ISO 27001 轉版筆記 -9- 風險評鑑

ISO 27001:2013 的風險評鑑,更多地參考了 ISO 31000 有關風險管理的作法。

如果你是要引入跟建立 ISO 27001:2013,則風險評鑑的建立可以參考 ISO 31000 的作法;如果是轉版的話,也要看你的組織內對於風險評鑑方法的態度,是否要大加改革?或是沿用原先2005的風險評鑑方式(以資訊資產的風險為討論基礎)? 閱讀全文

ISO 27001 定期追查筆記

所謂定期追查,就是外部稽核單位 (eg SGS、BSI 等) 定期來做追查

此時必須特別注意,請務必針對上次開立的缺失進行補強工作,所有上次提出的矯正計畫,都必須確實完成,相關紀錄也都需文件化,除非你能夠說服稽核員你採用了一個新計畫,而且新計畫比舊計畫更好。 閱讀全文