CNS 17800-91 资讯技术-资讯安全管理系统规范 对应BS 7799-2-2002

－1－資訊技術-資訊安全管理系統規範印行年月91年12月本標準非經本局同意不得翻印中國國家標準CNS總號類號ICS35.04017800X6041經濟部標準檢驗局印行公布日期修訂公布日期91年12月5日年月日(共32頁)Informationtechnology-Specificationforinformationsecuritymanagementsystems簡介0.1概說本標準之制定乃為企業經營者及其員工提供一項建置及管理一有效資訊安全管理系統（InformationSecurityManagementSystem,ISMS）之模式。組織策略性決策（strategicdecision）應包含資訊安全管理系統。影響資訊安全管理系統之設計與執行因素，包括安全與企業需求、目標、安全要求之結果、組織作業程序及組織規模與架構。這些概念及其輔助系統會隨時間而改變。若狀況簡單，就應採用簡單之資訊安全系統方案。本標準適用於內部及外部單位，包括「驗證機構」，以評鑑組織符合其自訂要求及達成客戶或法令要求之能力。0.2過程導向本標準鼓勵採用過程導向（processapproach）以建立、實施、操作、監督、維持及改進組織資訊安全管理系統之有效性。組織必須鑑別、管理許多活動方能有效運作。使用資源與管理而促成輸入轉換為輸出之一項活動，可視為一個過程。通常一個過程之輸出可直接地成為下一個過程之輸入。組織內各過程系統之應用，連同這些過程之鑑別與相互作用，及其管理可被稱為〝過程導向〞。過程導向鼓勵使用者強調下列事項之重要性：(a)瞭解商業資訊之安全要求，以及制訂資訊安全政策及目標之需求，(b)在管理一組織整體商業風險之情況下，實施及操作各項控制措施，(c)監控、審查資訊安全管理系統之績效與有效性，及(d)以客觀測量方式持續改進。眾所週知之「計畫—執行—檢查—行動」（Plan-Do-Check-Act,PDCA）模式，可應用於所有資訊安全管理系統過程，亦為本標準所採用。圖1展示資訊安全管理系統如何納採資訊安全要求(requirement)之輸入及利害相關團體之期－2－CNS17800,X6041望(expectation)作為輸入端，經由各必要措施及各過程，產生符合所需要求及期望的資訊安全輸出結果(例如納管的資訊安全)。圖1亦解釋本標準第4、5、6及第7節提及之各過程如何環環相扣。範例1：一項要求(requirement)或許為違反資訊安全但未對組織造成嚴重的財物損失及/或造成組織之困窘。範例2：一項期望(expectation)或許為假設一件嚴重事故發生時---如駭客入侵組織的電子商務網際網路—應有具備充分訓練之人員以適當的程序降低該衝擊。備考：程序(procedure)一詞使用於資訊安全時，在口語上係指被人員使用的一項作業(process)，與電腦或其他電子方式是相對的。圖1PDCA過程模式PDCA過程模式可描述如下：計畫（建立ISMS）：建立安全政策、目標、標的、過程及相關程序以管理風險及改進資訊安全，使結果與組織整體政策與目標相一致。執行（實施與操作ISMS）：安全政策、控制措施、過程與流程之實施與操作。檢查（監控與審查ISMS）：依據安全政策、目標與實際經驗，以評鑑及測量(適當時)過程績效，並將結果回報給管理階層加以審查。行動（維持與改進ISMS）：依據管理階層審查結果採取矯正與預防措施，以達成持續改進資訊安全管理系統。0.3與其他管理系統之相容性本標準與CNS12681品質管理系統—要求及CNS14001環境管理系統–附使用指引之規範相調和，藉以協助各相關管理標準之一致性並調和其實施與操作。附錄C.1表格說明本標準、CNS12681及CNS14001各節次之對應關係。本標準讓組織得以將其資訊安全管理系統與相關管理系統要求調和或整合。計畫行動檢查執行利害相關團體資訊安全要求及期望建立ISMS維持及改進監控與審查ISMS開發、維護及改進循環利害相關團體管理式資訊安全實施與操作－3－CNS17800,X60411.適用範圍1.1概論本標準規範建立、實施、操作、監控、審查、維護及改進一份包含組織整體企業風險之文件化資訊安全管理系統之要求。並規範安全控制措施之實施要求；控制措施可依據個別組織或部分單位之需求加以調整（附錄B提供參考資料，說明如何利用本標準）。資訊安全管理系統之設計乃為確保適切的及相稱的控制措施以適當的保護資訊資產並提供顧客及其他利害相關團體信心。此可被轉換成維持及改進競爭優勢、現金流、效益性、法規符合性及商業形象。1.2應用本標準敘述之要求為一般性的，目的為適用所有組織，與其類型、規模大小及業務性質無關。若本標準列出之任何要求因某組織及其業務之性質無法適用時，可考慮予以排除。當決定排除項目時，除非不影響該組織提供資訊安全之能力及/或責任，以符合風險評鑑及適用法令要求所產生之安全要件，否則不能聲明符合本標準。若發現某些控制措施可滿足風險可接受程度而需加以排除者，應提出理由以及相關風險已被權責人員適切的接受之證據。排除本標準條款第4,5,6及7節之任何要求，均不被接受。2.引用標準下列參考文件對本標準之應用是不可或缺的。CNS12681品質管理系統—要求CNS17799資訊技術—資訊安全管理之作業要點ISOGuide73:2002Riskmanagement—Vocabulary—Guidelinesforuseinstan-dards.(風險管理—詞彙—標準使用之指導綱要)3.名詞與定義為了本標準之目的，採用以下的用語及定義。3.1可用性（availability）確保獲得授權的使用者在需要時可以存取資訊並使用相關資訊資產。[CNS17799:2002]3.2機密性確保只有獲得授權的人才能存取資訊。[CNS17799:2002]3.3資訊安全保護資訊的機密性、完整性與可用性。3.4資訊安全管理系統（Informationsecuritymanagementsystem,ISMS）整體管理系統的一部份，乃根據企業風險管理的辦法所制訂，用來建立、執行、操作、監控、審查、維護與改進資訊安全。備考：管理系統涵蓋組織架構、政策、規劃活動、責任、實務、程序、過程與資源。3.5完整性（Integrity）－4－CNS17800,X6041保護資訊和處理方法的準確性和完整性。[CNS17799:2002]3.6可接受之風險(Riskacceptance)決定接受某個風險。[ISOGuide73]3.7風險分析(Riskanalysis)以有系統的方式使用資訊，進而辨識風險的來源，並加以估計。[ISOGuide73]3.8風險評鑑(Riskassessment)風險分析與風險評估的整體程序。[ISOGuide73]3.9風險評估(Riskevalution)把所估計的風險與已知的風險標準作比較的整個程序，以便決定風險的重要性。[ISOGuide73]3.10風險管理(Riskmanagement)引導與控管組織有關風險的協調活動。[ISOGuide73]3.11風險處理(Risktreatment)在選擇與實施修正風險的措施時，所用的處理過程。[ISOGuide73]3.12適用性聲明（StatementofApplicability）根據風險評鑑與風險處理程序的結果與結論，描述與組織資訊安全管理系統有關且適用之控制目標及控制措施的文件。－5－CNS17800,X60414.資訊安全管理系統4.1一般要求組織應在整體業務活動與風險下開發、實施、維護及持續改進一文件化資訊安全管理系統。為本標準之目的，所採用之過程以圖1所示之PDCA模式為基礎。4.2資訊安全管理系統之建立及管理4.2.1建立資訊安全管理系統組織應：(a)依據業務、組織、所在位置、資產及技術等特性，定義資訊安全管理系統之範圍。(b)依據業務、組織、所在位置、資產及技術等特性，定義資訊安全管理系統之政策，且：1)包含設定目標之框架，並建立有關資訊安全之整體方向意識與行動原則。2)考慮企業及法律或法規要求，以及合約性的安全責任。3)建立策略性、組織性及風險管理之內容，使其資訊安全管理系統得以建立及維持。4)藉以評估風險之標準應加以建立，風險評鑑之架構應加以定義。5)被管理階層核准。(c)定義風險評鑑之系統化方法鑑別一風險評鑑方法，並適合其資訊安全管理系統、已鑑別之企業資訊安全、以及法律與法規要求。設定資訊安全管理系統之政策與目標，以降低風險至可接受程度。決定風險可接受之標準以及鑑別風險至可接受的程度(參閱第5.1(f)節)。(d)鑑別各項風險1)鑑別資訊安全管理系統控制範圍內之資產以及該等資產之擁有者。2)鑑別這些資產所受威脅。3)鑑別這些威脅可能利用之脆弱性(vulnerabilities)。4)鑑別這些資產若喪失機密性、完整性與可用性之各項衝擊。(e)評鑑各項風險：1)安全措施失效時可能對企業之傷害應加以評鑑，並將喪失機密性、完整性與可用性可能導致之後果列入考慮。2)根據與這些資產有關之主要威脅、弱點與衝擊，評鑑這種失效實際發生的可能性及現行所實施的控制措施。3)預測各風險之層級。4)決定風險是否可接受或需利用4.2.1(c)項所建立之標準來處理。(f)鑑別並評估風險處理之選項作法；可能的措施包括：1)採用適當的控制措施。2)若風險完全地滿足組織政策及可接受風險(參閱第4.2.1(c)節)之標準，則可在掌握狀況下客觀地接受該等風險。－6－CNS17800,X60413)迴避風險。4)將相關之企業風險轉移至其他機構，如保險公司、供應商。(g)選擇控制目標及控制措施以處理風險：適當的管制目標與控制措施應於本標準之附錄A中加以選擇，選擇時應依據風險評鑑與風險處理過程之結論為基礎加以判定。備考：附錄A所列之各項管制目標與控制措施並非完全的，亦可選擇其他額外的管制目標與控制措施。(h)擬定一份適用性聲明書由4.2.1(g)節所選擇之管制目標與控制措施其選擇之理由應於適用性聲明書中加以文件化。附錄A中任何排除之管制目標與控制措施亦應加以紀錄。(i)所提出之殘餘風險需取得管理階層之核准，資訊安全系統亦需獲得授權才能實施與操作。4.2.2資訊安全管理系統之實施及操作組織應：(a)有系統的陳述一項風險處理計畫以鑑別適當管理措施、權責及優先順序，以便管理資訊安全風險(參閱第5節)。(b)實施風險處理計畫，以達到所鑑別的安全目標，計畫內容包括投資的考慮以及角色與責任的分派。(c)實施4.2.1(g)所選之控制措施以符合管制目標。(d)實施訓練與認知計畫(參閱第5.2.2節)。(e)作業管理。(f)管理資源(參閱第5.2節)。(g)實施能加速偵知安全事件並予以回應處理之作業程序及其他控制措施。4.2.3資訊安全管理系統之監控及審查組織應：(a)執行監控程序及其他控制措施，以便：1)立即偵知系統處理結果之錯誤。2)立即鑑別安全系統失效及遭他人破壞成功之事件。3)促使管理階層決定是否委託他人或藉由資訊技術之實施均已如預期般實行。4)決定採取哪些措施解決安全漏洞，以反應業務優先順序。(b)定期審查資訊安全管理系統之有效性(包含符合安全政策、目標及控制措施之審查)，並考慮來自安全稽核、事件、股東及利害關係團體之建議及回饋之結果。(c)審查殘餘風險（residualrisk）與可接受風險（acceptablerisk）等級，並考慮下數之變化：1)組織。2)技術。3)企業目標及過程。4)已鑑別之威脅－7－CNS17800,X60415)外部事件，例如法令或法規環境之變化以及社會環境之變化。(d)已規劃之期間執行資訊安全管理系統內部稽核。(e)定期執行資訊安全管理系統管理階層審查（至少每年一次），以確保範圍保持適當，及資訊安全管理系統過程之各項改進均已鑑別(參閱第6節)。(f)紀錄對資訊安全管理系統有效性或績效有衝擊之活動與事件(參閱4.3.3節)。4.2.4維持及改進資訊安全管理系統組織應定期進行下述：(a)實施資訊安全管理系統所鑑定之改進活動。(b)依據第7.2及7.3節採取適當矯正及預防措施。採用從其他組