iT邦幫忙

2022 iThome 鐵人賽

DAY 9
0
Security

物聯網與網路的資訊安全-初探系列 第 9

鐵人賽(Day9) - 27001還沒刷*2

  • 分享至 

  • xImage
  •  

本篇延續Day 8 的步驟往下說明,下一個步驟是

定義出ISMS的範疇

此步驟主要涉及ISO27001標準裡的第四條與第五條條款,所謂定義出ISMS的範疇包括以下幾點:

  1. 明確定義欲保護的資料所儲存的位置,不論儲存的方式為實體或是數位(數位又可分本地或是雲端)。
  2. 明確定義這些需要保護的資料可以如何索取(e.g., 某個實體的檔案櫃、某個員工的公司筆電等)
  3. 明確定義哪些不會或不該被列入本次ISMS的列管範圍。可能該裝置或地域並非由企業自身所擁有或是具有控制權。又或者所儲存的資料區域內打從一開始就不會或不該存放機密資料(e.g., 原本有一部份的硬體機房放在公司的停車場內,那就應該把這個硬體機房的位置移到別處,然後把公司的停車場剃除ISMS的列管範圍。

過小的ISMS範疇會導致資料風險增加,但是過大的範疇也會導致推行或是執行ISMS時會變成太複雜無法管理。

(未完待續)


上一篇
鐵人賽(Day8) - 27001還沒刷
下一篇
鐵人賽(Day10) - 27001還沒刷*3
系列文
物聯網與網路的資訊安全-初探30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言