或是嘗試用同姓名帳號偽裝身份竊取他人帳號 --- ## 上課問問題 7.2人員能力有關於經驗的 求職者說謊 謊稱有證照，但到職後公司發現證照過期，請問這是否造成公司不符合資安程序呢? 例如沒有好好做聘用前調查 或是 招聘了不符合資格的員工？ --- ## 使用者責任 讓使用者在維護他們的鑑別資訊上負責 什麼意思？ 提醒他們帳號不要被盜，使用者自己有維護帳號密碼沒有外洩的責任 ## 實體安全的界線如何定義要注意 有時候有明顯的邊界 例如整棟建築物 有時候只是一個OA隔板或是一條走道分隔 稽核時要明確了解這個界線 ## 收發與裝卸 印表機的實體管控 大家都會在座位上按列印，但是事務機擺在無人管控處大家都能看能拿 更好的設定是到了事務機要按密碼或刷卡刷條碼才能印（例如ibon) --- ## 弱點 威脅 與衝擊的範例 操作人員錯誤 不當使用硬體 可用性 硬體物理損壞 操作人員錯誤 不足的安全訓練及認知 完整性 操作系統失誤造成資料誤植 資料外洩 攜帶方便容易拷貝 機密性 資料遭竊需支付違約金 資料損毀 缺乏備援拷貝 可用性 客戶資料需重新繕打 非授權人員存取網路 未保護公眾網路連線 機密性 傳輸遭側錄 地震 不足的維護或安裝錯誤 可用性 設備物理損壞 空調 硬體 電力供應故障 不當的服務維護回應 可用性 設備損壞 系統服務中斷 營運中斷 偷竊 缺乏門禁管制 機密性 資料遭竊 機密/敏感資訊洩漏 儲存設備報廢未適當處理 機密性 資料遭竊 --- ## A.12.7.1 稽核活動衝擊應讓營運過程中斷降至最低 ## 稽核找到證據，該如何判斷這個證據是符合或不符合? 4 的 利害關係人需求 6 的 風險處理 9 的 稽核 A 的控制措施 (公司自己寫的程序文件) ## 內部稽核模擬 面談 程序文件審查 記錄審查 觀察 查檢表1 A7.3.1 查核聘僱責任終止是否生效 查閱前一年和目前的組織成員編組名單 查閱 --- ## 稽核方案與稽核計畫的差別 稽核方案是一系列的安排，範圍比較大 如內部稽核方案 使用期間三年 稽核計畫是一個特定的稽核流程，只適用單次稽核，通常可能只有數天 ## 面試時被問的自己的缺點 不會拒絕別人 ## 實體稽核可以注意的一些要點 ## 機房 * 域 實體安全區域界定確認 * 防 邊界及門禁防護 All進出權限 * 監 監視系統 A.11.1 A.9管理權限 * 卸 收發與裝卸區 A.11.16 * 時 時脈同步 A.12.4.4時脈同步 * 溫 溫濕度+空調 A.9環控權限 A.11.2.2支援設施 * 消 消防系統(自動或人工 A.11.2.2 * 斷 不斷電UPS系統(或發電機 A.11.2.2 * 電 電力配置+弱電系統 A.11.2.2 * 容 容量管理 A.12.13 能力管理 * 產 抽資產(清冊+標示)核心主機+防火牆 A.8.1.1資產清冊A.8.2.2標示 * 網網路外線及防火牆配置 A.13.13網路區隔 * 保 設備保養紀錄(溫,消,斷電) A.11.2.4 設備維城 * 外 駐外設備及無人看管設備 A.11.2.6駐外A.11.2.8無人 * 簿 廠商名稱,人員,維護項進出時問 A11欄位及填況 A11監視器調閱 A7切結書 A15切結書 A15廠商清冊 * 物 攜出人物品(行動+媒) A6.2.1 行動設備的政策 A.8.3.3 實體媒體的傳送 A.11.2.5 資產的攜出 * 保 設備保養時間 A15廠商保養驗證 * 練 演練時間 A17演練驗證 ## 辦公室 可能不方便每間都稽核，因此依稽核方案年度抽樣 辦公室實體邊界防護、資訊資產及資訊作業配置 A.11.1 安全區域 OA共用設備抽(資產事務機或公用PC+連線管理) 連線之事務機是否納入資產清冊? 列印掃描傳真等之伺服存取控制措施? 網路控管,是否列入IP及防火牆管制? 網路設備設置、無線網路設置適切性? A.8.1.1 資產清冊 A.9.1.1存取控制政策 A.9.4.1 資訊存取限制 A.13.1.2網路服務的安全 ## 人員 (網管、開發、特權、個資人員 優先) 資訊設備資訊資產納管、編號 A.8.1.1 資產清冊 桌面淨空,螢幕淨空及保護程式設定 A.11.2.9桌面與螢幕淨空 密碼長度,使用者登入之密碼長度 A.9.4.3 密碼管理系統 A.10.1.1使用密碼控制措施的政策 作業系統更新(或勒索病毒之程式更新 A.12.6.1 技術脆弱性的管理 防毒軟體安裝、管控、更新、記錄分析 A12.2.1 對抗惡意程式的控制措施 --- ## 以下是考試可能會出現的模擬問題 ## 人員能力的能力是什麼意思 定義？ 有知識 技能教育或經驗，可以在工作場所發揮有效作用 ## 知識的意思？ 知識是對某個主題確信的認識，並且這些認識擁有潛在的能力為特定目的而使用。 ## 為何要求教育訓練 7.2 b)確保人員能勝任工作 7.3 b)對 ISMS有效性及改進資訊安全效益之貢獻 7.3 c) 避免不遵循ISMS要求的可能影響 第二大題： 1．證據三要素：訪談、文件、觀察 2．稽核方案跟計畫的差別？ 3．稽核的四種方式？實地稽核、異地… ## 組織應內部溝通的議題 1. 政策承諾 2. 資訊安全目標 3. 個人責任和權限 4. 個人對ISMS其有效性的貢獻的重要性 5. 個人意識到要報告的事件,方式和對象 6. 個人對資訊安全的控制和行為的意識適用於他們的角色 (例如明確的桌面淨空要求、文件的含義、資產的防護標記) ## 「以風險為基礎之決策」的文件化資訊 資訊安全風險列表(識別) 分析和評估記錄和容差標準舉例(P1) 與風險承受能力相關的資訊安全政策、承諾、聲明和方法(定性或定量) (5.2) 資訊安全風險評估標準和/或定義過程(6.1.2, 8.2) 資訊安全風險處理定義過程,優先級風險矯正計劃,適用性聲明,包括合理的包含和排除(6.1.3) 資訊安全目標(6.2, 8.3) 管理審查記錄(9.3)口事件和事件管理記錄(A.16) 營運持續性計劃和相關記錄(A.17) ## 文化件資訊的意思 ## 列出四項影響文件化資訊範圍也其中2項 1. 組織的規模 活動過程產品與服務的類型 2. 過程的複雜性與相互作用 3. 人員能力 ## 作為一位ISMS的主任稽核員,你正準備要 稽核一家公司,請說明你在稽核準備階段要審查的 那些必要的文件化資訊。 要求文件化的條文有這些 * 4.3 Scope of the ISMS 決定資訊安全管理系統的適用範圍 * 5.2 Information security policy 資訊安全政策 5.2e)以文件化資訊的方式被取用 * 6.1.2 Information security risk assessment process 資訊安全風險評鑑程序 * 6.1.3 Information security risk treatment process 資訊安全風險處理程序 * 6.1.3 d) Statement of Applicability 適用性聲明(SoA) * 6.2 Information security objectives 資訊安全目標 (組織應保存資訊安全目標的文件化資訊) * 7.2 d) Evidence competence 7.2 d)保存適當文件化資訊當作能力的證據 * 7.5.1 b) Documented information determined by the organization as being necessary for the effectiveness 由組織決定 ISMS的有效性所必需的文件化資訊(公司管理程序自己列的表單) * 8.1 Operational planning and control 運作的規劃與管控(控制程序書或手冊 俗稱的2,3階文件) * 8.2 Results of the Information security risk assessments 資訊安全風險評鑑結果 * 8.3 Results of the information security risk treatment 資訊安全風險處理的結果 * 9.1 Evidence of the monitoring and measurement results 內部監督、量測、分析與評估 (通常是目標量測表) * 9.2 g) Evidence of the audit results programme(s) and the audit 稽核流程與稽核結果的文件化證據 * 9.3 Evidence of the results of management reviews 管理階層審查 (風險評鑑、目標量測表、內部稽核、矯正措施等等的會議簡報，高階主管有參與會議並同意會議持續改進結論的簽名記錄) * 10.1 f) Evidence of the nature of the nonconformities and any subsequent actions taken 不符合事項的性質與任何採取的後續措施 * 10.1 g) Evidence of the results of corrective action 任何矯正措施的結果 --- ## 請任舉五種不同的資訊安全的組織人員角色與職責規劃? * 資訊安全政策、計畫、措施、技術規範之 研議,安全技術之研究建置、評估。 * 資安風險評估、分析、計畫、控管之工作 * 資訊安全教育訓練 * 內部稽核相關作業 * 網路安全控管、監督 ## 組織ISMS對供應商管理之風險控制目標重點為何? * 供應商關係的資訊安全政策 * 供應商協議內的安全說明 * 供應商服務的監控與審查 * 供應商服務變更的管理 * 監控資訊與通訊技術供應鏈 ## 稽核過程中,爭論與自信的區別 * 爭論通常是指一個情緒化的反應,具 備侵略性,採取根深蒂固的立場,不 用考慮其他人的想法。 * 自信是指基於使用可靠的事實和稽核 證據,以自信和具權威的方式了解自 身立場,意味著不在過度情緒之中傳遞訊息。 ## 正準備執行起始會議時,公司的老闆極力邀請稽核團隊前往公司沿革室,請專人講解公司歷史,能讓稽核團隊更瞭解公司,你是LA,你將考量那些因素?以決定接不接受此建議。 * 稽核計劃中是否為此留出了時間? * 是否可以調整程序來滿足此要求? * 觀賞需要多長時間? 需要在團隊可能看到和學習到 的東西之間取得平衡。 * 如果建議被拒絕,將對客戶關係產生什麼影響? * 在第一階段之後,團隊是否已被告知公司情況? * 如果進行了巡迴演出和演示,審核會更有效嗎? * 可以在審核計劃之外(例如在午餐休息時間)安排導覽和介紹嗎? ## a) 請敘述外交手腕的意義並舉例說明稽核員如何運用 b) 請簡短描述不具外交手腕可能對稽核產生的影響。 a)請敘述外交手腕的意義並舉例說明稽核員如何運用 與人交流時,具備外交手腕是老練、靈敏和謹慎的，範例包含: * 不要把任何議題個人化。 * 不要投入或參加公司「政治」。 * 不對管理做任何評論。 * 不與區域管理層或其他高階管理層以外的任何人討論與其領域之外的調查結果。 b) 請簡短描述不具外交手腕可能對稽核產生的影響 若受稽者的能力受到挑戰或不願意提供資訊，他們會感到沒安全感或受到侵犯。 ## 稽核員可透過那些方式驗證已商定確認的矯正措施是否受到有效實施 * 接受書面回應 * 評估提交之證據 * 於稽核地點驗證矯正措施 ## 內部稽核最重要的要求是客觀公正。在這情況下,請描述客觀性及公正性之間的區別。(2分) A key requirement of internal audits is that they are objective and impartial. Describe the difference between objectivity and impartiality in this context. (2 marks) * 客觀性:稽核員應收集可驗證之基於事實的證據。(1分) Objectivity: Auditors should gather fact-based evidence that can be verified. (1 mark) * 公正性:稽核員應毫無偏見地執行任務,包括收集和分析證據。(1分) Impartiality: auditors should act without bias, including in the gathering of and analysis of evidence. (1 mark) ## 請列出組織可使用以確定其法律和法規定遵從程度的兩種方法(2分) List two methods an organisation can use to determine its level of legal and regulatory compliance. (2 marks) * 審查資訊安全事件和相關回應。 Review of information security incidents and related responses. * 其他業務部門的非正式同半審查。 Informal peer review by other business departments. * 領域專家(例如數據保護專家或法律顧問)進行正式內部稽核。 Formal internal audit by subject matter experts (e data protection expert staff or legal counsel). * 經認可稽核員、諮詢專家或利害關係人進行外部稽核(如:公司客戶或其代表)。 External audit by accredited auditors, consulting experts or interested parties (e.g. corporate customers or their representatives) ## ISO 27001 之條文 6.1.3 要求須實行適當的資訊安全風險處理。 簡短描述 4項主要風險方其中的2項可應用於風險。 Clause 6.1.3 of ISO 27001 requires appropriate information security risk treatment options to be carried out. Briefly describe two of the four principal risk treatment options that may be applied to a risk. (2 marks) * 風險規避(Avoid)：藉由停止從事產生風險之活動來避免風險。 * 風險降低(Reduce)：藉由降低風險發生之機會或其重大性。 * 風險移轉(Transfer)：藉由風險轉嫁來來降低風險發生時之損失。 * 風險接受(Retain)：接受風險的現狀，但對於風險發生之損失需考量如何承受。 ## 確定稽核員可透過兩種方式驗證已確認的矯正措施是否受到有效實施。 Identify two ways in which an auditor can verify that agreed corrective actions have been effectively implemented. (2 marks) * 接受書面回應 Acceptance of a written response. * 評估提交之證據 Evaluation of submitted evidence * 於稽核地點驗證矯正措施 Verification of corrective action at the audit location * 上述這些必須表明矯正措施已起作用而非簡單地引入。 All of which must demonstrate that the corrective action has worked as oppos to simply being introduced. ## ISO 27000定義資訊安全管理系統為「基於商業風險方法之整體管理系統的一部分。」 ISO 27000 defines an ISMS as "part of the overall management system based on a business risk approach". a) 請解釋您對「商業風險方法」含意的理解(2分) Explain your understanding of what is meant by a "a business risk approach". (2 marks) b) 請寫出含有這種方法的ISO 27001條文 (3分) a) 商業風險方法:具備商業目的、目標,以及利害關係人的需求及期望的情況之下,基 於風險分析和評估做的決定(例如:法律和監管要求以及合同約義務。) A business risk approach: decisions are taken based on the analysis of and evaluation of risks in the context of business purpose and objectives, and the needs and expectations of interested parties (e.g. legal and regulatory requirements and contractual obligations). b) 請寫出含有這種方法的ISO 27001條文 5.1a 5.1 領導統和承諾:確認已建立資訊安全政策和資訊安全目標,並與組織的策 略方向保持一致 Leadership and commitment: ensuring the information security policy and the information security objectives are established and are compatible with the strategic direction of the organization 5.le 5.1 領導統御和承諾:確認安全管理系統達到其預期結果。 Leadership and commitment: ensuring that the information security management system achieves its intended outcome(s) 5.2 政策:高層管理人員應建立一個適當並符合組織目的的資訊安全政策。 6.1.2 OR 8.2 - 資訊安全風險評估 Information security risk assessment 6.1.3 OR 8.3 - 資訊安全風險處理 Information security risk treatment 9.1 監控、測量、分析和評估:組織應評估資訊安全成果和資訊安全管理系統的有效 性。 Monitoring, measurement, analysis and evaluation: the organization shall evaluate the information security performance and the effectiveness of the information security management system. 9.3 管理審查:高層管理人員應按照計畫的時間間格程審查組織的資訊安全管理系 統,以確保其持續的適宜性、充分性和有效性。 Management review: top management shall review the organization's information security management system at planned intervals to ensure its continuing suitability, adequacy and effectiveness 10.2 持續改進:組織應持續改善資訊安全管理系統的適宜切性、充分性和有效性。 Continual improvement: the organization shall continually improve the suitability, adequacy and effectiveness of the information security ## ISO 27001 要求最高層級管理人員提供領導統御和承諾的證據,致力於資訊安全管理系統發展及執行。 (為何要進行高層訪談 或是 如果證明領導力？) ISO 27001 requires top management to provide evidence of its leadership and commitment to the development and implementation of the information security management system. a) 請簡短描述一個可以用來評估最高層級管理委員會高階管理者符合上述要求的方法 (2 marks) b) 列出從足以證明高階管理整確實參與的證據 A) 與高層管理人員進行會談，以確定他們從事以下行為: Enterviews with 'top management' to determine (for example) their: * 投入參與政策發展。 Involvement in developing the policy. * 了解和溝通關於資訊安全管理有效的重要性。 Understanding and communication the importance of effective information security management. * 審查和設立資訊安全的目標。 Involvement in reviewing and setting information security objectives. b) 此外,收搜集高層管理人員根據ISO 27001 要求所採取之行動的證據,以證明他們參 與資訊安全管理系統。 稽核證據範例包含: Examples of audit evidence include: * 致力於資訊安全政策發展和審查過程。 Involvement in the information security policy development and review process. * 任命資源到資訊安全角色。 Appointment of resources to information security roles. * 參加管理審查過程。 Involvement in the management review process. * 明確證據表明他們與確保利害相關者的需求得到理解和溝通。(這可能包括評 估需求過程和流程以確定是否已達到要求。) Clear evidence that they are involved in ensuring stakeholder needs are understood and communicated. (This could include process for assessing requirements and processes in place to determine whether those requirements have been met.) * 政策與目標之間的明確連結,以及達到那些目標的系統和所有目標皆需定期進行高 層管理審查。 Clear link between policy and objectives, with systems to meet those objectives and all subject to senior management review at regular intervals. ## 於一場外部稽核的開起始會議中,管理代表通知您最近的內部稽核發現許多與內部採購部相關之不符合事項，相關不符合事項已計畫矯正措施。因此,管理代表建議若再次對此部門進行稽核沒有意義,並詢問您是否可從稽核計畫上刪除此部門,並花更多時間在生產區域。 At the opening meeting of an external audit, the management representative informs you that a recent internal audit has found many nonconformities relating to the in house purchasing department. Corrective action has already been planned. The management representative therefore suggests that to audit this department again would add no value and asks if you could delete this department from the audit plan and spend more time in the production area. 請概述5項您會回覆此需求的議題(5分) * 外部稽核必須包含所有與管理系統範圍和稽核標準相關之流程 (2分) An external audit needs to cover all the processes associated with the scope of the management system and the audit criteria. (2 marks) * 唯有在「允許排除」的條件下才可排除採購。(2分) Purchasing can only be excluded if it is a ‘permissible exclusion’ (2 marks) * 若排除採購,便無法就此驗證提出建議。(1分) If purchasing is not included, it will not be possible to make a recommendation on certification. (1 mark) * 現在對採購進行稽核將可確認最近內部稽核結果的準確性。(1分) * 現在對採購進行稽核可以發現能確定需要解決的其他調查結果。(1分) An audit of purchasing now may identify other findings that need to be addressed. (1 mark) * 稽核可包含審查有計畫的矯正措施。(1分) The audit can include a review of planned corrective action. (1 mark) --- ## 第三部 總共3題,一題 10 分 總分30分 答案必須有邏輯的呈現並符合ISO 27001 之要求才給分。 Section three - three questions worth ten marks each - maximum 30 marks Marks should be given for alternative answers that are logically presented and comply with the requirements of ISO 27001. --- ## 執行一場例行的續評驗證時,您正在稽核的組織告知您,他們不再執行任何設計工作, 此工作現在外包給其他分包商。 During a routine surveillance visit, the organisation you are auditing informs you that they no longer carry out any design work. This activity is now outsourced to a subcontractor. 根據以上情境,請舉出4個您要查找的稽核證據範例,以確定當前系統與ISO 27001 的一致性。 您的每一個範例,需指出與此情況相關的ISO 27001 條文。 * 證據表明顯示組織確定了與組織目的相關的外部問題(與分包商的角色、功能、能力和約束有關),並影響其達到 ISMS 預期結果的能力。(4.1) Evidence that the organisation has determined external issues (relating to the role, function and capability and constraints of the subcontractor) that are relevant to the organisation's purpose and that affect its ability to achieve the intended ISMS outcome(s). (4.1) * 紀錄資訊顯示出 ISMS 的邊界和適用性,考量到組織及其他組織(分包商)執行活動的連結和依賴關係。(4.2) Documented information showing that the boundaries and applicability of the ISMS take account of the interfaces and dependencies between activities performed by the organisation, and those that are performed by other organisations (the subcontractor). (4.2) * 證據表明顯示資訊安全風險評估已合理考慮了將設計工作分包给外部方的風險。 (6.1.2) Evidence that the information security risk assessments have reasonably considered risks related to subcontracting the design work to an external party (6.1.2) * 證據表明顯示評估的資訊安全風險已透過計畫的處理控制得到合理考量,其符合組織的風險偏好(6.1.3) Evidence that the assessed information security risks have been reasonably considered with planned treatment controls in line with the organisation's risk appetite (6.1.3) * 設計活動風險擁所有者已批准計劃風險處理的證據(6.1.3 f) Evidence that the design activity risk owner has approved the planned risk treatments (6.1.3 f) * 證據表明顯示適用性聲明確定已明確定義並調整外包設計活動相關的計劃控制目標和應用控制。 Evidence that the Statement of Applicability defines and justifies the planned control objectives and applied controls relevant to the outsourced design activity. (6.1.3 d) 本案例允許之補充資訊:計畫的相關控制措施可包含監控外包開發(A.14.2.7)和供應商關係控制(A.15)。 Allowable supplementary information for this example: Planned relevant controls could include monitoring of the outsourced development (A.14.2.7) and supplier relationship controls (A.15). * 證據顯示於設計開發及遞送活動期間,風險及其處理會定期根據當前的情況和經驗重 新評估和審查,並符合組織風險評估標準的要求(8.2, 8.3) Evidence that during design development and delivery activities, risks and their treatment is regularly reassessed and reviewed in the context of current circumstances and experiences and in line with the requirements of the organisation's risk assessment criteria (8.2, 8.3) * 組織針對人員設計能力達到對分包商進行適當控制必需的程度所已執行之證據(7.2) Evidence tha the organisation has engaged, persons competent in design to the degree ecessary to place adequate controls on the subcontractor. (7.2) * 紀錄顯示在簽訂合約之前已評估分包商的能力(7.2 c & d) Records showing that the capability of the subcontractor was evaluated prior to placing a contract. (7.2 c& d) * 證明所應用的控制在確保外包設計活動按照 ISMS 的相關要求執行方面是有效的 (9.1, 9.2) Evidence that the applied controls are effective in ensuring that the outsourced design activity is performed according to the relevant requirements of the ISMS (9.1, 9.2) * 證據表明顯示,在必要時,已告知客戶將設計工作外包的改變。(7.4) Evidence that where necessary this change of practice to outsource design work has been communicated to customers. (7.4) * 管理審查變更的紀錄,以及計畫改變並執行變更管理系統時,高級階管理者層須確 保维持 ISMS 完整性的證據(9.3) Records from management review about this change to the ISMS together with evidence that top management have ensured the integrity of the ISMS is maintained when changes to the management system are planned and implemented. (9.3) ## 考量到 ISO 27001 條文 10.1 之要求,請依序描述或使用圖表說明矯正措施的程序, 從稽核員提出的不符合要求開始至結束。 Taking into account the requirements of clause 10.1 of ISO 27001, describe in terms of a sequence or illustrate using a diagram a corrective action process starting from a non-conformance being raised by an auditor through to close out of the finding. 確定誰負責流程中的每項要素,並確定應於哪個流程採取矯正措施。 Identify who is responsible for each element of the process and identify where in the corrective action process decisions need to be taken. (10 marks) * 對不符合事項做出反應、採取行動(必要時),以進行控制和糾矯正-受稽方(0.5 分) React to the non-conformity, taking action (if needed) to control and correct it - Auditee (0.5 mark) * 必要時,處理不符合事项的結果(衝擊和影響)-受稽方(0.5 分) Deal with the consequences (impact(s) and effect(s)) of the non-conformity if needed Auditee (0.5 mark) * 評估採取措的必要性以確保不符合事項不會再發生-受稽方(0.5 分) Evaluation of the need for actions to ensure that nonconformities do not recur or occur elsewhere - Auditee (0.5 mark) * * 審查不符合事項-受稽方(0.5 分) Review the nonconformity - Auditee (0.5 mark) * * 確定根本發生原因-受稽方(0.5 分) Determination of root cause(s) - Auditee (0.5 mark) * * 確定相似的不符合是像是否存在或可能會發生其他地方-受稽方(0.5 分) * 實行需要的措施-受稽方(0.5 分) Implement action needed-Auditee (0.5 mark) * 必要時,對 ISMS 進行更改-受稽方(1.0 分) Make changes to the ISMS if necessary - Auditee (1.0 mark) * 記錄採取措施的結果-受稽方(0.5 分)記錄結果,非記錄採取的措施(因標準要求他 們記錄採取措施的影響結果,即採取措施的影響,故僅記錄所採取之措施德得 0 分) Record results of action taken - Auditee (0.5 mark) NB Record the results, not record the action taken (0 marks for recording action taken because the standard requires them to record the results, ie the effect of the action taken) * 審查採取措施之有效性,即檢查所採取措施之結果是否符合要求-受種方(0.5 分) * Review effectiveness of action taken, i.e. check if results of action taken meet requirements - Auditee (0.5 mark) * 需要決定採取的措施是否帶來符合需要的結果,若有,請持續進行,若無,請返回 受稽方(0.5 分) A decision is needed here on whether or not the action taken has brought about the results needed. If yes, proceed and if no, go back - Auditee (0.5 mark) * 這裡需要決定矯正措施流程是否已經實施,以及是否有證據表明所採取行動的結果 已經過審查並證明要求得到滿足-稽核員(1分) A decision is needed here on whether or not the corrective action process has been implemented and on whether there is evidence that the results of the action taken have been reviewed and demonstrate requirements are being met - Auditor (1 mark) * 記錄所採取措施的結果並結束稽核-稽核員(0.5分) Record results of the action taken and close the audit - Auditor (0.5 mark) ## 您正於製造緊急服務無線電通信系統的公司執行 ISO 27001 稽核。此系統包含「智慧」編程手機,內置加密支持安全通信服務。稽核計畫上的下一個活動是該組織的無線電話手機產品測試實驗室 藉由寫出一系列 10 個稽核檢查要點,於清單中概述您如何執行此稽核。每一項檢查點,請 列出您想集結蒐集之稽核證據的範例,並寫出適當的 ISO 27001 條文或附件A之控管參 考。(10 分) * 確認測試活動在 ISMS記錄範圍內(4.3) Confirmation that the testing activities are within the boundaries of the documented ISMS scope (4.3) * 測試活動之風險評估(6.1.2/8.2)及風險處理(6.1.3/8.3)的證據,並在適用聲明 中有適當的理由(6.1.3 d) Evidence of documented risk assessment (6.1.2/8.2) and risk treatment (6.1.3/8.3) of the testing activities with appropriate justifications in a Statement of Applicability (6.1.3 d) * 證明如何理解測試活動以達成計畫中的資訊不安全目標(6.2) Evidence of how testing activities are understood to support the achievement of planned information insecurity objectives (6.2) * 有證據表明,在整個測試過程中,適當地識別了測試中的無線電話產品,並確保其 所有擁有權。 Evidence that radio handset assets under test are appropriately identified during the process (A.8.1.1) with clear ownership throughout the testing process (A.8.1.2) * 若根據資訊分類方案對無線電手機產品進行歸類, 測試流程會支持已定義的處理程序(A.8.2.3) * 由於無線電手機包括編程组件和加密系統,測試程序和支持過程須符合媒體處理控 制要求(A.8.3) As radio handsets include programmed components and encryption systems, do testing procedures and supporting processes comply with media handling control requirements (A.8.3) * 無人看管的無線電手機產品是否受到適當地保護? (A.11.2.8) Are unattended radio handsets appropriately protected? (A.11.2.8) * 測試之資訊安全標準/規範為何,並且在測試結果記錄資訊樣本中是否符合驗收標 準?(A.14.2.9) What are the information security criteria / specifications for the tests and have acceptance criteria been met in a sample of test result documented information? (A.14.2.9) * 是否有針對測試活動的明確操作程序?(A.12.1.1) Is there a defined operating procedure for the testing activities? (A.12.1.1) * 誰參與了測試過程,他們的職責和權限如何定義?(6.2) Who is involved in the testing process, and how are their responsibilities and authorities defined? (6.2) * 證明確定能力要求得到滿足的證據(7.2) Evidence that competence requirements have been identified met (7.2) * 有證據表明從事測試工作的人員了解ISMS要求及其對資訊安全目標的貢獻(7.3) Evidence that individuals working in test roles are aware of ISMS requirements and their contribution to information security objectives (7.3) * 有證據表明測試基礎設施和環境之要求已經受到確定、提供和維護,例如:適用於測量測活動的區域:(A.11.2.1) Evidence that the testing infrastructure and environmental requirements have been determined, provided and maintained, e.g. suitability of the area for measurement activities. (A.11.2.1) * 證明測試環境與開發環境受到適當隔離(A.12.1.4) Evidence that the testing environment is appropriately segregated from the development environment (A.12.1.4) * 證據表明顯示環境測試是根據更廣泛的商業管理策略進行技術漏洞的管理(例如: 測試系統修補,監控和記錄) (A.12.6) Evidence that the test environment is managed in accordance with the wider business' strategy for managing technical vulnerabilities (e.g. test system patching, monitoring and logging) (A.12.6) * 進行測試需要什麼設備?(6.2) What equipment is needed to carry out the testing? (6.2) * 如何維護測試設備以確保可用性和完整性? (A.11.2.4) * 測試之後,樣品會發生什麼情況,是否重新使用(修復)或按照所需的安全控制措 施進行處理(A.11.2.7)? What happens to the samples after testing, are they re-used (repaired) or disposed of in line with required security controls (A.11.2.7)? * 從流程中保留哪些記錄資訊? (7.5) What documented information is retained from the process? (7.5) * 如何監控流程的性能? (9.1) How is the performance of the process monitored? (9.1) * 與目標相比,該過程的執行證據以及所產生的任何矯正措施(9.3) Evidence of performance of the process compared with targets, and any corrective actions arising (9.3) --- ## 4.1 稽核情境 4.1-Audit situation one: 於專門汰除故障或不必須要的 IT 設備區域中,您正在檢查資產編號 1234 筆記型電腦的 汰除紀錄,在最後檢查紀錄中,您發現「OK」一詞寫在所有資訊已從設備中安全刪除的旁邊。 an area dedicated to disposal of failed and redundant IT equipment you are examining the disposal record for asset number 1234, a laptop PC. You note that in the final inspection records the word 'OK' is written next to the statement that all information has been securely erased from the device. 紀錄顯示此筆記型電腦是一位職員從公司購買的,作為私人使用 問到此事時,經理解 釋內部販售可用設備,收益將捐贈給指定的慈善機構。 The record shows that this laptop PC has been bought from the company by an employee for their private use. When asked about this, the manager explains that usable equipment is sold internally with proceeds going to a nominated charity. 您要求查看使用中的設備以確保資訊是否如紀錄所述已被移除,經理開啟電腦,啟動 Microsoft WindowsXP®操作系統,進一步檢查文件管理器,其顯示文件系統顯然是空的。 * 不符合事項(識別構成不符合事項的可能情況2分) 將安裝了公司許可操作系統之裝置重新分配,供個人使用,該組織未根據許可條款,保護操作 系統製造商的知識產權和版權利益,此舉違反法律要求。主條文4.2. * 證據(識別證據3分) 資產編號 1234 電腦的汰除紀錄記錄了從設備中安全移除資訊的情況。檢查時，裝置已開啟且啟動了授權給公司的作業系統，但該汰除記錄卻顯示該設備分配給個人使用， 條文和要求 4.2 組織應確定一與資訊安全相關之利害關係人的要求,此可能包含法律和監管要求,以及合約義務 ## 4.2 稽核情境2: 4.2-Audit situation two: 您正於一組織裡稽核其設備管理部,該部門為大型組織提供並維護辦公空間及設施,包含實體 安全控制。 You are auditing the Facilities Management (FM) department in an organisation that provides and maintains office space and facilities for a large organisation, including physical security controls. 他們最近正處理來自營運總監的嚴重客訴:今早員工抵達工作崗位,發現沒有人可以使用他們 的身分識別卡進入大樓,時間關鍵客戶支援服務延遲,直到設備管理工程師強行進入並手動暫 停門禁控件。 They are currently dealing with a serious complaint from an operations director: Staff arrived to work this morning to find that none could access their building using their swipe cards. Time-critical customer support services were delayed until an FM engineer forged entry and manually disabled the door access controls. 您發現此事件與隔夜更換監視系統一致,該系統與廣域網路連接並由設施管理中央控制室監 控。門禁刷卡管制系統亦透過廣域網路的連接受到中央監控。現場IT服務工程師難以查明根本 原因,但推測監視系統的網絡預設與門禁控制系統相互衝突。 You find that the event coincides with the overnight replacement of a CCTV system; this system is connected to the WAN and monitored from FM's central control room. The swipe card access controls are also monitored centrally via the WAN connection. IT Service engineers on site are having difficulty pinpointing the root cause but * 不符合事項(識別缺失3分) Description of the nonconformity (3 marks for identifying the failure) 審查與公司網絡連接之安全控制系統之變更時,發現該組織未包含IT服務及企業安全。 The organisation has not involved IT Services and Corporate Security in the review of changes to security control systems connected to the corporate network. * 證據(識別證據3分) Evidence (3 marks for identifying the evidence) 發現控制文件 X 134 變更的最終版本顯示出IT服務及企業安全監視系統傳輸和安装之前審查變更。 Change Control document X 134 dated [date] and found to be the final version show that IT Services and Corporate Security did not review the change prior to delivery and installation of the CCTV system. * ISO 27001:2013 條文和要求: ISO 27001:2013 clause and requirement: 8.1 營運計劃和控制-組織應控制已計畫之變更,並審查非預期變更的後果,必要時,採取行 動減緩任何負面影響。 --- ## 4.3 稽核情境3: 4.3 - Audit situation three: 在一家保險公司進行稽核期間,您要求訓練經理提出三位理賠部門人員之訓練紀錄。您從訓練 紀錄中發現每位人員皆參加「客戶資訊保護」課程。經理表示課程目標是維持作業人員應具 備作業資訊安全措施的認知。 您提問經理他們如何對該項訓練進行評估,經理表示:「我們要求每位參加課程的人員填寫一 張包含人員對課程滿意度、訓練實用度及講師滿意度的問卷您詢問訓練經理他們如何評估訓練,其回覆:「我們要求每位參與訓練的人員完成一份問卷,詢問是否喜歡此課程,此課程的 有用程度,以及授課講師上課如何。此資訊有助於我們決定是否派送其他人員參與訓練課程。」 You ask the Training Manager how they evaluated the training and are told "We ask every person who attends a training course to complete a questionnaire on whether they enjoyed the course, how useful they found the training and how good the tutor was. This information helps us decide whether to send other staff on the course". 您檢查參加客戶資訊维護課程三位人員完成的問卷,三個人對於是否喜歡此課程及此課程的有 用程度給予高度評價,並且也對講師給予滿意的分數。 You examine the questionnaires completed by the three people who attended the care of customer information course. All three awarded high marks on how enjoyable they found the course and the usefulness of the course. All three also awarded a satisfactory score for the tutor. * 稽核調查 要進一步調查以確認組織如何評估訓練的有效性(2分) here is no nonconformity and further investigation is needed to determine how the organisation evaluates the effectiveness of training. (2 marks) 尋求調查和證據之要點 Points of investigation and evidence sought: * 了解該組織已確定那三位任職於索賠部門的人員所需具備的能力(7.2a) Find out what the organisation has determined to be the competencies needed for the three people who work in the Claims Department. (7.2a) * 確定三位參與客戶維護課程人員的原因-是否缩小了能力差距? (7.2b) Determine the reason for the three people attending the course on customer care was it to close a gap in their competencies? (7.2b) * 除了詢問參訓者之外,確定組織如何評估訓練有效性-例:透過監控績效。(7.2c * 檢查紀錄以獲取證據,且須遵循流程。(7.2d 及 7.5.1b) Review records for evidence that the processes have been followed in this case. (7.2d and 7.5.1b) * 確定回答以下問題時,是否給予人們任何指導 「您認為此訓練多有幫助?」例如: 是否要求他們對於所學進行自我評估,以及他們能如何在工作中實行並為目標貢獻? (7.2d, 7.3b & 7.3c) Determine what guidance if any is given to people when answering the question: 'How useful did you find the training?' For example does it ask them to carry out a self-assessment of what they learned and how it will enable them to carry their job and contribute to objectives? (7.2d, 7.3b and 7.3c) --- ## 何謂威脅與脆弱性(vulnerability)，兩者間之差異? 脆弱性 也常被翻成 弱點 參考答案: * 威脅:可能危害到系統或組織的不期望事件之潛在原因 * 脆弱性:可被一個或多個威脅所利用的資產或控制 (注意這邊的脆弱性會是某個資產或控制) ## 資訊安全政策 5.2 與A5.1.1 尋找的證據有何不同?請試提列 A.5.1.1 要尋找的證據(請提供至少兩項) 參考答案: * 5.2 是針對資訊安全政策內容及全般事項進行審核 (規範) * A.5.1.1 是針對輔助的控制措施進行作業面的查驗 (檢查是否符合) * A.5.1.1 可以尋找資訊安全政策審查、核准的過程紀錄、資訊安全政策發布的管道軌跡、員工政策接收驗證等。 ## 根據條文 "決定會影響資訊安全績效,受其管制的工作人員所必需的能力(條文7.2a)"，請列舉出稽核員可尋找證據之例子。(請提供至少兩項) * 組織是否已定義了ISMS 組織成員之職責?是否已決定了這些職責所應具備的能力或資格? * 決定的能力或資格是否與其職責相應、適切? ## 組織管理部欲接受稽核員之建議以改善「變更管理」上之過程,您的建議為何? 參考答案： * 文件記錄及建立正式變更管控程序書(文件、明細、測試、品質管控及實施) * 本過程應提供風險評估、變更衝擊分析及必要之安全管控明細 * 維持包含簽署紀錄之變更紀錄簿 * 通知及規劃訓練課程 解題思路：應該要著眼在變更管理的"過程改善"，所以第一項答案是更改變更管控的程序書 (6.1.2風險評鑑與 6.1.3風險處理) 並且加上被改善執行過程的文件化資訊 (7.5 文件化資訊 8.2 風險評鑑) 有簽署紀錄代表高階管理層有參與與支持 (5 領導力展現) 有通知和訓練代表涵蓋了 7.4溝通與 6.2人員能力訓練 ## 情境題 未確認員工資訊背景開出不符合事項 組織因人力資源團隊不了解ISMS要求於受雇前須確認員工資訊背景之程序,而被開出不符合事項。您收到改善不符合事項回應之矯正措施如下:即刻通知人力資源團隊該程序要求及進行訓練(於六個月內),並要求團隊每位人員遵照辦理。」 請評估所提出矯正措施是否恰當。如您同意該矯正措施,請解釋原因。如您不同意,請解釋原因並提出您認為適切之矯正措施,以及採取的行動。 參考答案: * 應列舉該程序疏漏遵循的原因有那些及其各個問題矯正及預防措施,其他部門是否有類似情況發生,後續如何追蹤及確認改善情形,亦需有管控措施。 * 稽核員應於本次複查或下次稽核時機,執行追查以確定該程序是否持續被遵照。 ## 稽核員如何確認下列A.12.4.2 管控? 其方法有哪些? 日誌資訊的保護(A.12.4.2):應保護存錄設施與日誌資訊,不受竄改與未經授權的存取。 (提示:觀察、文件審查、訪談、技術查核與分析等) * 觀察：觀察建立之不受竄改與未經授權的存取之保護措施 * 文件：針對保護存錄資訊不受竄改與未經授權的存取進行管控之文件、資訊存錄政策與相關程序書、入侵測試報告 * 會談：訪談資安主管並確認存錄政策目標;訪談網絡主管以確認作業是否就保護存錄資訊不受竄改與未經授權的存取進行管控 * 技術查核：觀察存錄設備配置以查核是否遵照組織政策與程序書 * 分析：分析日誌資訊樣本 ## 驗證範圍為全組織,稽核時發現 ISMS政策:IT部門主導及核定,這樣是否符合稽核要求? 參考答案: 否,資訊安全並非由單一人員或部門負責,而是機構組織本身。因此為保護機構組織最佳利益,現任高層人員有責任確保適切且有效地執行安全政策並對整體組織實施。 實務情形如果驗證範圍為資訊部門就可以由IT部門主導及核定了 ## 請試著說明:如果你是國際標準ISO 27001:2013 稽核員,現場稽核時應執行哪些必要性之工作? * 稽核過程細節符合 17021-1 及 管理系統驗證機構要求,如 ISO 27006 * 現場確認客戶之驗證資訊是否如申請,如 驗證範圍、場址、人數、輪班 * 依國際標準條文要求進行稽核,但稽核內容依據稽核準則(國際標準條文、法令法規、組織政策/程序文件及其它應遵循之要求如客戶合約等)進行查驗。 * 稽核員之表現,符合ISO 19011:2018要求。 --- ## 3.稽核方案管理內涵中,簡述基於風險考量稽核的概念 * 以實際或感受風險的程度決定每個個別區域或過程的稽核之優先級和頻率。高風險區域的稽核頻率及優先級高於低風險區域。 或是 * 對營運和/或客戶需求至關重要的領域比影響較小的領域通常會在更頻繁的基礎上及更高的優先等級進行稽核。稽核方案還應考慮過去的表現和以前的稽核的結果。 翻譯： 1. 常出事的先稽核 1. 干擾營運環境影響較小的先稽核 --- ## 4.請解釋稽核標準及稽核目標 * 稽核標準:是一組政策,程序或要求,用 作比較稽核證據的參考,例如,法規,ISO27001,風險評估程序等。 * 稽核目標:涵蓋稽核的總體目標,例如: 評估符合標準的一致程度或符合法律要求的程度。 --- ## 5.提出一個ISO27001附錄A中有關設備的範 例,簡短敘述當設備無人照看時(A11.2.8)會 如何影響資訊安全 自由發揮，例如失竊財損、儲存資料外洩、紀錄中斷影響可用性 --- ## 2.1稽核應基於事證 a) 請用自己的方式簡要解釋"基於事證的稽核方法"的原則 任何稽核的基礎不管是符合或不符合的證據 都是"客觀的",因此在當時或以後均能具有可驗證性的。 b)提出2種搜集證據的方法 * 採訪人 * 抽樣記錄和文件 * 觀察過程和活動 ## 2.2 a)請用自己的解釋,稽核時 思想開明意味著 什麼? * 接受其他人的觀點並願意接受他們的想法和意見 * 沒有固定的或預先設想的必須如何做的事情 接受滿足要求的新的和不同的方式。 或 * 沒有解釋自己先前的經歷及如何完成某事並認為這是唯一辦法;而是傾聽並接受不同的觀點, 能夠接受其他人可能是正確的。 b)請舉一個稽核情況的相關範例來支持您的解釋 稽核員必須思想開放,不要指望每個組織都 按照自己公司的方式做事。 ## 2.3 a)請用自己的方式定義 “高階管理者”的含義 “最高管理層”是指在ISMS範圍內的運 理和組織方向的高級角色,對組織的管 構負責 。 * 建立信息安全目標,但與組織的戰略方向 不一致(5.1) * 資訊安全政策不足;不適合組織的目的,缺乏目標設定的目標或框架,缺乏滿足適用要求的承諾或不斷改進ISMS (5.2) * 對資訊安全相關角色的責任和權限未得有效分配 (53) * 高階管理者不參與管理評審過程(9.3) ## 2.4 a)說明稽核前審查ISMS文件的目的 * 確定符合稽核標準要求的程度,並檢測可能 的關注領域(如缺陷,遺漏或衝突) 或 * 收集資訊以了解受審核方的運作,以便為審 核活動的規劃和適用的審核工作文件的製作 提供信息。 b)請列出稽核前要採取的行動 兩項 * 確認稽核目標,範圍和標準 * 確定所需的稽核資源,例如: 時間 * 將工作分配給各個稽核團隊成員 * 為各個團隊成員分配決策權 * 考慮與實現稽核目標相關的風險和機遇,並確定如何解決這些風險和機遇 * 發展用於稽核的文件資訊(例如實體或數位清單,時間表,流程圖,審計計劃) --- ## 情境1 主導稽核員要求查看經修訂的資訊安全政策,因為此政策先前已先寄送給稽核員審查。資訊 部經理說修訂後的政策公告於進門大廳並張貼在佈告欄上。他說總經理已完成新政策並影印給每位員工。政策如下(講義)。 --- ## 情境2 主導稽核員依照受稽組織制定之程序,要求看業務部門所有同仁之僱用條款(Terms and conditions of employment)時,發現其中一人並未簽署,部門主管說她是一個月前才從兼職轉任專職。當問及兼職期間之僱用條款時,該主管回答應該有簽,但屬於另一個部門管轄;但當與該兼職管轄部門聯繫時,仍無法找出兼職期間所簽立之僱用條款。 條文編號 7.5.3(OR A.7.1.2) 次要不符合 無證據顯示,對紀錄的儲存、保護能有效管制與執行。 --- ## 情境3 在主導稽核員的要求下,希望觀察兩位工作人員的系統登入的過程,在尚未輸入密碼前,發現其二人使用相同的帳號(ID),該部門主管解釋,因為其中一位是因為某專案所招募之臨時人員,與另一位執行大致相同之業務,故未核發獨立之帳戶。 條文編號 A.9.2.4 6.1.2d 次要不符合 無證據顯示,對專案招募臨時人員之風險能有效識別,並依系統與服務類型,明確分配適當使用權限,以有效鑑別用戶身份與驗證。 --- ## 情境4 主導稽核員針對某台電腦問設計部主管「這台電腦為何沒有安裝防毒軟體?」他回答「這台 電腦為研發專用,完全與外部網路隔離且沒有收發郵件,所以不需安裝」 暫無明顯證據顯示不符合事項 1.查證是對「該設計用電腦之資產重要性」進行風險鑑別(8.2) 2.查證對惡意程序碼之管控政策與程序要求(A.12.2.1) 3.查證網路隔離控制之情形(A.13.1.3) --- ## 情境5 主導稽核員問某位設計員如何保護設計資料的安全。他回答說「每天都要將計算資料建立磁 片備份」。另一稽核員注意到某專案的試驗記錄磁片置於電腦監控器上面一個曲線優美且乾淨的盒子。主導稽核員查檢磁片發現有完整的內容及日期的識別。另一稽核員看到其它放在 設計員桌上、書架及抽屜內來至不同製造商的磁片並非識別的非常好。他問有關不同製造商 磁片的使用,設計員回答「設計員經常在家工作並使用它們的磁片」當問及有關病毒的感染時。設計員回答說有關電腦病毒的問題以前「沒有發生過,假如發生,則病毒防治管制制度將會建立」。 另一稽核員又問「有相關的資料備份程序嗎?」設計員回答說「沒有,這是很簡單的程序。 我不認為需要」。 暫無明顯證據顯示不符合事項 1.查證是否對「磁片能否攜出工作」進行風險鑑別(8.2) 2.查證政策與管制規定(磁片可否攜出工作 A.11.2.5) 3.查證備份作業的管制要求(A.12.3.1) 4.查證資安事件紀錄(A.16.1.2) 5.抽樣證明人員對資安事件應變及備份處理能力(7.2/A.16.1.5) --- ## 情境6: 資訊室(機房) 在機房內,主導稽核員查驗了若干台重要的伺服器主機,每台均依照要求裝設了不斷電系 統,但在問及該不斷電系統如何保養維護時,對應人員回覆該設備每兩年更新一次,故不做定期保養。 條文編號 A.11.2.4 不符合事項 無證據顯示,近二年間對已鑑別為重要的資訊資產能有效進行維護並確保設備可用之一致性。 --- ## 情境7: 生產部-熱處理及實驗室 在熱處理室中,主導稽核員看到一個鎔爐氣體流量計旁散置了一些標示為機密之材料原型設計圖,現場除了稽核員及生產部經理外,尚有一名技術員。 問技術員:〝這些文件應該由誰管制?〞技術員回答:“我不清楚,每次實驗室人員來時會 帶這些文件過來,有時帶走,有時又留在這裡〞主導稽核員記錄了他的回答並留下紀錄後 (抄下其中一份文件:aa-abc)就前往實驗室。 來到實驗實,找到主管後,詢問 aa-abc之機密文件應會在何處由何人控管?該名主管回應說 該業務由部門副理負責,但當主導稽核員要求該副理將該文件 aa-abc 取來時,該名副理經過十分鐘仍未出現。 條文編號 7.5.3 or A.8.2.3 不符合事項 依證據顯示,對已識別為重要之機密性件,未能加以有效保護與管制。 補充可能情境：主導稽核員發現文件被亂丟，於是故意請副理拿，來確認他是否知道aa-abc機密文件被放在實驗室的流量計旁，但是副理找了十分鐘還找不到，所以判斷機密文件沒被有效保護 --- ## 情境8: 總務部門 主導稽核員正在總務單位一個放置需要維修之桌上型電腦的地方,陪同人員是總務部經理, 主導稽核員查看待修電腦的處理過程。 主導稽核員問對應之經理“該待修品如何處理?〞 經理回答〝這電腦已經經過資訊處人員 判定需外修,所以轉來這裡請廠商來收件〞經理接著說“我想資訊處已經依照作業程序將內 部機密資料清除〞;此時經理出示一份交接單確實顯示已由權責人員執行清機之動作,並載 明故障原因為【無法開機】。 主導稽核員發現該電腦之硬碟已拔除,但因該電腦具備燒錄器,主導稽核員遂要求手動將燒 錄器退出,發現其內放置一片已燒錄資料之光碟。 條文編號 A.11.2.5 A.8.3.1→A.8.3.2 (orA.11.2.7) 老師覺得箭頭後的條文比較好 不符合事項 依證據顯示,對已選擇的控制項目未有效落實管制,不符合設備之處理、再 利用之安全要求。 --- ## 情境9: 資訊部門 在資訊部門,主導稽核員問經管副理〝您如何控管公司之文件存取權限?〞經管副理回答 〝原則上,由於本公司人員都簽訂有保密協定並訂有罰則,所以在全公司之文件上只劃分機密及普通兩級,且不去劃分部門,指依照員工職等來區分 暫無明顯證據顯示不符合事項 1.查證是否對「人員、文件及資訊資產」等重要性,進行風險鑑別(8.2) 2.查證組織任務職掌、職等之劃分,人員保密切結簽署之落實情形(A.6.1.2/A.7.1.2) 3.查證組織的存取控制政策(A.9.1.1) --- ## 考題結束 以下為課堂作業 --- ## 作業，風險評鑑範例 原本應該是橫的EXCEL表格，為了方便在網頁上看改成直式的 現況說明：負責整合網頁設計之系統管理員亦須負責內容之更新與上傳 脆弱性：缺乏職務區隔 威脅：處置錯誤 或 惡意行為 影響CIA的I 潛在衝擊：網站含有不正當資訊降低公信力 脆弱性：該項目僅有一位合適人員 威脅：系統管理員離職或生病 影響CIA的A 潛在衝擊：無法連結網站 營收損失 控制措施列舉：文件化作業程序 A.12.1.1、職務區隔 A.6.1.2、特權管理A.9.2.3、公共網路應用系統之安全服務(未授權修改) A.14.1.2、管理者與操作者日誌 A.12.4.3、系統變更控制程序 A.14.2.2 --- 現況說明：被挖角的前(會計)副總 脆弱性：缺少合約管理過程终止 脆弱性：前副總帶有敏感性資訊知識(薪資帳目、財報等) 影響CIA的C 威脅：洩漏機密 性資訊給 競爭對手 潛在衝擊：客戶流失 控制措施列舉：A.6.1.5、A.8.1.3、A.8.3.1、A.8.3.2、A.8.3.3 --- ## 稽核計劃範例 標的 天網公司 範圍 天網公司資訊系統與其業務營運範圍 主導稽核員LA 管理專業 稽核員A1 技術專業 稽核員A2 個資專業 稽核員A3 法遵專業 Day1 時間 | 人員 | 地點 | 稽核內容 |------ | -----|------------|-------------- 0800 | LA | 天網公司會議室 | 起始會議 0900 | LA | 總經理室 | 文件審查，包含適用性聲明書、資訊安全政策、管理程序、資產清冊、風險評鑑計畫、風險處理計畫、內部稽核記錄、管理審查會議記錄 4,5,6,7 0900 | A1 | 品質部門 | A.14 A.15 0900 | A2 | 稽核部門 | 個資管理 A.9 A 18 0900 | A3 | 生產管制部門 | 物料管理 A.8 A.11 1200 | 稽核團隊 | 天網公司會議室 | 休息用餐 1300 | LA | 資訊技術部門 | 開發人員與特權人員管理相關 A.9 A.10 1300 | A1 | 資訊技術部門 | 機房實體環境觀察 A.13 A.16 1300 | A2 | 行政管理部門 | 人力資源和委外服務廠商 A.7 A.15 1300 | A3 | 生產管制部門 | 倉儲管理和原料供應商管理 A.8 A.11 A.15 1500 | 稽核團隊 | 天網公司會議室 | 記錄發現的證據，開立本日不符合事項或觀察事項 1600 | 稽核團隊 | 結束第一天 Day2 時間 | 人員 | 地點 | 稽核內容 |------ | -----|------------|-------------- 0900 | LA | 執行長室 | ISMS 運作情形 內部稽核與持續改善有效性 8,9,10 A.5 A.6 0900 | A1 | 業務推廣部門 | 個人電腦抽查 存取控制與密碼措施等等 A.9 A.18 0900 | A2 | 行政部門 | 個資保護 A.18 0900 | A3 | 稽核管制部門 | 資安事故記錄與矯正措施有效性證據 A.16 1030 | LA | 生產線作業廠 | 跨國市場營運中斷持續管理 A.17 1030 | A1 | 技術發展部門 | 資訊系統獲取開發維護 A.14 1030 | A2 | 資訊技術部門 | 實體環境與作業安全 A.11 A.12 1030 | A3 | 品質管制部門 | 品管人員編組情形 聘用能力與教育訓練有效性審查 A.6 A.7 1230 | 稽核團隊 | 天網公司會議室 | 休息用餐 1330 | LA | 業務推廣部門 | 業務人員行動設備使用情形 A.6 1330 | A1 | 業務推廣部門 | A.11 A.12 1330 | A2 | 行政管理部門 | A.11 A.12 1330 | A3 | 生產管制部門 | A.11 1500 | 稽核團隊 | 天網公司會議室 | 資料整理 1530 | 稽核團隊 | 天網公司會議室 | 結束會議 1600 | 結束第二天 * 品質部門 * 生產部門 * * 物料管理 * * 倉儲管理 * * 產線工廠 市場包含亞洲、美加、歐盟 * 技術部門 * 資訊部門 * 業務部門 * * 客服管理 * 行政部門 * 稽核部門 * * 個資管理 * * 資安管理 * * 品質管理 --- Day4 --- 輪班注意事項 稽核是白天，夜班的記錄不足，所以晚上也要稽核 白天晚上的範圍大小不同，白天100人 晚上10人 稽核目前比較沒有特地去看晚班，主要是看交接的記錄 所以稽核會安排在跨兩個班的時段，這樣有機會發現是否有人連上兩班，或是兩個班的工作內容差異，或是保全保護範圍 通常有輪班的會更重視 勞安衛 的國際標準 ## 稽核計畫分配工作的技巧 通常會把主條文4-10和A.5 A.6 丟給LA看，比較能夠連貫，A.12單一項比較長也讓 LA看 附錄A控制措施給其他的稽核員看 ## 稽核計劃和準備的項目(步驟) ●計劃和準備包括下列8個步驟: 1. 訂定目標 1. 訂定範圍 1. 取得資源 1. 聯絡受稽者 1. 成立稽核小組 1. 文件審查 1. 準備查檢表 1. 準備稽核計劃 --- 1. 稽核範圍和目標稽核包括/不包括哪些內容以及稽核目的。 1. 稽核標準和參考文件。 1. 稽核時間表-總體稽核的開始和結束時間,日期等包括讓稽核團隊有時間熟悉被稽核方的位置,設施和流程 1. 稽核活動一位置(實體和/或虛擬),日期,顺序和每次稽核活動 的預期時間和持續時間,稽核方法應為可用的。 1. 與被稽核方開會與被稽核方。此外,還應安排與被稽核方進行每日稽核會議的時間。 1. 與稽核組舉行會議安排稽核員會議和方法團隊溝通 1. 資源分配-包括稽核員的姓名,指導、安排觀察員和口譯員稽核每 項活動。 1. 報告-報告方法,機密性,安全性和報告 --- ## 聯絡受稽者的重要性 * 確保對目的和安排存在共識,包括其範圍和標準。 * 要建立融洽的關係,請自我介紹並為審核做好準備。 * 確認安排並為被稽核方提供提問的機會-有關稽核過程的問題。 實務要記得：去稽核時挖好的東西、對方的優點出來，氣氛會比較融洽 讓人第一印象比較好，也讓後續稽核流程比較順暢 --- ## 聯絡受稽者-稽核前討論的議題 * 計劃安排的任何重大更改 * 總體安排,聯繫方式和指南,工作時間 * 場地規則和動線—用於職業健康和安全安排,以及所需的任何個人防護設備。 * 起始和結束會議的安排 * 稽核計劃,時間安排和期限 * 先前稽核的問題和採取的糾正措施 --- ## 外部稽核第二階段起始會議模擬簡報 各位好，我們開始進行貴公司的起始會議 這份會議簽到冊請大家幫忙簽一下 今天很高興到貴公司進行驗證服務，希望有一個美好的行程 我們目前到了第二階段， 我是LA ，過去在資安這方面比較有經驗，由我擔任主要稽核員 第1,2,3位的專長後面再介紹 同時要說明，如果稽核內容有爭議，可以提出來我們都能接受相關事實的陳述，如果雙方有疑慮可以找我排解 或是可以聯繫稽核公司申訴抱怨 第一階段已經文件已經審查完成 這次會議是第二階段，可能會遇到不符合事項，不過沒關係，後面都可以利用矯正措施進行審查，通過後就會進行頒發證書 收集證據的方法包含 面談 文審 記錄 觀察 透過客觀證據確認有效性 經過審查後就會有結論 稽核過程一直有記錄不是寫缺失，是要確認證據符合國際標準條文，所以請各位盡量提供相關資訊 驗證目的 就是我們的驗證目標 想要找到三個方向 1. 組織符合27001相關要求 2. 找出可以改善的機會與方向 3. 滿足自身與服務對象營運持續要求 驗證範圍 公司名稱 天網公司 中英文 地址 台北市中正路一號 中英文 驗證範圍 所提供主機作業平台 機房與資訊系統相關安全管理系統，與適用性聲明書版次4.2相符 發行日民國100年1月1日 如果有誤，可以聯繫我們的專案秘書進行修正，目前為止我們尚未收到需要調整的需求 稽核種類 複評 查核依據 ISO 27001:2013 及法令法規 貴單位的程序書 稽核方式因為時間有限採抽樣，稽核未涵蓋的部分可能有不符合，希望貴公司理解並自行修正 保密協議 稽核過程接觸到的機密未同意不會洩漏給第三者 主要不符合 不符合事項 管理審查未召開 內部稽核未執行，或是一系列次要不符合長時間未改善，如果有重要的主要不符合，稽核活動會暫時終止 次要不符合 獨立或偶發性的不符合 不用終止稽核，只是後續要有矯正措施 主要或次要不符合的會需要有矯正措施與證據 --- 另外還有2個 觀察事項aoc 建議事項ofi Aoc 有疑慮但尚未明顯不符合，建議公司多關注事先預防 Ofi 沒有違反管理系統要求，提供給組織持續改善的建議 Aoc OFI 不需要提出矯正證明 --- 接下來是我們的時間表 090-1200由我 LA 稽核 4-19的isms範圍 另外機房 這樣的時程看各位是否有疑慮，例如休息時間與貴組織不同都可以協調 --- 稽核作業說明 * 保密協議:稽核過程所接觸到的機密,均已簽有保密切結協定,未得貴處的同意絕不會洩漏給第三者,所以請放心提供資料。 * 稽核終止:對於稽核的中止,主要有兩種情形。 第一種是不可抗力的天災如地震、風災水災等; 另一種是稽核過程已出現嚴重的主要不符合,那麼我們會中止稽核活動。將另外安排時間接續稽 核執行。 --- 協調與注意事項 * 稽核場所和通訊 * 嚮導&發言代表 嚮導發言代表請在時間表該時段協助出席 * 所需的特殊設施和設備 * 應遵守的規定和安全措施 如果涉及到國家機密或有些場所事前已經收到告知須遵守安全措施(禁帶通訊錄影設備之類的)，我們會遵守並嘗試用其他方式收集證據，如果貴組織認為仍有疑慮請再告知，可以再協調看看 * 貴單位之申訴與抱怨權益 * 結束會議時程 * 受稽方澄清 如果沒問題的話，我們5分鐘後就開始稽核 --- 通常啟始會議最後會讓管理階層做個收尾，例如 管理代表：很感謝今天稽核團隊前來，希望能幫我們發現問題，再麻煩稽核團隊替我們巡個場，給我們一些改善與建議 --- ## 結束會議 感謝 感謝幫忙 結束會議出席紀錄表 簽名 保密聲明 如果覺得帳號密碼被稽核不妥可以立即更改，我們也有簽保密協定 稽核方式 是抽樣會有不確定因素 稽核目標 依據 範圍再說一次 --- 不符合事項 主要 0 次要 1 不符合觀察事項 5 提醒即使公司已有立即矯正，但因為我們是抽樣，可能還有其他地方有類似問題，建議公司再深入檢查，不用太在意當下的缺失，後續有進行改善與矯正才是ISO 27001的精神 ## 不符合事項報告範例 * 規劃資訊安全的持續性 Min NC (次要不符合) HDUT-ISMS-D-037 關鍵業務分析表-V1.1計識別5項關鍵業務,其中「教學務系統及其相關服務」乙項之多重備援選項為否,與實際作業不符。 A.17.1.1 以下為AOC * 識別適用之法規與契的要求 查組織110/3/18HDUT-ISMS-D-032-組織適用之資訊安全法令法規列表 v1.2 20170801已識 別著作權法等17項應遵之法令規章,其中資通安全管理法已將其施行細則列入管理,法令法規之發布或生效日期已完成識別,有關資通安全管理法之其它子法,例如:資通安全責任等級分級辦法等,建議再行列入,以確保遵循之完整性。 A.18.1.1 * 技術脆弱性的管理 組織有效性量測訂有每年實施弱掃一次,弱掃作業之程序要求宜有明確之過程,例如弱 掃主機之識別及弱掃结果高風險之處理等。 A.12.6.1 * 能力管理 主機系统方面之稽查,例如容量監管及標準值等宜有明確之標準遵循及查驗週期。 A.12.1.3 * 資產管理 組織訂定資訊資產管理程序書HDUT-ISMS-B-003未明確訂定單位每年至少進行一次資 產盤點與資訊資產清單覆核,經查最近一次資訊資產清單HDUT-ISMS-D-008,盤點日 期110.03.08,組織宜將每年進行一次盤點列入文件化資訊考量。 A.8 * 實體與環境安全 機房消防設施配置2支13公斤二氧化碳滅火器,惟製造日期為2013年,保存期限至 2020/03月(已過期),定期由校方總務處辦理檢測,組織宜評估是否能有效維護區域安全。 A.11 --- ## 跟催及驗證結果 * 不符合事項提出改正與矯正措施的計畫之時限: 不符合事項填寫的原稿及相關佐證資料必須於一個 月內完成並寄回本公司以利結案,經我們確認矯正 報告無誤時,將會儘速完成全案之結案報告。 * 今天所稽核的不符事項共有:ISMS次要缺失1項,並無主要缺失;在此宣布貴組織初步獲得向發證機構 推薦發證之資格。 ## 申訴及抱怨管道 驗證公司地址、電話 ## 結語 * 稽核通過並不代表執行告一段落,而是資訊安全管 理系統PDCA循環的開始,希望藉由這次的稽核進而 協助貴公司的系統運作能更加順暢更落實。 * 認(驗)證機構標誌使用請依所發給之規定辦理。 ➔PRO-8-1 驗證合格標誌使用規定 * 發生重大資安事件務必依合約通報本驗證機構,以 利做適當之處置,並將依規定通報認證機構管制。 * 驗證期間如有任何問題,請不用客氣與我們聯繫, 我們會有專業的人員為您服務解說。 --- ## PRO-8-1 驗證合格標誌使用規定是什麼? 27001驗證不是驗證產品，是驗證管理系統 所以不適合放在產品上，但可以放在宣傳文宣的部分 --- ## 上課問問題 稽核員到現場稽核時，可以拍照 螢幕截圖或 錄影錄音嗎？ * 為了做報告和做起始結束會議簡報，通常都會帶筆記型電腦到客戶那邊 * 對於做報告來說取得大概是客戶的程序書電子檔或是資安宣言，避免文字或編號寫錯 * 敏感區域如軍方，原則上至少可以帶筆記本，但如果需要到非常機密的區域（rd營業秘密 或 機房）就配合，不能帶的就通通不帶，覺得有必要帶也要好好跟對方溝通看是否能接受 --- ## 比較難的情境1 稽核員查驗公司發現有資安事件或不符合事項，查改善做法或情況，請列舉十條確認改善的證據 列舉的證據從條文或控制措施去找相關性 --- ## 比較難的情境2 訪談主管，是否設定了資安目標？ 列出5個問題來確定目標是否適確 6.2 f-j 要做什麼 要什麼資源 要誰負責 要什麼時候做好 要怎麼評估結果 --- ## 比較難的情境3 稽核方案三年，但稽核計畫發現內稽都抽查相同範圍，每次都看一樣的東西 可以嗎？ 可以開 9.2 d) 為每一場稽核明定準則與適用範圍 ，每次範圍都一樣不太適當 --- ## Day5 --- ## 稽核證據必須由稽核員確定是什麼意思？ 意思是指在現場蒐集到的東西，不見得全部都會當成證據，要稽核員判斷證據的有效性適當才會被列為證據 稽核員自己也不是依照個人心情去判斷證據，還是需要客觀公正，例如參考 條文 法令法規 合約約束 控制程序等等多方參考 ## 老師的國立大學稽核實務 老師：我看了他的資料庫，進去看並記錄人員、帳號、密碼長度、有沒有英文數字大小寫，資料庫管理員目前設定管理權限有哪些 資料庫管理系統上可以看到很多個資料庫名稱，於是老師想看 A.18個人資料的資料庫，看看是否有達到隱碼的要求，但稽核時間不夠，而且老師被分配的任務不是要查A.18，主要是A.9，所以就沒有追查下去 結果被驗證的觀察員開缺失 沒有繼續追查 所以稽核員如**刻意迴避某些追查**，只有列觀察事項，可能稽核員會被記缺失 稽核報告會記錄蒐集到的所有證據，以及後續改善的證據，這份報告必需與典型驗證稽核報告相同，報告要拿給 DecisionMan 決定報告是否能通過的人 --- ## 如有需要，稽核給予建議（如果具備能力 但要小心 稽核員不能給予具體答案，最好只給檢查方向，不要給具體的改善方向建議，因為會太強制干涉組織內部 但如果是受稽核公司主動提出來詢問稽核員方案是否合適，這時候稽核員就可以針對方案回覆是否適合 舉例：稽核員如果開說 機房的插座都插滿了，應該增加一些插座 稽核員不能給予具體應該增加插座這種方向，只能說建議去執行風險評鑑 評估電力系統 但如果是受稽公司詢問稽核員，增加插座是否能改善機房管理，這樣稽核員就可以回覆適合或不適合 實務上這個情形是第一線人員說插座一直不夠，拜託稽核員開個不符合，以便跟老闆要錢 --- ## 如果結束會議中，報告不符合事項時，受稽方一直想澄清，甚至想要延長會議報告組織未來改善方向 請對方留到澄清時段再一次解說 後續還有行程要完成完整稽核報告，不方便延長時間 ###### tags: `資安`