本来打算把稽核与风险管理和在一篇的,
後来想想,决定先发一篇稽核的惹。
稽核也是我不熟的领域,
大概就知道稽核通常都需要一些证照认证,
然後也会有一些年资的要求,而且好像都是满硬性规定的。
要入门可能可以从ISO 27001着手吧。
不过实际上稽核需要甚麽样硬实力我就不基础了。
照惯例,每篇文章都会附上第一篇的文章,让大家了解一下这系列文章说明
https://ithelp.ithome.com.tw/articles/10264252
无论产业的类型或企业的规模大小如何.组织应该需要了解自身的安全状况,而透过稽核可以了解到组织自身的安全情况,透过稽核可改善或加强组织的内部安全问题。或者是要符合法律规范、条例。
ISO 27001是一套国际认可的资讯安全管理系统规范,可以替公司或组织提供一个资安制度与标准流程。
Plan计画-Do执行-Check验证-Act改善
Confidentiality 机密性、Integrity 完整性、Availability 可用性。
机密性:资源在未授权的情况下,不应该被看到或是泄漏。
完整性:资安不会遭受到未授权的窜改、或是丢失,应该维持资料的正确完整性。
可用性:当该资源被授权需要使用的时候,必须要可以使用。
同样作为作业系统,思路上应该大同小异,主要差异在於技术上执行上,作业系统本身导致的差异。例如Windows会利用EventLog储存电脑上的重要纪录,而Linux通常都是使用Log档案替个个不同的服务来保存Log。
一般资料保护规范(GDPR) - 个资相关
健康保险便利和责任法案 (HIPAA) - 医疗相关
支付卡产业资料安全标准 (PCI DSS) -金融相关
BCP是企业组织针对可能会面临到无法预期的突发状况或风险,例如地震、风灾,甚至像是这次的COVID-19导致影响公司营运也算。所事先拟定好的解决方针或应对的处理流程,主要目的就是让冲击、影响与损失能够降到最低。
灾害复原就是在发生自然或是人为灾害,例如天灾、设备故障、骇客攻击等等情况发生,导致资讯设备或是系统受到影响後,所拟定应变措施或策略。
灾害复原不仅仅是强调要将IT资源复原,也必须注意复原的时间,要能尽可能的快速。
而我觉得一个好的计划,应该要至少具备:
A.对於设备故障的定义与判断方法是明确的。
B.灾害发生後应该要联络的部门、外部厂商、或是其他任何该联络的人,资讯都必须事先列清楚。
C.要有对於复原的流程顺序标准。
稽核呀稽核..老实说我没有很大兴趣XD
不过有机会有时间还是会去考ISO 27001,
如果考完有机会,可能会在自己的网站(部落格)分享心得罗。
若有要补充也都欢迎留言
<<: Day 18 网页分析 - Web Application Analysis (Skipfish )
>>: 理解 HTTP(二):Method、Status Code
这篇就要讲到flex可以使用在内容物(item)上的方法以及功能了!! order 这个语法是用来指...
切版是前端工程师必须要具备的技能,需要把设计师针对使用者需求所完成的设计稿,透过程序让它在网页中实际...
有时候一个 line bot 不会只有一个人去做管理,但是总有不方便共用 line 帐号的时候,这时...
再来就是实际建立透过 select 选择的脚位,并建立相关 Firmata 功能。 (过程和建立 w...
所有雇员(All employees) 总体上,“所有员工”是接受或参加意识介绍或活动的理想目标,...