iT邦幫忙

2025 iThome 鐵人賽

DAY 5
0
佛心分享-IT 人自學之術

每天一點點資安黑魔法系列 第 5

Day5 | 資安與個資標準地圖:從 ISO 到 GDPR 的實務應用全覽

  • 分享至 

  • xImage
  •  

🔐資安與個資相關標準與法規

一、ISO 系列資訊安全標準

標準編號 名稱 主要內容與應用重點
ISO/IEC 27001 資訊安全管理系統(ISMS) 建立、實施、維運及持續改進資訊安全管理系統。是最核心的資安管理標準,可做為企業導入資安制度與認證基礎。
ISO/IEC 27002 資訊安全控制措施實務守則 為 27001 的補充,提供實作面建議(如存取控制、加密、物理安全等),用於選擇與實施控制措施。
ISO/IEC 27701 隱私資訊管理系統(PIMS) 延伸自 27001 與 27002,專注於個人資料保護與隱私管理,協助組織符合 GDPR 等隱私法規。
ISO/IEC 27017 雲端服務資訊安全指引 提供雲端服務提供者與使用者的資安控制建議,是針對雲端的補充指引。
ISO/IEC 27018 公有雲個人資料保護行為準則 特別針對公有雲中處理個人識別資訊(PII)的保護措施。
ISO 22301 業務持續管理系統(BCMS) 強調在災難發生時維持關鍵業務運作,與 27001 搭配提升組織韌性。

二、資料保護法規與框架

名稱 全名 應用範疇與特色
BS 10012 個人資訊管理系統標準(PIMS)) 英國標準協會制定的隱私保護標準,對應 GDPR,適用於建立個資管理制度。
GDPR 歐盟《一般資料保護規則》 歐盟資料保護法,要求組織在處理個人資料時須取得同意、具備可攜性與被遺忘權等。
CSA STAR 雲端安全聯盟 STAR 認證 雲端安全評估與認證架構(Security, Trust & Assurance Registry),由 Cloud Security Alliance 推出,常與 ISO 27001 串接使用。

三、產業應用與工控資安

標準編號 名稱 主要內容與應用重點
IEC 62443 工業自動化與控制系統資訊安全標準 針對 OT(Operational Technology)與 ICS(工業控制系統)的資安標準,適用於工廠、電力、關鍵基礎設施等領域,分為多個部分,涵蓋資產擁有者、系統整合商與供應商。

四、以適用對象分類

分類 標準/法規 適用對象
資訊安全管理 ISO 27001、27002、27017、27018 所有類型組織
隱私/個資保護 ISO 27701、BS 10012、GDPR 涉及個人資料處理的企業
雲端資安 CSA STAR、ISO 27017、27018 雲端服務供應商、用戶
業務持續/災難應變 ISO 22301 金融、政府、關鍵基礎設施等
工控系統 IEC 62443 工業控制領域、智慧製造、能源等

上一篇
Day4 | ISO/IEC 27001:2022 轉版重點整理
下一篇
Day6 | OWASP Top 10(2021)與資安漏洞評分指南
系列文
每天一點點資安黑魔法30
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言