看完 ISO 27001 標準，就會繼續看 ISO 27001 附錄 A。
附錄 A 目前的版本是 2013 年版，包含 35 個控制目標及 114 控制措施。
據說近期在改版囉，但還沒有正式發佈，再加上後續也有轉版的緩衝期，所以還是以 2013 年版本為主。
針對現有控制措施，如果覺得我寫得不夠詳盡或是無法確認要綁哪一條標準，可以參閱 ISO 27002:2013 資訊安全管理系統：一般原則指南。

如果有時間會將 ISO 27002 再列上去囉 ：)
但真的需要一點時間啦，如果很急的話再慢慢查唄～

A.5 資訊安全政策

A.5.1 資訊安全之管理指導方針

A.5.1.1 資訊安全政策

資訊安全政策應由管理階層定義並核准，且對所有員工及相關外部各方公布及傳達。

• 要實做資安政策出來並公佈傳達
• 預期可以查核的項目包括：營運策略、法律、法規、契約、資訊安全威脅環境的公告或議題

如上市公司會需要遵守證交所的法規：
證交所重大訊息處理程序修訂，上市公司發生重大資安事件應揭露於重訊，即日起實施

A.5.1.2 資訊安全政策之審查

資訊安全政策應依規劃之期間或發生重大變更時審查，以確保其持續的合宜性、適切性及有效性。

• 通常資安政策每年都會審查一次，有無需要變更，要與時俱進
• 或是特別會確認是否有重大變更時，也有相應的資訊安全政策重大變更

參考文獻

國家標準(CNS)網路服務系統：https://www.cnsonline.com.tw/

恐怖遊戲推薦：

還願(DEVOTION)

背景設定在 1980 年代台灣，遊戲參考在地文化與宗教，述說在這塊信仰與生活密切連結的土壤上，一戶三口之家在老公寓中曾有的日常光景，以及一些難以抹滅的回憶。
官網：http://redcandlegames.com/presskit/sheet.php?p=devotion&l=ch

附上館長ver直播連結：