iT邦幫忙

2023 iThome 鐵人賽

DAY 8
0
Security

資通安全管理法入門系列 第 8

[Day 8] 資訊安全委員會

  • 分享至 

  • xImage
  •  

資訊安全委員會是由資安長與各一級機關委員所組成,每年開一次了解資訊安全在做什麼,如果有跨部門資安提案,就在這會議提出討論。這個會議就是ISO 27001的管理審查會。在委員會中,除了提案以外,主要有六大項需要呈現給主管們知道,下面我們逐一簡單說明:

一、過往議案的處理狀態
這部分主要關注上一次會議後所提出的議案或行動方案的進展情況。定期追踪能確保計畫持續推進且達到預期效果。這在一般其他會議也能看見。

二、資安管理相關的內部及外部議題的變更
這項目專注於外部法規和政策的更新,例如資訊安全相關法規的修改或新法規的適應。以及內部的文件變更、政策調整或組織架構的變動。

三、資訊安全績效的回饋
主要就是內部稽核的報告包括:

  1. 不符合項目及其矯正措施:報告中將條列出在審查過程中發現的不符合標準的項目,並提出相應的矯正措施建議。
  2. 監督與量測結果:透過量測表格顯示同仁資訊安全的素養程度(內稽時抽同仁詢問的資安通識題)。
  3. 稽核結果:概述內部稽核的發現和建議。
  4. 資訊安全目標的達成:評估目前的績效與設定的目標之間的落差,並探討原因。

四、關注方的回饋
包含上級機關的新指示,整理過去一年內收到的所有與資訊安全相關的公文、建議或反饋。

五、風險評鑑結果及風險處理計畫之狀態
報告將重點放在最近一次的風險評估結果上,並深入探討當前的風險管理計畫及其執行狀況。

六、持續改善
最後,報告將提及任何可以進一步強化資訊安全的建議或方案,如考慮購入先進的安全工具如IPS、EDR等,或導入新的安全策略和流程。

資訊安全委員會的目的不僅是規定的例行會議而已,更重要的是要讓長官們知道要配合哪些事情,一般來說一年就這一次長官會出席的跨部門會議,長官各個行政資歷豐富,一看就知道到底是誰在雷。


上一篇
[Day 7] 內稽
下一篇
[Day 9] 技術稽核
系列文
資通安全管理法入門31
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言