(二) 非资通安全管理法适用组织
对於未受到资通安全管理法规范的组织,可能有部分还是会受到资通安全管理法或其他法令的影响,所以我们建议的步骤如下:
确认法规命令:除了资通安全管理法之外,还有其他法令规范要求导入或验证ISMS,例如教育部对私立大专院校、卫福部对地区等级以上医院、经济部对电子发票加值中心、金管会对提供线上投保的保险公司等,都有一定的规范,如果适用,应该依照法令规范订定范围。
为何需要ISMS:一般组织需要导入ISMS都有其目的,请先了解为何需要ISMS?可能是客户要求、可能是觉得某项业务的资讯安全非常重要以致会影响组织生存目标。
核心业务:从前面两项分析中寻找出组织赖以生存的核心业务,在从业务中寻找其依赖的核心系统,这个步骤与前面相同。
决定适用范围:依照前面的分析,采取下列方式之一(或者可以用混合的方式),来决定ISMS最佳适用范围:
(1) 以部门别定义:提供资讯中心办公区之资讯安全管理活动
(2) 以应用系统别定义:供客户服务系统、行政管理系统之开发、操作与维护之资讯安全管理活动
(3) 以产品/业务别定义:主机代管机房、网路维运部之资讯安全管理;资安检测中心之安全维运管理
(4) 以实体区域定义:电脑机房、研发中心之资讯安全维运管理
范围边界及关联性管控:针对边界及关连性之风险明确规范管理的方式及要求(例如:委外)。
管理阶层核准:高阶管理者应针对范围予以纪录并正式核准,以确认高阶管理者能接受之范围。
<<: 【Lua】用 Fengari 让 Lua 取代 JavaScript 吧!
>>: 用新技术加强您的内部稽核-将稽核软件引入组织的 7 个步骤
SQL injection 先来简单练习 https://www.hacksplaining.com...
REST 是 Representational State Transfer 的缩写,中⽂翻译成「具...
#odoo #开源系统 #数位赋能 #E化自主 消费者来到实体商店消费,在与熟识的服务人员闲聊过程中...
建立HTML档案 打开VSCode > 档案 > 另存新档为html档+命名 > ...
第2话 拆解Agile的准备工作 刚开始会摸不着头绪,应该想着要从Agile中汇出资料 於是在资料库...