ISO 27001 轉版筆記 -4- 主條文 9.1 監督、量測、分析、評估 (影響範圍含:控制措施有效量測表)

因應主條文 9.1

總和來說,要提出一個方式來進行監督、量測、分析、評估

原先 2005 在這部分的要求沒有這麼細,所以原先的 ISO 27001:2005 通常就是有一份控制措施有效量測表,然後定期會對各個控制措施做檢測。

但新版的要求是,你需要列出量測、分析的方法還有執行的人、週期等等資訊。

量測,指的是平常的數據量測,例如有一個量測項目是某主機的網路頻寬好了,假如你設置了一個 MTRG 來記錄與展,你的 MTRG 可以做到一分鐘紀錄一筆資料,而且在檢視時,你也確實能檢視到每分鐘的數據,則你的量測周期就可以寫為每分鐘

你可以每分鐘做量測,或者每天量測,但你絕不可能每天都去分析評估,你可以每個星期,或每個月、每季去檢視一下前一段時間的量測結果,然後製作一份分析結果。

最後,你可能會在管審會或定期會議上,甚至定期追查上,呈現出你的幾份分析報告,來表示你已經透過了這些量測,來確保你的控制措施之實施。

舉個例子、你可能可以每星期檢測一次辦公室電腦的硬碟空間剩餘,並製作紀錄 (這就是監督、量測),然後每個月全面性的檢視這個月的四次紀錄,並簡單評估一下設備使用情形。(這就是分析報告了)

原先的 2005 版並未詳細到每個項目都要訂出自己的量測週期、量測人員、評估週期、評估人員,但 2013 的 主條文 9.1 則要求如此。

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

這個網站採用 Akismet 服務減少垃圾留言。進一步瞭解 Akismet 如何處理網站訪客的留言資料