GV.PO

GV.PO

知識內容

• GV.PO 資安策略

  • 建立、傳達和執行組織資安策略的重要性

• GV.PO 資安策略子類別

  • GV.PO-01
    建立資安策略

    • 目的

      • 組織制定一個全面風險管理策略

      • 特定環境、目標、優先事項相關

        • 組織環境 GV.OC

          • 組織任務

          • 利害關係人期望

          • 法律法規要求

          • 合約義務

          • 產業特性

        • 策略目標 GV.RM

          • 資安管理目標與組織策略目標一致

          • 舉例

            • 提升企業競爭力

            • 擴展新市場

            • 優化營運效率

        • 優先事項

          • 資源有限要排序

          • 考量影響較深的

          • 關鍵營運與資產

    • 核心

      • 定義一個資安風險管理的策略

      • 需符合明確、廣泛傳播和執行

    • 措施

      • 企業內部建立風險管理策略

        • 策略符合

          • 可傳播

          • 可維護

          • 易理解

          • 可執行

          • 高可用

        • 管理意圖

        • 管理期望

        • 管理方向

      • 安排定期審查風險管理策略

        • 目標一致

      • 高階主管層需同意資安策略

      • 需在組織內部推廣資安策略

      • 特定情況下需確認收到策略

        • 新進人員聘任

        • 每年策略更新

    • 舉例

      • 電商平台需要建立資安風險管理

        • 任務

          • 提供方便且安全線上購物體驗

        • 期望

          • 客戶期望保護個人與付款資料

          • 合作夥伴望資料傳輸安全可靠

          • 監管機構要求遵守資料安全法

        • 目標

          • 確保客戶資料機密性和完整性

          • 維護線上平台安全性與可用性

          • 遵守所有適用法律法規和標準

        • 策略

          • 身份驗證則利用多因素驗證

          • 針對資料進行加密儲存與傳輸

          • 定期進行弱點掃描與滲透測試

          • 建立事件回應計畫與流程

          • 進行所有員工資安意識培訓

        • 傳播

          • 策略發佈在公司內網要求簽署

          • 員工進行入職資訊安全培訓

          • 每年對資安策略進行審查更新

  • GV.PO-02
    更新資安策略

    • 目的

      • 定義組織審查和更新策略的流程

      • 確保該策略符合不斷變化的風險

    • 核心

      • 定期審查和更新，以應對新挑戰

    • 措施

      • 從資安風險管理結果來更新策略

      • 建立時間表審查風險環境的變化

      • 發生變化之後安排更新策略流程

        • 法規更新

        • 技術變化

          • 導入 AI

        • 業務變化

          • 收購

          • 新合約

    • 舉例

      • 電商平台導入 AI 技術

        • 新增內容

          • AI 技術的應用範圍和目的

          • AI 技術的風險評估和管理措施

          • AI 技術供應商的安全性要求

        • 更新策略

          • 針對使用 AI 技術更新資安培訓

        • 評估策略

          • 評估措施是否可應對新的風險

小試身手

• 以下哪一項不屬於建立資訊安全策略時需要考慮的組織環境(GV.OC)因素？

  • a)組織任務

  • b)利害關係人期望

  • c)產業競爭對手

  • d)法律法規要求

  • 答案

    • c

      • 建立資訊安全策略時，需要考量組織環境(GV.OC)的因素包含組織任務、利害關係人期望、法律法規要求、合約義務以及產業特性。產業競爭對手並非組織環境的直接構成要素。

• 以下哪一項是建立資訊安全策略(GV.PO-01)的核心目標？

  • a)定義一個明確、可傳播和可執行的資訊安全風險管理策略。

  • b)確保組織完全避免所有網路安全風險。

  • c)僅關注保護組織的技術基礎設施，例如伺服器和網路設備。

  • d)建立一個資訊安全團隊，並賦予其管理所有資訊安全事務的權限。

  • 答案

    • a

      • 建立資訊安全策略(GV.PO-01)的核心目標是定義一個明確、可傳播和可執行的資訊安全風險管理策略。資訊安全策略應涵蓋組織環境、策略目標、優先事項和具體措施，並確保所有員工都了解並遵守。

• 以下哪一項是確保資訊安全策略(GV.PO)可執行性的關鍵要素？

  • a)使用高度專業的技術術語，以展現策略的專業性。

  • b)在策略文件中包含所有可能的風險情境。

  • c)避免頻繁更新策略，以確保策略的穩定性。

  • d)明確規定各項措施的責任人和完成期限。

  • 答案

    • d

      • 資訊安全策略的可執行性意味著策略中的措施必須具體、可衡量、可達成、相關且有時限。明確規定責任人和完成期限是確保措施可被有效執行的關鍵要素。

• 當組織的風險環境發生重大變化時，例如導入了新的AI技術，應該如何更新資訊安全策略(GV.PO-02)？

  • a)忽略這些變化，因為現有的資訊安全策略足以應對所有情況。

  • b)靜待法規或行業標準更新後，再考慮更新資訊安全策略。

  • c)根據新技術或環境的變化，評估現有策略的不足，並進行相應的調整和更新。

  • d)完全重新制定資訊安全策略，因為舊的策略已不再適用。

  • 答案

    • c

      • GV.PO-02強調資訊安全策略應根據不斷變化的風險環境進行審查和更新。當組織的風險環境發生重大變化時，例如導入了新的AI技術，應評估現有策略的不足，並根據新技術或環境的變化，對策略進行相應的調整和更新。

• 以下哪一項行動有助於在組織內部推廣資訊安全策略？

  • a)將資訊安全策略儲存在公司內網的安全資料夾中，限制員工存取。

  • b)僅向資訊安全團隊提供資訊安全策略培訓。

  • c)定期舉辦資訊安全意識培訓，並透過案例分享和互動遊戲等方式，讓員工更容易理解和記住策略內容。

  • d)在每年年底進行一次資訊安全策略審查，並將結果通知高層管理人員。

  • 答案

    • c

      • 在組織內部推廣資訊安全策略需要採取多種方式，而定期舉辦資訊安全意識培訓，並透過案例分享和互動遊戲等方式，讓員工更容易理解和記住策略內容是其中一個有效方法。