# 小公司導入 ISO27001 的辛酸血淚史 / 徐愷 (KK) {%hackmd @ModernWeb/SyA2U6SmT %} > 共筆請從這開始 導進驗證有兩點很重要 - 地點 - 範圍 十人認證費約十萬 ## 資訊安全管理系統 ISMS - Information Security Management System - 系統分析和管理資訊系統的方法 ISMS好處是有證書 ## 為什麼要導入 ISO？ ~~賺太多沒事幹~~ 自我要求（續約） 也有找顧問, 不要為了做而做, 要有商業價值. 主要是為了要讓客戶續約. 公司背景是雲端服務商 ## 導入前狀態：好的地方 1. 良好的需求管理：Hubspot 2. 妥善的開發流程：使用 Trello 進行開發及管理 3. 嚴謹的品質控管：Github 進行 PR & CICD 4. 完整的組態管理：使用 AWS 的託管服務 ## 導入前狀態：不好的地方 - 超級多共用帳號，還有文件放了所有帳密 - 內外部文件，分散在 Hackmd / Google Docs / Notion & 本地 - 用了十個以上 SaaS 服務，沒使用的還繼續繳錢，未進行盤點 - 發生問題時沒有明確的 SOP，未定義解決資通目標 - 資通目標：資安問題解決的目標、時間 - 沒有明確的教育訓練規劃，想到才做 - 離職人員、外包人員等結束合作後的權限還在 - 對於資料銷毀的流程不清楚且未正視 - 實體：碎紙機 - 線上： - 問題：要怎麼證明資料已刪掉？垃圾桶沒東西就算是刪掉了嗎？ > 需要有執行刪除行為的 audit log - 沒有設立實體管制區與相關規劃 - 沒有備份備援流程與營運持續演練計畫 - 假設情境：如果機房爆炸，可以多久後復原？ - 是否有災害演練？ - 防火牆裡面有測試 IP，對於網路安全無管制 - 沒有針對代理商關係與雲端服務商進行管制 - 沒有針對代理商的資安意識跟規定、是否有個資或保密合約做了解 - 沒有在管政府給的情資通報 - 政府會通報釣魚網站清單或危險網站通報，公司是否有針對這些網站做擋控 > 政府很嚴謹喔. 還要去證明你不是hacker才會分享給你. ## 導入時的心態 面對它、接受它、處理它、放下它 - 一切始於資通系統與資產 - 資通系統：擴及需求、開發、維運、人資、VPN...等會用到的系統，用商業情境或部門情境切分會用到的系統 - 講者以"版本控制"系統舉例 , github , 會先去分出有幾個不同的類別, 資訊, 人員, 硬體, 軟體..等等的資產. 跟版控相關的業務就可以放到資通系統的group , 要把'資產'定義出來. - 以管理的角度來管理風險. - 導入的時候有沒有認知到風險，如果不做管控的話是否能承擔風險發生的結果？ - 只要風險在承擔範圍內，怎麼作隨便你 - 明天比昨天更重要 - 只要能說服稽核單位說未來會做到什麼事以避免某個問題發生就可以了 - 過去就讓他過去吧 > 真的可以這樣寫嗎 😂 => 他是這樣說阿, 哈. - 管理層共同推動很重要 - 如果上層沒有認真想推，就會很難進行 ## 幾個推薦大家作的部分 1. 按照商業用途區分出資通系統，並決定出負責人，由他來管帳號 - 負責人不一定要管理職，先把坑挖好，然後把人塞進去 2. 帳號切分越早做越好，如要共用，務必記錄共用的人有哪些 - 如果因為成本只能買少量帳號，最好控管使用帳號的人數在三人以內 3. 養成好習慣把每個文件做版本編號，可以是日期或是語意化版本都可以 4. 制定各項系統的持訊營運目標，可以把不重要的定義成爆了就算了 - 最好盤點系統損壞的可接受程度跟怎麼處理 - 比如：顧問會問Github壞掉一天、一個月的話怎麼辦？ - 也不是算了, 定義出爆掉之後多久之後可以接受. - VPN連不上怎麼辦? 再開一個VPN > 所以也是再建立一個VPN.(代表下一次會想要用VPN的時候, 去處理) ## 內外部稽核 讓證據說話 1. 日期 - 文件要有簽署或審查表紀錄的時間 2. 版本 - 此次審核文件的版本號 3. 審批 - 文件的簽名，文件一定要有簽名的地方 ## Take away 1. 一切始於資通系統與資產 2. 以管理的角度來管理風險 3. 明天比昨天重要 4. 管理層共同推動很重要 --- 難 > 還是開個聊天室 PM:不會做事的工程師，我可是不要的 導入 ISO 27001 蠻高機率是為了接政府的案子吧 沒事不要自建環境ＸＤ > PM：不做事還燒錢（未使用到的訂閱） 實體紙本要用水銷歐  萬用聽起來很專業的開頭：`以管理的角度` 例句：以管理的角度，一小時有 60 分鐘。 ~~事情沒做到位，交給明天的自己來處理吧~~ #管理層共同推動很重要 大部分的審核都要簽名 > 管理層總共需要簽多少名??? 講者已寫了40~50份文件...?? 聽起來有點內耗. 如果為了公司營運/存活, 有做的必要也只好支持了!? 內外部audit...是要用"紙本" ???? > 可以電子化阿，不過仍需看實際的流程怎麼實踐的，當然要~~偽造~~穿越時間的話，紙本萬解 > 聽到紙本感覺就很累. "寫錯日期, 沒有簽名.等等" 聽到五十嵐 肚子餓了 ~~花在簽署文件的時間成本可以轉嫁給客戶嗎 - 這邊可以問問題嗎？ 若是因為職責劃分的關係，RD 沒辦法直接在部署程式時，直接跑 db migration，對 DB 的操作要另外開單審核， 若這流程要建立在 cicd 的流程中，有好的建議作法嗎？