一份"適當"的資安政策關係到日後資訊安全的成效, 切記不可東抄西剽.
就像是買錯鞋子, 合腳舒適為首要條件, 如果只貪求外觀, 但走起路來一點也不舒服, 久而久之, 就會越來越少穿, 然後就束之高閣, 完全失去當初購買的意義.
如何制訂一份好的資安政策?可參考下列原則
1.結合企業的願景與目標
2.清楚劃分政策的適用範圍
3.適當付予企業各單位、高階主管與人員的權責
4.設計風險評估方法
5.設定可量化的評量指標
6.資安事件的報告與處理程序
7.要連結企業的懲處的規定
8.需經管理階層核准後公告實施
想要吐槽一下:
如果只是文章的轉貼,
其實沒多大意義,
文章要有原創性,
或是加上自己實務案例分享,
這種文章才有分享的價值!
說明一下, 此文並非轉貼, 文章的引言是自己的工作體會, 原則是從自己替公司寫的資安政策中摘要重點彙總出來的
因為之前寫的時候, 有參考ISO27001, 所以參考資料才加註ISO27001, 並不是完全照抄ISO27001
另外, 我個人的想法是, 如果有些專業知識, 有人可以翻譯並整理出重點, 便於他人閱讀與理解, 也未必就不好, 見仁見智, 看個人需要囉