關鍵績效指標(KPI) KPI Base on ISO27001 Controls

 關鍵績效指標(KPI) KPI Base on ISO27001 Controls 

Category (ISO27001)	Control(控制措施)	Factor(選擇安全狀態因素) (P= Performance、R=Risk)	Measurement(量測方式)	Baseline	Metric	Indicator
4.1組織決定目標是否考量組織外部與內部環境之因素，其關聯性為何？	為達成組織目標，應考量內外部議題與關注方之風險因子，並納入風險評鑑作業	組織內外部議題審視，並納入風險因子 1.   組織領導階層應決定哪些是對組織具有重大衝擊性的事件 2.   考量面相必須以組織整體面，不是在特定部門或功能	審視關注方要求與資安議題 風險因子考量	至少1/Y	文件	1/Y
6.2組織是否已擬訂資訊安全目標？資訊安全目標是否可量測？是否與資訊安全政策一致？	資訊安全目標與量測	訂定資安政策，目標時應考量關注方要求(法令、法規，合約要求)	量測指標定期測量	每月量測	文件	1/M
A5政策管理	5.1.1資訊安全政策(公布及傳達)	政策審視、公布與傳達	定期檢視政策之適用性 政策宣達應至相關利害關係人	至少1/Y 不定期	文件	1/Y
A6資訊安全組織	6.2.1行動裝置政策 6.2.2遠距工作	手機,NB,PAD使用安全原則 R=iOT Security	基於偵測結果，定期檢視政策之適用性		文件	1/Y
A7人力資源安全	7.2.2資訊安全認知，教育及訓練	依據不同職能要求達到其專業性一般人員、系統開發人員、通訊網路基礎設施維護人員、資安技術人員、委外人員 R=人為因素導致資安風險	資安認知與專業教育訓練 相關職能專業證照(依組織環境選擇)	受訓人數% 證照數量	文件	95%↑
A8資產管理	8.3.1可移除式媒體之管理	隨身碟,USB,手機的安全原則 R=iOT Security	因媒體導致導致電腦中毒 未授權的裝置存取資料	次數	Log	1/M
A9存取控制	9.1.2對網路及網路服務之存取 A.9.2.3特殊存取權限管理 9.4.1資訊存取限制 9.4.5對程式源碼之存取控制	網路入侵偵測 核心系統登入監測 管理者帳號監控 機敏資料異動紀錄 網路頻寬使用監控	防火牆入侵紀錄，IDS入侵紀錄，帳號異常(登入失敗，異常新增帳號或修改權限) 網路頻款使用率。	異常次數 異常% MRTG	Log 文件	1/M
A10密碼學	10.1.1使用密碼式控制措施政策	系統密碼定期變更要求	未定期變更密碼	次數	Log	4/Y
A11實體與環境	11.2.1設備安置及保護 11.2.2支援之公用服務事業	機房或重要區域之各項安全設備是否定期檢查？(環控、監視、消防、電力供應)	定期維護 定期檢測(配合營運持續演練)	次數	文件	1/Y
A12運作安全	12.1.4容量管理 12.2.1防範惡意軟體之控制措施 12.4.1事件存錄 12.4.3管理者及操作日誌 12.6.1技術脆弱性管理	系統硬碟空間 中毒，入侵等異常現象紀錄 重要系統設備之log異常紀錄 系統漏洞紀錄	系統容量低於臨界值 中毒報告(部門/次數/病毒類型) 帳號登入異常紀錄 系統異常紀錄	↓%、次數	Log	1/M
A13通訊安全	13.1.2網路服務之安全	網路可用性，資料傳輸安全性	重要系統中斷次數/時數 網路服務中斷次數/時數	次數、時數	文件	1/M
A14系統獲取開發	14.1.1資訊安全要求事項分析及規格 14.1.3保護應用服務交易 14.2.8系統安全測試	SSDLC	弱點檢測、滲透測試、源碼檢測	數量	文件	1/M
A15供應商管理	15.2.1供應者服務之監視及審查	契約安全要求，保密協議，專案安全要求，委外稽核	委外廠商服務內容檢視	次數	文件	4/Y
			委外廠商稽核	次數	紀錄	1/Y
A16資訊安全事故	16.1.2通報資訊安全事件	資安事件通報應變與演練 情資分享	異常事件/資安事件次數	次數	Log 文件	1/M
A17營運持續管理	17.2.1資訊處理設施之可用性	基礎設施與核心系統之可用性	重要設備設施暨系統之中斷次數/時數	次數、時數	Log 文件	1/M
A18遵循性	18.2資訊安全審查	法令法規檢視，適法性	定期檢視與組織相關之適法性	次數\	文件	4/Y