首頁 > 資安知識庫 > 資安管理政策與教育訓練  > ISMS(ISO 27001)與顧問服務

ISO 27001:2013轉版常見3大問題

作者:魯君禮 -2014 / 07 / 28 列印 加入我的最愛 分享 將這篇文章分享到 Plurk 噗浪
去年10月ISO組織正式公告資訊安全管理系統新版本ISO27001:2013。於是全台灣超過800個企業或組織都將面臨如何因應的問題。高階主管先問:要多少預算?效益在那裡?IT主管先想:又要多少時間和人力投入?這次要怎麼做才會比較容易過關?IT人員心想:兵來將擋,水來土掩,先看別人怎麼做再說。那麼資安顧問又常被問到那些問題呢?

其實大部分問題包含兩種要素,一是觀念,一是做法。當觀念對了,做法自然會浮現。

新版ISO27001其中一個重大改變是提高對管理階層的要求,在新版ISO27001本文5.1「領導與承諾」章節中,具體說明高階管理階層應該要(shall)做到的事項,包括「確保資訊安全管理系統要求事項整合入組織之日常作業」。也就是說資訊安全不僅是資訊單位的責任,同時應該是組織全員的責任。在實務上,這也是所有資安推動人員遇到的難題,許多主管的觀念仍然以通過驗證,取得證書為專案目標。對於協調組織內各業務單位落實資訊安全相關規範,或是全面建立資訊風險管理共識,總有些不知要做到什麼程度才足夠的疑問。要符合新版ISO27001的觀念,除了參加一年一次的管理審查會議外,高階主管是否適時或定期參加資訊安全管理重要會議,將會是一個展現領導及承諾的重要指標,因為風險及安全議題經常都在發生,以最近而言,幾乎每個月都有資安事件發生,高階主管是否都已經注意到相關事件,並且知道組織的因應對策?

在ISO27001轉版的過程中最常見的問題至少有下列3項:風險評鑑方法是否可以簡化?新版的營運持續計畫涵蓋範圍為何?行動裝置如何控管?其次常見問題則有:系統開發一定要做源碼檢測嗎?一定要有密碼控制措施嗎?A9.3.1的 secret authentication information是什麼?

問題1. 風險評鑑方法是否可以簡化?
......《未完》
如欲閱讀完整內容,請成為《進階會員》
推薦此文章
9
人推薦此新聞
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字

你或許會對這些文章有興趣…