By: Elaine Posted date: 上午10:12:00 Comments: 0
-
1
主要缺失1次
捌、三
ISMS之建立:依據該單位之類型、規模、資源、業務性質等特性,定義ISMS之範圍;考慮相關法律、法規以及合約之要求,於適度評估風險及應對措施後,訂出經由管理階層核准之 ISMS 政策,並擬定一份適用性聲明書文件。
-
2
主要缺失1次
玖、十
ISMS之改進:ISMS的改進是持續的,必須藉由各資安事件與審查結果,做出適度的反應與改進,持續系統之有效性;另外,對應的矯正措施以及防範未然的預防措施,亦須予以制定並文件化。
-
1
次要缺失14次
玖、七
關於資訊安全管理系統(ISMS)建置需求。
-
2
次要缺失10次
A.11.1.4
施行單位應定期審查使用者存取權限。
-
3
次要缺失7次
捌、三
ISMS之建立:依據該單位之類型、規模、資源、業務性質等特性,定義ISMS之範圍;考慮相關法律、法規以及合約之要求,於適度評估風險及應對措施後,訂出經由管理階層核准之 ISMS 政策,並擬定一份適用性聲明書文件。
-
4
次要缺失6次
捌、六
ISMS之維持及改進:施行單位應定期實行改進活動,採取適當的矯正與預防措施,並得到管理階層之同意,並確保各項措施達到預期目標。
-
4
次要缺失6次
A.11.1.2
系統存取特別權限管理─較適用於第一群。限制與控管特許權限的分配及使用方式。
-
4
次要缺失6次
A.11.1.3
一般通行碼之控管:應建立使用者通行碼之管理制度。
-
4
次要缺失6次
A.15.1.1
適用法規之鑑別:蒐集相關法律條文(智慧財產權、資料隱私保護及其他相關法規)、管理規定及合約要求,了解與資訊處裡設施、軟體系統的關係,並予以書面或其他方式留存。
-
8
次要缺失5次
A.14.1.2
永續運作計畫之測試及更新─較適用於第一群。永續運作計畫應進行測試與維護,確保該計畫的有效性。
-
9
次要缺失4次
玖、十
ISMS之改進:ISMS的改進是持續的,必須藉由各資安事件與審查結果,做出適度的反應與改進,持續系統之有效性;另外,對應的矯正措施以及防範未然的預防措施,亦須予以制定並文件化。
-
9
次要缺失4次
A.7.1.1
應製作所有資訊資產之清冊,並定期維護、更新。
-
1
觀察事項24次
玖、七
關於資訊安全管理系統(ISMS)建置需求。
-
2
觀察事項15次
捌、五
ISMS之監控及審查:施行單位應針對ISMS進行監控程序與其他控制措施,即時鑑別資安事件的發生、處理順序與解決方法;定期審查ISMS之有效性(建議一學年至少一次),並將相關有顯著影響之活動與事件記錄下來。
-
3
觀察事項14次
A.12.6.1
應及時取得有關針對系統弱點的資訊,並評估該弱點暴露的程度及所造成的可能危機。
-
3
觀察事項14次
A.15.1.1
蒐集相關法律條文(智慧財產權、資料隱私保護及其他相關法規)、管理規定及合約要求,了解與資訊處理設施、軟體系統的關係,並予以書面或其他方式留存。
-
5
觀察事項13次
捌、六
ISMS之維持及改進:施行單位應定期實行改進活動,採取適當的矯正與預防措施,並得到管理階層之同意,並確保各項措施達到預期目標。
-
6
觀察事項11次
捌、三
ISMS之建立:依據該單位之類型、規模、資源、業務性質等特性,定義ISMS之範圍;考慮相關法律、法規以及合約之要求,於適度評估風險及應對措施後,訂出經由管理階層核准之 ISMS 政策,並擬定一份適用性聲明書文件。
-
6
觀察事項11次
捌、四
ISMS之實施與操作:施行單位應確實實施控制措施,以符合控管的目標,並執行訓練與認知計畫,確保偵測安全事件的能力,以及迅速回應和應對處理的時效。
-
6
觀察事項11次
A.7.1.2
資訊資產應進行分級與標示,並考量重要資產的需求,於必要時制定保護措施及處理流程。
-
6
觀察事項11次
A.9.2.4
資訊處理設備應予以適當的維護,確保其持續運作。
-
10
觀察事項10次
A.11.1.4
施行單位應定期審查使用者存取權限。
沒有留言: