鐵人檔案
資通安全管理法規定公務機關和特定非公務機構;各單位須指派資安長及負責人,確保政策執行。
本題目旨在討論如何實際落實法律規定,資安法本質為管理框架,如何透過技術實現管理要求。
筆者在公務機關服務,是機關內的資通安全專責人員。有 ISO 27001 LA和中級資訊安全工程師的證照背景並且累積了約2年的資訊安全工作經驗。 透過這次的鐵人賽...
資安法本身就有明確訂定範圍 包括公務機關與特定非公務機關公務機關:指依法行使公權力之中央、地方機關(構)或公法人。但不包括軍事機關及情報機關。特定非公務機關:指...
雖然資安法管理的推動在民間企業或扁平化組織看來可能只需要老闆的命令,再指派一位負責人即可,通過驗證就滿足資安的要求,但在公務機關的官僚制度中,事情不僅僅是這樣簡...
一般管理文件通常依照ISMS的四階文件分類: A. 政策性文件B. 規範性文件C. 程序性文件D. 表單型文件 此部分,一般由顧問公司承擔。這組織的文件系統是資...
有了文件之後,就要填寫資料 其中風險評鑑是一個至關重要的內容,確保機關的資訊資產得到適當的保護。以下是這一流程的概述 資訊資產盤點:首先,我們需要確認與記錄...
完善的風險評鑑過程就是注重高風險領域的管理。儘管風險評鑑無重大風險,還是建議從常見的問題中選取一些來進行風險處理。 通常,風險評鑑完成後,我們會按照風險等級對各...
隨著前幾天的標題式介紹,我們理解到資訊安全管理是維護資安文件、資訊資產盤點、以及風險管理的三個核心部分。透過這些管理方式,所有的同仁都能夠深度參與到資安管理的過...
資訊安全委員會是由資安長與各一級機關委員所組成,每年開一次了解資訊安全在做什麼,如果有跨部門資安提案,就在這會議提出討論。這個會議就是ISO 27001的管理審...
如果對應到ISO 27001則是外稽,不同於ISO 27001的外稽是文審+實地審查,行政院的資安稽核則是技術稽核+實地審查,技術稽核團隊會用公文預定時間前來進...
經過技術稽核之後,實地稽核的隨著到來,我們將完成資訊安全管理循環的最後階段考驗。 資安管理的核心思想便是「PDCA」模式。 Plan - 涵蓋四階文件和資通安全...
