Day05_客倌~要不要来一块小叮当的翻译蒟蒻XD"

阿~今天的笔记，真心觉得，给我来一口翻译蒟蒻吧，很多硬梆邦的东西，记不起来XD"

▉条文是下面这个(有没有，我今天超级正经的)：

▉有梦最美，筑梦踏实(正经没有三秒，就又ㄎ一ㄤ了)
昨天，那一坨东西，最後的重点，其实就这一句→→→政策>规范>程序性>空白表单、纪录及其他
今天，开工啦~也可以想成，它是一个文件化的过程，怎麽做呢，今天大概是政策到规范的阶段。

└第4章、组织
分成两个阶段来说~
首先，你要考量合乎法规或者合约，举个例子(你很爱举例子!!)，比如法规来说，因应你的行业特性或你的客源，以个资法来说，如果你只在台湾，那就只需要参考台湾的个资法啦，但如果你的客源有欧盟的公民，恭禧你，你去查一下GDPR吧，弄死你~真的。
再以合约来举例吧，如果你是政符机关的下游厂商，合约拜托，要看得超清楚，因为政府机关对资安的要求，应该会写在里面，或者一句吧，要符合ISO27001(赞~)
►GDPR可参考：没有人是局外人！史上最严个资法冲击全球，带你搞懂什麽是GDPR
https://www.bnext.com.tw/article/49249/gdpr-general-data-protection-regulation-eu-
►先搜寻『政府机关 资安等级』，如果找不到，搜这个『资讯安全责任等级分级查检系统 - 经济部标准检验局』
考量到这里，我相信，你的头已经秃了(并没有，好吗)
再来说，当涉及违反上面这两个的时候，应变措施是什麽(那个风险评监啦，出来之後，要降低风险)

继续举例子，你要做到什麽程度?免责免罚(不能出任何错，哇，那人、事、时、地、物，要花的可多了)

└第五章、领导作为
5.1
高阶长官的态度、他对这个部份的认知(以学校来举例的话，偏乡跟台北，会上新闻的程度，就不一样后?)
5.2
长官带你飞(正向的，不要误会我，不是当到起飞的意思)
宣势主权，恩，讲错了，是承诺我们会做到的事情：合於组织的目地>订立目标>遵守相关的规范>会持续改善。
并且公告(内部员工，供应商，客户)
老师稽核分享：问员工，你知道资安政策在哪里?你找得到吗?
5.3
角色>责任、权限
组织架构图：资安管理委员会>管理代表>文件制定、风险管理、事故处理、稽核、各单位代表
简单来说，出事的时候，你知道怎麽应变吗?有SOP文件，然後真的有照作吗。

└第六章、规划(可量测的，KPI吗?哈哈哈)
这个挪到明天写了，我的脑袋今天摆工啦~

另，补充一下，风险评监的方法可参考ISO 27005。