台灣企業旺盛的創新力、研發力與製造力,總是不斷地在世界各個角落大放異彩,創造許多令人驚喜的經濟奇蹟。但令人憂心的是,根據調查,企業在保護重要資料的觀念及作為仍有...
要驗證了,把ISMS一到四階程序書最新版本準備好 本篇預期成果畫面 管理議題 多數公司的ISMS是遵循ISO27001的管理架構去建立,近年來因為資通安全...
恭喜Allan,最後一篇,完賽! 本系列文章談的不是技術,不是平台,而是管理 最後一篇不談Redmine,也沒有要總結Redmine的功能有多優秀。 就如我第...
資安業務7年資歷,系統整合10年經驗,電信業務2年的幸運。資安領域每年都有大風吹,有椅子坐的產品也常常更換,大家對資安的直覺是資安產品。大家說: 管理、技術 (...
蠻多公家機關有導入ISMS,有些私人企業也有導入,如果專案有相關的PM應該不陌生。 ISMS是「資訊安全管理系統(Information Security M...
組態管理 (Configuration Management) 是ISO 27002:2022中所新增的11項控制措施之一,屬於技術控制措施,但它也是這11個控...
在系列文章的一開始先由管理系統的概念開始導入,先對管理系統的定義有些認知後,再回頭來看ISMS會比較能理解它到底是什麼,以及它要達到什麼目的,導入ISMS對組織...
7年前,某個再也平常不過的日子,在窗外灑落金黃色的光芒,即將下班前的時刻,老闆召喚我進辦公室,對著我說: 「我們公司要導ISMS制度,這個任務就交給你了。」 開...
注意:自本篇文章開始,會使用 「主條文」(Clause) 一詞來簡稱 ISO 27001:2022 的本文。 在組織中,管理制度會依照其管理範疇 (Scop...
在七年前開始接觸導入ISMS的時候,因為什麼都還不太懂,上網查了一些相關的資訊時,有特別注意到多數的文章都會提到「說寫做一致」這個術語,還有些文章說這是所謂的「...
當組織依照ISO 27001:2022所要求的活動制訂ISMS管理制度、運作執行並完成內部稽核與管理審查後,即算完成一個週期的ISMS活動,並即將要接受最終考驗...
前面已經走完風險、風險評鑑及風險處理的程序,再回到ISMS對這部份的要求,ISMS的存在最重要的目標,就是能讓組織能有效的面對資訊安全風險 (Informati...
在組織要推行任何的制度,不管是不是管理系統,最高管理階層的支持佔了推行成功至少一半的比例,即便制度再好再優,最高管理階層不支持的話必定成不了氣候,最高管理階層握...
現在事前的準備大致都完成了,由組織高度檢視整個經營環境、匡列要導入ISMS的範圍、檢視相關的風險並完成評鑑、針對無法接受的風險也已經辨識出來、最高管理階層也已表...
所謂的ISMS,是資訊安全管理系統 (Information Security Management System) 的縮寫,顧名思義,ISMS就是一個以資訊安...
對一個沒有導入過ISO管理系統標準制度的組織來說,因為沒有接觸過,也沒有任何經驗,連什麼叫「管理系統」可能都不知道,多數的組織都會選擇請管理顧問或是專門輔導管理...
前面已經提到對管理系統制度有效性確認所需要執行的監督、量測、分析及評估的活動,不過即便有進行了這些活動,仍然有可能會使制度的有效性存疑,而存疑的來源是信任風險,...
任何管理制度的推行,不外乎是與人、過程及過程相關的資源 (有形或無形都算) 有關係,為了要有效的在組織內推動制度,適當且必要的資源是必備條件,ISMS自然也不例...
任何的管理制度的本質都是在控制人類的行為,即便是再好的管理制度,只要人這個因素沒有控制好,走鐘或失敗的機會就會很高,有再好的設備、再好的技術都一樣,人的決策經常...
技術控制措施 (Technological Control) 共有34項,可以將它視為把其他三類控制措施「落地」的方法,技術控制措施所指引的是如果要某項要求要做...
請回顧一下管理系統的定義:「管理系統是組織的一組相互關聯或相互作用的要素,用於建立政策和目標以及實現這些目標的過程」,簡單的說,一套管理系統的核心,在於過程 (...
在前面我們說明了管理系統標準的形成以及組織在導入管理系統時所必備的兩個要素,也就是描述組織如何運行整套管理系統的文件,以及證明組織管理系統運作成效的記錄,這兩個...
組織的規模類型很多,有些組織只是小型或微型企業,有些則是中大型企業或跨國企業,雖然前一個主題要ISMS制度規劃者要透視整個組織,然而ISMS並沒有規定一定得要「...
組織依照ISO管理系統標準來規劃、設計、建構一整套的管理制度,並且依制度運作,一般來說通常都會達到預期的成果,然而若只是組織自己說,基本上很難有公信力,畢竟人大...
在安全開發生命週期的範疇下,軟體開發的各個階段型塑了生命週期下的環節,由需求分析出發的應用系統安全要求事項 (A.8.26)、系統分析與設計的安全系統架構及工程...
正如其名,組織控制措施 (Organizational Controls) 是站在組織層級的觀點所施加的控制措施,也就是一個站在管理的角度來施行的控制方式,共有...
當風險評鑑過程完結,並確認必須要處理的風險項目,以及產生適用性聲明後,接下來要問的一個問題是,要怎麼確認風險處理的結果是有效的,這個問題可以再往上延伸,就是IS...
當看到「專案管理」這四個字時,相信應該不少懂的人會心頭一驚,畢竟專案管理 (Project Management) 本身就是一門很大的學問,大到有專門的學術組織...
在講完整個ISMS的要求過程後,再來就是講一下ISO 27001:2022附錄A的「控制措施」。 ISO 27002對控制措施的定義是: Control is...
當ISMS完成規劃,並開始運作一段時間後,一定會產生相關的證據,依照每個組織所設計的控制措施管理制度,必須會產生許多不同的表單,在運作過程中,這些表單都會使用到...