- 將要影印的資料放在影印機,操作人離開
- 3.4資訊安全──保存資訊的機密性、完整性及可用性;此外,亦能涉及如鑑別性、可歸責性、不可否認性及可靠度等性質。
- A.12.5.4 資料洩漏──控制措施─應防範資訊洩漏的機會。
- 進庫房未先行登記
- 3.4資訊安全──保存資訊的機密性、完整性及可用性;此外,亦能涉及如見別性、可規則性、不可否認性及可靠度等性質。
- 4.3.3 紀錄管制──應建立並維持各項紀錄,以提供要求之符合性及ISMS之有效運作的證據。記錄應加以保護與管制。ISMS應將認相關的法律或法規要求以及契約義務納入考量。記錄應保持易於閱讀,容易識別及檢索。記錄之事別、儲存、保護、檢索、保存期限及作廢所需的各項控制措施,應予以文件化並實作。應保存如第4.2節所條列各項過程之積效的記錄,以及所有相關於ISMS的重大安全事故發生之記錄。
- A9.1.1 實體安全周界──控制措施─應使用安全周界(諸如牆、卡控入口閘門或人員駐守的接待櫃檯等屏障)以保護含有資訊及資訊處理設施的區域。
- A9.1. 安全區域──目標:防止組織場所與資訊遭未經授權的實體存取、損害及干擾。
- 電腦未設使用者密碼
- 3.4資訊安全──保存資訊的機密性、完整性及可用性;此外,亦能涉及如見別性、可規則性、不可否認性及可靠度等性質。
- A10.7.4 系統文件的安全──控制措施─系統文件應加以保護,免遭未經授權的存取。
- A11.2.3 使用者通行碼管理──控制措施─應以正式的管理過程控制通行碼的配置。
- A11.3 使用者責任──目標:防止未經授權的使用者存取資訊與資訊處理設施,以及使其遭受破壞或竊盜。
- A11.3.1 通行碼的使用──控制措施─應要求使用者遵照良好安全實務去選擇與使用通行碼。
- A11.3.2 無人看管的使用者設備──控制措施─使用者應確保無人看管的設備有適當保護。
- A.11.5 作業系統存取控制──目標:防止作業系統遭未經授權的存取。
- A.11.5.2 使用者識別與鑑別──控制措施─所有使用紙應有僅限其個人使用的為一識別符(使用者ID),並應選擇適切的鑑別技術,以證實使用宣稱之身分。
- A.11.5.3 通行碼管理系統──控制措施─管理通行碼的系統應為互動式,並應確保通行碼嚴謹。
- 將機密資料放在無人座位上
- 3.4資訊安全──保存資訊的機密性、完整性及可用性;此外,亦能涉及如見別性、可規則性、不可否認性及可靠度等性質。
- 使用完機密資料,將其放入個人抽屜,而非歸還至庫房
- 4.3.2(d) 確保在使用處,備妥適切版本之適用文件。
- 4.3.2(f) 確保文件對其需要者可隨時取得,且依據適用其分類的程序予以傳送、儲存以及最終做廢。
- 各項事項違反之懲處
- A.8.2.3 懲處過程──控制措施─對違反安全的員工,應有正式的懲處過程。
ISO27001之控制事項繁瑣,但其實只要把「可能會有安全漏洞」的地方,上鎖、或請保全看管,並確實執行,基本上都不會違反任何一條規定。只怕實施者因為要省時間、省麻煩,而造成不可彌補的資安事件。
沒有留言:
張貼留言