阿嗚~第23天了，再撐一個星期~XDD"

▉A.18 Compliance 遵循性
所有的控制措施與管理條款，除了須符合施行單位的政策外，與相關法規的符合性亦須相符，避免缺乏法源上的依據，而在於系統方面的稽核上，也需採用適當的工具進行檢測，確保運作維持不中斷。

└A. 18.1 Compliance with legal and contractual requirements遊循法規與契約要求
• A.18.1.1 Identification of applicable legislation andcontractual requirements 識別適用之法條與契約要求
對每個資訊系統及組織，應明確識別、文件化及保持更新所有相關法律、法令、法規及契約要求事項，以及組織為符合此等要求之作法。
○ 蒐集相關法律條文（智慧財產權、資料隱私保護及其他相關法規）、管理規定及合約要求，了解與資訊處理設施、軟體系統的關係，並予以書面或其他方式留存。

• A.18.1.2 Intellectual property rights智慧財產權
應實作適切程序， 以確保遵循智慧財產權及專屬軟體產品使用之相關法律、法令及契約的要求事項。
應實作適切程序，以確保遵循智慧財產權及專屬軟體產品使用之相關法律、法令及契約的要求事項。程序宜包括：
(1) 公布智慧財產權遵循政策，此政策定義軟體與資訊產品的合法使用。
(2) 只經由知名且信譽良好的來源採購軟體，確保不違反著作權。
(3) 維持對保護智慧財產權政策的認知，並通知違反政策人員將遭懲處。
(4) 維持適切的資產登記簿，並識別所有資產符合保護智慧財產權之要求。
(5) 維護使用版權、原版碟片、手冊等所有權的證明和證據。
(6) 執行控制措施，以確保不超過任何版權內允許的最多使用人數。
(7) 定期（宜每半年）檢核是否只安裝經授權軟體與有使用版權的產品。

• A.18.1.3 Protection of records 紀錄的保護
應依法令、法規、契約及營運要求保護紀錄，免於遺失、毀損、偽造、未授權存取及未經授權發布。
○ 施行單位保護之紀錄宜考量對應施行單位分類及分級法。
○ 紀錄宜按紀錄型式（例如：會計紀錄、資料庫紀錄、交易日誌、稽核日誌和運作程序)分類。
§ 都應有詳細的保存期間和儲存媒體型式(例如：紙張、微縮膠片、磁性或光學儲存媒體）。

• A.18.1.4 Privacy and protection of personally identifiableinformation個人識別資訊的隱私與保護
應依適用之相關法令、法規中之要求，以確保符合個人可識別資訊之隱私及保護。

• A.18.1.5 Regulation of cryptographic contols密瑪控制措施的規定
應使用密碼式控制措施(加密控制措施)，以遵循所有相關的協議、法律及法規。
○ 為了遵循相關的協議、法律及法規，宜考量對加密的使用設限制，如通行碼長度、通行碼複雜度、通行碼變更週期。
○ 對外採購加密技術時，宜請廠商提供輸出國核發之輸出許可文件，並避免採購國外金鑰代管或金鑰回復之產品。(原A.12.3.2)

└A.18.2 Information security reviews 資訊安全審查
• A.18.2.1 Independent review of information security 資訊安全的獨立審查
應依規劃之期間或當發生重大變更時， 獨立審查組織對管理資訊安全之作法及其實作（亦即資訊安全之各項控制目標、控制措施、政策、過程及程序）。

• A.18.2.2 Compliance with security policies and standards 安全政策與標準的遵循性
管理人員應以適切之資訊安全政策、標準及其他安全要求事項，定期審查其責任範圍內之安全處理及程序的遵循性。

• A.18.2.3 Technical compliance review 技術遵循性審查
應定期審查資訊系統對組織之資訊安全政策及標準的遵循性。