當你拜訪一個網站時，同時會看到一個視窗要你同意 cookies 的資料搜集，你知道如果點下同意，它會記錄你在這個網站使用的資訊或偏好，這就是資安規則的一環。

Cookies 紀錄了什麼樣的資訊呢？像是你的登入狀態、語系設定、點擊的路徑、頁面停留時間，也有一部分 Cookie 會針對你瀏覽過的頁面下相關的廣告，而如果今天你的使用者資料有歐盟的居民，那麼 GDPR (General Data Protection Regulation) 就會是你要注意的法規。

GDPR 的存在主要是為了保護歐盟居民的資訊隱私，其核心為以下原則：

• Consent：網站必須清楚地告訴用戶，進入網站後會搜集使用者哪些資訊，並且得到使用者的同意
• Right to be forgotten：使用者有權利去要求公司刪除他們系統中屬於他們的個人資訊
• Data Minimization：只能搜集資料分析所必要的資訊

除了 GDPR 之外，在資安上也有 ISO 27001 的規範，讓使用者知道如果今天一家公司通過了這個規範，那他處理資料的流程就相對安全，可以獲得保障。

ISO 27001 主要要求公司建立的是一個有系統、有流程的資訊安全管理體系（Information Security Management System, ISMS）。它的核心精神主要圍繞在：

• 高階主管需承諾支持資安政策
• 公司可以有系統的識別並分析潛在的資安風險（例如駭客入侵、員工操作錯誤）
• 公司需制定明確的資安政策並設立具體目標
• 資安的檢查流程必須是持續優化，不會是一次性工作

所以在實際的稽核流程中，會包含以下面向

• 人員安全：對新進員工進行背景調查，定期進行資安教育訓練
• 資產管理：建立所有資訊資產的清單，包括伺服器、數據庫和文件。
• 實體安全：確保辦公室、機房有門禁管制和監視系統。
• 存取控制：實施最小權限原則，確保只有被授權的人員才能存取特定資料。
• 加密：對敏感數據進行加密保護。
• 營運安全：制定標準化的作業流程，例如定期備份數據。
• 供應鏈安全：評估第三方服務供應商的資安風險。
• 事故應變：制定一份詳細的計畫，說明資安事件發生後應如何應對。

因為檢核得很詳細，所以像是雲端服務供應商（AWS、Google Cloud)、金融產業、醫療機構、政府單位，這些對於機敏資訊特別需要重視的地方，通過這項 ISO 稽核就特別的重要。