ISO 27001 管理系統
Vibe Prompt
「幫我建立 ISO 27001 的 ISMS 範圍文件與風險評估報告。」
ISMS 建立步驟
1. 定義範圍(哪些系統/部門納入)
2. 制定資安政策
3. 風險評估
4. 風險處理
5. 選擇控制措施(Annex A)
6. 內部稽核
7. 管理審查
8. 外部認證稽核
Annex A 控制措施(精選)
| 編號 | 控制措施 | |------|---------| | A.5 | 資安政策 | | A.6 | 組織分工 | | A.7 | 人力資源安全 | | A.8 | 資產管理 | | A.9 | 存取控制 | | A.10 | 密碼學 | | A.11 | 實體安全 | | A.12 | 作業安全 | | A.13 | 通訊安全 | | A.14 | 系統獲取與開發 | | A.15 | 供應商關係 | | A.16 | 資安事件管理 | | A.17 | 業務持續性管理 | | A.18 | 合規 |
風險評估矩陣
影響
低 中 高 極高
發生 ┌───────────────┐
低 │ 🟢 🟢 🟡 🟠 │
中 │ 🟢 🟡 🟠 🔴 │
高 │ 🟡 🟠 🔴 🔴 │
極高 │ 🟠 🔴 🔴 🔴 │
└───────────────┘
🟢 接受 🟡 監控 🟠 處理 🔴 立即處理