iT邦幫忙

資安合規相關文章
共有 33 則文章
鐵人賽 Security DAY 23
Security 小白的 PM 系列 第 23

技術 資安的規範 - 能源產業

“還有一個產業的資安也很重要,那就是能源產業。能源產業是現代社會的命脈,其運作涉及複雜的系統、大量的數據交換,以及日益增長的數位化程度。然而,這也使其成為駭客攻...

鐵人賽 Security DAY 22
Security 小白的 PM 系列 第 22

技術 資安的規範 - 醫療

畫鯨優雅地端起一杯酒,輕啜一口後,緩緩說道:“除了金融業,對資安非常重視的還有醫療業。大家想想,我們去看病時,會留下很多個人資訊,像是病歷、藥物過敏史,甚至還有...

鐵人賽 Security DAY 21
Security 小白的 PM 系列 第 21

技術 資安的規範 - 金融界

皮鯨眨著大眼睛,驚訝地問:”既然有那麼多的資安規範,那金融機構的規定是不是特別嚴格?是不是有更多的資安需求?” 紅鯨笑著說:”你問對了!金融機構就像銀行一樣,保...

鐵人賽 Security DAY 20
Security 小白的 PM 系列 第 20

技術 資安的規範 - 美國

紅鯨再分享歐洲後,接著分享,”當我們談論全球法律和規範時,美國無疑是一個值得關注的焦點。美國的法律制定經常受到歐洲規範的影響,這一點在許多方面都得到了體現。例如...

鐵人賽 Security DAY 19
Security 小白的 PM 系列 第 19

技術 資安的規範 - 歐洲

“有哪些國家的規範是我們要注意的呢 “ 皮鯨好奇得問到。 “目前每個國家都有自己的規範,很難一一細說。 我們先來看看歐洲吧!這裡有幾個非常重要的規範。 首先是E...

鐵人賽 Security DAY 18
Security 小白的 PM 系列 第 18

技術 資安的規範 - 全球

“既然有測試,那麼有規範標準嗎?”皮鯨問到 紅鯨微笑的說,“沒錯!資安的世界雖然很複雜,但為了讓大家都能有一個共同的目標,所以就有了很多『資安標準』,就像是考試...

鐵人賽 Security DAY 30
合規合規,合什麼規? 系列 第 30

技術 [Day 30] 總結&心得

來到了最後一天,今天不講規範,來總結一下,以及這次寫鐵人賽的心得。 為了合規而做資安 組織在做資安的時候,應該要思考做資安的目的,究竟只是為了合規,還是真的重視...

鐵人賽 Security DAY 29
合規合規,合什麼規? 系列 第 29

技術 [Day 29] 上市櫃公司資安規範

由於上市櫃公司若遇到資安事件時,經常會有隱匿不公開的行為,但因資安事件會造成公司損失,亦會造成投資人的損失,因此金管會、證交所、櫃買中心陸續開始針對資安方面訂定...

鐵人賽 Security DAY 28
合規合規,合什麼規? 系列 第 28

技術 [Day 28] 政府組態基準(GCB)

由於資安的控制項目繁多,而各作業系統、軟體也有許多可調整的設定,為了使資訊設備有一致性的安全性設定,降低因為設定不一而導致的資安風險,因此技服中心提供了政府組態...

鐵人賽 Security DAY 27
合規合規,合什麼規? 系列 第 27

技術 [Day 27] 個資保護法規

目前各國幾乎都有制訂自己的個資保護法規,台灣在 1995 年訂定了「電腦處理個人資料保護法」,並在 2010 年修訂為「個人資料保護法」,讓個資保護的範圍不在限...

鐵人賽 Security DAY 26
合規合規,合什麼規? 系列 第 26

技術 [Day 26] 個資保護標準

個資保護是一個與資安有重大關連,但較少資訊技術的專業知識,反而有較多的法律專業知識;因大多國家已經針對個人資料的保護進行立法,所以大部分的個資保護國際標準,都是...

鐵人賽 Security DAY 25
合規合規,合什麼規? 系列 第 25

技術 [Day 25] ISO/IEC 27001 條文簡介(附錄 A.11~A.18)

A.12 運作安全 控制對影響資安的組織、營運過程、資訊設施和系統變更。 系統資源應監視與調整,並預留未來需使用的容量。 開發、測試、正是環境應區隔。 實作惡...

鐵人賽 Security DAY 24
合規合規,合什麼規? 系列 第 24

技術 [Day 24] ISO/IEC 27001 條文簡介(附錄 A.5~A.11介紹)

今天開始介紹附錄,附錄的內容主要為控制措施的實作要求,但組織可以依照自身情況決定是否實作,只要能符合主條文的規定即可。由於附錄大多為實做措施,無法詳細列出,因此...

鐵人賽 Security DAY 23
合規合規,合什麼規? 系列 第 23

技術 [Day 23] ISO/IEC 27001 條文簡介(主條文 8~10)

8. 運作 應規劃、實做、控制為了達成要求事項的過程,並實作因應風險和機會之行動、資安目標的達成計畫,且保存文件化資訊。 應控制規劃的變更,並審核非預期變更的...

鐵人賽 Security DAY 22
合規合規,合什麼規? 系列 第 22

技術 [Day 22] ISO/IEC 27001 條文簡介(主條文 6、7)

6. 規劃 6.1 因應風險和機會之行動 決定需要因應的風險和機會,規劃因應的行動並評估其有效性;確保達成 ISMS 的預期成果、預防或減少意外影響、持續改善...

鐵人賽 Security DAY 21
合規合規,合什麼規? 系列 第 21

技術 [Day 21] ISO/IEC 27001 條文簡介 - 主條文 1~5

ISO/IEC 27001 共分為十個類別、附錄 A.5~A.18,由於 ISO/IEC 27001 條文是有版權的,因此這裡只會簡介各分類的內容,無法逐條解釋...

鐵人賽 Security DAY 20
合規合規,合什麼規? 系列 第 20

技術 [Day 20] 國際標準?(ISO/IEC 2700x)

簡介 今天開始來介紹國際標準,相信很多人聽過的就是 ISO/IEC 27001,但 27001 其實只是 27000 系列中最基礎的一項標準,在 27000 系...

鐵人賽 Security DAY 19
合規合規,合什麼規? 系列 第 19

技術 [Day 19] 系統防護怎麼做?(之 7 - 系統與資訊完整性)

今天來到防護基準的最後一個構面,此構面主要強調的是日常所要做的控制措施,以保持完整性。 系統與資訊完整性 漏洞修復 普級 系統之漏洞修復應測試有效性及潛在影響...

鐵人賽 Security DAY 18
合規合規,合什麼規? 系列 第 18

技術 [Day 18] 系統防護怎麼做?(之 6 - 系統與通訊保護)

這個構面強調的是資料的傳輸與儲存需要進行加密,以確保機密性與完整性,比較特別的是,此構面僅針對分級為高級的資通系統進行要求,普級與中級則沒有任何要求。 系統與通...

鐵人賽 Security DAY 17
合規合規,合什麼規? 系列 第 17

技術 [Day 17] 系統防護怎麼做?(之 5 - 系統與服務獲得)

這個構面比較偏向在事前預防,即在系統開發或是取得時,就先驗證系統的安全性,以防系統存在有明顯能被攻擊的漏洞,導致被攻擊時才發現。 系統與服務獲得 系統發展生命週...

鐵人賽 Security DAY 16
合規合規,合什麼規? 系列 第 16

技術 [Day 16] 系統防護怎麼做?(之 4 - 識別與鑑別)

識別與鑑別(Identification & Authentication)識別代表的是使用者為何,鑑別則為確認目前的使用者為他所宣稱的使用者,即可以對...

鐵人賽 Security DAY 15
合規合規,合什麼規? 系列 第 15

技術 [Day 15] 系統防護怎麼做?(之 3 - 營運持續計畫)

今天來到了營運持續計畫部分,由於公務機關與特定非公務機關的業務通常都至關重要,因此在防護基準內有營運持續的相關執行事項,確保機關能在運到嚴重的資安事件時,能保持...

鐵人賽 Security DAY 14
合規合規,合什麼規? 系列 第 14

技術 [Day 14] 系統防護怎麼做?(之 2 - 事件日誌與可歸責性)

今天來介紹「日誌事件與可歸責性」的構面,留存 log 最主要的目的是為了在系統發生被攻擊或無法正常運作時,能在事後透過 log 進行事件分析或偵察、鑑識等,釐清...

鐵人賽 Security DAY 13
合規合規,合什麼規? 系列 第 13

技術 [Day 13] 系統防護怎麼做?(之 1 - 存取控制)

今天開始來到了《資通安全責任等級分級辦法》中的最後一個附件 —《資通系統防護基準》,此附件共分為 7 個構面(存取控制、事件日誌與可歸責性、營運持續計畫、識別與...

鐵人賽 Security DAY 12
合規合規,合什麼規? 系列 第 12

技術 [Day 12] 分級後,要做什麼?(C、D、E 級機關)

今天來介紹 C、D、E 級機關的應辦事項,由於 C 到 E 級的的應辦事項較少,因此寫在同一篇文章內,而我都只會列出與前一個較高等級不同的地方,以及免辦的事項,...

鐵人賽 Security DAY 11
合規合規,合什麼規? 系列 第 11

技術 [Day 11] 分級後,要做什麼?(B 級機關)

今天繼續介紹應辦事項中的 B 級公務機關與特定非公務機關的應辦事項,因部分規定與 A 級機關相同,所以以下只會提及跟 A 級機關不同的規定。若沒有特別提及,則為...

鐵人賽 Security DAY 10
合規合規,合什麼規? 系列 第 10

技術 [Day 10] 分級後,要做什麼?(A 級機關)

今天開始來介紹資安責任分級辦法中的附件—應辦事項,首先來介紹 A 級公務機關與特定非公務機關的應辦事項,若沒有特別提及,則為公務機關與特定非公務機關為相同規定:...

鐵人賽 Security DAY 9

技術 [Day 9] 被資安法管轄後,會發生什麼事?(之 5 - 資安責任等級)

如果不含子法附件的話,今天是本系列文章中,介紹資安法的最後一篇,法規名稱為《資通安全責任等級分級辦法》,條文主要為明訂出分級的標準,而十個附件中則為各級別的應辦...

鐵人賽 Security DAY 8

技術 [Day 8] 被資安法管轄後,會發生什麼事?(之 4 - 資安情資分享)

由於目前政府在推動的資安政策中,基本上是以「資安聯防」為中心,希望各單位能互相分享資安的情資,讓所有單位在有遭受攻擊的跡象或可能時,有警示以及提前防範的效果,所...

鐵人賽 Security DAY 6

技術 [Day 6] 被資安法管轄後,會發生什麼事?(之 2 - 資安法施行細則介紹)

接下來繼續介紹資安法下的其中一個子法,全名為《資通安全管理法施行細則》,資安法施行細是由資安法第二十二條授權給主管機關(行政院)訂定的,在法律位階上屬於行政命令...