來到了最後一天,今天不講規範,來總結一下,以及這次寫鐵人賽的心得。 為了合規而做資安 組織在做資安的時候,應該要思考做資安的目的,究竟只是為了合規,還是真的重視...
由於上市櫃公司若遇到資安事件時,經常會有隱匿不公開的行為,但因資安事件會造成公司損失,亦會造成投資人的損失,因此金管會、證交所、櫃買中心陸續開始針對資安方面訂定...
由於資安的控制項目繁多,而各作業系統、軟體也有許多可調整的設定,為了使資訊設備有一致性的安全性設定,降低因為設定不一而導致的資安風險,因此技服中心提供了政府組態...
今天來到防護基準的最後一個構面,此構面主要強調的是日常所要做的控制措施,以保持完整性。 系統與資訊完整性 漏洞修復 普級 系統之漏洞修復應測試有效性及潛在影響...
這個構面強調的是資料的傳輸與儲存需要進行加密,以確保機密性與完整性,比較特別的是,此構面僅針對分級為高級的資通系統進行要求,普級與中級則沒有任何要求。 系統與通...
這個構面比較偏向在事前預防,即在系統開發或是取得時,就先驗證系統的安全性,以防系統存在有明顯能被攻擊的漏洞,導致被攻擊時才發現。 系統與服務獲得 系統發展生命週...
識別與鑑別(Identification & Authentication)識別代表的是使用者為何,鑑別則為確認目前的使用者為他所宣稱的使用者,即可以對...
今天來到了營運持續計畫部分,由於公務機關與特定非公務機關的業務通常都至關重要,因此在防護基準內有營運持續的相關執行事項,確保機關能在運到嚴重的資安事件時,能保持...
今天來介紹「日誌事件與可歸責性」的構面,留存 log 最主要的目的是為了在系統發生被攻擊或無法正常運作時,能在事後透過 log 進行事件分析或偵察、鑑識等,釐清...
今天開始來到了《資通安全責任等級分級辦法》中的最後一個附件 —《資通系統防護基準》,此附件共分為 7 個構面(存取控制、事件日誌與可歸責性、營運持續計畫、識別與...
今天來介紹 C、D、E 級機關的應辦事項,由於 C 到 E 級的的應辦事項較少,因此寫在同一篇文章內,而我都只會列出與前一個較高等級不同的地方,以及免辦的事項,...
今天繼續介紹應辦事項中的 B 級公務機關與特定非公務機關的應辦事項,因部分規定與 A 級機關相同,所以以下只會提及跟 A 級機關不同的規定。若沒有特別提及,則為...
今天開始來介紹資安責任分級辦法中的附件—應辦事項,首先來介紹 A 級公務機關與特定非公務機關的應辦事項,若沒有特別提及,則為公務機關與特定非公務機關為相同規定:...
如果不含子法附件的話,今天是本系列文章中,介紹資安法的最後一篇,法規名稱為《資通安全責任等級分級辦法》,條文主要為明訂出分級的標準,而十個附件中則為各級別的應辦...
由於目前政府在推動的資安政策中,基本上是以「資安聯防」為中心,希望各單位能互相分享資安的情資,讓所有單位在有遭受攻擊的跡象或可能時,有警示以及提前防範的效果,所...
接下來繼續介紹資安法下的其中一個子法,全名為《資通安全管理法施行細則》,資安法施行細是由資安法第二十二條授權給主管機關(行政院)訂定的,在法律位階上屬於行政命令...
介紹完受資安法管轄的對象定義之後,開始來說明當成為資安法管轄的對象時,會發生以及需要做的事情,這篇將會先以資安法母法開始進行介紹,但僅會針對對組織有影響的條文進...
昨天介紹了全體適用的主管機關,以及非強制性的國際組織,今天則是大略介紹一下如何知道自己要符合哪個主管機關的規範,主要以資通安全管理法為中心,並且包含了以下子法:...
昨天講了合規的意義與目的,今天來講如何知道自身公司組織,應該要符合哪些規範呢?資安規範百百種,除了通用性的國際標準(例如 ISO、BS)以外,要知道該符合哪些規...
合規的意義 合規(Compliance),又稱法遵,如字面上的意思,可以理解成「合乎規範」、「法令遵循」。這裡指的規範包含了法律、政府要求、國際標準、民間推動規...
前言 從上大學前就知道鐵人賽,也看了好幾年大家在鐵人賽的文章,於是想說在大學畢業前參賽一下,算是一種成就(?)由於目前還是學生,對於許多知識的瞭解仍然相當粗淺,...