要求:
應定義資訊安全政策和特定主題政策,並由管理階層批准、發布、傳達給相關人員及相關利害關係人並使其確認知悉,且按計畫的間隔或在發生重大變更時進行審查。
說明:
此控制措施確保組織中的每個人都了解保護資訊安全的規則。主要政策設定了整體方向,而特定主題政策則涵蓋了細節,如存取權限或備份。它們需要定期更新以配合業務變化、法律法規或新的風險,從而使保護持續有效。
範例:
一家小型零售店制定了一項簡單的政策,規定所有客戶資料必須安全儲存,並且僅能與授權員工共享。他們透過電子郵件將其發送給員工,員工簽署確認,並每年或在資料法變更後進行審查。
答: 政策應按計畫的間隔進行審查,並在發生重大變更時(例如業務策略轉變或出現新威脅)進行審查。
答: 最高管理階層應批准主要政策,而特定主題政策可由具有適當權限的人員批准。
答: 應包含資訊安全的定義、目標、活動原則、對要求的承諾以及處理例外情況的程序。
要求:
應根據組織需求定義和分配資訊安全角色與職責。
說明:
這意味著為安全任務分配明確的工作,例如誰負責保護資料或處理風險。它有助於每個人了解自己在維護安全方面的職責,職責可以委派,但主要負責人仍承擔問責。
範例:
在診所中,經理負責整體資料安全,但將日常備份工作委派給 IT 管理員。如果出現問題,經理仍需為此負責。
答: 職責應分配給能勝任的人員,並且可以委派,但原始的指派者仍保持問責。
答: 角色應被定義、記錄並傳達,包括資產保護和風險接受方面的職責。
答: 他們應獲得支援以建立能力,並持續更新與其角色相關的發展。
要求:
應分離衝突的職責和衝突的責任領域。
說明:
拆分任務,使單一個人無法執行所有可能導致錯誤或欺詐的行為,例如批准和執行同一個變更。在小型組織中,如果無法完全分離,則使用監控等檢查措施。
範例:
在書店中,一名員工訂購書籍,但由另一名員工檢查並付款,防止一個人偽造訂單。
答: 它通過分離衝突的任務來防止欺詐、錯誤或繞過安全控制。
答: 使用補償性控制措施,如監控活動或管理監督。
答: 避免在基於角色的存取控制等系統中將衝突的角色授予同一個人。
要求:
管理階層應要求所有人員根據組織既定的資訊安全政策、特定主題政策和程序來應用資訊安全。
說明:
領導者必須支持安全規則並確保員工遵守,包括簡報角色、提供培訓和資源。這有助於建立一個人人都能安全處理資訊的文化。
範例:
咖啡館老闆培訓員工不要共享客戶電子郵件,並提供安全工具,在審查期間檢查合規性。
答: 透過簡報角色、提供指導方針和確保意識來展示支持。
答: 要求確認知悉政策,並提供報告違規行為的管道。
答: 為實施安全流程和控制提供充足的資源和時間。
要求:
組織應建立並維持與相關主管機關的聯繫。
說明:
了解在發生安全問題時應聯繫誰,例如警察或監管機構。這有助於快速通報事件並持續了解相關法規。
範例:
健身房保存當地警察的聯繫方式,以防發生資料盜竊,並定期檢查健康資料法規。
答: 發生如資料外洩等事件時,以及為了了解當前的期望或法規。
答: 執法機構、監管機構和監督機關。
答: 以支持事件管理、應變計畫並預期法規變化。
要求:
組織應建立並維持與特殊利益團體或其他專業安全論壇和專業協會的聯繫。
說明:
加入團體以獲取安全提示、威脅的早期預警並分享知識。這能使您隨時了解最佳實踐。
範例:
一家麵包店加入了一個小型企業安全論壇,以了解針對線上訂單的新詐騙手法。
答: 增進對最佳實踐的了解、獲得早期預警和專家建議。
答: 特殊利益團體、安全論壇和專業協會。
答: 它們為處理安全事件提供聯絡點。
要求:
應收集和分析與資訊安全威脅相關的資訊,以產生威脅情報。
說明:
收集和研究威脅資訊以早期發現風險。使用高層趨勢或特定攻擊細節等層次,使其具有相關性和可操作性,以預防或減少損害。
範例:
一家輔導服務機構訂閱威脅警報,並在了解到針對教育工作者常見的網路釣魚攻擊後調整電子郵件過濾器。
答: 戰略性(高層次情勢)、戰術性(方法論和工具)和操作性(特定攻擊細節)。
答: 用於通知風險管理、更新控制措施和支持測試流程。
答: 內部和外部來源,經過分析以確定相關性和可操作性。
要求:
應將資訊安全整合到專案管理中。
說明:
從任何專案的一開始就納入安全,評估風險並進行測試。這涵蓋所有專案,不僅是技術專案,以避免漏洞。
範例:
在推出新網站時,花店及早檢查資料保護措施,例如安全的付款表單。
答: 是的,無論專案的類型、規模或複雜性如何,包括非 ICT 專案。
答: 風險評估、要求(如智慧財產權合規性)以及有效性測試。
答: 專案管理,由指導委員會在階段點進行追蹤。
要求:
應制定並維護資訊及其他相關資產的清單,包括所有者。
說明:
列出所有資料及相關項目(如設備),指定所有者,並保持更新。這有助於透過了解所擁有的資產及其負責人來保護資產。
範例:
美髮沙龍列出了客戶記錄、電腦和軟體,所有者負責更新。
答: 資訊、硬體、軟體、設施、人員和記錄。
答: 進行定期審查,並在變更時自動更新。
答: 對其資產進行分類、保護和管理風險。
要求:
應識別、記錄和實施資訊及其他相關資產的可接受使用規則和處理程序。
說明:
制定關於如何安全使用資料和工具的明確規則,例如不共享機密。傳達這些規則以防止誤用。
範例:
咖啡店的政策規定員工不能將客戶列表寄回家,並且他們簽署同意。
答: 所有人員及存取資產的外部使用者。
答: 存取限制、複製、儲存和處置。
答: 識別並控制使用,例如透過協議。
要求:
人員及其他適當的利害關係人應在僱傭、合約或協議變更或終止時,歸還其持有的所有組織資產。
說明:
當有人離職時,取回所有公司物品,如手機或資料。這可防止資訊隨他們離開。
範例:
一名離職的技師歸還了帶有客戶資訊的商店平板電腦,並撤銷了存取權。
答: 傳輸相關資訊並從裝置上安全刪除。
答: 將重要知識記錄並轉移給組織。
答: 裝置、儲存媒體、驗證物品和實體副本。
要求:
應根據組織的資訊安全需求,基於機密性、完整性、可用性及相關利害關係人的要求,對資訊進行分類。
說明:
根據重要性標記資料,例如敏感資訊標記為「機密」。所有者決定級別,並隨時間審查,以應用適當的保護。
範例:
獸醫將寵物主人詳細資料歸類為機密,以限制存取。
答: 機密性、完整性、可用性和法律要求。
答: 資訊資產的所有者。
答: 定期審查,並在價值或敏感性發生變化時進行。
要求:
應根據組織採用的資訊分類方案,制定和實施一套適當的資訊標示程序。
說明:
添加標籤,如頁首或元資料,以顯示分類。這有助於正確處理資料,即使是數位資料。
範例:
帶有客戶資訊的電子郵件會加上「機密」頁尾,以提醒收件者。
答: 對於非機密資訊,以減少工作量。
答: 實體標籤、頁首、元資料或浮水印。
答: 元資料使系統能夠根據標籤做出決策。
要求:
應為組織內部以及組織與其他方之間的所有類型的傳輸設施,制定資訊傳輸規則、程序或協議。
說明:
制定安全傳送資訊的規則,例如電子郵件加密或使用安全快遞。涵蓋電子、實體和口頭傳輸,以避免洩漏。
範例:
律師事務所使用加密檔案傳送給合作夥伴的客戶文件。
答: 電子傳輸、實體媒體和口頭通訊。
答: 使用可靠的快遞和防拆封包裝。
要求:
應根據業務和資訊安全要求,建立並實施控制對資訊及其他相關資產的實體和邏輯存取規則。
說明:
根據「需知」等需求定義誰可以存取什麼。使用政策來防止未經授權的進入。
範例:
圖書館限制員工對讀者記錄的存取,使用登入帳號。
答: 需知和需用原則。
答: 與分類和職責分離保持一致地定義。
答: 強制性、自主性、基於角色或基於屬性的存取控制。
要求:
應管理身分的完整生命週期。
說明:
處理使用者 ID,從建立到刪除,確保唯一性並及時移除。這與存取權限相關。
範例:
學校為教師建立唯一的登入帳號,並在離職時刪除。
答: 為了追究個人責任;僅在必要時並經批准後使用。
答: 確保其符合信任等級並管理風險。
答: 身分使用和管理中的重要事件。
要求:
驗證資訊的分配和管理應透過管理流程進行控制,包括建議人員適當處理驗證資訊。
說明:
安全地管理密碼或金鑰,例如強制變更和使用強密碼。建議使用者不要共享。
範例:
銀行要求新員工變更臨時密碼並使用複雜密碼。
答: 使其唯一、不可猜測,並要求首次使用時變更。
答: 最小長度、字母數字組合、無字典字詞。
答: 以實施強密碼並防止重複使用。
要求:
應根據組織關於存取控制的特定主題政策和規則,對資訊及其他相關資產的存取權限進行配置、審查、修改和移除。
說明:
根據角色給予、檢查和移除存取權限。定期審查,特別是在工作終止等變更時。
範例:
當商店員工離職時,其銷售點(POS)存取權限立即被撤銷。
答: 獲得所有者批准並與政策保持一致。
答: 定期審查,或在角色變更或終止時進行。
答: 根據風險因素(如離職原因)審查和撤銷權限。
要求:
應定義和實施流程和程序,以管理與使用供應商產品或服務相關的資訊安全風險。
說明:
評估和控制來自供應商的風險,例如評估其安全狀況和監控合規性。
範例:
診所在購買軟體供應商的產品前檢查其資料保護措施。
答: ICT、物流、公用事業以及任何影響安全的供應商。
答: 使用市場分析、參考資料或認證。
答: 減輕問題或共同處理事件。
要求:
應根據供應商關係的類型,與每個供應商建立並同意相關的資訊安全要求。
說明:
在合約中包含安全條款,例如資料處理和稽核權,以確保保護。
範例:
一家餐飲公司在供應商合約中為食譜添加保密條款。
答: 資訊存取、分類和事件管理。
答: 要求分包商承擔相同的義務。
答: 包含資產歸還和持續保密性的條款。
要求:
應定義和實施流程和程序,以管理與 ICT 產品和服務供應鏈相關的資訊安全風險。
說明:
將安全擴展到技術供應商,例如檢查組件中的漏洞。
範例:
一家科技公司驗證供應商軟體是否帶有惡意軟體。
答: 要求供應商將實踐應用於其分包供應商。
答: 組件、漏洞和正常運作。
答: 透過替代供應商管理淘汰風險。
要求:
組織應定期監控、審查、評估和管理供應商資訊安全實踐和服務交付的變更。
說明:
追蹤供應商績效,審查報告並處理變更,以保持安全性的一致性。
範例:
酒店每季審查其清潔服務的資料處理情況。
答: 增強功能、新技術或分包供應商的變更。
答: 使用稽核、服務報告和獨立審查。
答: 採取適當行動加以解決。
要求:
應根據組織的資訊安全要求,建立雲端服務的獲取、使用、管理和退出的流程。
說明:
在規劃雲端使用時考慮安全性,例如關於資料位置的協議和退出策略。
範例:
一家新創公司確保其雲端供應商加密資料並允許輕鬆匯出。
答: 要求、角色以及各方管理的控制措施。
答: 審查協議並監控能力。
答: 在協議中規劃交接和資料歸還。
要求:
組織應透過定義、建立和傳達資訊安全事件管理流程、角色和職責,來規劃和準備管理資訊安全事件。
說明:
制定一個包含事件處理角色的計畫,包括報告和回應步驟。
範例:
藥局有一個計畫:員工向 IT 部門報告可疑電子郵件,由 IT 進行調查。
答: 用於檢測、分析和回應的能勝任人員。
答: 報告、評估、回應和記錄。
答: 與管理階層就優先事項(如解決時間)達成一致。
要求:
組織應評估資訊安全事件,並決定是否將其歸類為資訊安全事件。
說明:
根據標準評估事件以分類為事件,記錄詳細資訊以供審查。
範例:
商店將奇怪的登入評估為事件(如果是未經授權的)。
答: 商定的後果和優先順序標準。
答: 聯絡人或指定團隊。
答: 供將來參考和驗證。
要求:
應根據文件化程序對資訊安全事件做出回應。
說明:
遵循步驟,如控制、收集證據和事件期間的溝通。
範例:
在病毒事件期間,辦公室隔離受感染的電腦並通知員工。
答: 控制、證據收集和升級。
答: 能勝任的指定團隊。
答: 關閉事件、分析根本原因並記錄活動。
要求:
從資訊安全事件中獲得的知識應用於加強和改進資訊安全控制措施。
說明:
分析事件以發現模式,並更新計畫或培訓以防止重複發生。
範例:
在發生網路釣魚詐騙後,團隊增加了電子郵件培訓以避免未來發生。
答: 類型、數量和成本。
答: 更新風險評估和控制措施。
答: 在培訓中提供範例以避免類似問題。
要求:
組織應建立和實施與資訊安全事件相關的證據識別、收集、獲取和保存程序。
說明:
正確收集證據以供法律或內部使用,確保其未被篡改。
範例:
在資料外洩事件中,公司記錄所有操作而不更改檔案。
答: 為了確保在法律或紀律程序中的可接納性。
答: 不同的媒體類型和裝置狀態。
答: 確保有權跨司法管轄區收集。
要求:
組織應規劃如何在中斷期間將資訊安全維持在適當水準。
說明:
為停電等危機做好準備,制定計畫以保持資料安全並恢復。
範例:
銀行備有備用發電機和暴風雨期間的遠端存取。
答: 持續性計畫和危機管理中的安全性。
答: 透過演練和模擬。
答: 為維護安全定義的職責。
要求:
應根據業務持續性目標和持續性要求,對 ICT 就緒狀態進行規劃、實施、維護和測試。
說明:
確保技術系統能夠持續或快速恢復以支持業務。
範例:
快遞服務每週測試訂單資料的雲端備份。
答: 與業務持續性目標和風險評估保持一致。
答: 恢復程序和故障轉移能力。
答: 定期審查,並在變更後進行。
要求:
應識別、記錄並保持最新與資訊安全相關的法律、法規和合約要求及組織滿足這些要求的方法。
說明:
列出並遵循所有關於安全的法律和合約,並在需要時更新。
範例:
美國健康診所追蹤 HIPAA 規則以處理患者資料。
答: 與安全相關的法律、法規和合約要求。
答: 明確列出並附上組織的方法。
答: 為識別和合規性定義的角色。
要求:
組織應實施適當的程序以保護智慧財產權。
說明:
使用授權軟體,並透過版權或商標保護創作。
範例:
設計師註冊商標並檢查未授權圖片。
答: 維護許可證和所有權記錄。
答: 獲取、使用和監控侵權行為。
答: 關於工作創造的智慧財產權所有權的協議。
要求:
記錄應受到保護,免於遺失、毀壞、偽造、未經授權的存取和未經授權的發布。
說明:
安全地儲存重要文件,遵循關於保留的法律規定。
範例:
會計師將財務記錄備份在鎖定的檔案櫃中。
答: 根據分類進行分類、標示和處理。
答: 基於法律和業務要求。
答: 在不再需要時安全地處置。
要求:
組織應根據適用的法律法規和合約要求,識別並滿足關於隱私保護和 PII 保護的要求。
說明:
遵循如 GDPR 等隱私法律,評估個人資料的風險。
範例:
線上商店獲取使用客戶電子郵件的同意。
答: 來自法律、合約和風險評估。
答: 定義控制者和處理者。
答: 透過隱私影響評估。
要求:
組織管理資訊安全的方法及其實施應按計畫的間隔或在發生重大變更時進行獨立審查。
說明:
進行外部稽核以檢查安全有效性。
範例:
公司每年聘請專家審查其防火牆。
答: 一般每年一次或在變更後進行。
答: 獨立的能勝任人員。
答: 政策、控制措施和合規性。
要求:
應定期審查對組織資訊安全政策、特定主題政策、規則和標準的符合性。
說明:
檢查是否每個人都遵守規則,使用稽核或工具。
範例:
公司每月掃描政策違規情況。
答: 能勝任的人員或自動化工具。
答: 透過矯正措施處理。
答: 保留發現和行動的記錄。
要求:
資訊處理設施的操作程序應被文件化,並提供給需要的人員。
說明:
為任務撰寫清晰的步驟,並在需要時更新,以確保一致性。
範例:
倉庫有安全使用庫存軟體的指南。
答: 為了確保一致性並獨立於個人。
答: 需要它們的人員,並保持最新。
答: 在變更時審查和更新。
