iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 10
0

ISO27001與CNS27001標準對帥鴿來說,是歸類為同一個標準的耶...
簡單來說,就ISO27001是英文的、CNS27001是繁體中文版的(有沒有好親切/images/emoticon/emoticon25.gif)


資訊安全管理系統之導入及通過公正第三方之驗證

資安責任等級A、B級機關:

初次受核定或等級變更後之二年內,全部核心資通系統導入CNS 27001:2014或ISO 27001:2013/ISMS等資訊安全管理系統標準、其他具有同等或以上效果之系統或標準,或其他公務機關自行發展並經主管機關認可之標準,於三年內完成公正第三方驗證,並持續維持其驗證有效性。

資安責任等級C級機關:

初次受核定或等級變更後之二年內,全部核心資通系統導入CNS 27001:2014或ISO 27001:2013/ISMS等資訊安全管理系統標準、其他具有同等或以上效果之系統或標準,或其他公務機關自行發展並經主管機關認可之標準,並持續維持導入。

資安責任等級D、E級機關:

無此項次。
Ps:資安法沒有大聲說,卻默默引導大伙兒往向上集中化的方向跑,資源集中化之後的第一個好處是重覆性的維運事項可以讓上面的單位幫忙托管、所需經費也可以順便集中後再調配使用(預算是人民繳的納稅錢,花在刀口上也是合情合理的。對吧?)


歸納後感言:使用ISO27001或CNS27001沒有強制規定要用哪一種,上述標準皆使用了相同框架,可依據機關(單位)業務調整為適切的內部標準。如果都不合用的話,也可以引用其它機關經主管機關認可之標準。


上一篇
Day9:幾乎天天見的公文及法條冷知識
下一篇
Day11:資安維護計劃法遵來源與ISMS條文彙整對照表
系列文
打雜小弟的公務機關法遵面面觀(資訊彙整+彙整+筆記)30

尚未有邦友留言

立即登入留言