在弓箭手村的資安修練第 6 天，被召喚進入村長的作戰會議室，這裡沒有箭矢飛舞，只有滿牆的卷軸與規章──資安的三大聖典：政策（Policy）、程序（Procedure）、標準（Standard）、法規和法律 (Regulation and Law)。據說他們是守護村莊秩序的根本，沒有它們弓箭手再強也是會亂射一通！
今天的任務：搞懂他們的差異與作用，從「該做什麼」、「怎麼做」、「做到什麼程度」一層層建立起資安治理的基礎。

• 組織在面對法律要求與政府監管時，需建立一套清晰且一致的資安管理制度，這套制度通常由以下四個層級構成：政策（Policy）、程序（Procedure）、標準（Standard）、法規和法律 (Regulation and Law)。

政策 Policy

• 定義：組織在資訊安全方面應遵循的基本原則與期望，是整體資安制度的基礎。
• 目標：提供明確的方向，確保所有相關人員了解資安目標與責任。
• 特性：
  • 管理層制定，高級管理層批准。
  • 通常涵蓋整體資安策略與目標。
  • 不涉及技術細節，而是指導性原則。

程序 Procedure

• 定義：程序是具體的操作步驟與指引，用來執行政策所規定的要求。
• 目標：提供一致的方法來完成特定任務，確保政策能被落實。
• 特性：
  • 針對特定活動（如帳號建立、事件通報）提供操作流程
  • 由部門主管或資安團隊制定
  • 強調「怎麼做」

標準 Standrad

• 定義：標準是針對特定技術或領域所制定的具體要求與規範，通常由業界或專業機構制定。
• 目標：建立一致性與可重複性，確保技術實作符合最佳做法。
• 特性：
  • 例如：密碼長度、加密演算法、系統更新頻率
  • 參考外部標準（如 ISO、NIST）或內部制定
  • 強調「做到什麼程度」

法規和法律 (Regulation and Law)

• 定義：
  • 法律是政府透過立法程序制定的規則，適用範圍通常是整個國家或某個地區。你可以把它想成是「大家都要遵守的大原則」，像是不能偷竊、要繳稅這類基本規定。
  • 法規則是由政府或相關機構針對某個特定領域（例如金融、醫療、資安）訂出來的細節規則，它比較像是「針對某些行業或情境的操作細則」，例如銀行怎麼處理客戶資料、公司怎麼保護個資。
  • 目標：
    • 法律的目的是確保整個社會有基本的秩序和公平，大家都知道什麼可以做、什麼不能做，違反法律可能會被罰款、甚至坐牢。
    • 法規的目的是讓特定領域的人或組織知道該怎麼做才算合法，確保他們在工作或營運時不會踩到法律紅線。
  • 特性：
    • 法律由國會或立法機關成制定，適用範圍可能是全國或特地區一，有高強制性、有原則性。
    • 法規由行政機關或監管單位制定，適用於特定的行業或主題，有技術性、細節性。

⚠️ 補充：引導（Guidelines）
定義：引導是建議性的做法，提供最佳實務參考，但非強制。
用途：在無明確標準時提供方向，或作為補充建議。
✅  政策、程序、標準皆為強制性要求
⚠️  引導（Guideline）則為非強制性的建議