系列文章
1.1是否已規劃並定義出符合組織需要之資訊安全管理系統之適用範圍?及自組織範圍排除之理由。
首先,針對於公司內部資通安全之稽核,本人以行政院所公布『行政院資通安全稽核服務團』所提供的『資通安全外部稽核(自我評審)表』當作公司自我審核的內容,然而目前我們...
1.2規劃之資訊安全管理系統是否考量組織之整體業務活動及其相關風險?
以下為行政院資通安全稽核服務團歸類第一大項1.2,本人繼續昨天內容做出說明及分析, 一、資訊安全管理系統 (管理階層、資訊安全組織)1.2規劃之資訊安全管理系統...
1.3 資訊安全管理系統(含管理決策過程)所需之文件及紀錄,是否予以文件化及受到適當之保護與管制?
以下為行政院資通安全稽核服務團歸類第一大項1.3,本人接續1.1及1.2之內容繼續做出說明及分析, 一、資訊安全管理系統 (管理階層、資訊安全組織)1.3 資訊...
1.4資訊安全管理系統文件與紀錄發行前,是否核准其適切性?
承接昨日所談的文件化管理,我們在根據行政院所提供的「資通安全稽核外部稽核(自我評審)表」之內容,繼續1.4項之探討。 一、資訊安全管理系統 (管理階層、資訊安全...
1.5是否識別文件與紀錄的變更與最新修訂狀況?
我不太喜歡探討技術面的東西,年輕的時候,我很專注於這塊,但是,資安管理,不是資安「技術」,有了技術,還是要應用於實務,最終還是要「管理」,我想如果一個工程師提升...
1.6是否確保文件之保護、分發、傳送、儲存以及作廢,均依據所適用的分類程序處理?
做事有辦法能100%能夠達到的? N年前我去面試一家很大的公司,面試是該部門的主管,他問我,給你一筆經費,目標訂在那裏,你有辦法100%達到嗎?雖然我不是第一年...
1.7是否有文件或記錄顯示管理階層對資訊安全管理系統建立、實作、運作、監視、審查、維持與改進之承諾?
職場上有種人,叫有責無權....這真的是屎缺。職場上有種人,叫無責有權....你不是權貴,就不要幻想,這是每天都看報紙喝茶的,不清楚狀況就出來盧的工作。職場上有...
1.8組織是否依已規劃期間執行資訊安全管理系統內部稽核,以確保符合資訊安全規範、法規等的要求?
有人提到一個問題,如果工人在現場休克暈倒,難道還要等長官核准嗎?? 講到暈倒休克,我就以個人親身經歷的經驗,來解釋這個說法的問題,因為這畢竟不能混為一談。 兩年...
2.1是否鑑別適用範圍內之所有資訊資產及其擁有者?
不知道從甚麼時候開始,台灣的研究生喜歡把考卷或申請書寫到一大篇,如果言之有物,那尚且值得一讀,但我是不欣賞那種做法的人。 我在美國念書的時候,系上教授永遠要求,...
2.2是否定義風險評鑑的方法論?該方法論並確保產出可比較與可再產生的結果。
我們繼續根據行政院所提供的「資通安全稽核外部稽核(自我評審)表」之內容,探討2.2的分析。 二、風險評鑑與管理(資訊安全組織、業務及資訊單位)2.2是否定義風險...