鐵人檔案
資通安全管理法規定公務機關和特定非公務機構;各單位須指派資安長及負責人,確保政策執行。
本題目旨在討論如何實際落實法律規定,資安法本質為管理框架,如何透過技術實現管理要求。
資安事件的管理和應變是日常例行工作,也是法規所規範的部分,「資通安全事件通報及應變辦法」https://law.moj.gov.tw/LawClass/LawA...
資安通報的流程細分為三個層級:一線、二線、及三線。 一線:指的是主管機關,其主要工作是參考二線所提供的資安通報。二線:涵蓋縣市區網,其責任是審核三線使用單位提交...
前天說到了回覆時間 今天來談哪些要做反應 主要分為資安訊息情資 (ANA):此類情資需要依其重要性決定是在網頁上公告、通知各資安窗口,或是透過公文將其轉送給各一...
分享資安事件的類型,但資安的理想狀況「沒有消息就是好消息」,能盡量不要有資安事件就不要有。 但DEF事件很多該怎辦呢?同事回報說我的電腦中毒了、昨天能登今天不能...
我們可以用異常處理的機制來避免資安通報。當然,如果真正發生資安事件我們要正視並加以處理。 首先,資安事件定義就是已經確認威脅到資訊的機密性、完整性和可用性(CI...
當提到資通安全的稽核項目時,其中一項就是:機關是否已對涉及資通安全事項的人員進行考核或獎懲。 為確保此項策略有效實施,必須將其納入機關的法規中。然而,僅僅在法規...
在公務機關,教育訓練的接受度很兩極。有些人避之唯恐不及,擔心一旦受訓就必須承擔更多責任,而有的人則熱衷於培訓,因為這意味著可以暫時脫離日常工作的壓力。這主要取決...
昨天談到教育訓練 除了教育訓練投資在人people上面,本身要花費以外 教育訓練得到的知識也是很大的錢坑 要對機關系統做弱掃:弱掃軟體費用,還有分對主機環境的弱...
繼昨日的3P探討,今天我們來深入討論資訊系統的自建、委外和套裝軟體三者的優缺點。 不論採取哪種方法,打造一個新系統的起始步驟都是需求分析。這聽起來容易,但實際執...
我們談到無論是自建還是委外都需要做SSDLC 這真的不是一件簡單事 所稱的SSDLC,實質上是將資安因素融入傳統的SDLC中。 傳統的SDLC流程基本上可以簡化...
