iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天

0 Like 0 留言 4528 瀏覽

鐵人賽 Security DAY 24

合規合規，合什麼規？系列第 24 篇

技術 [Day 24] ISO/IEC 27001 條文簡介（附錄 A.5～A.11介紹）

今天開始介紹附錄，附錄的內容主要為控制措施的實作要求，但組織可以依照自身情況決定是否實作，只要能符合主條文的規定即可。由於附錄大多為實做措施，無法詳細列出，因此...

裸男 ‧ 2022-10-09 ‧團隊那團名要叫什麼？

1 Like 0 留言 4239 瀏覽

鐵人賽 Security DAY 26

資訊安全管理系統制度白手起家系列第 27 篇

技術 [Day 26] 組態管理

組態管理 (Configuration Management) 是ISO 27002:2022中所新增的11項控制措施之一，屬於技術控制措施，但它也是這11個控...

povertydesigner ‧ 2024-10-10

0 Like 0 留言 4022 瀏覽

鐵人賽 Security DAY 30

資訊安全管理系統制度白手起家系列第 31 篇

技術 [Day 30] 最終考驗：第三方稽核活動

當組織依照ISO 27001:2022所要求的活動制訂ISMS管理制度、運作執行並完成內部稽核與管理審查後，即算完成一個週期的ISMS活動，並即將要接受最終考驗...

povertydesigner ‧ 2024-10-14

0 Like 0 留言 2924 瀏覽

鐵人賽 Security DAY 25

合規合規，合什麼規？系列第 25 篇

技術 [Day 25] ISO/IEC 27001 條文簡介（附錄 A.11～A.18）

A.12 運作安全控制對影響資安的組織、營運過程、資訊設施和系統變更。系統資源應監視與調整，並預留未來需使用的容量。開發、測試、正是環境應區隔。實作惡...

裸男 ‧ 2022-10-10 ‧團隊那團名要叫什麼？

1 Like 0 留言 2684 瀏覽

技術 ISO 27001 機房管理部份之二

定義 :ISO 27001 ISMS 導入適用範圍:機房管理、網路管理、BPM、ERP系統開發及維護相關. 資訊安全管理系統架構 :...

雙喜臨門 ‧ 2020-11-05

0 Like 0 留言 1807 瀏覽

鐵人賽 Security DAY 18

資訊安全管理系統制度白手起家系列第 19 篇

技術 [Day 18] 確認管理系統制度的有效性：內部稽核

前面已經提到對管理系統制度有效性確認所需要執行的監督、量測、分析及評估的活動，不過即便有進行了這些活動，仍然有可能會使制度的有效性存疑，而存疑的來源是信任風險，...

povertydesigner ‧ 2024-10-02

0 Like 0 留言 1751 瀏覽

鐵人賽 Security DAY 23

合規合規，合什麼規？系列第 23 篇

技術 [Day 23] ISO/IEC 27001 條文簡介（主條文 8～10）

8. 運作應規劃、實做、控制為了達成要求事項的過程，並實作因應風險和機會之行動、資安目標的達成計畫，且保存文件化資訊。應控制規劃的變更，並審核非預期變更的...

裸男 ‧ 2022-10-08 ‧團隊那團名要叫什麼？

0 Like 0 留言 1647 瀏覽

鐵人賽 Security DAY 20

合規合規，合什麼規？系列第 20 篇

技術 [Day 20] 國際標準？（ISO/IEC 2700x）

簡介今天開始來介紹國際標準，相信很多人聽過的就是 ISO/IEC 27001，但 27001 其實只是 27000 系列中最基礎的一項標準，在 27000 系...

裸男 ‧ 2022-10-05 ‧團隊那團名要叫什麼？

0 Like 0 留言 1293 瀏覽

鐵人賽 Security DAY 6

資訊安全管理系統制度白手起家系列第 7 篇

技術 [Day 6] 認識資訊安全管理系統 (ISMS)

在系列文章的一開始先由管理系統的概念開始導入，先對管理系統的定義有些認知後，再回頭來看ISMS會比較能理解它到底是什麼，以及它要達到什麼目的，導入ISMS對組織...

povertydesigner ‧ 2024-09-20

0 Like 0 留言 1224 瀏覽

鐵人賽 Security DAY 3

資訊安全管理系統制度白手起家系列第 4 篇

技術 [Day 3] 傳說中的「說寫做一致」

在七年前開始接觸導入ISMS的時候，因為什麼都還不太懂，上網查了一些相關的資訊時，有特別注意到多數的文章都會提到「說寫做一致」這個術語，還有些文章說這是所謂的「...

povertydesigner ‧ 2024-09-17

0 Like 0 留言 1221 瀏覽

鐵人賽 Security DAY 25

資訊安全管理系統制度白手起家系列第 26 篇

技術 [Day 25] 技術控制措施

技術控制措施 (Technological Control) 共有34項，可以將它視為把其他三類控制措施「落地」的方法，技術控制措施所指引的是如果要某項要求要做...

povertydesigner ‧ 2024-10-09

0 Like 0 留言 1192 瀏覽

鐵人賽 Security DAY 16

資訊安全管理系統制度白手起家系列第 17 篇

技術 [Day 16] 運作你的制度

現在事前的準備大致都完成了，由組織高度檢視整個經營環境、匡列要導入ISMS的範圍、檢視相關的風險並完成評鑑、針對無法接受的風險也已經辨識出來、最高管理階層也已表...

povertydesigner ‧ 2024-09-30

0 Like 0 留言 1180 瀏覽

鐵人賽 Security DAY 21

資訊安全管理系統制度白手起家系列第 22 篇

技術 [Day 21] 控制措施實作的概念

在講完整個ISMS的要求過程後，再來就是講一下ISO 27001:2022附錄A的「控制措施」。 ISO 27002對控制措施的定義是： Control is...

povertydesigner ‧ 2024-10-05

0 Like 0 留言 1164 瀏覽

鐵人賽 Security DAY 27

資訊安全管理系統制度白手起家系列第 28 篇

技術 [Day 27] 專案管理之資訊安全

當看到「專案管理」這四個字時，相信應該不少懂的人會心頭一驚，畢竟專案管理 (Project Management) 本身就是一門很大的學問，大到有專門的學術組織...

povertydesigner ‧ 2024-10-11

0 Like 0 留言 1152 瀏覽

鐵人賽 Security DAY 13

資訊安全管理系統制度白手起家系列第 14 篇

技術 [Day 13] 資訊安全風險管理

前面已經走完風險、風險評鑑及風險處理的程序，再回到ISMS對這部份的要求，ISMS的存在最重要的目標，就是能讓組織能有效的面對資訊安全風險 (Informati...

povertydesigner ‧ 2024-09-27

0 Like 0 留言 1045 瀏覽

鐵人賽 Security DAY 7

資訊安全管理系統制度白手起家系列第 8 篇

技術 [Day 7] 透視你的組織—組織全景

注意：自本篇文章開始，會使用「主條文」(Clause) 一詞來簡稱 ISO 27001:2022 的本文。在組織中，管理制度會依照其管理範疇 (Scop...

povertydesigner ‧ 2024-09-21

0 Like 0 留言 1039 瀏覽

鐵人賽 Security DAY 10

資訊安全管理系統制度白手起家系列第 11 篇

技術 [Day 10] 最高管理階層的責任

在組織要推行任何的制度，不管是不是管理系統，最高管理階層的支持佔了推行成功至少一半的比例，即便制度再好再優，最高管理階層不支持的話必定成不了氣候，最高管理階層握...

povertydesigner ‧ 2024-09-24

0 Like 0 留言 1003 瀏覽

鐵人賽 Security DAY 12

資訊安全管理系統制度白手起家系列第 13 篇

技術 [Day 12] 風險評鑑過程

在前面組織已經決定了風險準則，準備好進行風險評鑑。風險評鑑由組織全景開始，由於組織經營過程中到處都有風險，因此由全景開始進行檢視是最洽當的，由上而下進行檢視，...

povertydesigner ‧ 2024-09-26

1 Like 0 留言 982 瀏覽

鐵人賽 Security DAY 2

資訊安全管理系統制度白手起家系列第 3 篇

技術 [Day 2] 何謂文件化資訊

在前面我們說明了管理系統標準的形成以及組織在導入管理系統時所必備的兩個要素，也就是描述組織如何運行整套管理系統的文件，以及證明組織管理系統運作成效的記錄，這兩個...

povertydesigner ‧ 2024-09-16

0 Like 0 留言 957 瀏覽

鐵人賽 Security DAY 15

資訊安全管理系統制度白手起家系列第 16 篇

技術 [Day 15] 準備推行制度所需的資源

任何管理制度的推行，不外乎是與人、過程及過程相關的資源 (有形或無形都算) 有關係，為了要有效的在組織內推動制度，適當且必要的資源是必備條件，ISMS自然也不例...

povertydesigner ‧ 2024-09-29

0 Like 0 留言 800 瀏覽

鐵人賽 Security DAY 22

資訊安全管理系統制度白手起家系列第 23 篇

技術 [Day 22] 組織控制措施

正如其名，組織控制措施 (Organizational Controls) 是站在組織層級的觀點所施加的控制措施，也就是一個站在管理的角度來施行的控制方式，共有...

povertydesigner ‧ 2024-10-06

0 Like 0 留言 726 瀏覽

鐵人賽 Security DAY 29

資訊安全管理系統制度白手起家系列第 30 篇

技術 [Day 29] 系統開發之控制措施 (下)

在安全開發生命週期的範疇下，軟體開發的各個階段型塑了生命週期下的環節，由需求分析出發的應用系統安全要求事項 (A.8.26)、系統分析與設計的安全系統架構及工程...

povertydesigner ‧ 2024-10-13

0 Like 0 留言 723 瀏覽

鐵人賽 Security DAY 28

資訊安全管理系統制度白手起家系列第 29 篇

技術 [Day 28] 系統開發之控制措施 (上)

今天就來談談我的老本行「軟體開發」的控制措施吧，軟體開發可是資訊技術中與硬體平起平坐的生產單位，由於不像硬體是有形 (tangible) 的資產，為妥善且有效的...

povertydesigner ‧ 2024-10-12

0 Like 0 留言 717 瀏覽

鐵人賽 Security DAY 1

資訊安全管理系統制度白手起家系列第 1 篇

技術 [Day 0] 緣起

7年前，某個再也平常不過的日子，在窗外灑落金黃色的光芒，即將下班前的時刻，老闆召喚我進辦公室，對著我說：「我們公司要導ISMS制度，這個任務就交給你了。」開...

povertydesigner ‧ 2024-09-15

0 Like 0 留言 702 瀏覽

鐵人賽 Security DAY 23

資訊安全管理系統制度白手起家系列第 24 篇

技術 [Day 23] 人員控制措施

任何的管理制度的本質都是在控制人類的行為，即便是再好的管理制度，只要人這個因素沒有控制好，走鐘或失敗的機會就會很高，有再好的設備、再好的技術都一樣，人的決策經常...

povertydesigner ‧ 2024-10-07

0 Like 0 留言 648 瀏覽

鐵人賽 Security DAY 17

資訊安全管理系統制度白手起家系列第 18 篇

技術 [Day 17] 確認管理系統制度的有效性：績效評估

當ISMS完成規劃，並開始運作一段時間後，一定會產生相關的證據，依照每個組織所設計的控制措施管理制度，必須會產生許多不同的表單，在運作過程中，這些表單都會使用到...

povertydesigner ‧ 2024-10-01

0 Like 0 留言 630 瀏覽

鐵人賽 Security DAY 1

資訊安全管理系統制度白手起家系列第 2 篇

技術 [Day 1] 何謂管理系統？

所謂的ISMS，是資訊安全管理系統 (Information Security Management System) 的縮寫，顧名思義，ISMS就是一個以資訊安...

povertydesigner ‧ 2024-09-15

0 Like 0 留言 592 瀏覽

鐵人賽 Security DAY 9

資訊安全管理系統制度白手起家系列第 10 篇

技術 [Day 9] 理解過程、程序和指引的差異

請回顧一下管理系統的定義：「管理系統是組織的一組相互關聯或相互作用的要素，用於建立政策和目標以及實現這些目標的過程」，簡單的說，一套管理系統的核心，在於過程 (...

povertydesigner ‧ 2024-09-23

0 Like 0 留言 580 瀏覽

鐵人賽 Security DAY 4

資訊安全管理系統制度白手起家系列第 5 篇

技術 [Day 4] 顧問的角色與協助

對一個沒有導入過ISO管理系統標準制度的組織來說，因為沒有接觸過，也沒有任何經驗，連什麼叫「管理系統」可能都不知道，多數的組織都會選擇請管理顧問或是專門輔導管理...

povertydesigner ‧ 2024-09-18

0 Like 0 留言 551 瀏覽