[Day17]ISO 27001 附录 A.5 资讯安全政策

看完 ISO 27001 标准，就会继续看 ISO 27001 附录 A。
附录 A 目前的版本是 2013 年版，包含 35 个控制目标及 114 控制措施。
据说近期在改版罗，但还没有正式发布，再加上後续也有转版的缓冲期，所以还是以 2013 年版本为主。
针对现有控制措施，如果觉得我写得不够详尽或是无法确认要绑哪一条标准，可以参阅 ISO 27002:2013 资讯安全管理系统：一般原则指南。

如果有时间会将 ISO 27002 再列上去罗 ：)
但真的需要一点时间啦，如果很急的话再慢慢查呗～

A.5 资讯安全政策

A.5.1 资讯安全之管理指导方针

A.5.1.1 资讯安全政策

资讯安全政策应由管理阶层定义并核准，且对所有员工及相关外部各方公布及传达。

• 要实做资安政策出来并公布传达
• 预期可以查核的项目包括：营运策略、法律、法规、契约、资讯安全威胁环境的公告或议题

如上市公司会需要遵守证交所的法规：
证交所重大讯息处理程序修订，上市公司发生重大资安事件应揭露於重讯，即日起实施

A.5.1.2 资讯安全政策之审查

资讯安全政策应依规划之期间或发生重大变更时审查，以确保其持续的合宜性、适切性及有效性。

• 通常资安政策每年都会审查一次，有无需要变更，要与时俱进
• 或是特别会确认是否有重大变更时，也有相应的资讯安全政策重大变更

参考文献

国家标准(CNS)网路服务系统：https://www.cnsonline.com.tw/

恐怖游戏推荐：

还愿(DEVOTION)

背景设定在 1980 年代台湾，游戏参考在地文化与宗教，述说在这块信仰与生活密切连结的土壤上，一户三口之家在老公寓中曾有的日常光景，以及一些难以抹灭的回忆。
官网：http://redcandlegames.com/presskit/sheet.php?p=devotion&l=ch

附上馆长ver直播连结：