iT邦幫忙

2023 iThome 鐵人賽

DAY 6
1

要達成資安防護的目標,最重要的事情就是安全控制(在 ISMS 稱為控制措施),作為系統的保護措施,以達成 CIA 並降低風險至可接受的等級。

物理控制

利用物理的硬體或設備、建築物和設施的構造、人員安全管理等措施,通常有控制、指揮、防止人員和設備在特定位置移動的方法,也包含其他組織控制的物理範圍保護措施,以保障實體安全。

技術控制

也被稱為邏輯控制,主要為針對系統、網路的安全控制措施,如可以利用 ACL 防止未經授權存取等。技術控制的方式可以透過軟體設定,也能透過硬體(如線路、開關等)進行配置。

行政控制

也稱為管理控制,包含對組織內部人員的要求、指南、程序等,透過行政控制可以有效規範內部人員的各項行為,並進行教育訓練,以達成控制目標。

以上介紹的為控制機制的分類,若依照控制目的則可以分為預防、偵察、糾正三個目的,可分別依照所面臨的問題或情況,選擇合適的控制措施。

治理

當組織的管理階層在制訂內部規範時,首先需要遵守法律,法律能促進標準的制訂,標準促成政策的制訂,政策又促進程序的制訂。

  • 法規:由政府訂定的法律、行政命令等規範,若違反將會受到處罰
  • 標準:提供一個符合法規的框架
  • 政策:由組織管理階層制訂,為組織內部的行為提供大方向的指引
  • 程序:比政策更細的規範,為完成一項工作的詳細步驟,遵照程序進行即可保障合規,也可以理解成「照圖施工、保證成功」的概念

上一篇
[Day 5] 風險管理三步驟
下一篇
[Day 7] 營運持續
系列文
30 天取得 ISC2 Certified in Cybersecurity30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言