其实 ISO 系统都是通用的,从 ISO 9001、 ISO 14001、 ISO 50001、ISO 45001 跟27001…
都是采用高阶管理架构:
组织应决定与其目的有关且影响达成其资讯安全管理系统预期成果能力者之内部及外部议题。
备考:决定此等议题,系指建立於CNS31000[5]5.3中所考量之组织内部及外部全景。
Ⓞ CNS31000 企业风险管理
组织应决定下列事项。
(a)与资讯安全管理系统有关之关注各方。
(b)此等关注方对资讯安全之要求事项。
备考:关注方之要求事项可能包括法律及法规要求,以及契约义务。
依据 4.1 的内外部议题 及 4.2 关注方要求事项确认范围。
(a) 4.1 中所提及之内部及外部议题。
(b) 4.2 中所提及之要求事项。
(c) 组织履行之活动与其他组织履行之活动间的介面及相依性。
适用范围应予文件化资讯并易於取得。
就是 Paper Work 啦…
员工、股东、系统使用者、外部稽核、顾问、厂商、客户等等等…
由於大家都要验机房,所以…
资通法草案"未来"应要将资讯系统清册盘点完,分级执行,「核心系统」及「资料库资讯系统」列入范围内。
政府单位要来编预算了…
(1) 列出核心业务
.核心业务
.依公司产品/业务产业列出核心业务 >> 设计开发、客户资料、研发资料等等应该算是核心业务。
.实体范围:集团总部、分公司、等等…
(2) 决定适用范围
(3) 排除范围协议
(4) 管理阶层核淮
以顾问级距 27006 以计算人天。
如果只验机房 第一级距 10 人以内,合理;但是,是否符合客户要期望呢?
客户说要通过,但只通过机房??? 合理吗?
依标准之要求事项,建立、实作、维持及持续改善资讯安全管理系统。
最高管理阶层应藉由下列事项,展现对资讯安全管理系统之领导及承诺。
(a) 确保已建立资讯安全政策及资讯安全目标, 并与组织之策略方向相容。
(b) 确保资讯安全管理系统要求事项整合入组织之各项过程。
(c) 确保资讯安全管理系统所需之资源可取得。
(d) 传达有效之资讯安全管理的重要性,以及符合资讯安全管理系统要求事项之重要性。
(e) 确保资讯安全管理系统达成其预期成果。
(f) 指导及支援人员, 以促进资讯安全管理系统之有效性。
(g) 宣导持续改善。
(h) 当适用其他相关管理角色之责任范围时, 加以支持以展现其领导权。
因为高阶管理阶层需要提供承诺及资源,不能只能讲讲,要给钱给人给资源~
而且要协调各大部门协助执行,要确实执行,有奖有罚,要给承诺并实现。
所以会建议由副总级担任。
管理阶层定义并核准後的营运策略提供资源。
最高管理阶层应建立包含下列事项之资讯安全政策。
(a) 适合於组织之目的。
(b) 包括资讯安全目标(参照6.2)或提供设定资讯安全目标使用之框架。
(c) 包括对满足相关於资讯安全之适用要求事项的承诺。
(d) 包括对持续改善资讯安全管理系统之承诺。
资讯安全政策应符合下列项目。
(e)以文件化资讯提供。
(f)於组织内传达。
(g)适用时,提供给关注方。
[考题] 什麽叫职责跟职权?
职责:责任内应该要完成的事情。执行单位。
职权:有决定工作项目的权力。审核管理单位。
最高管理阶层应确保资讯安全相关角色之责任及权限已指派并传达。
最高管理阶层应指派下列责任及权限。
(a)确保资讯安全管理系统符合本标准之要求事项。
(b)向最高管理阶层报告资讯安全管理系统之绩效。
备考:最高管理阶层亦可指派报告组织内资讯安全管理系统绩效之责任及权限。
通常,在最後高阶管理访谈还是会再问一下:
国家标准(CNS)网路服务系统:https://www.cnsonline.com.tw/
巴哈姆特游戏介绍:
直到黎明-阿津版本:https://youtu.be/8y1jofpyyug
<<: Day 27 - Click and Drag to Scroll
>>: [Day_13]选择性结构- 单向选择结构、双向选择结构
今天的影片内容为爬取一个非常有名的影评网—Rotten Tomatoes(烂番茄) 还会介绍网页图片...
这次我用上篇练习的基本定时器进行爬虫,但是过程中遇到了困难,总感觉连资料都没办法好好抓取,所以只好先...
前情提要 终於做出时间了,却又卡在流程问题,这次解决是否能顺利回到过去? 我:那要怎麽样避免因为流程...
工业控制系统 Industrial Control System 简称 ICS = 电脑与工业设备...
本篇主要讲解 HTTP 状态码代表的意思。 主要是针对状态码的类别做讲解,所以不用担心会太多。且并不...