依照ISO27001的定義, 資訊安全特性有機密性, 完整性與可用性, 為了滿足這三項特性, 因此在以下的11項領域內, 訂定了相關的控制目標與控制要點(計有39 個控制目標,133 個控制要點), 以期達到企業對資訊安全的要求.
1.安全政策
2.成立資訊安全組織
3.資訊資產管理
4.人員安全
5.實體與環境安全
6.通訊與作業管理
7.存取控管
8.資訊系統的取得、開發與維護
9.資訊安全事件管理
10.企業持續營運管理
11.法令與內部規定遵循
由於現代企業的許多活動都仰賴資訊技術, 因此以上十一項領域近已涵蓋企業的資訊行為, 由此可見資訊安全對當今企業的重要性.
如何滿足資安的11項領域中的各項規範? 首先要建立制度, 透過制度的建立與遵行來實現組織與管理階層對資訊安全的期待.
資訊安全管理制度的文件是有階層的, 分為下列四階文件
第一階:定義實施範圍與資訊安全政策
第二階:各項工作所處理的人、事、物、時間、地點
第三階:描述任務或特定活動如何完成
第四階:提供符合資安管理制度所規範/要求的執行證據
誠如上一篇所言, 現代企業的活動無不仰賴資訊科技來進行, 因此資訊安全管理制度不只是規範資訊部而已, 而是企業全體員工, 甚至擴及到外部的合作夥伴與廠商.
而建立制度只是一個開始, 如何確保制度的遂行又是另一項大挑戰, 因此稽核在整個制度中的角色自然不言而喻.
沒有留言:
張貼留言