返回
资讯安全稽核介绍与实务ⅳ

资讯安全稽核介绍与实务ⅳ

ID:1185988

大小:671.45 KB

页数:46页

时间:2017-11-08

资讯安全稽核介绍与实务ⅳ_第1页
资讯安全稽核介绍与实务ⅳ_第2页
资讯安全稽核介绍与实务ⅳ_第3页
资讯安全稽核介绍与实务ⅳ_第4页
资讯安全稽核介绍与实务ⅳ_第5页
资源描述:

《资讯安全稽核介绍与实务ⅳ》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、資訊安全稽核介紹與實務Ⅳ魯君禮講師ISO27001LAISO20000LA1課程大綱第一章前言第二章資安稽核執行解說與範例第三章資安稽核結果與討論第四章稽核報告與追蹤改善第五章資安稽核課程總結2第一章前言3前言行政院資通安全外部稽核要點資訊安全稽核資訊安全稽核介紹與實務介紹與實務III6實體與環境安全7通訊與作業管理8存取控制念1風險評鑑及管理槪本基2安全政策9資訊系統獲取、、、開發及維護、開發及維護3資訊安全組織4資產管理5人力資源安全資訊安全稽核資訊安全稽核10資訊安全事故管理介紹與實務II11營運持續管理介紹與實務IV12遵循性13其他蹤追定及定告擬報果畫結計核稽4第二章資安稽

2、核執行解說與範例2-1資訊安全事故管理2-2營運持續管理2-3遵循性2-4其他稽核事項52-1資訊安全事故管理6資訊安全事故管理-查核重點是否建立資安事件管理之通報程序針對緊急事件,是否建立緊急應變機制是否要求資訊系統及服務的使用者,如:所有員工、約聘員工或第三方人員,注意並通報任何資訊安全弱點或威脅是否建立對安全或失效事件之管理機制,並從事件中學習7資訊安全事故管理-查核範例Ⅰ10.1是否建立資安事件(含安全漏洞、系統弱點、病毒、非法入侵及系統異常)之通報及處理程序?8資訊安全事故管理-查核範例Ⅱ10.2系統或服務之安全弱點,是否通報至所有員工、承包商及第三方使用者?9資訊安

3、全事故管理-查核範例Ⅲ10.4是否建立資安事故管理機制,如記錄事故型式、處置方法、處理成本及矯正預防措施?10資訊安全事故管理-以【資通安全外部稽核(自我評審)表】為範例10.1是否建立資安事件(((含安全漏洞(含安全漏洞、、、系統弱點、系統弱點、、、病毒、病毒、、、非法入侵及系統、非法入侵及系統異常)))之通報及處理程序)之通報及處理程序???10.2系統或服務之安全弱點,,,是否通報至所有員工,是否通報至所有員工、、、承包商及第三方使用、承包商及第三方使用者者者?者???10.3是否建立資安事故管理責任及應變程序???10.4是否建立資安事故管理機制,,,如記錄事故型式,如記錄事故型式、、

4、、處置方法、處置方法、、、處理成本、處理成本及矯正預防措施???10.5機關員工及外部使用者是否知悉資安事件通報及處理程序並依規定辦理理理?理???10.6資安事件中相關證據資料是否有適當保護措施???以作為問題分析及法?以作為問題分析及法律必要依據。。。10.7是否已建立及使用各項指標,,,以協助偵測安全事件,以協助偵測安全事件,,,並預防安全事,並預防安全事故故故?故???112-2營運持續管理12營運持續管理-查核重點是否針對關鍵性業務進行,業務衝擊分析與風險評估是否備有緊急應變計畫或營運持續計畫、災難復原計畫上述計畫是否含括至協力廠商或第三者團體上述計畫是否定期進行測試與留下相

5、關記錄文件,並推廣至組織中上述計畫是否定期進行評估與增修13營運持續管理(續)-查核範例Ⅰ11.1是否已擬訂關鍵性業務及其衝擊影響分析?11.2是否對可能造成營運中斷之機率及衝擊進行風險評鑑?14營運持續管理(續)-查核範例Ⅱ11.3是否擬訂營運持續計畫(含起動條件、參與人員、緊急程序、後撤程序、回復程序、維護時程、教育訓練、職責說明、所須資源、往來單位之應變規劃及合約適當性等)?15營運持續管理(續)-查核範例Ⅲ11.4營運持續計畫是否定期完整測試、演練並予維護?16營運持續管理(續)-查核範例Ⅳ11.6營運持續計畫是否定期審查和更新?17營運持續管理-以【資通安全外部稽核(自我評審)表】

6、為範例11.1是否已擬訂關鍵性業務及其衝擊影響分析???11.2是否對可能造成營運中斷之機率及衝擊進行風險評鑑???11.3是否擬訂營運持續計畫(((含起動條件(含起動條件、、、參與人員、參與人員、、、緊急程序、緊急程序、、、後撤程、後撤程序序序、序、、、回復程序回復程序、、、維護時程、維護時程、、、教育訓練、教育訓練、、、職責說明、職責說明、、、所須資源、所須資源、、、往來單位、往來單位之應變規劃及合約適當性等)?11.4營運持續計畫是否定期完整測試、、、演練並予維護、演練並予維護???11.5營運持續計畫是否配合業務、、、組織及人員之變更而更新、組織及人員之變更而更新???11.6營運持續

7、計畫是否定期審查和更新???182-3遵循性19遵循性-查核重點是否有智財權保護政策是否監控使用非法軟體的機制是否有完整的稽核程序是否善加保存組織重要紀錄20遵循性-查核範例Ⅰ12.2組織重要紀錄(如資料庫紀錄、系統日誌、操作日誌、稽核日誌)是否依安全等級加以保護儲存(如檔案加密或數位簽章)?21遵循性-查核範例Ⅱ12.3組織中對於所經管或處理之資訊,涉有個人隱私及個人資料之保護是否有妥適

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。