iT邦幫忙

第 11 屆 iThome 鐵人賽

DAY 20
0
Security

打雜小弟的公務機關法遵面面觀(資訊彙整+彙整+筆記)系列 第 20

Day20:打破沙鍋問到底5W1H

5W1H分析法又名六合分析法/images/emoticon/emoticon37.gif

簡單來說就是因應某事項所採取的一套思考模型,從原因(何因Why)、人員(何人Who)、標的(何事What)、時間(何時When)、地點(何地Where)、對策或方法(何法How)等六個方面提出問題進行思考。

實際動手做做看/images/emoticon/emoticon33.gif

範例 Why(因) Who(人) What(事) When(時) Where(地) How(方法)
資通安全事件通報 主動或被動覺察資安事件 業務承辦、委外廠商及其它利害相關方 資安事件威脅來源 資安事件發生時間 資安事件發生地點 資安事件:緊急應變措施、短期因應措施、長期對策、後續追蹤
資通安全健診 公務及非公務機關資通安全責任等級A~C級應辦事項 顧問、廠商、承辦、上下級機關 網路架構檢視、網路惡意活動檢視、使用者端電腦惡意活動檢視、伺服器主機惡意活動檢視、目錄伺服器設定及防火牆連線設定檢視 執行時間 執行地點 如何執行?是否申請GSN資安服務?
資通安全威脅偵測管理機制(SOC) 公務及非公務機關資通安全責任等級A~B級應辦事項 資安廠商或自幹SOC的強者、上級機關 威脅情資收容與回傳(範圍不夠大、量不夠多有啥搞頭呢Orz) 上級機關規定時間內 自行處理或委托資安廠商代為處理 依據上級機關提供的回傳格式測試回傳是否ok(確認完整性及可用性,時不時的要提提CIA)
資通安全防護 公務及非公務機關資通安全責任等級所有等級應辦事項 承辦及業務執行者 防毒、網路/應用程式防火牆、郵件過濾、入侵偵測與防禦、進階持續性威脅防禦 每季一次 法遵或ISMS資安政策規範地點 依據法遵或ISMS資安標準執行並適時調整更新,以確認資安治理有效性。
資訊安全管理系統之導入及通過公正第三方之驗證 公務及非公務機關資通安全責任等級A~C級應辦事項 顧問、廠商、承辦、上下級機關 資安責任等級A~C級機關初次受核定或等級變更後之二年內,全部核心資通系統導入CNS27001或ISO27001等資訊安全管理系統標準、其他具有同等或以上效果之系統或標準,或其他公務機關自行發展並經主管機關認可之標準。資安責任等級A~B級機關於三年內完成公正第三方驗證,並持續維持其驗證有效性。 自訂的導入或驗證ISMS的期程 ISMS驗證範圍 機關內部資安管理代表、公正第三方依據ISMS標準執行驗證

好文由此去/images/emoticon/emoticon08.gif

高效清晰製作出一份會議記錄的方法——5W1H
用5W1H工作分析法,提高你的工作效率
什麼是「5W1H」分析法與5w1h應用教學
企畫案只寫 5W1H 不夠!掌握這 8 個重點,老闆、客戶才會聽你的

法源依據

資通安全管理法


上一篇
Day19:政府組態基本原則GCB
下一篇
Day21:公正第三方資格
系列文
打雜小弟的公務機關法遵面面觀(資訊彙整+彙整+筆記)30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言