我可以吃，啊不對，是ISO27001可以吃，更不對XDDD"是賺來的錢錢可以買好吃的~(冷!!!)

▉課程學習目標：
└解釋資訊安全管理系統(ISMS)的目地
以及被定義於ISO27001:2013中，ISMS包含建立，執行，運作，監督，檢視及持續改善之程序。(PDCA吧?)
└說明ISO27001新舊版差異、ISO27001:2013內容，以及ISMS為因應新版要求所應進行的調整作業。
重點>人員上怎麼配合
初階課程>條文&控制項的要求，以例子來分享

▉資訊安全管理系統的相關標準：
└ISO的條文由27001&27006這兩個延伸出來的標準、規範、技術文件等。
27001|Requirements for information security management
27002|Code of practice for information security management
27005|Information Security Risk Management
27006|Requirements for bodies providing audit and certification of information security management systelas
19011|Guidelines for management system auditing

▉補充說明：
27001>風險管理，在台灣的應用，標檢局轉換為CNS 27001,國內採行的標準。--它是教科書
27002>144個控制項的實作指引。--它是參考書
27005>風險評鑑
27006>驗證公司用的
19011>(沒記到XDDD 有好心人可以幫補充一下嗎)

▉相關的LINK：
└經濟部標準檢驗局|法規查詢 https://www.bsmi.gov.tw/lawVue/#/lawList
└CNS 27001資訊安全管理系統國家標準(更新版) (行政院國家資通安全會報-作業規範) https://nicst.ey.gov.tw/Page/7CBD7E79D558D47C/45d1f417-ca0c-4b30-aafa-ffeb9070a257
└IS027001:2013|PDF付費下載： https://www.iso.org/standard/54534.html
118法郎約是3仟五佰多台幣XDD" 暫時買不起~
└CNS27001|PDF付費下載： https://www.cnsonline.com.tw/?node=result&generalno=27001&locale=zh_TW

▶溫馨提示：所謂的『系統』，它講的是『管理制度』，別誤會成"軟體程式"之類的系統嘿。
▶也依據自身的需求來思考，為什麼會想導入ISO27001?因為公司叫我來念書 可能來自外部，也可能是內部，如果是依循法規，個資法啦，資通安全法啦，也可能會是導入的因素之一

▉舉例子|iThome 2021資安大預測>資安威脅趨勢：
①遠距工作成常態網路漏洞頻現(遠端開會、VPN連進公司)
②疫情成網路釣魚誘餌(因為你看不到我，所以我被冒充了XDDDD")
③網通與資安產品漏洞頻傳(別懷疑，使用產品都是有風險的XDDD)
④BEC商業郵件詐騙事件攀升(長期的埋伏，收集資料，偽裝商業往來的對象。)
⑤勒索軟體攻擊以資料外洩要脅(這個。。。感覺今年這個類型的威脅，直線上升)
└遊輪業者Carnival使用了含有CVE-2019-19781漏洞的Citrix伺服器。
└威聯通NAS(勒索軟體:Qlocker，檔案變成密碼保護的7ZIP檔)
└NAS使用弱密碼(拜託，舉手之勞，換一下密碼，保護網管脆弱的小心臟XDDD)
⑥軟體供應鏈與供應商成攻擊破口(恩，我想不到例子)
⑦針對製造業發動目標式與DDOS攻擊(這個是不是說製造業比較容易使用舊制的設備之類的!?)
⑧5G乾淨網路採中國網通設備(對岸的。。。)

▉依我自身遇過的例子
└NAS>大家都設同樣的權限，所以全部看光光啦，而且全部都可以殺光光唷~
(真妖壽，狼后依台了了，再兩手一攤跟你說，HI~安安~為什麼別人的資料我也可以砍呢!?ɾ⚈▿⚈ɹ)。
└應該>依職階去設定或者依部門決定能看到的資料夾。就 是 不 要 給 一 樣 的 權 限 ！！
└ISO27001裡面，會談到，設定。
(人為的管理，可是實作應該是參考27002，不確定喔，我還沒消化完27001&27002)

▉為何有本文跟控制項(附錄)的分別?
└因為有些公司(或組織)用不到的項目(比如：系統開發是委外，就跳過某些控制項?)，依據此風險評鑑來做使用。
└另外，ISO組織通常5~8年會做微調，讓其更符合目前的做法。(過渡期是三年左右，轉版)
啊。。。所以我們是不是等2021版出來再去上主導稽核員的課比較好XDDD"

▉如果看到條文用Requiremets、Code Of practice的差異：
└Requiremets(驗證要求)
• 資訊安全管理系統要求
• ISMS之建立實施與文件化之具體要求
• 依據個別組織的需求，規定要實施之安全控制的要求。
└Code Of practice(實作指引)
• 資訊安全管理作業要點
• 用劾是做為參考文件
• 提供廣泛性的安全控制措施
• 現行資訊安全之最佳作業方法
• 包含14個控制章節
• 無法作為評鑑與驗證

27001的目的:
• 提供最佳資訊安全管理實務
• 讓組織能據以發展、導入、維運.以及量測資訊安全管理實務的有效性
• 讓交易雙方能因此俱備信心與信任
• 適用於各種大小、業態與規模的組織
27001的目標:
• 以事前應對(proactive)、系統化(systematic)及邏輯化(logical)的方法來描述資訊安全問題。

▉今天的補充，可看可不看..
1、來自 https://www.ithome.com.tw/news/144340
＃金融業 ＃資安法規遵循
證交所修訂重大訊息處理程序，上市公司發生資安事故應揭露於重大訊息
為了強化資安事件重大訊息發布的重要性，並使得法源依據明確，臺灣證券交易所在4月27日傍晚發布公告，修訂重大訊息處理程序，指出已明訂上市公司一旦發生重大資安事件，應對外發布重大訊息。
對於相關修正條文的發布，是在第4條上市公司重大訊息中的第26項規範，正式將資通安全事件明確訂於法規定義需公告的重大情事範圍。

2、『資安責任險』也許今年會被重視一下|https://www.ithome.com.tw/news/116740