從資產的角度去搜尋看看吧,參考這位站友的文章:
https://ithelp.ithome.com.tw/articles/10277503
A.11.2 設備
目標:防止資產之遺失、損害、遭竊或破解,並防止組織運作中斷。
缺失並不是看到條文標題有寫就可以閉著眼睛開,
要詳細去看你們自己在 ISMS 裡面訂的控制措施:
A.11.2.6 場所外設備及資產之安全
看看你們這條底下的控制措施是怎麼訂的?
資產操作人是否違反或未實施你們定的 Control?
若有違反的話才算缺失;
如果沒違反的話, 就不能算是該操作人員的失誤; 應該是考慮在年度 PDCA 檢討的時候, 重新評估風險程度, 並研議是否要修訂控制措施, 來應對這個風險? (或者選擇接受風險?)
你應該先去查看看:
這個設備的風險等級是甚麼?
這些資料的風險等級是甚麼?
從風險等級下手, 來決定你的矯正方法....