# ISO 27001認證規劃(啟案前簡報與常見問題) ## 說明 公司最近剛完成第一次ISO 27001 初正評，並順利於簡報後的半年(12/29)成功取得正式認證證書。 某些公司可能早就做完了，真的很少有機會能從完全沒有導入到全部執行完成的經驗，因此在這邊公開當時內部向上提出需要進行認證規劃的內容，包含 * 導入原因與目的 * 時程規劃 * 人員分組 * 價格與優劣比較 (價格非真實價格) 後面則是第一次與顧問老師討論執行中可能遇到的困難點和處理方式，提供給同樣想導入ISO 27001的人參考。 ---  規劃人：○○○ 2021年6月23日 --- ## 緣起 * 107 年 06 月 06 日 **[資安法第 9 條]**(https://law.moj.gov.tw/LawClass/LawSingle.aspx?pcode=A0030297&flno=9 機關委外辦理資通系統，應考量受託者專業能力與經驗。 * ○○專案，審查委員建議本公司取得 ISO27001認證 * ○○客戶來函告知，111年需增加資安法第9條規範 https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030303 --- ### ISO 27001 * 目前最新版為 ISO 27001：2013 1. 取得資安相關第三方驗證 (如CNS/ISO 27001 資訊安全系統或更高標準) 2. 具備完善資通安全管理措施(須提供證明文件甲方審認) --- ### 目標 * 取得 ISO 27001符合規範 * 預計 2021年底之前通過認證 * 2022年與後續專案皆可使用 --- ### 預擬工作項目規劃 圖表  --- ### 認證範圍 * 實體範圍： ○○股份有限公司 ○○市○○區○○路○○號 因資訊部門辦公場所與機房位置位於此處，因此選擇此地址作為驗證場所 * ISMS系統驗證範圍(選一個就好) * 程式開發與管理流程 * 軟體開發相關工作流程 * 資訊系統建置與維護作業 驗證範圍暫不匡列全公司，避免各部門增加過多工作量 --- ### 人員工作任務分配 * 以下為 ISO 27001 任務編組，人員皆另有擔任其他業務角色，每週安排半日至一日，團隊人員集體進行討論與實務工作 | 職務 | 姓名 | 工作事項說明 | | -------- | -------- | -------- | | 資訊長 | 王○○ | 主導跨部門事務協調 | | 執行秘書(管理代表) | 周○○ | 協調認證範圍工作事項 | | 資訊技術支援 | 卓○○ | 軟體系統與網路技術支援 | | 標準文件編纂 | 宋○○ | 標準文件編輯人員 | | 標準流程編纂 | 蔡○○ | 標準流程審核人員 | | 開發流程檢核 | 曾○○ | 文件與流程稽核人員 | | 認證事務助理 | 林○○ | 人員聯繫與行政庶務 | --- ### 該驗證適用專案 * 資訊服務委外服務專案 * 軟體開發委外專案 * 系統維護專案 --- ### 比價 * ○○驗證公司 首年60萬，後兩年續評各10萬 三年總計約80萬，含輔導課程與贈送ISO 27001主導稽核員課程 * ○○資訊顧問 首年50萬，後兩年續評各15萬 三年總計約80萬 --- ### ○○驗證公司介紹 * ○○集團台灣區代表公司 * 曾執行本公司 ISO 9001 認證 * 台灣 TAF 認可驗證機構 驗證公司名單可參考 TAF 認可驗證機構名錄 - 經濟部標準檢驗局 * 可一併提供 ISO 27001:2013主導稽核員課程 --- ### 技術團隊服務方式 * ○○驗證公司派遣技術團隊以每月執行培訓與技術指導至少 4 次(每次 4~6 小時)為原則。 * 本公司專案小組成員中，應至少有 1~2 人經被授權能進行跨單位之連繫、整合者。 * 整體進度最多延展 1 個月為限 --- ## 可能遇到的問題與解決方式 --- ### Q. 專職執行ISO驗證人員太少，且資訊人員分佈各地以工程師為主不擅長編寫文件，要指定專職撰寫文件人員恐有困難 * 如無需額外增加內部規定，其實不用規劃專職人員，顧問老師會準備好大多數的範例文件，指派該領域專業人員或年資較長的人員審閱微調，確保未來作業流程會符合管理規範即可 --- ### Q. 小組成員一定要湊到10個? 公司組成之 ISO27001 執行小組是否需準備10人，已滿足各種角色身分? * 雖ISO 27001規範各種角色，但允許一人身兼多職，因考量公司規模近百人，匡列10人是合理範圍 * 驗證人數越多，驗證所需的時間與費用也會增加，但驗證機構收費方式最小單位是10人，1~10人的收費是相同的，再往上才會增加 * 稽核公司會提供10人內部稽核員課程，即使非 ISO 27001 小組，有興趣亦可參加，因此建議人數安排10人 --- ### Q. 部門開發之軟體、系統皆已交付客戶，該如何挑選一套電腦系統作為稽核範圍? * 驗證範圍訂為專案開發與維護流程，不一定需要挑選一套電腦系統作為範圍 * 同時因為專案執行也會使用到電腦與網路與客戶交換資料，因此實體環境如辦公室、文件櫃、機房、網路、電路、消防等亦會列於範圍中 --- ### Q. 如因現有專案工作量增加，人力不足之處理ISO稽核事項備用選項? * 前兩個月已提出新增人員需求(面試中，尚未正式聘用) * 該人員高於目前專案最低人力限制數量，可協助ISO稽核工作 --- ### Q. 依工作排程於11月底取得認證，但今年10月底就有專案需要文件資格 * 外部稽核安排於 10 月初，10月中稽核結束，如無改善事項或已安排改善審核，可先取得驗證公司提供的審查結果通知書發證許可 * 發證許可雖為驗證公司發出，非正式ISO 文件，但可作為文件資格代用 審查結果通知書範例  --- ## 簡報結束，後續為細部補充資料 --- ### 預擬工作項目規劃 條列項目1 1. 檢視資訊安全政策、目標與工作編組 1. 資訊安全風險評鑑與處理。 1. 建立高風險項目處理計畫、產出風險評鑑報告。 1. 建立 ISMS「適用性聲明 SOA」。 1. 建立 ISMS 所需各項安全控制程序、作業規範及紀錄表單等系統文件。 1. 符合 ISO27001:2013 標準要求之文件化資訊管理規範 1. 案例實作並產出 ISMS 維運紀錄。 --- ### 預擬工作項目規劃 條列項目2 1. 建立資訊安全事件通報與處理制度。 1. 完成「關鍵業務流程衝擊分析(BIA)」修訂,建立營運持續計畫(BCP)。 1. 協助完成關鍵作業之營運持續性計畫演練、測試與修訂。 1. 執行 ISMS 內部稽核系統。 1. 協助完成管理審查活動。 1. 持續改善(PDCA)系統建立。 1. 驗證範圍內關鍵系統弱點掃瞄之補強建議。 ## 專案產出項目 (書面資料1份) #### 簽約 10 日內 1. 本案專案企畫書 2. 承包商保密切結書 3. 承包商參與專案人員保密切結書 --- #### 簽約起 3 個月內 1. ISMS 管理程序及作業標準 * 資訊安全政策與目標制定。 * ISMS 資訊安全系統管理流程 * 資訊安全組織管理流程。 * 資訊資產管理流程。 * 風險評鑑與管理流程。 * 人力資源安全管理流程。 * 實體與環境安全管理流程 * 通訊與作業安全管理流程。 * ISMS 存取安全控制流程。 * 資訊系統獲得、開發與維護管理流程。 * 資訊安全事件管理流程。 * 業務營運持續管理流程。 * ISMS 遵循性管理流程。 * ISMS 內部稽核與管理審查流程。 * ISMS 持續改善(PDCA)管理流程。 * ISMS 文件系統管理流程 2. 建立 ISMS 之文件管理規範並符合最新 ISO 27001 * 標準之文件資訊管理要求 * 案例實作並產出 ISMS & 維運紀錄。 3. ISMS 相關作業計畫、清冊(報表)及報告 * ISMS 資訊資產清冊。 * ISMS 威脅及弱點評估表。 * ISMS 風險評鑑報告。 * ISMS 風險處理計畫。 * ISMS 適用性聲明書(SOA)。 * 符合 ISO9001 標準要求之文件與紀錄格式範本。 * 資訊安全事件通報與處理範例。 * 關鍵業務流程衝擊分析報告(BIA)。 * ISMS 營運持續計畫(BCP)。 * 營運持續性計畫演練、測試與修訂報告。 * ISMS 內部稽核查檢項目表。 #### 簽約起 4 個月內 1. ISMS 第三方驗證之文書審核(ST1)、正式評鑑(ST2)報告及不符合事項改善建議 2. 取得 ISMS 初次評鑑通過之書面證明。 --- ### 付款方式 * 合約簽署及專案啟動後付款 40% * 驗證機構正式評審後三十天內付款 60% * 款項以即期支票或現金支付 --- ## 流程說明會議紀錄 20210624 11:00 * 顧問老師姓名、學經歷、聯絡方式 * ISO 演進簡介簡報 --- ### 如何做(優良實務) 1. 建立基於風險的網路安全方法 1. 建立網路安全原則 1. 更新所有網路安全軟體 1. 使用網路安全備份所有資料 1. 需要的人提供網路安全訪問許可權 1. 確保網路安全密碼的安全 1. 瞭解誰在存取您的網路安全資料 1. 提高員工的網路安全意識 ### 課堂問題 Q. 我們寫文件要怎麼跟老師配合? A. 顧問老師希望可以現場執行，但用線上也是可以 (疫情中不方便見面) --- Q. 驗證只通過一個部門客戶能否接受? A. 客戶業務只委託一個部門，因此可接受 --- Q. 假設客戶沒有做ISO 27001認證，但我們有做了ISO 27001認證，雙方規範不同的時候? A. 以客戶規範為準(如文件格式、管理方式)，兩者衝突取較嚴苛者 --- Q. 範圍可以框到多小? 我們的營業方式是提供人力給客戶，工程師在客戶的公司開發軟體並交付給客戶，交付的時候透過光碟片繳交軟體與文件 (公司會燒錄包含掃描的合約文件、訪談紀錄、測試截圖等等)，所以公司內實際上是沒有資訊系統的，這樣匡列範圍可能是光碟、燒錄電腦、人員，不用特別生出一套資訊系統來匡列到驗證範圍? A. 站在公司的立場，一定會希望框的越小越好，因為比較不用多做事情嘛，但站在驗證的角度來說，匡列的範圍過小，稽核員沒有蒐集到足夠的證據來證明組織有達成良好的資訊安全規範，也就沒辦法向ISO國際組織提出申請。舉個例子資訊公司跑去申請食安的ISO 22000，然後跟稽核員說我雖然沒有生產食物，可是員工都有好好洗手符合食品安全規範(的一部分)，這樣也不可能發證出來。 考量實務情形，如果公司有使用email或是有公司網站，這些也算是系統的一部分，員工有電腦要連上email和網站所以電腦的作業系統也是驗證範圍；員工利用網路線路連上email所以網路是驗證範圍；或是email和網站都是租用的，那就是驗證供應商管理這一塊。 驗證的目的不是讓範圍越小越好，而是如何把公司有符合資訊安全規定的部分盡量呈現，讓稽核員提列出夠多證據，才能向ISO申請。 --- Q. 如果驗證範圍沒有匡列到資訊系統，也就沒有系統備份和中斷的問題，那在訂規範時，是不是就寫能夠配合客戶可接受的RTO RPO即可? A. 如果跟客戶的合約上有訂RTO RPO，訂公司規範時，就要配合客戶能夠做到相同的程度，RTO RPO不一定只有資訊系統，第一線服務人員的操作時間、回應時間也可能被算在內。 --- Q. 只有一個部門，但有很多甲方，其他單位不用做27001，只驗證流程和只驗證資訊系統的差別? (ex 軟體系統低中高風險，資料輸入輸出)，如果不是驗證資訊系統範圍該怎麼匡列? A. 做的是專案管理的工作，人是最重要的資產，資料都在甲方那邊，需要人員過去執行，如果是甲方的環境或資訊系統出問題，我們該怎麼辦? 應變方式是什麼? 舉例：某同仁確診被隔離，公司內部會做什麼處置? 這可能是找人接替或是隔離中遠端辦公 找人是其他部門的同事還是104? 外包人力派遣公司? 遠端辦公的筆記型電腦怎麼幫他送過去? 網路或帳號權限要請誰幫忙開和開哪些? 即使不同甲方的規範不同，但公司內部該建立一個共通性標準，在不違反甲方的規定下照公司的共通性標準來做 --- Q. 如果不同甲方提出的要求不同該如何應對? A. 不一定要一次到位，先拿其中一個甲方的要求當標的，後面有變動則再做更大的範圍，並依照實際執行的情形去調整 舉例：covid-19疫情前沒有規範實聯制，疫情後為了確保不要讓確診足跡無法追溯，所以導入實聯制，又因為員工來上班本來就有打卡紀錄，所以只要限制訪客需要實聯制，不用所有人都做 --- Q. 公司使用Email服務，但是驗證範圍是軟體開發，跟Email沒什麼關係，是否就可以忽略這塊? A. Email 系統可以看待成支援「軟體開發和維護作業」的資訊服務，以資訊安全的角度應該是要納入資安管理，但管理的深度，仍待進一步分析。 至少到職員工的 Email 帳號申請和離職員工的 Email 帳號停用應該列入管理範圍 --- Q. 公司的官網，看似與「軟體開發」無直接相關，是否就可以忽略這塊? A. 從利害關係方的角度來看，其仍有扮演角色，如「軟體開發訊息公告或文宣」、「未來ISMS證書張貼」或是「資安政策」的對外公告等等，如果確實有發布這些內容，就有可能要進行管理。 --- Q. 公司該怎麼制定資安規範，是否有樣板呢? A. 要遵循利害相關者的需求與期望，例如公司與客戶簽訂的合約（所有仍在運作的合約，或是即將簽定的合約），審視合約中的「資安要求」作為依據，如果可以，也請在驗證場址處保管，未來接受第三方驗證時，稽核員也會確認。 --- ###### tags: `資安`