“還有一個產業的資安也很重要,那就是能源產業。能源產業是現代社會的命脈,其運作涉及複雜的系統、大量的數據交換,以及日益增長的數位化程度。然而,這也使其成為駭客攻...
畫鯨優雅地端起一杯酒,輕啜一口後,緩緩說道:“除了金融業,對資安非常重視的還有醫療業。大家想想,我們去看病時,會留下很多個人資訊,像是病歷、藥物過敏史,甚至還有...
皮鯨眨著大眼睛,驚訝地問:”既然有那麼多的資安規範,那金融機構的規定是不是特別嚴格?是不是有更多的資安需求?” 紅鯨笑著說:”你問對了!金融機構就像銀行一樣,保...
紅鯨再分享歐洲後,接著分享,”當我們談論全球法律和規範時,美國無疑是一個值得關注的焦點。美國的法律制定經常受到歐洲規範的影響,這一點在許多方面都得到了體現。例如...
“有哪些國家的規範是我們要注意的呢 “ 皮鯨好奇得問到。 “目前每個國家都有自己的規範,很難一一細說。 我們先來看看歐洲吧!這裡有幾個非常重要的規範。 首先是E...
“既然有測試,那麼有規範標準嗎?”皮鯨問到 紅鯨微笑的說,“沒錯!資安的世界雖然很複雜,但為了讓大家都能有一個共同的目標,所以就有了很多『資安標準』,就像是考試...
來到了最後一天,今天不講規範,來總結一下,以及這次寫鐵人賽的心得。 為了合規而做資安 組織在做資安的時候,應該要思考做資安的目的,究竟只是為了合規,還是真的重視...
由於上市櫃公司若遇到資安事件時,經常會有隱匿不公開的行為,但因資安事件會造成公司損失,亦會造成投資人的損失,因此金管會、證交所、櫃買中心陸續開始針對資安方面訂定...
由於資安的控制項目繁多,而各作業系統、軟體也有許多可調整的設定,為了使資訊設備有一致性的安全性設定,降低因為設定不一而導致的資安風險,因此技服中心提供了政府組態...
目前各國幾乎都有制訂自己的個資保護法規,台灣在 1995 年訂定了「電腦處理個人資料保護法」,並在 2010 年修訂為「個人資料保護法」,讓個資保護的範圍不在限...
個資保護是一個與資安有重大關連,但較少資訊技術的專業知識,反而有較多的法律專業知識;因大多國家已經針對個人資料的保護進行立法,所以大部分的個資保護國際標準,都是...
A.12 運作安全 控制對影響資安的組織、營運過程、資訊設施和系統變更。 系統資源應監視與調整,並預留未來需使用的容量。 開發、測試、正是環境應區隔。 實作惡...
今天開始介紹附錄,附錄的內容主要為控制措施的實作要求,但組織可以依照自身情況決定是否實作,只要能符合主條文的規定即可。由於附錄大多為實做措施,無法詳細列出,因此...
8. 運作 應規劃、實做、控制為了達成要求事項的過程,並實作因應風險和機會之行動、資安目標的達成計畫,且保存文件化資訊。 應控制規劃的變更,並審核非預期變更的...
6. 規劃 6.1 因應風險和機會之行動 決定需要因應的風險和機會,規劃因應的行動並評估其有效性;確保達成 ISMS 的預期成果、預防或減少意外影響、持續改善...
ISO/IEC 27001 共分為十個類別、附錄 A.5~A.18,由於 ISO/IEC 27001 條文是有版權的,因此這裡只會簡介各分類的內容,無法逐條解釋...
簡介 今天開始來介紹國際標準,相信很多人聽過的就是 ISO/IEC 27001,但 27001 其實只是 27000 系列中最基礎的一項標準,在 27000 系...
今天來到防護基準的最後一個構面,此構面主要強調的是日常所要做的控制措施,以保持完整性。 系統與資訊完整性 漏洞修復 普級 系統之漏洞修復應測試有效性及潛在影響...
這個構面強調的是資料的傳輸與儲存需要進行加密,以確保機密性與完整性,比較特別的是,此構面僅針對分級為高級的資通系統進行要求,普級與中級則沒有任何要求。 系統與通...
這個構面比較偏向在事前預防,即在系統開發或是取得時,就先驗證系統的安全性,以防系統存在有明顯能被攻擊的漏洞,導致被攻擊時才發現。 系統與服務獲得 系統發展生命週...
識別與鑑別(Identification & Authentication)識別代表的是使用者為何,鑑別則為確認目前的使用者為他所宣稱的使用者,即可以對...
今天來到了營運持續計畫部分,由於公務機關與特定非公務機關的業務通常都至關重要,因此在防護基準內有營運持續的相關執行事項,確保機關能在運到嚴重的資安事件時,能保持...
今天來介紹「日誌事件與可歸責性」的構面,留存 log 最主要的目的是為了在系統發生被攻擊或無法正常運作時,能在事後透過 log 進行事件分析或偵察、鑑識等,釐清...
今天開始來到了《資通安全責任等級分級辦法》中的最後一個附件 —《資通系統防護基準》,此附件共分為 7 個構面(存取控制、事件日誌與可歸責性、營運持續計畫、識別與...
今天來介紹 C、D、E 級機關的應辦事項,由於 C 到 E 級的的應辦事項較少,因此寫在同一篇文章內,而我都只會列出與前一個較高等級不同的地方,以及免辦的事項,...
今天繼續介紹應辦事項中的 B 級公務機關與特定非公務機關的應辦事項,因部分規定與 A 級機關相同,所以以下只會提及跟 A 級機關不同的規定。若沒有特別提及,則為...
今天開始來介紹資安責任分級辦法中的附件—應辦事項,首先來介紹 A 級公務機關與特定非公務機關的應辦事項,若沒有特別提及,則為公務機關與特定非公務機關為相同規定:...
如果不含子法附件的話,今天是本系列文章中,介紹資安法的最後一篇,法規名稱為《資通安全責任等級分級辦法》,條文主要為明訂出分級的標準,而十個附件中則為各級別的應辦...
由於目前政府在推動的資安政策中,基本上是以「資安聯防」為中心,希望各單位能互相分享資安的情資,讓所有單位在有遭受攻擊的跡象或可能時,有警示以及提前防範的效果,所...
接下來繼續介紹資安法下的其中一個子法,全名為《資通安全管理法施行細則》,資安法施行細是由資安法第二十二條授權給主管機關(行政院)訂定的,在法律位階上屬於行政命令...