公司地址:台北市瑞光路218號2樓
TEL:02-7721-1688
 

ISO 27001 資訊安全管理制度導入服務

功能簡介

「ISO 27001 資訊安全管理制度導入服務」為本公司專業服務 團隊為維護組織重要資訊系統之機密性、完整性與可用性,無 論是技術面或是實體面的防護措施,皆必須要有一個完善的管 理流程,藉以將資訊安全與災害風險控制在可接受的範圍內, 以達成持續營運之目標。


1. 現況分析

  • 本公司將安排專業顧問對本專案執行範圍進行實體環境之 相關安全設施診斷,以及現況業務訪談。並於訪談過程中 瞭解現階段的業務作業流程與作業程序,以及分析安全性 的需求(包含機密性、完整性與可用性的需求)。然後進 行ISO 27001:2013 國際標準控制條款的規範與現況比對 分析,完成適用性聲明書
  • 2. 成立資訊安全管理組織

  • 依據ISO 27001:2013 的標準要求,應成立跨單位的資通 安全協調組織,依作業需求,應再成立資訊安全處理小組、 內部稽核小組及文件管制小組等3 個作業組織,負責資訊 安全事件處理、內部稽核與文件管制等相關工作
  • 3. 系統分類分級鑑別

  • 資訊資產權責單位於完成資訊系統安全等級評估後,依資 訊資產分類原則建立資訊資產清單,並依資訊系統安全評 估等級實施資產價值鑑別及管理。各資訊資產權責單位應 鑑別所管理之資訊系統,進行營運衝擊分析及安全等級評 估,並建立「安全等級評估表」、「資訊系統清冊」。資 產價值可由機密性價值、完整性價值、可用性價值評定, 並賦予相對應價值等級。依據風險計算的結果由高而低排 列風險的次序,高風險資產應受到優先的保護。再根據組 織本身之狀況決定可接受之風險值,並針對風險值超過可 接受之風險值之資訊資產所面臨的威脅與弱點提出對策與 控制。
  • 4. 風險處理

  • 完成風險評鑑之後,應實施風險處理計畫,以達到所鑑別 的安全目標。依據ISO 27001:2013 附錄A 的114 控制 項目選用適當的控制措施以符合管制目標。 完整的風險處理計畫包含時間表、優先順序、詳細工作計 畫及實施控制措施的權責。
  • 5. 產出適用性聲明

  • 本公司專業顧問將依據ISO 27001:2013 驗證範圍協助建 立資訊安全適用性聲明書(Statement of Applicability, SOA)。
  • 6. 建立資訊安全管理制度文件

  • 全面檢視現行作業程序,提供需符合國際認證標準之程序 書及表單,並檢視既有之管理程序與相關文件,進行必要 之調整修正。依據現況分析結果,整合現行管理制度,協 助撰寫或修訂符合標準要求,且適合執行範圍內資訊業務 運作之相關管理辦法,以建置符合ISO 27001:「P 計畫、 D 執行、C 檢查、A 行動」持續改進精神之資訊安全管理制 度文件。
  • 7. 輔導資訊安全管理制度之實施及運作

  • 將依據制定的資訊安全管理系統文件體系,協助實施資訊 安全管理制度,並擬訂資訊安全管理推行、宣導及管理計 畫,並透過資訊安全講習、宣導活動的方式,將觀念植入 組織每個人的心中。
  • 8. 建立資訊安全事件處理及營運持續管理計畫

  • 協助規劃資訊災害復原計畫與演練,並撰寫災害復原前後之相關文件。建議每年至少執行一次災變復原演練。
  • 9. 實施資訊安全管理機制並執行內部稽核作業

  • 依 ISO 27001 本文要求,將擬定「年度資訊安全內部稽核 計畫」,並輔導稽核團隊,協同內部稽核小組成員,執行 資訊安全內部稽核工作。同時,以模擬第三方查核之稽核 方式進行,且針對內部稽核結果提出內部稽核報告。
  • 10. 管理審查

  • 當內部稽核執行結束,將協助召開資訊安全管理審查會議, 並交付資訊安全管理審查會議報告。
  • 11. 第三方稽核驗證

  • 協助第三方驗證機構執行資訊安全管理系統(ISMS)驗證 稽核作業,並取得ISO 27001 資訊安全管理制度證書。