在整體的ISO 27001資訊安全框架之下,除了導入文件化的管理制度之外,還需要運用包括管理面和技術面的控制措施,才能有效防護資訊的安全,本系列文章完整而詳細地說明了ISO 27001標準中對於控制措施的要求,協助企業組織達成資訊安全的目標。
資訊安全絕對不僅僅是建置產品的過程,而是一項管理的流程,透過標準的文件化要求,進行資訊安全的風險管理,配合實施適當的安全控制措施,就可以讓組織內在的體質變好,而不需要老是倚賴華麗的外套來抵禦可能的病菌入侵。 透過本系列文章,希望協助每個企業組織可以透過持續不斷的計畫、執行、檢核和改善行動,將風險降至可接受的程度,確保各項營運活動無後顧之憂,為資安及 IT人員創造出最好的機會和最佳的工作效益。
解析資訊安全控制措施(一)
建立安全政策與資訊安全組織
在整體的資訊安全框架之下,除了導入文件化的管理制度之外,還需要運用包括管理面和技術面的控制措施,才能有效防護資訊的安全,接下來一系列的文章,將說明ISO 27001標準中對於控制措施的要求,可協助您達成資訊安全的目標。
解析資訊安全控制措施(二)
資產管理與人力資源安全
上一篇文章內容談到在ISO 27001標準裡,11個控制領域中的安全政策和資訊安全組織,本期將分析說明資產管理與人力資源安全中的要求,協助讀者選擇並實施適當的安全控制措施,以降低可能的資訊安全風險。
解析資訊安全控制措施(三)
強化實體與環境安全
在瞭解了ISO 27001標準中11個控制領域,關於資產管理和人力資源安全的要求之後,本期將說明實體與環境安全的控制措施,以協助讀者掌握其重點並進行適當的控管,以降低組織所面臨的資訊安全風險。
解析資訊安全控制措施(四)
通訊與作業的安全管理(上)
上一篇針對ISO 27001中有關實體安全的控制措施,說明了敏感的安全區域和資訊設備應實施適當的安全控管,以避免因為受到惡意人士的登堂入室,而造成資訊安全的危害,本期將繼續說明有關網路通訊與資訊系統營運的安全作業管理。
解析資訊安全控制措施(五)
通訊與作業的安全管理(中)
前文針對ISO 27001中有關通訊與作業安全的控制措施,談到了監控資訊作業的相關活動和第三方的服務管理,本期將繼續說明在此控制項目中的其他要求,以及在實務方面可以應用的管控作法。
解析資訊安全控制措施(六)
通訊與作業的安全管理(下)
上一期我們針對ISO 27001中有關系統規劃管理與網路服務的安全監控,談到了如何降低系統可能出錯的風險,以及網路服務與資訊媒體的控管要求,本期將說明電子商務的安全和系統監控的重要性。
解析資訊安全控制措施(七)
存取控制的資安要求(上)
仔細檢視過ISO 27001中有關通訊與作業管理的各項控制措施之後,接下來將說明附錄A.11存取控制的資安要求,包括了使用者的存取管理與應有的安全責任等。
解析資訊安全控制措施(八)
存取控制的資安要求(下)
前文討論了ISO 27001中有關存取控制的營運要求,組織需要建立存取控制的政策和使用者的存取管理,包括像是註冊要求、密碼管理和確保無人看管設備的安全責任等,接下來將說明和網路、作業系統、應用系統的存取控制要求。
解析資訊安全控制措施(九)
資訊系統取得、開發與維護
上次談到了ISO 27001中有關網路、作業系統、應用系統的存取控制要求,藉由部署適當的控制措施,可降低組織的安全風險,接下來將說明標準中有關資訊系統取得、開發與維護的安全要求。
解析資訊安全控制措施(十)
資安事故管理與營運持續
針對ISO 27001中有關資訊系統的安全規格要求,以及在系統開發時,如何導入適當的安全控制來降低系統的安全風險有所理解後,本期將說明接下來的資安事故管理與營運持續的控制措施。
解析資訊安全控制措施(十一)
資訊安全與法規遵循
上一期談到ISO 27001中有關如何避免資安問題影響企業營運的要求,以及在發生資安事件之前,應如何建立相關的事件處理應變流程,本期將說明在標準附錄的最後一項,有關法規遵循的控制措施。