Tutorial - 開始

第一次使用Verinice，因為沒有使用手冊（有需要請付費支持軟體開發人員專業），本書從內建教學開始進行，點選工具列的[Help]->[Tutorials]，接著會跳出選擇教學範圍的視窗，可以看到有幾個不同的章節，以及各個章節的簡單說明。

Verinice instructions

Getting started

Verinice原始設計有幾個不同的面向，分別是資訊安全管理(ISM Perspective)、英國標準協會資訊科技基準(BSI IT Baseline)，在我們的經驗主要用verinice於資訊安全管理上，所以只要做完這個教學即可，主要步驟如下：

1. 切換資安管理構面(Switch to ISM perspective)
2. 下載控制目錄(Download control catalog)
3. 匯入控制目錄(Import control catalog)
4. 建立範圍(Create a scope)

各步驟詳細說明：

切換資安管理構面(Switch to ISM perspective)

1. verinice提供多個不同構面操作模式，包含資訊安全管理構面(ISM Perspective)、BSI IT Baseline構面、Security Accessment等，我們主要針對ISMS構面說明，切換構面在主程式右上角，可以看到三個選項，點選ISM Perspective即可
2. 資訊安全管理構面能夠讓我們將要求(requirements)和控制措施(controls)模組化，進一步計算風險值以及產生報表
3. 除了上述從工具列直接切換以外，也能從選單列切換操作構面

下載控制目錄(Download control catalog)

1. 控制措施、控制項目在資訊安全管理系統中，是非常重要的一環，組織透過控制措施的施行，降低威脅、弱點對資訊資產造成的衝擊，初始時的目錄是空白的，所以需要匯入控制項目錄
2. 在verinice官方網站提供一些免費的目錄讓大家使用，如果免費的內容不足，我們也可以透過Microsoft Excel或者OpenOffice Calc製作自己的控制措施目錄，然後再匯入verinice之中
3. verinice官方網站提供的目錄，可以從這邊下載 http://www.verinice.org/en/download/
4. 進入上述網址之後，點選 "Implementation Guidance for ISO 27001" from the Section "CATALOGS AND MORE".
5. 一共有三種不同的目錄，分別下載到電腦裡面即可

匯入控制目錄(Import control catalog)

1. 下載完檔案以後，就是要把下載的目錄匯入verinice
2. 在verinice工作區域左邊，有一個目錄(Catalogs)標籤，在匯入以前都是空的：
3. 最左邊按鈕是匯入目錄(Import catalog)
4. 點選後分別選擇下載的三個檔案，就會看到匯入目錄的類別
5. 這是ISO 27001實作指引(ISO 27k implementation guidance)的匯入結果

建立範圍(Create a scope)

1. verinice可以同時建立管理多個組織與範圍(Organization/Scope)，使用者依照實務管理的需求進行增加和配置，當控制項載入完畢後，可以透過物件瀏覽器(Object Broes)來看該控制措施或者控制項的說明與細節。
2. 從選單的[View] > [Show view ...] > [Object Browser] 可以叫出物件瀏覽器
3. 再從匯入的目錄區(Catalog)點選任何一個控制措施，就可以看到該控制項的說明細節，例如A.11.4網路存取控制(Network access control)，在物件瀏覽器可以看到：
4. 為了讓匯入的控制項能夠發揮用途，必須在verinice資料庫內建立組織與範圍(Organization and Scope)
5. 先切回資訊安全管理構面(ISM Perspective)
6. 在verinice工作畫面的中間，就會出現資訊安全模組(Information Security Model)工作標籤
7. 當verinice是第一次使用的時候，不會有任何的組織與範圍，點選最右邊的加入新組織(Add new organization)按鈕
8. 接著試著從最左邊的控制項目錄中，任意拖一個控制措施到組織與範圍的控制，拖拉幾個就會看到類似的畫面　
9. 如此，控制措施就會被放到組織中，點兩下就會展開該控制措施的編輯視窗。