昨天講了合規的意義與目的，今天來講如何知道自身公司組織，應該要符合哪些規範呢？
資安規範百百種，除了通用性的國際標準（例如 ISO、BS）以外，要知道該符合哪些規範的第一步是：弄清楚你的核心業務是什麼？

核心業務通常指的是公司最主要的營運項目（就是公司靠什麼吃飯），在釐清自身的核心業務之後，就可以透過下面幾個分類，瞭解自己要符合誰的規範：

• 主管機關
• 國際組織
• 產業團體（公會、聯盟等等的合作組織）

主管機關

主管機關可以分為全體適用與各產業別，在全體適用方面，通常就是中央政府的資安部會，目前政府的資安單位有：

• 行政院國家資通安全會報：由行政院召集各部會，下設許多組別，即由各部會負責。
• 數位發展部資通安全署：原為行政院資通安全處，為資安會報幕僚單位，主要負責制度規劃、推動執行等。
• 技術服務中心：原直屬資安會報，現為資安署轄下單位，負責資安技術面的相關業務。
  
  （圖片來源：數位發展部資通安全署）

如公司組織業務是國際性的，亦需要配合他國的資安主管機關，常見的有：

• 美國：資訊安全與基礎設施安全局（Cybersecurity and Infrastructure Security Agency，CISA），隸屬於國土安全部。
• 中國：工業和信息化部、國家互聯網信息辦公室（又稱中共中央網絡安全和信息化委員會辦公室）。
• 日本：網路安全戰略本部（Cybersecurity Strategic HQs, CSSHQ），下轄國家網路安全中心（National center of Incident readiness and Strategy for Cybersecurity，NISC）。
• 韓國：網路與安全局（Korea Internet & Security Agency，KISA）。
• 英國：國家網路安全中心（National Cyber Security Centre，NCSC），隸屬於政府通信總部（Government Communications Headquarters，GCHQ）。
• 德國：聯邦資訊安全辦公室（Federal Office for Information Security，BSI）。
• 新加坡：資訊安全局（Cyber Security Agency of Singapore）

國際組織

國際組織標準大多是非強制性的，但各產業別也可能會有自己的國際組織，這時就需要符合該產業別國際組織的相關規範，才能進行國際業務：

• 國際標準化組織：International Organization for Standardization，ISO。
• 英國標準協會：The British Standards Institution，BSI。
• 歐洲標準委員會：Comité Européen de Normalisation，CEN。
• 電機電子工程師學會：Institute of Electrical and Electronics Engineers，IEEE。

銀行業

• 全球銀行金融電信協會：Society for Worldwide Interbank Financial Telecommunication，SWIFT。

詳細各產業或機構的主管機關，以及相關團體將於明日文章中介紹。