A.18 遵循性

A.18.1 對法律及契約要求事項之遵循

目標：避免違反有關資訊安全之法律、法令、法規或契約義務，以及任何安全要求事項。

A.18.1.1 適用之法規及契約的要求事項之識別

對每個資訊系統及組織，應明確識別、文件化及保持更新所有相關法律、法令、法規及契約要求事項，以及組織為符合此等要求之作法。

• 組織要識別適用法或契約的要求事項，如：電信產業需遵循電信法規、客戶合約
  一般而言，組織會比我們更了解內部需因應的適用法規，如果受稽方是政府單位，會再進一步確認遵循資通管理法的等級，如資通安全法規定政府單位有 A 政府機關、B 中華電信、C 級單位，入廠可能會依等級被檢查智慧手機、筆電或智慧錶。

A.18.1.2 智慧財產權

應實作適切程序，以確保遵循與智慧財產權及專屬軟體產品使用相關之法律、法令、法規及契約的要求事項。

• 是否使用正當合法的軟體授權、授權人數是否合理

A.18.1.3 紀錄之保護

應依法令、法規、契約及營運要求保護紀錄，免於遺失、毀損、偽造、未經授權存取及未經授權發布。

• 相關要求需要保留之紀錄，要進行保護

A.18.1.4 個人可識別資訊之隱私及保護

應依適用之相關法令、法規中之要求，以確保個人可識別資訊之隱私及保護。

• 要依法保護個人資料，如：公開系統在個人資料在前端使用遮罩表示。如：中獎名單
• 但如果範圍僅限於驗證資安管理系統，不是在於驗證個人資料，則在執行上依政策規範即可。

A.18.1.5 密碼式控制措施之監管

應使用密碼式控制措施 ，以遵循所有相關協議、法律及法規。

• 因為演算法在國際上會認知是一種武器的概念，如有法規上要求對加密機制，就要依法規實施，如：很多金融單位有使用硬體加密器(HSM)，在報廢設備時，必需要依規定進行處理其加密晶片。

A.18.2 資訊安全審查

目標：確保依組織政策及程序，實作及運作資訊安全。

A.18.2.1 資訊安全之獨立審查

應依規劃之期間或當發生重大變更時，獨立審查組織對管理資訊安全之作法及其實作(亦即資訊安全之各項控制目標、> 、政策、過程及程序)。

• 組織進行獨立性審查，實務上，只要不會自己查自己單位即可，不一定是專責查核的單位，因為資源的關係很難做到。

在稽核時有一人球員兼裁判的時候，可能受稽方都會提出：「人力或資源不足。」
那麼我們可能會討論一個情境：「如果自己發現自己的嚴重失誤，會開缺失嗎？」

A.18.2.2 安全政策及標準之遵循性

管理人員應以適切之安全政策、標準及所有其他安全要求事項，定期審查其責任範圍內之安全處理及程序的遵循性。

• 要定期依政策、主管機關或是產業安全要求，進行安全處理的遵循性，如果要求上變更，也需進行反應進行調整，如，支付卡產業需要符合定期驗證是否通過 PCI-DSS 的相關要求。

A.18.2.3 技術遵循性審查

應定期審查資訊系統對組織之資訊安全政策及標準的遵循性。

• 針對技術性的部份定期進行遵循性的審查，如：主機弱點掃瞄、網站滲透測試、資安健檢等等。

參考文獻

國家標準(CNS)網路服務系統：https://www.cnsonline.com.tw/

恐怖遊戲推薦：

我美麗的面具笑容(My Beautiful Paper Smile)

我美麗的面具笑臉是一款心理學恐怖遊戲，故事講述關於一名孩童被囚禁於專門教育出完美孩子的機構。準備好逃出這個機構，發掘計畫裡黑暗的謎團並嘗試在痛苦中存活。

Steam：https://store.steampowered.com/app/1036700/My_Beautiful_Paper_Smile/

還沒玩，先列入追蹤清單。