簡單來說就是因應某事項所採取的一套思考模型,從原因(何因Why)、人員(何人Who)、標的(何事What)、時間(何時When)、地點(何地Where)、對策或方法(何法How)等六個方面提出問題進行思考。
| 範例 | Why(因) | Who(人) | What(事) | When(時) | Where(地) | How(方法) |
|---|---|---|---|---|---|---|
| 資通安全事件通報 | 主動或被動覺察資安事件 | 業務承辦、委外廠商及其它利害相關方 | 資安事件威脅來源 | 資安事件發生時間 | 資安事件發生地點 | 資安事件:緊急應變措施、短期因應措施、長期對策、後續追蹤 |
| 資通安全健診 | 公務及非公務機關資通安全責任等級A~C級應辦事項 | 顧問、廠商、承辦、上下級機關 | 網路架構檢視、網路惡意活動檢視、使用者端電腦惡意活動檢視、伺服器主機惡意活動檢視、目錄伺服器設定及防火牆連線設定檢視 | 執行時間 | 執行地點 | 如何執行?是否申請GSN資安服務? |
| 資通安全威脅偵測管理機制(SOC) | 公務及非公務機關資通安全責任等級A~B級應辦事項 | 資安廠商或自幹SOC的強者、上級機關 | 威脅情資收容與回傳(範圍不夠大、量不夠多有啥搞頭呢Orz) | 上級機關規定時間內 | 自行處理或委托資安廠商代為處理 | 依據上級機關提供的回傳格式測試回傳是否ok(確認完整性及可用性,時不時的要提提CIA) |
| 資通安全防護 | 公務及非公務機關資通安全責任等級所有等級應辦事項 | 承辦及業務執行者 | 防毒、網路/應用程式防火牆、郵件過濾、入侵偵測與防禦、進階持續性威脅防禦 | 每季一次 | 法遵或ISMS資安政策規範地點 | 依據法遵或ISMS資安標準執行並適時調整更新,以確認資安治理有效性。 |
| 資訊安全管理系統之導入及通過公正第三方之驗證 | 公務及非公務機關資通安全責任等級A~C級應辦事項 | 顧問、廠商、承辦、上下級機關 | 資安責任等級A~C級機關初次受核定或等級變更後之二年內,全部核心資通系統導入CNS27001或ISO27001等資訊安全管理系統標準、其他具有同等或以上效果之系統或標準,或其他公務機關自行發展並經主管機關認可之標準。資安責任等級A~B級機關於三年內完成公正第三方驗證,並持續維持其驗證有效性。 | 自訂的導入或驗證ISMS的期程 | ISMS驗證範圍 | 機關內部資安管理代表、公正第三方依據ISMS標準執行驗證 |
高效清晰製作出一份會議記錄的方法——5W1H
用5W1H工作分析法,提高你的工作效率
什麼是「5W1H」分析法與5w1h應用教學
企畫案只寫 5W1H 不夠!掌握這 8 個重點,老闆、客戶才會聽你的
iThome鐵人賽
看影片追技術