iT邦幫忙

2022 iThome 鐵人賽

DAY 3
0

昨天講了合規的意義與目的,今天來講如何知道自身公司組織,應該要符合哪些規範呢?
資安規範百百種,除了通用性的國際標準(例如 ISO、BS)以外,要知道該符合哪些規範的第一步是:弄清楚你的核心業務是什麼?

核心業務通常指的是公司最主要的營運項目(就是公司靠什麼吃飯),在釐清自身的核心業務之後,就可以透過下面幾個分類,瞭解自己要符合誰的規範:

  • 主管機關
  • 國際組織
  • 產業團體(公會、聯盟等等的合作組織)

主管機關

主管機關可以分為全體適用與各產業別,在全體適用方面,通常就是中央政府的資安部會,目前政府的資安單位有:

  • 行政院國家資通安全會報:由行政院召集各部會,下設許多組別,即由各部會負責。
  • 數位發展部資通安全署:原為行政院資通安全處,為資安會報幕僚單位,主要負責制度規劃、推動執行等。
  • 技術服務中心:原直屬資安會報,現為資安署轄下單位,負責資安技術面的相關業務。
    資安主管機關組織圖
    (圖片來源:數位發展部資通安全署

如公司組織業務是國際性的,亦需要配合他國的資安主管機關,常見的有:

  • 美國:資訊安全與基礎設施安全局(Cybersecurity and Infrastructure Security Agency,CISA),隸屬於國土安全部。
  • 中國:工業和信息化部、國家互聯網信息辦公室(又稱中共中央網絡安全和信息化委員會辦公室)。
  • 日本:網路安全戰略本部(Cybersecurity Strategic HQs, CSSHQ),下轄國家網路安全中心(National center of Incident readiness and Strategy for Cybersecurity,NISC)。
  • 韓國:網路與安全局(Korea Internet & Security Agency,KISA)。
  • 英國:國家網路安全中心(National Cyber Security Centre,NCSC),隸屬於政府通信總部(Government Communications Headquarters,GCHQ)。
  • 德國:聯邦資訊安全辦公室(Federal Office for Information Security,BSI)。
  • 新加坡:資訊安全局(Cyber Security Agency of Singapore)

國際組織

國際組織標準大多是非強制性的,但各產業別也可能會有自己的國際組織,這時就需要符合該產業別國際組織的相關規範,才能進行國際業務:

  • 國際標準化組織:International Organization for Standardization,ISO。
  • 英國標準協會:The British Standards Institution,BSI。
  • 歐洲標準委員會:Comité Européen de Normalisation,CEN。
  • 電機電子工程師學會:Institute of Electrical and Electronics Engineers,IEEE。

銀行業

  • 全球銀行金融電信協會:Society for Worldwide Interbank Financial Telecommunication,SWIFT。

詳細各產業或機構的主管機關,以及相關團體將於明日文章中介紹。


上一篇
[Day 2] 合規?可以吃嗎?
下一篇
[Day 4] 要合誰的規?(下)
系列文
合規合規,合什麼規?30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言