ISO 27001:2013 的風險評鑑,更多地參考了 ISO 31000 有關風險管理的作法。
如果你是要引入跟建立 ISO 27001:2013,則風險評鑑的建立可以參考 ISO 31000 的作法;如果是轉版的話,也要看你的組織內對於風險評鑑方法的態度,是否要大加改革?或是沿用原先2005的風險評鑑方式(以資訊資產的風險為討論基礎)? 閱讀全文
ISO 27001 轉版筆記 -9- 風險評鑑
回覆
作者彙整: hank
ISO 27001 定期追查筆記
所謂定期追查,就是外部稽核單位 (eg SGS、BSI 等) 定期來做追查
此時必須特別注意,請務必針對上次開立的缺失進行補強工作,所有上次提出的矯正計畫,都必須確實完成,相關紀錄也都需文件化,除非你能夠說服稽核員你採用了一個新計畫,而且新計畫比舊計畫更好。 閱讀全文
ISO 27001 轉版筆記 -8- 主條文 7.4 溝通傳達
主條文 7.4 要求組織必須針對溝通傳達這件事情下功夫,7.4是一個總體的要求,但除此之外,其他像主條文 5.3、6.2以及控制項A5.1、A7.2.3、A7.3 等部分,都有提到,要求組織要針對這些部份去訂出溝通傳達的辦法。 閱讀全文
ISO 27001 轉版筆記 -7- 控制項 A.6.2 行動裝置
10 年前,智慧型的行動裝置還沒有如此的普遍,因此當時以行動裝置來操縱各種資訊行為還不是主流,也就沒有對行動裝置相關規範做一定程度的要求
ISO 27001 轉版筆記 -6- 控制項 A.6.1.5 專案管理之資訊安全
ISO 27001 轉版筆記 -5- 主條文 6.2 資安目標及其達成之規劃
主條文 6.2 要求組織必須要設定資安目標,還要訂定待辦事項、量測方法等等細節,來確保資安目標確實有被達成。 閱讀全文
ISO 27001 轉版筆記 -4- 主條文 9.1 監督、量測、分析、評估 (影響範圍含:控制措施有效量測表)
因應主條文 9.1
ISO 27001 轉版筆記 -3- 主條文 4 組織全景檢視
需針對組織的全景做通盤考量
不一定要納入表單,但是要有考量、列舉以及討論的結果呈現出來 閱讀全文
ISO 27001 轉版筆記 -2- 主條文跟控制項之基本認知、適用性聲明書之修訂
ISO 27001 有所謂的主條文 跟 Annex (控制項)
ISO27001 轉版筆記 -1-
觀念或許不盡正確,此系列轉版筆記僅為實作過程中個人的理解,提供大家參考
網頁技術學習筆記 002–以 Python 擷取、處理 json 資料
網頁技術學習筆記 001 – 以下拉選單動態顯示欄位
IPv6 學習筆記 004 – 將擷取到的 ASes 資料畫圖,以 Google jsapi 實作
簡述
承接前篇「 IPv6 學習筆記 003 – 從 Ripe NCC 擷取各國 ASes 的資料,以 Python 實作」,將抓到的資料拿來畫圖。
畫圖有很多種方法,譬如用 jpggragh 這個 PHP 的 library,或是直接借用 Google 現成的jsapi 畫圖,而不需自己生產所需的 jQuery,初步完成圖請參考此頁。
IPv6 學習筆記 003 – 從 Ripe NCC 擷取各國 ASes 的資料,以 Python 實作
IPv6 學習筆記 002 – 安裝支援 IPv6 的 DNS
IPv6 學習筆記 001 – 入門筆記
參考資料
特別說明
這是一篇入門的學習筆記,所以錯誤或觀念混淆是很可能存在的,大家千萬不要拿這篇筆記做深入的學習啊! 最好每個字都要懷疑,每個字都不要相信!^^ (但話說回來,其實作學問本就該如此吧? 不盡信之)