[Day30]ISO 27001 附录 A.18 遵循性

A.18 遵循性

A.18.1 对法律及契约要求事项之遵循

目标：避免违反有关资讯安全之法律、法令、法规或契约义务，以及任何安全要求事项。

A.18.1.1 适用之法规及契约的要求事项之识别

对每个资讯系统及组织，应明确识别、文件化及保持更新所有相关法律、法令、法规及契约要求事项，以及组织为符合此等要求之作法。

• 组织要识别适用法或契约的要求事项，如：电信产业需遵循电信法规、客户合约
  一般而言，组织会比我们更了解内部需因应的适用法规，如果受稽方是政府单位，会再进一步确认遵循资通管理法的等级，如资通安全法规定政府单位有 A 政府机关、B 中华电信、C 级单位，入厂可能会依等级被检查智慧手机、笔电或智慧表。

A.18.1.2 智慧财产权

应实作适切程序，以确保遵循与智慧财产权及专属软件产品使用相关之法律、法令、法规及契约的要求事项。

• 是否使用正当合法的软件授权、授权人数是否合理

A.18.1.3 纪录之保护

应依法令、法规、契约及营运要求保护纪录，免於遗失、毁损、伪造、未经授权存取及未经授权发布。

• 相关要求需要保留之纪录，要进行保护

A.18.1.4 个人可识别资讯之隐私及保护

应依适用之相关法令、法规中之要求，以确保个人可识别资讯之隐私及保护。

• 要依法保护个人资料，如：公开系统在个人资料在前端使用遮罩表示。如：中奖名单
• 但如果范围仅限於验证资安管理系统，不是在於验证个人资料，则在执行上依政策规范即可。

A.18.1.5 密码式控制措施之监管

应使用密码式控制措施 ，以遵循所有相关协议、法律及法规。

• 因为演算法在国际上会认知是一种武器的概念，如有法规上要求对加密机制，就要依法规实施，如：很多金融单位有使用硬体加密器(HSM)，在报废设备时，必需要依规定进行处理其加密晶片。

A.18.2 资讯安全审查

目标：确保依组织政策及程序，实作及运作资讯安全。

A.18.2.1 资讯安全之独立审查

应依规划之期间或当发生重大变更时，独立审查组织对管理资讯安全之作法及其实作(亦即资讯安全之各项控制目标、> 、政策、过程及程序)。

• 组织进行独立性审查，实务上，只要不会自己查自己单位即可，不一定是专责查核的单位，因为资源的关系很难做到。

在稽核时有一人球员兼裁判的时候，可能受稽方都会提出：「人力或资源不足。」
那麽我们可能会讨论一个情境：「如果自己发现自己的严重失误，会开缺失吗？」

A.18.2.2 安全政策及标准之遵循性

管理人员应以适切之安全政策、标准及所有其他安全要求事项，定期审查其责任范围内之安全处理及程序的遵循性。

• 要定期依政策、主管机关或是产业安全要求，进行安全处理的遵循性，如果要求上变更，也需进行反应进行调整，如，支付卡产业需要符合定期验证是否通过 PCI-DSS 的相关要求。

A.18.2.3 技术遵循性审查

应定期审查资讯系统对组织之资讯安全政策及标准的遵循性。

• 针对技术性的部份定期进行遵循性的审查，如：主机弱点扫瞄、网站渗透测试、资安健检等等。

参考文献

国家标准(CNS)网路服务系统：https://www.cnsonline.com.tw/

恐怖游戏推荐：

我美丽的面具笑容(My Beautiful Paper Smile)

我美丽的面具笑脸是一款心理学恐怖游戏，故事讲述关於一名孩童被囚禁於专门教育出完美孩子的机构。准备好逃出这个机构，发掘计画里黑暗的谜团并尝试在痛苦中存活。

Steam：https://store.steampowered.com/app/1036700/My_Beautiful_Paper_Smile/

还没玩，先列入追踪清单。