iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天

1 Like 0 留言 811 瀏覽

鐵人賽 Security DAY 30

合規合規，合什麼規？系列第 30 篇

技術 [Day 30] 總結＆心得

來到了最後一天，今天不講規範，來總結一下，以及這次寫鐵人賽的心得。為了合規而做資安組織在做資安的時候，應該要思考做資安的目的，究竟只是為了合規，還是真的重視...

裸男 ‧ 2022-10-15 ‧團隊那團名要叫什麼？

0 Like 0 留言 978 瀏覽

鐵人賽 Security DAY 29

合規合規，合什麼規？系列第 29 篇

技術 [Day 29] 上市櫃公司資安規範

由於上市櫃公司若遇到資安事件時，經常會有隱匿不公開的行為，但因資安事件會造成公司損失，亦會造成投資人的損失，因此金管會、證交所、櫃買中心陸續開始針對資安方面訂定...

裸男 ‧ 2022-10-14 ‧團隊那團名要叫什麼？

1 Like 0 留言 1288 瀏覽

鐵人賽 Security DAY 28

合規合規，合什麼規？系列第 28 篇

技術 [Day 28] 政府組態基準（GCB）

由於資安的控制項目繁多，而各作業系統、軟體也有許多可調整的設定，為了使資訊設備有一致性的安全性設定，降低因為設定不一而導致的資安風險，因此技服中心提供了政府組態...

裸男 ‧ 2022-10-13 ‧團隊那團名要叫什麼？

0 Like 0 留言 914 瀏覽

鐵人賽 Security DAY 27

合規合規，合什麼規？系列第 27 篇

技術 [Day 27] 個資保護法規

目前各國幾乎都有制訂自己的個資保護法規，台灣在 1995 年訂定了「電腦處理個人資料保護法」，並在 2010 年修訂為「個人資料保護法」，讓個資保護的範圍不在限...

裸男 ‧ 2022-10-12 ‧團隊那團名要叫什麼？

0 Like 0 留言 797 瀏覽

鐵人賽 Security DAY 26

合規合規，合什麼規？系列第 26 篇

技術 [Day 26] 個資保護標準

個資保護是一個與資安有重大關連，但較少資訊技術的專業知識，反而有較多的法律專業知識；因大多國家已經針對個人資料的保護進行立法，所以大部分的個資保護國際標準，都是...

裸男 ‧ 2022-10-11 ‧團隊那團名要叫什麼？

0 Like 0 留言 2193 瀏覽

鐵人賽 Security DAY 25

合規合規，合什麼規？系列第 25 篇

技術 [Day 25] ISO/IEC 27001 條文簡介（附錄 A.11～A.18）

A.12 運作安全控制對影響資安的組織、營運過程、資訊設施和系統變更。系統資源應監視與調整，並預留未來需使用的容量。開發、測試、正是環境應區隔。實作惡...

裸男 ‧ 2022-10-10 ‧團隊那團名要叫什麼？

0 Like 0 留言 2496 瀏覽

鐵人賽 Security DAY 24

合規合規，合什麼規？系列第 24 篇

技術 [Day 24] ISO/IEC 27001 條文簡介（附錄 A.5～A.11介紹）

今天開始介紹附錄，附錄的內容主要為控制措施的實作要求，但組織可以依照自身情況決定是否實作，只要能符合主條文的規定即可。由於附錄大多為實做措施，無法詳細列出，因此...

裸男 ‧ 2022-10-09 ‧團隊那團名要叫什麼？

0 Like 0 留言 1125 瀏覽

鐵人賽 Security DAY 23

合規合規，合什麼規？系列第 23 篇

技術 [Day 23] ISO/IEC 27001 條文簡介（主條文 8～10）

8. 運作應規劃、實做、控制為了達成要求事項的過程，並實作因應風險和機會之行動、資安目標的達成計畫，且保存文件化資訊。應控制規劃的變更，並審核非預期變更的...

裸男 ‧ 2022-10-08 ‧團隊那團名要叫什麼？

0 Like 0 留言 1110 瀏覽

鐵人賽 Security DAY 22

合規合規，合什麼規？系列第 22 篇

技術 [Day 22] ISO/IEC 27001 條文簡介（主條文 6、7）

6. 規劃 6.1 因應風險和機會之行動決定需要因應的風險和機會，規劃因應的行動並評估其有效性；確保達成 ISMS 的預期成果、預防或減少意外影響、持續改善...

裸男 ‧ 2022-10-07 ‧團隊那團名要叫什麼？

1 Like 0 留言 1482 瀏覽

鐵人賽 Security DAY 21

合規合規，合什麼規？系列第 21 篇

技術 [Day 21] ISO/IEC 27001 條文簡介 - 主條文 1～5

ISO/IEC 27001 共分為十個類別、附錄 A.5～A.18，由於 ISO/IEC 27001 條文是有版權的，因此這裡只會簡介各分類的內容，無法逐條解釋...

裸男 ‧ 2022-10-06 ‧團隊那團名要叫什麼？

0 Like 0 留言 999 瀏覽

鐵人賽 Security DAY 20

合規合規，合什麼規？系列第 20 篇

技術 [Day 20] 國際標準？（ISO/IEC 2700x）

簡介今天開始來介紹國際標準，相信很多人聽過的就是 ISO/IEC 27001，但 27001 其實只是 27000 系列中最基礎的一項標準，在 27000 系...

裸男 ‧ 2022-10-05 ‧團隊那團名要叫什麼？

0 Like 0 留言 2566 瀏覽

鐵人賽 Security DAY 19

合規合規，合什麼規？系列第 19 篇

技術 [Day 19] 系統防護怎麼做？（之 7 - 系統與資訊完整性）

今天來到防護基準的最後一個構面，此構面主要強調的是日常所要做的控制措施，以保持完整性。系統與資訊完整性漏洞修復普級系統之漏洞修復應測試有效性及潛在影響...

裸男 ‧ 2022-10-04 ‧團隊那團名要叫什麼？

0 Like 0 留言 1072 瀏覽

鐵人賽 Security DAY 18

合規合規，合什麼規？系列第 18 篇

技術 [Day 18] 系統防護怎麼做？（之 6 - 系統與通訊保護）

這個構面強調的是資料的傳輸與儲存需要進行加密，以確保機密性與完整性，比較特別的是，此構面僅針對分級為高級的資通系統進行要求，普級與中級則沒有任何要求。系統與通...

裸男 ‧ 2022-10-03 ‧團隊那團名要叫什麼？

0 Like 0 留言 3319 瀏覽

鐵人賽 Security DAY 17

合規合規，合什麼規？系列第 17 篇

技術 [Day 17] 系統防護怎麼做？（之 5 - 系統與服務獲得）

這個構面比較偏向在事前預防，即在系統開發或是取得時，就先驗證系統的安全性，以防系統存在有明顯能被攻擊的漏洞，導致被攻擊時才發現。系統與服務獲得系統發展生命週...

裸男 ‧ 2022-10-02 ‧團隊那團名要叫什麼？

0 Like 0 留言 1996 瀏覽

鐵人賽 Security DAY 16

合規合規，合什麼規？系列第 16 篇

技術 [Day 16] 系統防護怎麼做？（之 4 - 識別與鑑別）

識別與鑑別（Identification & Authentication）識別代表的是使用者為何，鑑別則為確認目前的使用者為他所宣稱的使用者，即可以對...

裸男 ‧ 2022-10-01 ‧團隊那團名要叫什麼？

0 Like 0 留言 2653 瀏覽

鐵人賽 Security DAY 15

合規合規，合什麼規？系列第 15 篇

技術 [Day 15] 系統防護怎麼做？（之 3 - 營運持續計畫）

今天來到了營運持續計畫部分，由於公務機關與特定非公務機關的業務通常都至關重要，因此在防護基準內有營運持續的相關執行事項，確保機關能在運到嚴重的資安事件時，能保持...

裸男 ‧ 2022-09-30 ‧團隊那團名要叫什麼？

0 Like 0 留言 4145 瀏覽

鐵人賽 Security DAY 14

合規合規，合什麼規？系列第 14 篇

技術 [Day 14] 系統防護怎麼做？（之 2 - 事件日誌與可歸責性）

今天來介紹「日誌事件與可歸責性」的構面，留存 log 最主要的目的是為了在系統發生被攻擊或無法正常運作時，能在事後透過 log 進行事件分析或偵察、鑑識等，釐清...

裸男 ‧ 2022-09-29 ‧團隊那團名要叫什麼？

0 Like 0 留言 3039 瀏覽

鐵人賽 Security DAY 13

合規合規，合什麼規？系列第 13 篇

技術 [Day 13] 系統防護怎麼做？（之 1 - 存取控制）

今天開始來到了《資通安全責任等級分級辦法》中的最後一個附件 —《資通系統防護基準》，此附件共分為 7 個構面（存取控制、事件日誌與可歸責性、營運持續計畫、識別與...

裸男 ‧ 2022-09-28 ‧團隊那團名要叫什麼？

0 Like 0 留言 696 瀏覽

鐵人賽 Security DAY 12

合規合規，合什麼規？系列第 12 篇

技術 [Day 12] 分級後，要做什麼？（C、D、E 級機關）

今天來介紹 C、D、E 級機關的應辦事項，由於 C 到 E 級的的應辦事項較少，因此寫在同一篇文章內，而我都只會列出與前一個較高等級不同的地方，以及免辦的事項，...

裸男 ‧ 2022-09-27 ‧團隊那團名要叫什麼？

0 Like 0 留言 783 瀏覽

鐵人賽 Security DAY 11

合規合規，合什麼規？系列第 11 篇

技術 [Day 11] 分級後，要做什麼？（B 級機關）

今天繼續介紹應辦事項中的 B 級公務機關與特定非公務機關的應辦事項，因部分規定與 A 級機關相同，所以以下只會提及跟 A 級機關不同的規定。若沒有特別提及，則為...

裸男 ‧ 2022-09-26 ‧團隊那團名要叫什麼？

0 Like 0 留言 1252 瀏覽

鐵人賽 Security DAY 10

合規合規，合什麼規？系列第 10 篇

技術 [Day 10] 分級後，要做什麼？（A 級機關）

今天開始來介紹資安責任分級辦法中的附件—應辦事項，首先來介紹 A 級公務機關與特定非公務機關的應辦事項，若沒有特別提及，則為公務機關與特定非公務機關為相同規定：...

裸男 ‧ 2022-09-25 ‧團隊那團名要叫什麼？

0 Like 0 留言 1267 瀏覽

鐵人賽 Security DAY 9

合規合規，合什麼規？系列第 9 篇

技術 [Day 9] 被資安法管轄後，會發生什麼事？（之 5 - 資安責任等級）

如果不含子法附件的話，今天是本系列文章中，介紹資安法的最後一篇，法規名稱為《資通安全責任等級分級辦法》，條文主要為明訂出分級的標準，而十個附件中則為各級別的應辦...

裸男 ‧ 2022-09-24 ‧團隊那團名要叫什麼？

0 Like 0 留言 1316 瀏覽

鐵人賽 Security DAY 8

合規合規，合什麼規？系列第 8 篇

技術 [Day 8] 被資安法管轄後，會發生什麼事？（之 4 - 資安情資分享）

由於目前政府在推動的資安政策中，基本上是以「資安聯防」為中心，希望各單位能互相分享資安的情資，讓所有單位在有遭受攻擊的跡象或可能時，有警示以及提前防範的效果，所...

裸男 ‧ 2022-09-23 ‧團隊那團名要叫什麼？

0 Like 0 留言 2096 瀏覽

鐵人賽 Security DAY 6

合規合規，合什麼規？系列第 6 篇

技術 [Day 6] 被資安法管轄後，會發生什麼事？（之 2 - 資安法施行細則介紹）

接下來繼續介紹資安法下的其中一個子法，全名為《資通安全管理法施行細則》，資安法施行細是由資安法第二十二條授權給主管機關（行政院）訂定的，在法律位階上屬於行政命令...

裸男 ‧ 2022-09-21 ‧團隊那團名要叫什麼？

0 Like 0 留言 1122 瀏覽

鐵人賽 Security DAY 5

合規合規，合什麼規？系列第 5 篇

技術 [Day 5] 被資安法管轄後，會發生什麼事？（之 1 - 資安法介紹）

介紹完受資安法管轄的對象定義之後，開始來說明當成為資安法管轄的對象時，會發生以及需要做的事情，這篇將會先以資安法母法開始進行介紹，但僅會針對對組織有影響的條文進...

裸男 ‧ 2022-09-20 ‧團隊那團名要叫什麼？

0 Like 0 留言 1584 瀏覽

鐵人賽 Security DAY 4

合規合規，合什麼規？系列第 4 篇

技術 [Day 4] 要合誰的規？（下）

昨天介紹了全體適用的主管機關，以及非強制性的國際組織，今天則是大略介紹一下如何知道自己要符合哪個主管機關的規範，主要以資通安全管理法為中心，並且包含了以下子法：...

裸男 ‧ 2022-09-19 ‧團隊那團名要叫什麼？

0 Like 0 留言 1060 瀏覽

鐵人賽 Security DAY 3

合規合規，合什麼規？系列第 3 篇

技術 [Day 3] 要合誰的規？（上）

昨天講了合規的意義與目的，今天來講如何知道自身公司組織，應該要符合哪些規範呢？資安規範百百種，除了通用性的國際標準（例如 ISO、BS）以外，要知道該符合哪些規...

裸男 ‧ 2022-09-18 ‧團隊那團名要叫什麼？