華通書坊
詳細資訊
【簡介】 作者網頁 https://sites.google.com/email.nchu.edu.tw/isms-book 章節主題包含: ‧資安長與資安推動組織 ‧核心業務及核心系統 ‧高階風險評鑑方法改良 ‧詳細風險評鑑方法改良 ‧資通系統集中化管理 ‧強化資安認知訓練 ‧委外辦理資通業務 ‧委外資通系統廠商須知 ‧各單位主管的支持 ‧全員日常資安對策 ‧利害關係人與通報管理 ‧資安融入內部控制制度 ‧資安稽核常見問題說明 ‧鑑往知來、預作準備 【目錄】 推薦序 i 1. 資安長與資安推動組織 1-1 1.1 資通安全實地稽核項目第二構面 1-2 1.2 資通安全實地稽核項目第一、三構面 1-19 1.3 讓資安長掌握資通系統盤點之重點概念 1-22 1.4 讓資安長掌握業務持續運作之重點概念 1-28 1.5 讓資安長掌握必要資安防護機制之重點概念 1-44 1.6 讓資安長掌握資安人員配置訓練之重點概念 1-51 1.7 全機關導入ISMS 資安長應掌握重點 1-57 2. 核心業務及核心系統 2-1 2.1 界定機關核心業務 2-2 2.2 從業務角度盤點核心資通系統 2-6 2.3 非核心業務及說明 2-9 3. 高階風險評鑑方法改良 3-1 3.1 高階風險評鑑做法建議 3-2 3.2 依資通系統防護基準執行控制措施 3-5 3.3 程序書修訂參考 3-10 4. 詳細風險評鑑方法改良 4-1 4.1 威脅及弱點評估做法改良 4-2 4.2 識別既存控制措施做法改良 4-21 4.3 程序書修訂參考 4-29 5. 資通系統集中化管理 5-1 5.1 基本安全保障 5-2 5.2 系統本身安全? 5-7 5.3 資通系統集中化管理的推動過程 5-21 5.4 網路維運中心(NOC)及安全維運中心(SOC) 5-26 5.5 網站共構系統或將網站移置外部較安全平臺 5-28 6. 強化資安認知訓練 6-1 6.1 資安通識教育訓練實施方式 6-2 6.2 資安通識教育訓練配套措施 6-8 6.3 辦公室張貼資安宣導海報 6-10 6.4 強化新進人員資安宣導 6-12 6.5 資安專業教育訓練實施對象 6-21 7. 委外辦理資通業務 7-1 7.1 資通系統、資通服務 7-2 7.2 委外考量 7-3 7.3 選任適當受託者 7-10 7.4 監督受託者資通安全維護情形 7-25 7.5 資訊服務採購案之資安檢核事項 7-35 7.6 限制使用危害國家資通安全產品 7-46 7.7 資通安全稽核檢核項目之委外相關構面 7-54 7.8 委外承辦人員落實教育訓練 7-57 7.9 程序書修訂參考 7-60 8. 委外資通系統廠商須知 8-1 8.1 對資通系統防護基準有更多認識 8-2 8.2 資通系統防護基準之存取控制 8-11 8.3 資通系統防護基準之事件日誌與可歸責性 8-18 8.4 資通系統防護基準之營運持續計畫 8-32 8.5 資通系統防護基準之識別與鑑別 8-41 8.6 資通系統防護基準之系統與服務獲得 8-52 8.7 資通系統防護基準之系統與通訊保護 8-75 8.8 資通系統防護基準之系統與資訊完整性 8-79 8.9 資通安全稽核檢核項目相關構面 8-89 8.10 各類資訊(服務)採購之共通性資安基本要求 8-96 9. 各單位主管的支持 9-1 9.1 督導並要求落實資安文件 9-2 9.2 督導並要求落實清查IoT 9-6 9.3 督導並要求落實資安措施 9-8 9.4 督導並要求參與資安教育訓練 9-12 9.5 督導並要求遵循採購規範 9-15 9.6 配合稽核 9-18 9.7 資安的價值 9-19 10. 全員日常資安對策 10-1 10.1 資訊安全管理系統之導入 10-2 10.2 全員日常資安重點 10-4 10.3 全員日常資安-落實資安措施 10-7 10.4 全員日常資安-資安事件通報與社交工程 10-43 10.5 全員日常資安-資安通識教育 10-52 10.6 全員日常資安-IoT 適當管控 10-56 11. 利害關係人與通報管理 11-1 11.1 利害關係人地圖 11-2 11.2 利害關係人關注紀錄與回應處置 11-7 11.3 資通安全事件通報作業規範之考量 11-12 12. 資安融入內部控制制度 12-1 12.1 內部控制及稽核制度實施辦法 12 - 2 12.2 上市上櫃公司資通安全管控指引 12-8 13. 資安稽核常見問題說明 13-1 13.1 Part A:一、核心業務及其重要性 13-2 13.2 Part B:二、資通安全政策及推動組織 13-9 13.3 Part C:三、專責人力及經費配置 13-11 13.4 Part D:四、資通系統盤點及風險評估 13-13 13.5 Part E:五、資通系統或服務委外辦理 13-17 13.6 Part F:六、資通安全維護計畫與實施情形 13-28 13.7 Part G:七、資通安全防護及控制措施 13-33 13.8 Part H:八、資通系統發展及維護安全 13-42 13.9 Part I:九、資通安全事件通報應變 13-45 13.10 請持續關注查檢重點與依據 13-51 14. 鑑往知來、預做準備 14-1 14.1 基於ISO 27001改版調整委外查核表(Part1) 14-2 14.2 基於ISO 27001改版調整委外查核表(Part2) 14-13 14.3 基於ISO 27001改版調整委外查核表(Part3) 14-16 14.4 基於ISO 27001改版調整委外查核表(Part4) 14-22 14.5 基於ISO 27001改版調整委外查核表(完成) 14-28 14.6 基於資通安全實地稽核表改版做準備 14-32 14.7 資安管理工作的投入 14-42
