Day23_控制项(A18遵循性) -2021/10/06

阿呜~第23天了，再撑一个星期~XDD"

▉A.18 Compliance 遵循性
所有的控制措施与管理条款，除了须符合施行单位的政策外，与相关法规的符合性亦须相符，避免缺乏法源上的依据，而在於系统方面的稽核上，也需采用适当的工具进行检测，确保运作维持不中断。

└A. 18.1 Compliance with legal and contractual requirements游循法规与契约要求
• A.18.1.1 Identification of applicable legislation andcontractual requirements 识别适用之法条与契约要求
对每个资讯系统及组织，应明确识别、文件化及保持更新所有相关法律、法令、法规及契约要求事项，以及组织为符合此等要求之作法。
○ 蒐集相关法律条文（智慧财产权、资料隐私保护及其他相关法规）、管理规定及合约要求，了解与资讯处理设施、软件系统的关系，并予以书面或其他方式留存。

• A.18.1.2 Intellectual property rights智慧财产权
应实作适切程序， 以确保遵循智慧财产权及专属软件产品使用之相关法律、法令及契约的要求事项。
应实作适切程序，以确保遵循智慧财产权及专属软件产品使用之相关法律、法令及契约的要求事项。程序宜包括：
(1) 公布智慧财产权遵循政策，此政策定义软件与资讯产品的合法使用。
(2) 只经由知名且信誉良好的来源采购软件，确保不违反着作权。
(3) 维持对保护智慧财产权政策的认知，并通知违反政策人员将遭惩处。
(4) 维持适切的资产登记簿，并识别所有资产符合保护智慧财产权之要求。
(5) 维护使用版权、原版碟片、手册等所有权的证明和证据。
(6) 执行控制措施，以确保不超过任何版权内允许的最多使用人数。
(7) 定期（宜每半年）检核是否只安装经授权软件与有使用版权的产品。

• A.18.1.3 Protection of records 纪录的保护
应依法令、法规、契约及营运要求保护纪录，免於遗失、毁损、伪造、未授权存取及未经授权发布。
○ 施行单位保护之纪录宜考量对应施行单位分类及分级法。
○ 纪录宜按纪录型式（例如：会计纪录、资料库纪录、交易日志、稽核日志和运作程序)分类。
§ 都应有详细的保存期间和储存媒体型式(例如：纸张、微缩胶片、磁性或光学储存媒体）。

• A.18.1.4 Privacy and protection of personally identifiableinformation个人识别资讯的隐私与保护
应依适用之相关法令、法规中之要求，以确保符合个人可识别资讯之隐私及保护。

• A.18.1.5 Regulation of cryptographic contols密玛控制措施的规定
应使用密码式控制措施(加密控制措施)，以遵循所有相关的协议、法律及法规。
○ 为了遵循相关的协议、法律及法规，宜考量对加密的使用设限制，如通行码长度、通行码复杂度、通行码变更周期。
○ 对外采购加密技术时，宜请厂商提供输出国核发之输出许可文件，并避免采购国外金钥代管或金钥回复之产品。(原A.12.3.2)

└A.18.2 Information security reviews 资讯安全审查
• A.18.2.1 Independent review of information security 资讯安全的独立审查
应依规划之期间或当发生重大变更时， 独立审查组织对管理资讯安全之作法及其实作（亦即资讯安全之各项控制目标、控制措施、政策、过程及程序）。

• A.18.2.2 Compliance with security policies and standards 安全政策与标准的遵循性
管理人员应以适切之资讯安全政策、标准及其他安全要求事项，定期审查其责任范围内之安全处理及程序的遵循性。

• A.18.2.3 Technical compliance review 技术遵循性审查
应定期审查资讯系统对组织之资讯安全政策及标准的遵循性。