搜索
TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫AllRightsReservedbyNII產業發展協進會縣市網路中心ISMS聯合輔導資訊安全稽核作業97年01月2TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫AllRightsReservedbyNII產業發展協進會課程大綱1資安稽核定義2資安稽核的目標3資安稽核的範圍4資安稽核的方法5資安稽核計畫擬定之要素6資安稽核人員應具備之素養7資安稽核實例討論3TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫AllRightsReservedbyNII產業發展協進會課程目標瞭解資訊安全稽核作業相關知識瞭解擬定稽核計畫時應考量之因素瞭解稽核方法及技巧瞭解稽核員所應具備之特質瞭解內部稽核表之內容TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫AllRightsReservedbyNII產業發展協進會資安稽核定義5TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫AllRightsReservedbyNII產業發展協進會稽核的定義廣義而言,所有對某項特定活動所進行之獨立調查均可稱為稽核。而根據其性質不同,又可細分為財務報表稽核、作業稽核、遵行稽核等。ISO19011中稽核之定義:¾Systematic,independentanddocumentedprocessforobtainingauditevidenceandevaluatingitobjectivelytodeterminetheextenttowhichauditcriteriaarefulfilled.¾透過系統化、獨立性及文件化的流程取得稽核證據,並透過客觀地評估,以鑑別其稽核準則所涵蓋的範圍是否達成。6TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫AllRightsReservedbyNII產業發展協進會稽核的定義(續)中華民國內部稽核協會:¾內部稽核為獨立、客觀之確認性服務及諮詢服務,用以增加價值及改善機構營運。內部稽核協助機構透過有系統及有紀律之方法,評估及改善風險管理、控制及治理過程之效果,以達成機構目標。稽核的關鍵字(KeyWords)¾系統¾獨立¾客觀¾證據7TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫AllRightsReservedbyNII產業發展協進會稽核的性質內部稽核(Internalaudit)¾FirstParty(第一方稽核)•由組織內部所發起的稽核活動•確保管理制度的維護、發展與改善符合目標外部稽核(ExternalAudit)¾SecondParty(第二方稽核)•組織對其供應商或外包商所進行之稽核•評估供應商與外包商是否符合合約要求或規定¾ThirdParty(第三方稽核)•由獨立的機構對組織進行稽核•決定組織是否符合標準,建立、施行並維護文件化之管理制度8TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫AllRightsReservedbyNII產業發展協進會資訊安全稽核種類管理遵行性¾依據標準,進行書面文件、執行軌跡與落實程度之評估稽核技術遵行性¾弱點偵測掃描(VulnerabilityScanning)¾攻擊與滲透測試(Attack&PenetrationTesting)¾技術稽核(TechniqueAudit)-信任關係、帳戶密碼原則、存取控制、監控與稽核、服務-網路拓撲、網路設備、防火牆、入侵偵測系統、作業系統、應用系統、資料庫系統等重要設定參數稽核TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫AllRightsReservedbyNII產業發展協進會資安稽核的目標10TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫AllRightsReservedbyNII產業發展協進會稽核的目標會計師的觀點國際標準驗證單位的觀點政風∕稽核單位的觀點¾確認管理制度是否落實¾衡量風險處理計畫是否有效¾向管理階層呈報稽核結果¾鑑別管理制度可改善的空間¾對管理制度提出修改建議TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫AllRightsReservedbyNII產業發展協進會資安稽核的範圍12TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫AllRightsReservedbyNII產業發展協進會資安稽核的範圍稽核範圍可藉由下列項目描述稽核之範圍與界限:¾實體位置¾組織單位¾預計受稽核之活動與流程¾稽核時間依據「資訊安全管理制度內部稽核計畫」初稿:¾稽核範圍:教育網路中心營運相關資訊業務TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫AllRightsReservedbyNII產業發展協進會資安稽核的方法14TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫AllRightsReservedbyNII產業發展協進會資安稽核的方法常用稽核方法¾書面檢閱¾人員訪談¾實地觀察¾紀錄與表單抽樣¾工具輔助查核與取樣15TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫AllRightsReservedbyNII產業發展協進會稽核技巧提出問題¾開放語句---請問您通常如何處理?¾封閉語句---請問您遇到某問題後是否依某規定步驟處理?觀察受訪者¾言詞閃爍¾雙手顫抖¾前後矛盾16TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫AllRightsReservedbyNII產業發展協進會稽核技巧(續)不要害怕問自己不懂的問題¾稽核也是學習(見賢思齊、見不閒而內自省)¾請受稽代表解釋相關流程不要催促受稽代表¾態度決定資訊來源品質¾循序漸進式¾輕鬆訪談式¾旁敲側擊17TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫AllRightsReservedbyNII產業發展協進會稽核技巧(續)不預設立場不預設答案不要雞毛當令箭不頤指氣使18TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫AllRightsReservedbyNII產業發展協進會稽核技巧(續)建立共識專業知識與證據持續追蹤改善進度TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫AllRightsReservedbyNII產業發展協進會資安稽核計畫擬定之要素20TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫AllRightsReservedbyNII產業發展協進會擬定稽核計畫需考量稽核依據(如:TANet規範草案)稽核目標稽核範圍稽核項目稽核執行之頻率稽核團隊之資格、技術稽核團隊之獨立性受稽單位、稽核團隊彼此可配合之時間21TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫AllRightsReservedbyNII產業發展協進會擬定稽核計畫需考量(續)稽核時程的合理性前次稽核或稽核計畫審查之結果事前的協調工作¾與受稽單位確認稽核時程¾特殊地點、資料調閱需事先提出審請¾相關資料可請受稽單位預先準備¾交通方式、旅途時間、膳宿、地點、設備TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫AllRightsReservedbyNII產業發展協進會資安稽核人員應具備之素養TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫AllRightsReservedbyNII產業發展協進會資安稽核實例討論24TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫AllRightsReservedbyNII產業發展協進會稽核作業程序書摘要組長確保依程序書執行協調資源編製稽核計劃召開準備會議召開啟始及結束會議報告稽核執行情形及成果列管稽核報告及所附相關查核資料組員配合組長指示執行稽核作業查證矯正及預防執行情形指派資訊安全稽核小組組長及組員負責督導資安稽核作業資訊安全委員會辦理稽核作業相關事宜稽核缺失定期追踨改善情形並加以記錄資訊安全稽核小組主管於稽核期間應指派人員接受稽核提供紀錄、報告及文件針對稽核發現提出矯正及預防措施受稽部門權責說明25TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫AllRightsReservedbyNII產業發展協進會稽核作業程序書摘要(續)作業說明¾稽核頻率•每半年定期辦理•不定期執行專案稽核¾稽核人員之要求•獨立性•資格¾稽核計畫•需包含:稽核範圍、項目、人員、時程、程序•經資訊安全委員會核准後執行26TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫AllRightsReservedbyNII產業發展協進會稽核作業程序書摘要(續)作業說明¾稽核準備•稽核小組組長應研擬內部稽核表,並召開小組準備會議•需於查核前通知受稽部門•受稽部門配合準備受稽文件及紀錄¾稽核執行•啟始會議應說明稽核範圍、時程、配合事項。•稽核小組應逐項填寫內部稽核表(項目增修需經組長同意)¾稽核報告•稽核發現經討論、彙整後,由組長提出稽核結果及發現•受稽部門代表於稽核報告簽名•受稽部門最晚應於10個工作天內,於「矯正與預防處理單」提出原因分析、矯正預防措施,經主管核定後,回覆予稽核小組27TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫AllRightsReservedbyNII產業發展協進會稽核時程架構(範例)結束會議稽核結果彙整z資訊資產分類與管制z人員安全管理與教育訓練z存取控制安全z系統開發與維護之安全z資訊安全事件之反應及處理z業務永續運作管理z相關法規與施行單位政策之符合性午休z資訊安全政策訂定與評估z資訊安全組織z實體與環境安全z通訊與作業安全管理稽核環境導覽啟始會議地點稽核人員項目時間日期28TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫AllRightsReservedbyNII產業發展協進會內部稽核項目(185)資訊安全政策訂定與評估(9)資訊安全組織(10)資訊資產分類與管制(14)人員安全管理與教育訓練(8)實體與環境安全(12)通訊與作業安全管理(33)存取控制安全(51)系統開發與維護之安全(24)資訊安全事件之反應及處理(5)業務永續運作管理(6)相關法規與施行單位政策之符合性(13)29TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫AllRightsReservedbyNII產業發展協進會內部稽核表之評分標準範例□□□□□A.5.1.1資訊安全政策制定本文.捌.一1.1組織是否訂有資訊安全政策?ABCDE稽核事實稽核結果依據條文稽核項目1.資訊安全政策訂定與評估¾A:相關資訊安全管理制度規範已建立,且落實執行¾B:相關資訊安全管理制度規範未建立,但已實施替代性資安控管措施¾C:相關資訊安全管理制度規範已建立,但未落實執行¾D:相關資訊安全管理制度規範未建立,且未實施替代性資安控管措施¾E:不適用30TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫AllRightsReservedbyNII產業發展協進會內部稽核表1.資訊安全政策訂定與評估(9項)¾1.1組織是否訂有資訊安全政策?¾1.2組織之資訊安全政策文件是否由管理階層核准並正式發布且轉知所有員工?¾1.3資訊安全政策文件是否包括資訊安全定義、目標、範圍、實施內容、執行組織、權責分工、員工責任、事件通報程序、處理流程及違反安全政策的後果等?¾1.4是否隨時公告資訊安全相關訊息?¾1.5規劃之資訊安全管理系統是否考量組織之整體業務活動及其相關風險?31TANet網路中心導入資訊安全管理制度及資訊安全專業人才培訓計畫AllRightsReservedbyNII產業發展協進會內部稽核表1.資訊安全政策訂定與評估(9項)¾1.6是否指定專人或專責單位進行資訊安全政策維護及檢討?¾1.7