標題的字每個都認識，合起來卻感覺哪邊怪怪的...有些漠生嗎?

企業永續經營 = 資訊安全制度運行，2者是關連性與亙動率極高的狀態與標準。

如果客戶都有ISMS+PIMS，會放心把重要的業務交付給有疑慮的供應商嗎? (開放大家腦補XDDD)

假設高階管理者的腦子正在跑的是企業或機構怎麼生存下去，如何穩定而逐漸提昇獲利，那麼選擇可靠的合作伙伴就屬於意料之中的事了。

資訊安全全景圖 = 制度運行總檢表 ，表列組織內外部風險來源與風險值，透過定期檢視、追蹤執行成果，確保組織整體安全及風險可控。

範例如下:

1. 資訊安全政策是否合宜?最近一次修訂程序書是什麼時侯?
2. 資安組織是否合宜，內容最近一次更新是什麼時侯?
3. 是否訂定可接受風險值，風險值是多少?
4. 是否落實存取權限審查
5. 資通訊系統清查並檢視安全性?
6. 是否定期審查憑證管理清冊?
7. 是否落實合法軟體盤點?
8. 是否定期盤點資訊資產?
9. 是否定期檢視開源軟體合法使用範圍/版本/變更內容?
10. 是否執行弱點掃瞄?內對內?外對內?
11. 是否執行滲透測試?
12. 是否執行弱點修補?
13. 是否委外開發軟體?
14. 委外開發軟體是否進行源碼檢測?
15. 防火牆規則是否定期審查?
16. 防火牆最近一次變更是什麼時侯?
17. 網路設備或資安設備最近一次無預警中止服務是什麼時侯?
18. 每月檢視並分析資安事件，最近一次損害組織權益的事故是什麼?影響範圍多大?是否通知利害相關方?
19. 是否定期進行災害復原?
20. 備份檔案有效性是否定期確認?
21. 重要資訊服務是否連接不斷電供應系統(UPS)
22. 資訊機房電力供應是否設置獨力迴路且限定專責人員或單位維護?
23. 電力是否設置雙供電來源，例如:太陽能供電、柴油供電、不同的變電所(南/北)...
24. Server與Client是否定期更新Patch?
25. 是否定期執行教育訓練?
26. (依企業或機構的資安範圍擴充審查的項目與頻率)

下一篇寫寫風險評鑑，公式溫習先~~~

風險值 = 資訊資產價值 X (事件發生機率（等級）x 事件衝擊（等級）

資訊資產價值 = 機密性、完整性、可用性之相加數值

資料來源:
達成願景之流程圖
組織全景評鑑表
資安風險評鑑標準介紹