RSSISO/IEC 27001:2013 轉版作業
2 月 24
改版可以參考的網站:
http://www.informationsecuritybuzz.com/transitioning-isoiec-270012013/
文中提到轉換工具, 可以參考看看
http://www.itgovernance.co.uk/shop/p-1479-iso-27001-2005-to-iso-27001-2013-conversion-tool.aspx
tool可以參考的網站:
1. http://www.praxiom.com/27001.htm (有不少文件)
2. http://www.iso27001security.com/html/iso27k_toolkit.html
3. http://www.slideshare.net/markb677/mark-e-s-bernard-iso-27001-2013-discretionary-versus-mandatory-v01r1-draft
流程步驟
1.2005&2013差異分析
http://www.peterhome.idv.tw/?p=1645
http://www.bsigroup.com/LocalFiles/en-GB/iso-iec-27001/resources/BSI-ISO27001-transition-guide-UK-EN-pdf.pdf (第11頁有轉版指南)
2005: A.5~A.10 133個控制項
2013: A.5~A.18(14 domains), 35控制類別, 113個控制措施, 10個本文章節, (P:ch4-7) (D:ch8) (C:ch9) (A:ch10)
2.資訊系統資產清冊
3.風險評鑑
4.風險改善/再評鑑
5.
—
轉版
策略/原則
1.對已有的ISMS流程及文件, 執行最少且必要的改變
2.採用已修正的標準來實作, 這些標準對某些組織是非常明顯的項目
改版應以簡約的方式來完成。應是要儘快實作, 而非把全部都應用上去。組織應
1.標示出未來會實作的改版部分
2.儘快改變
從何處開始?
1.在新舊版本, 進行差異分析 (是否有tool可用?) http://www.praxiom.com/iso-27001-gap.htm (透過問卷方式)
2.從既有文件識別出需要修改的地方
ISMS改版
記得文件改版, 要符合 Clause 7.5 (27001:2013)
因改版而需要的部分, 應該儘量少
1.文件化的資訊 (程序書)
2.政策 (管審會)
3.風險評鑑 (執行) (是否有tool可用?)
4.文件管控
[Do]
5.高層
6.責任(本文5.3)
7.認知/明白(本文7.4)
8.內稽 (是否有REPORT範本?) http://www.praxiom.com/iso-27002-audit.htm (ISO27002稽核工具)
[Check]
9.管理審查
[Actioin]
10.矯正
11.改善
需要更新的部分
1.適用性聲明書
已被滿足要求的新要求
1.關注方與他們的需求(本文4.2)
2.整合
3.溝通
可能會有挑戰的新需求
1.議題
2.找出風險及機會
3.監視, 量測, 分析及評估