传说中的资讯安全全景图

标题的字每个都认识，合起来却感觉哪边怪怪的...有些漠生吗?

企业永续经营 = 资讯安全制度运行，2者是关连性与亘动率极高的状态与标准。

如果客户都有ISMS+PIMS，会放心把重要的业务交付给有疑虑的供应商吗? (开放大家脑补XDDD)

假设高阶管理者的脑子正在跑的是企业或机构怎麽生存下去，如何稳定而逐渐提昇获利，那麽选择可靠的合作伙伴就属於意料之中的事了。

资讯安全全景图 = 制度运行总检表 ，表列组织内外部风险来源与风险值，透过定期检视、追踪执行成果，确保组织整体安全及风险可控。

范例如下:

1. 资讯安全政策是否合宜?最近一次修订程序书是什麽时侯?
2. 资安组织是否合宜，内容最近一次更新是什麽时侯?
3. 是否订定可接受风险值，风险值是多少?
4. 是否落实存取权限审查
5. 资通讯系统清查并检视安全性?
6. 是否定期审查凭证管理清册?
7. 是否落实合法软件盘点?
8. 是否定期盘点资讯资产?
9. 是否定期检视开源软件合法使用范围/版本/变更内容?
10. 是否执行弱点扫瞄?内对内?外对内?
11. 是否执行渗透测试?
12. 是否执行弱点修补?
13. 是否委外开发软件?
14. 委外开发软件是否进行源码检测?
15. 防火墙规则是否定期审查?
16. 防火墙最近一次变更是什麽时侯?
17. 网路设备或资安设备最近一次无预警中止服务是什麽时侯?
18. 每月检视并分析资安事件，最近一次损害组织权益的事故是什麽?影响范围多大?是否通知利害相关方?
19. 是否定期进行灾害复原?
20. 备份档案有效性是否定期确认?
21. 重要资讯服务是否连接不断电供应系统(UPS)
22. 资讯机房电力供应是否设置独力回路且限定专责人员或单位维护?
23. 电力是否设置双供电来源，例如:太阳能供电、柴油供电、不同的变电所(南/北)...
24. Server与Client是否定期更新Patch?
25. 是否定期执行教育训练?
26. (依企业或机构的资安范围扩充审查的项目与频率)

下一篇写写风险评监，公式温习先~~~

风险值 = 资讯资产价值 X (事件发生机率（等级）x 事件冲击（等级）

资讯资产价值 = 机密性、完整性、可用性之相加数值

资料来源:
达成愿景之流程图
组织全景评监表
资安风险评监标准介绍