[Day18]ISO 27001 附录 A.6 资讯安全之组织

A.6 资讯安全之组织

A.6.1 内部组织

A.6.1.1 资讯安全之角色及责任

应定义及配置所有资讯安全责任。
预期能确认透过组织架构图来确认资安组织程序或职掌

A.6.1.2 职务区隔

冲突之职务及责任范围应予以区隔，以降低组织资产遭未经授权或非蓄意修改或误用之机会。
这个我们常称职务区隔（Segregation Of Duties, SOD），在资安上就是一个人不能是一条龙的作业，
例如：开发人员不做上版，如真必要做，则要做好纪录并审查，以证明上版与原始码为同版。

A.6.1.3 与权责机关之连系

应维持与相关权责机关之适切联系。
就是该组织的主管机关，或是协助作业上的主管机关，
例如，中华邮政是属交通部管，但代处理三倍券时，三倍券的主管机关是经济部
相关上市上柜归证交所管辖：

A.6.1.4 与特殊关注方之连系

应维持与各特殊关注方或其他各专家安全论坛及专业协会之适切联系。
台湾电脑网路危机处理暨协调中心(TWCERT/CC) 与组织有关可协助的单位也都可

A.6.1.5 专案管理之资讯安全

不论专案之型式，应在专案管理中因应资讯安全。
专案管理应也要纳入资安要求，含盖在专案的起始、执行阶段和验收，一般看到新案可以去了解这段。

A.6.2 行动装置及远距工作

A.6.2.1 行动装置政策

应采用政策及支援之安全措施，以管理使用行动装置所导致之风险。
行动装置没有只限制在个人或公务，先确认什麽是行动装置，组织要有行动装置的管理政策和实施管理的作法。

A.6.2.2 远距工作

应实作政策及支援之安全措施，以保护存取、处理或储存於远距工作场所之资讯。
泛属远端连线到组织的工作方式，都计入，可以稽核的方向：
相关的作业程序、申请单据。

参考文献

国家标准(CNS)网路服务系统：https://www.cnsonline.com.tw/

恐怖游戏推荐：

港诡实录

《港诡实录》是一款以中国香港都市传说为题材的第一人称恐怖冒险游戏。故事讲述一群年轻人为了录制探灵节目“逃出灵界点”，来到九龙城寨遗址。然而这次的录制却因为一些突发事件变得诡异起来。
Steam：https://store.steampowered.com/app/1178490/_/?l=tchinese

除了结局我很想吐槽是不是会有番外篇以外，我觉得整个故事性很棒，值得花时间玩。