鐵人檔案
ISO 的資安管理系統制度 (ISMS) 在政府機關的大力推動下,早已成為組織不可或缺的必備制度,只要會與資訊沾上邊的很難不與它打交道,現在坊間多半是找輔導 ISMS 的顧問進去協助,但是顧問輔導所引進的 ISMS 制度真的適合自己的組織嗎?或是執行起來卡卡、無意義、又或者只是為了交差了事生一堆紀錄文件,卻不知道那到底是什麼?或許這系列文章可以多少解點惑。
本系列文以 ISO 27001: 2022 為基礎,必要時會同時引進相關的 ISO 標準規範輔助說明。
一個有效的管理制度,除了要依照制度所規定的過程,在規定的時間內執行及產生必要的結果 (或記錄) 外,根據管理系統的PDCA精神,若在執行過程中發現潛在的風險、不...
在講完整個ISMS的要求過程後,再來就是講一下ISO 27001:2022附錄A的「控制措施」。 ISO 27002對控制措施的定義是: Control is...
正如其名,組織控制措施 (Organizational Controls) 是站在組織層級的觀點所施加的控制措施,也就是一個站在管理的角度來施行的控制方式,共有...
任何的管理制度的本質都是在控制人類的行為,即便是再好的管理制度,只要人這個因素沒有控制好,走鐘或失敗的機會就會很高,有再好的設備、再好的技術都一樣,人的決策經常...
除以全遠端方式營運的組織外,多半組織都會有一個辦公場域,會有一部或多部的個人電腦或主機 (統稱資訊處理設施)、網路佈建以及需嚴格保護的區域 (如機房) 等,這些...
技術控制措施 (Technological Control) 共有34項,可以將它視為把其他三類控制措施「落地」的方法,技術控制措施所指引的是如果要某項要求要做...
組態管理 (Configuration Management) 是ISO 27002:2022中所新增的11項控制措施之一,屬於技術控制措施,但它也是這11個控...
