GV.RR 角色、責任與權限
GV.RR 子類別
GV.RR-01
打造資安文化
目的
組織領導階層需要為資安風險負責
組織積極建立對應的資安相關文化
風險意識
道德意識
持續改進
核心
領導者需以身作則明確說資安重要
遵守資安政策
積極參與培訓
領導者需要提供必要的資源與支持
措施
領導者與制定資安策略的關係
同意資安策略
積極參與制定
宣導與遵守
分享領導者對資安文化的期望
內部會議
內部信件
員工培訓
每年或發生重大事件更新策略
發生資安事件
看到資安新聞
負責資安風險的人有足夠權限
舉例
高階主管參與資安培訓與員工互動
制定資安政策並納入績效考核指標
建立通報流程並定期演練提升能力
GV.RR-02
明確資安責任
目的
明定資安相關角色、責任、權限
定義後傳達給相關人士理解執行
核心
每個人都清楚自己在資安的責任
密碼安全
資料保密
違反後果
每個人都了解被授權行為與決策
措施
政策記錄風險管理角色和責任
制定政策
執行措施
監督稽核
處理事件
每年提供資安培訓與意識課程
例子
責任矩陣
目的
清晰的角色和責任
有效溝通提高效率
了解責任促進問責
負責 (Responsible)
參與 (Accountable)
諮詢(Consulted)
通知 (Informed)
使用責任矩陣來明確職責與義務
宣告資安事件
通知
諮詢
諮詢
參與
參與
負責
事件初步調查
通知
通知
諮詢
負責
負責
參與
事件影響分析
負責
諮詢
參與
參與
負責
諮詢
制定應變策略
通知
諮詢
諮詢
參與
負責
負責
實施應變措施
參與
負責
負責
監督
內部溝通
通知
負責
對外溝通
負責
負責
參與
事件後檢討
參與
參與
參與
參與
負責
負責
GV.RR-03
分配資安資源
目的
核心
措施
定期審查確保資安人員有必要權限
根據承受能力和應對措施分配資源
提供人力、流程、技術資源支持
例子
從風險評估結果決定投入資安預算
投入資安培訓預算聘請資安專家
投入監控與分析工具和聘請人員
GV.RR-04
資安納入 HR
目的
將資安融入到人力資源實務
降低由人員造成資安風險
核心
員工生命週期(招聘到離職)
都需要融入資安相關策略與因素
措施
敏感職位的員工需要進行背景調查
定期敏感職位員工進行背景調查
人員篩選、入職、變更通知、離職
人員去留需考量資安態度與知識
定義並執行讓員工意識到資安義務
例子
面試環節加入資安相關問題
簽署保密協議規定在職離職都保密
規定員工用網路和設備需遵守內容
a) 組織應優先考慮技術防護措施,以建立強健的資安環境。
b) 領導者應以身作則,並提供必要的資源與支持,以培養重視資安的文化。
c) 資安政策的制定和執行應由專責的資安部門全權負責。
d) 每年一次的資安意識培訓足以建立良好的資安文化。
答案
b
a) 制定明確的資安政策,並記錄相關角色和責任。
b) 定期提供資安培訓,強化員工的資安意識和技能。
c) 採用責任矩陣 (RACI 矩陣) ,明確每個資安活動的負責人、參與者、諮詢對象和需通知對象。
d) 僅對資安部門員工進行背景調查,以確保其符合資安要求。
答案
d
a) 組織應根據風險評估結果,決定資安預算的分配。
b) 資安資源的分配應考量組織的風險承受能力和應對措施。
c) 組織應不計成本地滿足所有資安需求,以確保最大程度的防護。
d) 組織應定期審查資安資源的分配,確保其與最新的風險狀況相符。
答案
c
a) 在招聘過程中,對敏感職位的應聘者進行背景調查。
b) 將資安意識和知識納入員工績效考核指標。
c) 在員工離職時,提醒其應遵守相關的資料保密協議。
d) 為所有員工提供相同的資安培訓內容,不需區分職位和工作內容。
答案
d
a) 識別 (Identify)
b) 保護 (Protect)
c) 治理 (Govern)
d) 偵測 (Detect)
e) 回應 (Respond)
f) 復原 (Recover)
答案
c
iThome鐵人賽
看影片追技術