贰,ISO 27001 整体架构
以 ISO 27001 对资讯安全管理系统 (ISMS)的整体架构规划而言,是采 用「规划 – 执行 – 检查 – 行动」 ( Plan – Do – Check – Act , 简 称 PDCA)的模式来设计,其正文内容的 主要章节(第 4 - 8 节)基本上就是以 : PDCA 的模式来安排(注 11) 建立 ISMS(规划) :第 4 节「资讯 安全管理系统」 . 实作与运作 ISMS(执行) :第 5 节 「管理阶层责任」 . 监视与审查 ISMS(检查) :第 6 节 「ISMS 内部稽核」与第 7 节「ISMS 之管理阶层审查」 .
ISO 27001「资讯安全管理系统要求」在图书馆的应用
维持与改进 ISMS(行动) :第 8 节 「ISMS 之改进」 . 这里要特别强调的是,ISO 27001 非常重视持续改进的精神,因此,要求 针对每个发生的资安事件拟定矫正措施 (而非危机处理完毕就落幕) ,以防止 类似的资安事件再次发生. 再者,为了协助落实资讯安全管理 系统(ISMS) ,在 ISO 27001 附录 A 针 对 11 个控制面相(A5 – A15)制订了 39 个控制目标(与相对应的 133 个控 制措施) ,由於这些控制面相与控制目 标具体呈现资讯安全管理系统(ISMS) 的预防与查核重点,为使读者对资讯安 全管理系统(ISMS)全貌有更清楚的 认知,以下根据 CNS 27001 的翻译列 举如下(注 12) : (A. 5) 安全政策:A.5.1 资讯安全政 策. (A. 6) 资讯安全的组织:A.6.1 内部 组织,A.6.2 外部团体. (A. 7) 资产管理:A.7.1 资产责任, A.7.2 资讯分类. (A. 8) 人才资源安全:A.8.1 聘雇之 前,A.8.2 聘雇期间,A.8.3 聘 雇的终止或变更. (A. 9) 实体与环境安全:A.9.1 安全 区域,A.9.2 设备安全. (A. 10)通讯与作业管理: (A. 10.1)作业之程序与责任 (A. 10.2)第三方服务交付管 理 (A. 10.3)系统规划与验收
91
(A. 10.4)防范恶意码与行动 码 (A. 10.5)备份 (A. 10.6)网路安全管理 (A. 10.7)媒体的处置 (A. 10.8)资讯交换 (A. 10.9)电子商务服务 (A. 10.10)监视 (A. 11)存取控制: (A. 11.1) 存取控制的营运要 求 (A. 11.2) 使用者存取管理 (A. 11.3) 使用者责任 (A. 11.4) 网路存取控制 (A. 11.5) 作业系统存取控制 (A. 11.6) 应用系统与资讯存 取控制 (A. 11.7) 行动计算与远距工 作 (A. 12)资讯系统获取,开发及维护: (A. 12.1)资讯系统的安全要 求 (A. 12.2)应用系统的正确处 理 (A. 12.3)密码控制措施 (A. 12.4)系统档案的安全 (A. 12.5)开发与支援过程的 安全 (A. 12.6)技术脆弱性管理 (A. 13) 资讯安全事故管理:A.13.1 通报资讯事件与弱点,A.13.2 资讯安全事故与改进的管理. (A. 14) 营运持续管理:A.14.1 营运
台湾图书馆管理季刊 第四卷第二期 / 97 年 4 月
持续管理的资讯安全层面. (A. 15) 遵循性:A.15.1 遵循适法性 要求,A.15.2 安全政策与标 准的遵循性以及技术遵循性, A.15.3 资讯系统稽核考量. 由上述的 11 个控制面相(与 39 个 控制目标)清单,可知资讯安全管理系 统(ISMS)涵盖了与资讯相关的所有 层面:政策,组织,人员,实体环境, 作业管理,资讯系统开发及维护,危机 处理,法律. ISO 27001 的附录 A 虽然详列了 133 个控制措施以供参考,不过都还只 是原则式的叙述,为了进一步协助实际 运作,另外有一个与 ISO 27001 相搭配 的 标 准 – ISO 27002 ( 原 先 为 ISO 「 17799 ) 资 讯 安 全 管 理 作 业 要 点 」 ( Code of Practice for Information (注 13) . Security Management) 为了便於对照参考,ISO 27002 资 讯安全管理作业要点的章节安排,乃以 第 5 节到第 15 节来一一对映 ISO 27001 附录 A 的 A.5 到 A.15.同时每 节内的条文编号也完全对映,例如: ISO 27001 有 A.10.7.1「Management of removable media」的控制措施,在 ISO 27002 (或 ISO 17799 )中即有条款 10.7.1 「 Management of removable ,其中详列许多有关可移除式媒 media」 体管理的实作建议.

上一页下一页