森德網站設計

資安服務項目

ISO27001/ISMS導入服務

▪︎ 服務簡介

「ISO 27001 資訊安全管理制度導入服務」為本公司專業服務團隊為維護組織重要資訊系統之機密性、完整性與可用性,無論是技術面或是實體面的防護措施,皆必須要有一個完善的管理流程,藉以將資訊安全與災害風險控制在可接受的範圍內,以達成持續營運之目標。

 

▪︎ ISMS輔導顧問流程

 

 

1. 現況分析

本公司將安排專業顧問對本專案執行範圍進行實體環境之相關安全設施診斷,以及現況業務訪談。並於訪談過程中瞭解現階段的業務作業流程與作業程序,以及分析安全性的需求(包含機密性、完整性與可用性的需求)。然後進 行ISO 27001:2013 國際標準控制條款的規範與現況比對分析,完成適用性聲明書

 

2. 成立資訊安全管理組織

依據ISO 27001:2013 的標準要求,應成立跨單位的資通安全協調組織,依作業需求,應再成立資訊安全處理小組、 內部稽核小組及文件管制小組等3個作業組織,負責資訊安全事件處理、內部稽核與文件管制等相關工作

 

3. 系統分類分級鑑別

資訊資產權責單位於完成資訊系統安全等級評估後,依資訊資產分類原則建立資訊資產清單,並依資訊系統安全評估等級實施資產價值鑑別及管理。各資訊資產權責單位應鑑別所管理之資訊系統,進行營運衝擊分析及安全等級評估,並建立「安全等級評估表」、「資訊系統清冊」。資 產價值可由機密性價值、完整性價值、可用性價值評定, 並賦予相對應價值等級。依據風險計算的結果由高而低排列風險的次序,高風險資產應受到優先的保護。再根據組織本身之狀況決定可接受之風險值,並針對風險值超過可接受之風險值之資訊資產所面臨的威脅與弱點提出對策與控制。

 

4. 風險處理

完成風險評鑑之後,應實施風險處理計畫,以達到所鑑別的安全目標。依據ISO 27001:2013 附錄A 的114 控制項目選用適當的控制措施以符合管制目標。 完整的風險處理計畫包含時間表、優先順序、詳細工作計畫及實施控制措施的權責。

 

5. 產出適用性聲明

本公司專業顧問將依據ISO 27001:2013 驗證範圍協助建立資訊安全適用性聲明書(Statement of Applicability, SOA)。

 

6. 建立資訊安全管理制度文件

全面檢視現行作業程序,提供需符合國際認證標準之程序書及表單,並檢視既有之管理程序與相關文件,進行必要之調整修正。依據現況分析結果,整合現行管理制度,協助撰寫或修訂符合標準要求,且適合執行範圍內資訊業務運作之相關管理辦法,以建置符合ISO 27001:「P 計畫、 D 執行、C 檢查、A 行動」持續改進精神之資訊安全管理制度文件。

 

7. 輔導資訊安全管理制度之實施及運作

將依據制定的資訊安全管理系統文件體系,協助實施資訊安全管理制度,並擬訂資訊安全管理推行、宣導及管理計畫,並透過資訊安全講習、宣導活動的方式,將觀念植入組織每個人的心中。

 

8. 建立資訊安全事件處理及營運持續管理計畫

協助規劃資訊災害復原計畫與演練,並撰寫災害復原前後之相關文件。建議每年至少執行一次災變復原演練。

 

9. 實施資訊安全管理機制並執行內部稽核作業

依 ISO 27001 本文要求,將擬定「年度資訊安全內部稽核計畫」,並輔導稽核團隊,協同內部稽核小組成員,執行資訊安全內部稽核工作。同時,以模擬第三方查核之稽核方式進行,且針對內部稽核結果提出內部稽核報告。

 

10. 管理審查

當內部稽核執行結束,將協助召開資訊安全管理審查會議, 並交付資訊安全管理審查會議報告。

 

11. 第三方稽核驗證

協助第三方驗證機構執行資訊安全管理系統(ISMS)驗證 稽核作業,並取得ISO 27001 資訊安全管理制度證書。