建立檢測評核要項表

CNS 17799（ISO/IEC 17799:2005(E)）包括十一大管理要項，三十九個執行目標 與一百三十三種控制方法。如表 3.1~表 3.11 所示每一個要項「控制項目」的編號方式是 依照 CNS 17799（ISO/IEC 17799:2005(E)）之章節編號；「控制措施」會先列出控制 措施的標題，然後是評核方式的描述；「評核」的項目分為二級，評核原則如下：

符 合－文件內容有提到這項控制措施 未符合－文件內容沒有提到這項控制措施

▼表 3.1：安全政策 檢測評核要項表

項次 控制項目 控制措施 評核

一 5.1 資訊安全政策 符合 未符合

5.1.1 資訊安全政策文件：

資訊安全政策文件應由管理階層核准，並傳達給所有受雇

人員與相關外部人員。 □ □

5.1.2 審查與評估：

應定期或有重大變更時審查資訊安全政策，以確保其持續

的適當性、充分性、及有效性。 □ □

▼表3.2：組織資訊安全 檢測評核要項表

項次 控制項目 控制措施 評核

二 6.1 內部組織 符合 未符合

6.1.1 管理階層對資訊安全的承諾：

管理階層在組織內應經由清楚的指示、顯示承諾、明顯的

指派、及承認資訊安全責任，主動地支持安全有關計畫。 □ □ 6.1.2 資訊安全協調工作：

資訊安全活動應由組織內有相關角色與工作功能的不同

部份代表共同協調。 □ □

資訊安全責任的配置：

6.1.4 資訊處理設施的授權作業：

應定義與實施新資訊處理設施的管理人員授權程序。 □ □ 6.1.5 保密協議：

應區別與定期審查反映組織對保護資訊需求的機密要求

或保密協定要求。 □ □

6.1.6 與有關當局的聯繫：

應與有關當局維持適當聯繫。 □ □

6.1.7 與特殊利益團體的聯繫：

應與特殊利益團體或其他專業人員的安全論壇及專業協

會維持適當聯繫。 □ □

6.1.8 獨立的資訊安全審查：

應定期或安全實作發生重大變更時，獨立審查組織管理資 訊安全的方法與其實作（例如：資訊安全的控制目標控制 措施、政策、過程、及程序）。

□ □ 6.2 外部團體

6.2.1 識別與外部團體有關的風險：

授權外部團體存取之前，應識別涉及外部團體營運過程的

組織資訊及資訊處理設施的風險，與實施適當控制措施。 □ □ 6.2.2 應付客戶的安全處理：

在給予客戶存取組織的資訊或資產之前，應處理已識別的

安全要求。 □ □

6.2.3 第三方合約的安全處理：

涉及存取、處理、通訊或管理組織的資訊或資訊處理設 施，或對資訊處理設施增加產品或服務的第三方合約，應 涵蓋所有相關安全要求。

□ □

▼表3.3：安全政策資產管理 檢測評核要項表

項次 控制項目 控制措施 評核

三 7.1 資產責任 符合 未符合

7.1.1 資產清冊：

應清楚地鑑別所有資產，並製作與維護所有的重要資產之

清冊。 □ □

7.1.2 資產的擁有：

與資訊處理設施相關的所有資訊及資產應由組織指定的

部份所“擁有＂。 □ □

7.1.3 資產的可接受使用：

與資訊處理設施相關的資訊及資產，其可接受使用的規則 應予以識別、記錄、及實施。

7.2 資產分類

7.2.1 分類指導綱要：

資訊應以其對組織的價值、法律要求、敏感性、及重要性

加以分類。 □ □

7.2.2 資訊標示與處理：

應依照組織所採用的分類概要，發展與實施一套適當的資

訊標示與處理的程序。 □ □

▼表3.4：人力資源安全 檢測評核要項表

項次 控制項目 控制措施 評核

四 8.1 聘雇之前 符合 未符合

8.1.1 角色與職務：

受雇人員、承包商及第三方使用者的安全角色與職務，應

依照組織的資訊安全政策定義與文件化。 □ □ 8.1.2 篩選：

應依照相關法律、規章與倫理，並對照營運要求、將會存 取的資訊分類、及所認知的風險，實施對受雇人員、承包 商及第三方使用者所有應徵者的背景查證核對。

□ □ 8.1.3 聘用條件與限制：

受雇人員、承包商及第三方使用者應將聘用條件與限制視 為契約合約的一部份，同意與簽訂陳述本身與組織對資訊 安全之責任的聘雇合約。

□ □ 8.2 聘雇期間

8.2.1 管理責任：

管理當局應要求受雇人員、承包商及第三方使用者依照組

織已建立的政策及程序應用安全。 □ □

8.2.2 資訊安全認知教育與訓練：

組織所有受雇人員及相關的承包商及第三方使用者應接 受與其工作功能相關，適當的認知訓練，與組織政策及程 序的定期更新。

□ □ 8.2.3 懲罰程序：

對違反安全的受雇人員，應有正式的懲罰程序。 □ □ 8.3 聘雇終止或變更

8.3.1 聘雇終止：

執行聘雇終止或變更的職責應清楚的定義及指派。 □ □ 8.3.2 資產歸還：

所有受雇人員、承包商及第三方使用者在終止其聘雇、合

約或協議時應歸還其擁有的所有組織的資產。 □ □ 8.3.3 移除存取權限：

受雇人員、承包商及第三方使用者對資訊及資訊處理設施 的存取權限，在終止其聘雇、合約、協議、或因變更而調 整時應予以移除。

□ □

▼表3.5：實體與環境安全 檢測評核要項表

項次 控制項目 控制措施 評核

五 9.1 安全區域 符合 未符合

9.1.1 實體安全邊界：

應使用安全邊界（例如牆、刷卡控制的進入大門、或人力

接待處等阻礙）以保護存放資訊及資訊處理設施的區域。 □ □ 9.1.2 實體進入控制措施：

安全區域應有適當進入控制措施，確保只有授權人員方可

進出。 □ □

9.1.3 保護辦公處所及設施：

應設計與應用辦公室、房間及設施的實體安全。 □ □ 9.1.4 不受外在及環境的威脅：

應設計與應用實體保護，不受火災、洪水。、地震、爆炸、

民間暴動、及其它自然或人為災難的損害。 □ □ 9.1.5 在保全區域內工作：

應設計與應用在保全區域內工作的實體保護及指導綱要。 □ □ 9.1.6 公共存取、收發、及裝卸區

應控制收發裝卸區及其它未經授權人員可進入邊界點等 存取點，若可能，隔離資訊處理設施以防止未經授權的存 取。

□ □ 9.2 設備安全

9.2.1 設備安置及保護：

應安置或保護設備，以降低來自環境之威脅及危險，以及

未經授權存取之機會。 □ □

9.2.2 公用設施支援：

應保護設備不受電力失效及其他公用設施失效導致的中

斷。 □ □

9.2.3 纜線的安全：

應保護傳送資料或支援資訊服務之電源與通訊纜線，以防

止竊聽或損害。 □ □

9.2.4 設備維護：

應正確地維護設備，確保其持續的可用性與完整性。 □ □ 9.2.5 場外設備之安全：

場外設備的適用安全，應考慮在組織邊界外工作的不同風

險。 □ □

9.2.6 設備之安全報廢或再使用：

在報廢前應核對所有包含儲存媒體的設備，確保任何敏感

性資料及授權的軟體已被移除或安全地覆寫。 □ □ 9.2.7 攜出財產

未經事前授權，設備、資訊或軟體不應帶至場外。 □ □

▼表3.6：通訊與作業管理 檢測評核要項表

項次 控制項目 控制措施 評核

六 10.1 安全區域作業程序與責任 符合 未符合

10.1.1 書面的作業程序：

作業程序應製作文件、維護、及使有需要的所有使用者均

可取得。 □ □

10.1.2 變更管理：

應控制資訊處理設施與系統的變更。 □ □ 10.1.3 職責區隔：

應區分職務與責任範圍，以降低組織資產遭未經授權或非

故意的修改之機會。 □ □

10.1.4 分隔開發、測試、及作業設施：

應分隔開發、測試、及作業設施，以降低對作業系統未經

授權存取或變更的風險。 □ □

10.2 第三方服務遞送管理 10.2.1 服務遞送：

應確保第三方實施、執行、及維護包含於第三方服務遞送

協議內的安全控制措施、服務定義及遞送等級。 □ □ 10.2.2. 監控與審查第三方服務：

應定期監控與審查由第三方提供的服務、報告、及記錄，

並定期實行監視。 □ □

10.2.3 管理第三方服務的變更：

考慮牽涉到營運系統及過程的重要性與重新評鑑的風 險，應管理服務條款的變更，包括維護及改善現存的資訊 安全政策、程序、及控制措施。

□ □ 10.3 系統規劃與驗收

10.3.1 容量規劃：

資源的使用應監控、調校、及預估未來容量需求，以確保

所需的系統執行績效。 □ □

10.3.2 系統驗收：

應建立對新資訊系統、系統升級、及新版本的驗收標準，

且開發期間與驗收前應完成適當之系統測試。 □ □ 10.4 防範惡意碼與行動碼

10.4.1 對抗惡意碼的控制措施：

應實施防範惡意碼的偵測、預防、及復原控制措施與適當

之使用者認知程序。 □ □

10.4.2 對抗行動碼的控制措施：

授權使用行動碼時，其組態應確保授權的行動碼依據清楚

定義的安全政策作業，並應阻止執行未經授權的行動碼。 □ □ 10.5 備份

10.5.1 資訊備份：

應依據協議的備份政策定期備份與測試資訊與軟體的拷

貝。 □ □

10.6 網路安全管理 10.6.1 網路控制措施：

應充分地管理與控制網路，使不受威脅，並且維護使用網

路的系統與應用，包括傳輸中的資訊之安全。 □ □ 10.6.2 網路服務安全：

應識別所有網路服務的安全特性、服務等級、及管理需

求，並納入不論是內部或外包的任何網路服務協議。 □ □

應有適當的可攜式媒體的管理程序。 □ □ 10.7.2 媒體的報廢：

媒體不再使用時，應使用正式程序安全穩固地報廢。 □ □ 10.7.3 資訊處理程序：

應建立資訊的處理及儲存程序，以保護資訊不被未經授權

的揭露或誤用。 □ □

10.7.4 系統文件的安全：

應保護系統文件，不被未經授權的存取。 □ □

10.8 資訊交換

10.8.1 資訊交換政策與程序：

應有適當的正式交換政策、程序、及控制措施，以保護經

由使用所有型式通訊設施的資訊交換。 □ □

10.8.2 交換協議：

組織與外部團體間資訊與軟體的交換應建立協議。 □ □ 10.8.3 運送過程中的實體媒體：

應保護運送中在組織實體界限之外、包含資訊的媒體，不

被未經授權的存取、誤用或毀損。 □ □

10.8.4 電子傳訊：

應適當地保護涉及電子傳訊的資訊。 □ □

10.8.5 營運資訊系統：

應發展與實施政策及程序，以保護與營運資訊系統互連有

關的資訊。 □ □

10.9 電子商務服務 10.9.1 電子商務：

應保護在公用網路上傳輸、涉及電子商務的資訊，使不受

詐欺行為、合約爭議、及未經授權的揭露與修改。 □ □ 10.9.2 線上交易：

應保護涉及線上交易的資訊，以防止不完整的傳輸、錯誤 的路由、未經授權的訊息交替、未經授權的揭露、及未經

應保護涉及線上交易的資訊，以防止不完整的傳輸、錯誤 的路由、未經授權的訊息交替、未經授權的揭露、及未經

在文檔中 資訊安全管理系統與企業網路安全實作探討 (頁 28-38)