IRCA ISO27001：2022資訊安全管理系統主導稽核員訓練課程!  # 分組名單 林萬土 wantulin@newbest.com.tw =>wantlin 朱宏亮 sp@newbest.com.tw => line id= sp.touareg 02-001~02-003 曾國偉 devin@giotaiwan.com.tw line ID => devin.tseng 02-008~02-011 陳松民 inservice8@inservice.edu.tw line ID=>eric190215 ISMS-02-012矯正措施作業程序書v1.0 ISMS-02-013資訊安全事件通報及應變作業程序書v1.0 ISMS-02-014營運持續管理作業程序書v1.0 ISMS-04-014風險處理計畫表 # 參考資料 詞彙 https://www.tksg.global/mod/page/view.php?id=95529 本文 https://www.tksg.global/mod/page/view.php?id=93205 附錄 https://www.tksg.global/mod/page/view.php?id=93206 # DAY1 重點整理 資訊管理系統 1. PDCA (Plan:計畫 Do:執行 Check:查核 Act:行動) 2. 風險管理: 保持資訊的機密性、完整性及可用性 * 安全等級評估從四個構面去評估 法律遵循性 機密性 完整性 可用性 * ISO一般的風險管理參考 ISO31000定義風險管理 * ISO27000家族是規範資訊安全這範疇 * 實作範圍>=驗證範圍>=稽核範圍 # 小組討論 * 公司名稱:啟耀光電 * 公司業務:製造業，LED相關機板，軟性機板 * 內部議題:ERP程式碼太老舊，資料庫老舊 無法更新 * 外部議題：資料透明度不足、財報不完整 * 外部關注方： (要求事項) 1. 群創母公司{財報不完整} 2. 友達外部稽核{資料是否保護、對外防護架構...等} 3. 客戶資訊的稽核{生產流程...} 4. 政府機關{資安防護} * 內部關注方： 1. 資訊部門：如何確保資料不落地 2. 高階主管：資料外洩後，如何提供紀錄，符合法律面要求 如何確保登入帳號者為本人 3. 廠務單位：每年節電1% * 驗證範圍:ERP系統 # 風險評估&風險處理計畫表 | 風險編號 | 風險名稱 | 可能性|衝擊性|綜合風險值| | -------- | -------- | -------- |-------- |----------| |1| 未受保護之通行碼(將密碼貼在螢幕上) | 4 | 1 |4| |2| 未受控制之下載及使用軟體(例如免安裝版) | 3 | 4 |12| |3| 未受保護之公用網路連接 | 3 | 2 |6 | 風險評估表中的 綜合風險值 10{這值可以自定，要看處理量能來定值} 分以上執行 {風險處理計畫表}  # 資訊安全目標: 群創的： 1. 辦理資訊安全教育訓練，推廣員工資訊安全之意識與強化其對相關責任之認知。 2. 保護公司業務活動資訊，避免未經授權的存取與修改，確保其正確完整。 3. 定期進行內部稽核，確保相關作業皆能確實落實。 4. 確保本公司關鍵核心系統維持一定水準的系統可用性。 ~~ 1. 保障資訊之機密性及防止非法使用 如何確保登入帳號者為本人=>指標：啟用多因子功能帳號之比例，訂為99% 實作：透過個人手機綁定多因子(email、簡訊、authenticator app)登入，確認為本人使用， 每季盤點排除系統帳號之一般帳號，是否有開啟MFA功能 掃描應用程式是否有不當提權漏洞 => 指標: {初測: 兩件以下 複測: 零件} / 初測:每次系統改版，複測: 正式上線 =>實作利用資安弱掃工具 2. 確保資訊之完整性 3. 確保資產之可用性 4. 確保行動裝置安全 5. 確保同仁對資訊安全有一定認知 -->資訊安全教育訓練{社交工程教育演練}:每年執行一次(初測、複測) ->實作：統計測試人員，選定社交工程寄送項目(eMAIL)內容及數量、統計人員點選數量、事後教育課程 ->指標；每年是否在實施'社交工程演練 複測點選人員比初測點撰人員下降30% 初、複測同一人員點撰之人員在總測量人數的1%內 ~~ 1. 未回覆是否適用的理由 2. 為符合版本適用性項目 3. 沒有勾選"適用/不適用" # 課堂練習:列出兩項資訊安全目標並說明如何實作 1. 保障資訊之機密性及防止非法使用 如何確保登入帳號者為本人=>指標：啟用多因子功能帳號之比例，訂為99% 實作：透過個人手機綁定多因子(email、簡訊、authenticator app)登入，確認為本人使用， 每季盤點排除系統帳號之一般帳號，是否有開啟MFA功能 掃描應用程式是否有不當提權漏洞 => 指標: {初測: 兩件以下 複測: 零件} / 初測:每次系統改版，複測: 正式上線 =>實作利用資安弱掃工具 2. 確保同仁對資訊安全有一定認知 -->資訊安全教育訓練{社交工程教育演練}:每年執行一次(初測、複測) ->實作：統計測試人員，選定社交工程寄送項目(eMAIL)內容及數量、統計人員點選數量、事後教育課程 ->指標；每年是否在實施'社交工程演練 複測點選人員比初測點撰人員下降30% 初、複測同一人員點撰之人員在總測量人數的1%內 # 課堂練習:列出稽核小組長的知識與技能 * **一般性** 1. ⼩組成員間之和諧⼯作關係 2. 時間管理 3. ⼩組成員之優點與缺點 4. 文件撰寫 5. 稽核期間稽核人員的健康與安全 6. 指導稽核⼩組成員 7. 溝通能力 8. 準備與完成稽核報告 * **相關技術技能** 1. 網路管理 2. 程式設計 3. 系統管理 4. 系統架構與整合 5. 資料庫管理 6. ISO27001原則,主導稽核員 7. 密碼學 8 # 現場稽核與遠距稽核的差異 1. 遠距稽核可減少車程，降低成本 2. 遠距稽核無法現廠稽核或抽樣-抽樣數也可能減少 3. 無法立即取得抽樣，時程會拖長 4. 遠距稽核通常無法直接與被稽核對象進行面對面的交流和互動 5. 遠距稽核因使用視訊軟體或郵件溝通，過程中有資訊洩漏的疑慮 6. 遠距稽核可能因為無法實際到場而限制了範圍 7. 遠距稽核時稽核取証困難 8. # 稽核小組長在需要那些稽核前置事項 1. 建立與被稽核者代表溝通之管道； 2. 確認執⾏稽核之職權； 3. 目標範圍介定 4. 做好稽核安排，包括排定⽇期 5. 就觀察員的參與及稽核⼩組所需的引導⼈員取得同意； 6. 決定任何與特定稽核有關之被稽核者有興趣或關切的領域。 7. 要求為了規劃⽬的，取得相關⽂件及紀錄之管道； 8. 確認與被稽核者間關於保密資訊之揭露程度與處理的協議； 9. 決定適⽤的法規及合約要求，以及與被稽核者活動與產品相關之其他要求； 文件分配 啟耀光電簡介 啟耀光電成立於2004年4月，總部位於緊鄰台南科學園區之「樹谷園區」液晶專區， 主要業務為軟性基板貼合加工業務、COB產品固晶代工業務 (顯示器、通訊天線、透明/柔性LED顯示屏) 、 LCD玻璃基板加工及LED照明與電源， 以技術做為基礎並融入設計開發程序內，在產品的品質可靠度以及販售的客戶服務上，是本公司無可替代的核心價值M Mapics ERP ISMS-02-008文件管理作業程序書v1.1 => 初始版號問題(01-001...多分文件也有相同問題) ISMS-02-009變更管理作業程序書 => 無文件化 =>補檔案 ISMS-02-010內部稽核作業程序書v1.1 => 變更公司名稱與版次 => 是否有風險處理計畫表 ISMS-01-001資訊安全管理手冊v1.1 =>公司背景坐落於英國 => 02-013資安通報為台北市政府? ISMS-02-001組織架構與執掌說明書v1.1 => 筆誤 職務 "植物" # 稽核計劃 公司名稱：漢欣實業 地址：XXXX 驗證範圍：漢欣實業全公司 稽核範圍：訂餐系統 稽核準則：ISO 27001:2022、政策和作業程序、相關的法律、法規及其它要求 稽核目標：決定客戶資訊系統或其內容與稽核規範之符合性；評估管理系統的能力，以確保客戶組織符合適用法律、法規及合約要求；評估管理系統的機密性、完整性、可用性，以確保客戶組織符合其訂定的目標 啟始會議時間: 2023/4/19 結束會議時間: 2023/4/19 公司聯絡人：資安長 XXX (0900 XXXXXX) 稽核日期：2023/04/19 稽核小組成員 組長: 稽核組長 組員: 稽核員A, 稽核員B 其他: 觀察員 4/19 09:00-09:30 啟始會議 ALL 09:30-10:00 高階主管訪談 稽核組長 09:30-12:00 訂餐系統流程 稽核員A 收付款流程 稽核員B 12:00-13:00 休息時間 13:00-14:00 網路安全稽核 稽核員A 備份及災難復原稽核 稽核員B 14:00-15:00 人員操作及密碼要求 稽核員A 職務變動流程 稽核員B 15:00-16:00 結束會議 ALL 4/25 稽核報告交付 條款 9.3.2 管理審查是否包括持續改善之機會之考量 # 開啟-啟始會議 針對貴司"漢欣實業"開始稽核啟始會議 1.介紹稽核參與⼈員 (稽核組長,稽核員A, 稽核員B, 觀察員) 1.1 請受稽方介紹人員 2.確認稽核範圍 : POS訂餐系統 3.確認稽核準則 將參照ISO27001:2022要求對貴公司訂餐系統進行稽核 早上時間由稽核員A對訂餐系統流程進行了解，稽核員B對收付款流程進行了解， 下午時間由稽核員A對網路安全方面及人員操作、密碼要求進行稽核， 稽核員B對備份及災難復原項目，職務變動流程進行稽核， 採用至現場察看文件、設備的方式進行稽核，稽核過程將遵照ISO準則全程保密 預計於下午三點時召開結束會議，對於上述流程貴公司是否有問題？ 4.確認稽核⽬標 : 確保訂餐系統的機密性、完整性、可用性，以及是否符合法律、法規及合約要求 針對貴司資料之保密動作為XXXX 針對稽核為抽樣原則 5.關於稽核可能終⽌之情況的資訊 (颱風，地震，疫情爆發...等不可控之因素) 6.與受稽核方確認結束會議日期 結束會議時間 2023/4/25 15:00 如有改變另行通知 申訴管道: xxx@ooo.com.tw 受稽核方之專責連絡人員為 XXXX 分機123 必需借用一間會議室以供查核使用。 # 練習 : 當有不符合的發現如何描述 稽核 [ISMS-01-001資訊安全管理手冊v1.1] 過程中發現，修改內容後，在[文件歷次變更紀錄]中未正確紀載，不符合 [標準 7.5.3.e] 變更之控制的要求， 以上發現為主要不符合 稽核[ISMS-02-009變更管理作業程序書v1.1]過程中，[伍.(一)中 第一階文件變更，變更需由董事會審查核可。] ，不符合[在ISMS-01-001資訊安全管理手冊v1.1中,貮.一、手冊之否准 中是由資安長審核後發行實施]的要求發現不一致 為主要不符合 稽核 [ISMS-04-014風險處理計畫表中] 過程中，公司變更名稱，未實施風險評鑑，發現計畫表內容無資料，不符合 [ 本文 6.1.2 (c) 識別資訊安全風險。 (d) 分析資訊安全風險。 (e) 評估資訊安全風險。 ]的要求 為主要不符合