iT邦幫忙

2021 iThome 鐵人賽

DAY 5
0
自我挑戰組

在你身邊倒熱水之iso27001:2013筆記系列 第 5

Day05_客倌~要不要來一塊小叮噹的翻譯蒟蒻XD"

  • 分享至 

  • xImage
  •  

阿~今天的筆記,真心覺得,給我來一口翻譯蒟蒻吧,很多硬梆邦的東西,記不起來XD"

▉條文是下面這個(有沒有,我今天超級正經的):
https://ithelp.ithome.com.tw/upload/images/20210918/20114560LhNm6hRA7a.png

▉有夢最美,築夢踏實(正經沒有三秒,就又ㄎ一ㄤ了)
昨天,那一坨東西,最後的重點,其實就這一句→→→政策>規範>程序性>空白表單、紀錄及其他
今天,開工啦~也可以想成,它是一個文件化的過程,怎麼做呢,今天大概是政策到規範的階段。

└第4章、組織
分成兩個階段來說~
首先,你要考量合乎法規或者合約,舉個例子(你很愛舉例子!!),比如法規來說,因應你的行業特性或你的客源,以個資法來說,如果你只在台灣,那就只需要參考台灣的個資法啦,但如果你的客源有歐盟的公民,恭禧你,你去查一下GDPR吧,弄死你~真的。
再以合約來舉例吧,如果你是政符機關的下遊廠商,合約拜託,要看得超清楚,因為政府機關對資安的要求,應該會寫在裡面,或者一句吧,要符合ISO27001(讚~)
►GDPR可參考:沒有人是局外人!史上最嚴個資法衝擊全球,帶你搞懂什麼是GDPR
https://www.bnext.com.tw/article/49249/gdpr-general-data-protection-regulation-eu-
►先搜尋『政府機關 資安等級』,如果找不到,搜這個『資訊安全責任等級分級查檢系統 - 經濟部標準檢驗局』
考量到這裡,我相信,你的頭已經禿了(並沒有,好嗎)
再來說,當涉及違反上面這兩個的時候,應變措施是什麼(那個風險評鑑啦,出來之後,要降低風險)

繼續舉例子,你要做到什麼程度?免責免罰(不能出任何錯,哇,那人、事、時、地、物,要花的可多了)

└第五章、領導作為
5.1
高階長官的態度、他對這個部份的認知(以學校來舉例的話,偏鄉跟台北,會上新聞的程度,就不一樣后?)
5.2
長官帶你飛(正向的,不要誤會我,不是噹到起飛的意思)
宣勢主權,恩,講錯了,是承諾我們會做到的事情:合於組織的目地>訂立目標>遵守相關的規範>會持續改善。
並且公告(內部員工,供應商,客戶)
老師稽核分享:問員工,你知道資安政策在哪裡?你找得到嗎?
5.3
角色>責任、權限
組織架構圖:資安管理委員會>管理代表>文件制定、風險管理、事故處理、稽核、各單位代表
簡單來說,出事的時候,你知道怎麼應變嗎?有SOP文件,然後真的有照作嗎。

└第六章、規劃(可量測的,KPI嗎?哈哈哈)
這個挪到明天寫了,我的腦袋今天擺工啦~

另,補充一下,風險評鑑的方法可參考ISO 27005。


上一篇
Day04_學資安的心境呢,有一句話可以參考~虐妻一時爽追妻火喪場~只不過你是那個妻,不是夫~XD"
下一篇
Day06_本部的規範就是沒有規範XD"如果聽到這句,是要興奮的舉手我來還是原地放生,逃跑呢?XD"
系列文
在你身邊倒熱水之iso27001:2013筆記30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言