鐵人檔案
ISO 的資安管理系統制度 (ISMS) 在政府機關的大力推動下,早已成為組織不可或缺的必備制度,只要會與資訊沾上邊的很難不與它打交道,現在坊間多半是找輔導 ISMS 的顧問進去協助,但是顧問輔導所引進的 ISMS 制度真的適合自己的組織嗎?或是執行起來卡卡、無意義、又或者只是為了交差了事生一堆紀錄文件,卻不知道那到底是什麼?或許這系列文章可以多少解點惑。
本系列文以 ISO 27001: 2022 為基礎,必要時會同時引進相關的 ISO 標準規範輔助說明。
一個有效的管理制度,除了要依照制度所規定的過程,在規定的時間內執行及產生必要的結果 (或記錄) 外,根據管理系統的PDCA精神,若在執行過程中發現潛在的風險、不...
在講完整個ISMS的要求過程後,再來就是講一下ISO 27001:2022附錄A的「控制措施」。 ISO 27002對控制措施的定義是: Control is...
正如其名,組織控制措施 (Organizational Controls) 是站在組織層級的觀點所施加的控制措施,也就是一個站在管理的角度來施行的控制方式,共有...
任何的管理制度的本質都是在控制人類的行為,即便是再好的管理制度,只要人這個因素沒有控制好,走鐘或失敗的機會就會很高,有再好的設備、再好的技術都一樣,人的決策經常...
除以全遠端方式營運的組織外,多半組織都會有一個辦公場域,會有一部或多部的個人電腦或主機 (統稱資訊處理設施)、網路佈建以及需嚴格保護的區域 (如機房) 等,這些...
技術控制措施 (Technological Control) 共有34項,可以將它視為把其他三類控制措施「落地」的方法,技術控制措施所指引的是如果要某項要求要做...
組態管理 (Configuration Management) 是ISO 27002:2022中所新增的11項控制措施之一,屬於技術控制措施,但它也是這11個控...
當看到「專案管理」這四個字時,相信應該不少懂的人會心頭一驚,畢竟專案管理 (Project Management) 本身就是一門很大的學問,大到有專門的學術組織...
今天就來談談我的老本行「軟體開發」的控制措施吧,軟體開發可是資訊技術中與硬體平起平坐的生產單位,由於不像硬體是有形 (tangible) 的資產,為妥善且有效的...
在安全開發生命週期的範疇下,軟體開發的各個階段型塑了生命週期下的環節,由需求分析出發的應用系統安全要求事項 (A.8.26)、系統分析與設計的安全系統架構及工程...
