By: Elaine Posted date: 上午11:56:00 Comments: 0
-
1
次要缺失10次
柒、四、(四)
文件化資訊
1.管理制度文件應包括本規範要求之文件化資訊,及施行機關(構)或學校要求管理制度為達成其有效性之文件化資訊與作業紀錄。
其文件化資訊至少應包含:
(1)決議事項確認其關注方(利害相關團體)與要求事項
(2)管理政策
(3)管理目標
(4)人員勝任之證據
(5)管理制度執行證據
(6)風險處理計畫與風險處理結果
(7)有效性評估證據
(8)管理審查執行之證據
(9)不符合項目及矯正措施
-
2
次要缺失6次
A.12.6.1
技術脆弱性管理
應及時取得關於使用中之資訊系統的技術脆弱性資訊、並應評估組織對此等脆弱性之暴露,且應採取適當措施以因應相關風險。
-
3
次要缺失5次
A.8.1.1
資產清冊
應識別與資訊及資訊處理設施相關聯之資產,並製作及維持此等資產之清冊。
-
4
次要缺失5次
A.9.1.2
對網路及網路服務之存取
應僅提供予使用者存取其已被特定授權使用之網路及網路服務。
-
5
次要缺失5次
A.9.2.5
使用者存取權限之審查
施行單位應定期審查使用者存取權限。
-
6
次要缺失4次
柒、一、(二)
施行單位應依據決議事項確認其利害相關團體與要求事項,並留存文件化紀錄。
-
7
次要缺失4次
A.12.4.4
鐘訊同步
組織或安全領域內所有相關資訊處理系統之鐘訊, 應與單一參考時間源同步。
-
8
次要缺失4次
A.13.1.1
網路控制措施
應實施網路控制措施,維護網路安全。
-
9
次要缺失4次
A.13.1.3
網路之區隔
應區隔各群組之資訊服務、使用者及資訊系統使用的網路。
-
1
觀察事項21次
柒、四、(四)
文件化資訊
1.管理制度文件應包括本規範要求之文件化資訊,及施行機關(構)或學校要求管理制度為達成其有效性之文件化資訊與作業紀錄。
其文件化資訊至少應包含:
(1)決議事項確認其關注方(利害相關團體)與要求事項
(2)管理政策
(3)管理目標
(4)人員勝任之證據
(5)管理制度執行證據
(6)風險處理計畫與風險處理結果
(7)有效性評估證據
(8)管理審查執行之證據
(9)不符合項目及矯正措施
-
2
觀察事項10次
A.18.1.1
適用之法規及契約的要求事項之識別
對每個資訊系統及組織,應明確識別、文件化及保持更新所有相關法律、法令、法規及契約要求事項,以及組織為符合此等要求之作法。
-
3
觀察事項9次
柒、六、(一)
監督、量測、分析及評估
1.施行單位應針對已施行之常態性作業流程或控制措施建立監督機制,如機房管理、網路管理作業審查等。
2.對於本次異動管理目標,以及風險處理措施設定有效性量測指標,並界定明確計算方式與資料來源、量測人員、週期與時間點,以及分析及評估量測結果之人員、週期與時間點。
-
4
觀察事項9次
A.11.2.1
設備安置及保護
應安置並保護設備, 以降低來自環境之威脅及危害造成的風險, 以及未經授權存取之機會。
-
5
觀察事項8次
A.12.1.3
容量管理
各項資源之使用應受監視及調適,並對未來容量要求預作規劃, 以確保所要求之系統效能。
-
6
觀察事項8次
A.12.3.1
資訊備份
應依議定之備份政策, 定期取得資訊、軟體及系統的影像檔備份複本,並測試之。
-
7
觀察事項8次
A.12.4.4
鐘訊同步
組織或安全領域內所有相關資訊處理系統之鐘訊, 應與單一參考時間源同步。
-
8
觀察事項8次
A.12.6.1
技術脆弱性管理
應及時取得關於使用中之資訊系統的技術脆弱性資訊、並應評估組織對此等脆弱性之暴露, 且應採取適當措施以因應相關風險。
-
9
觀察事項4次
A.17.1.1
規劃資訊安全持續
施行單位應決定對其資訊安全之要求事項,以及在不利情況下(例:危機或災難期間),對資訊安全之持續性要求事項。
-
10
觀察事項4次
柒、五、(二)
執行風險評鑑
1.施行單位依規劃期間(至少每年一次)、管理階層指示或發生重大變更後一個月內,應執行風險評鑑,確認管理制度各項風險加以識別,並保存風險評鑑執行紀錄;
2.PIMS施行單位應分析可能造成當事人損失或困擾之個人資訊處理流程,由風險擁有者進行審查;
3.擬定風險處理計畫,並取得風險擁有者對其及剩餘風險之核准。
沒有留言: