top of page
Proficiency, Efficiency and Essence
2nd Floor, No. 40, Dexing West Road, Shilin District, Taipei City
+889-2-6604-3528
Search
Nov 16, 2024
Deconstructing Information Security Standards: NIST CSF
網路安全架構(Cybersecurity Framework, CSF)是由美國國家標準暨技術研究院(NIST)所提出的一套資訊安全指南(而非檢查表),有5大要素:識別Identify、防護Protect、檢測Detect、應變Response、復原Recove...
Oct 11, 2022
Information Security series─Social Engineering
ISO27001:2022的新增控制項「網頁安全防護 (Web filtering)」,特別要求管理對外部網站的存取,以減少對惡意內容的接觸,具體建議阻擋具資訊上傳功能的網站、封鎖已知或可疑的惡意網站、禁止存取具備命令與控制能力的伺服器、嚴禁分享非法資訊的網站等。這些要求若能貫徹
Oct 11, 2022
ISO27001:2022─Threat intelligence
ISO27001:2013原先要求組織應關注影響資訊安全管理系統的外部議題、與關注方保持聯繫,以及資安事故之學習。 ISO27001:2022新控制項5.7威脅情報(Threat intelligence)完整引進情報學(Intelligence studies)概念「蒐集-分析
Oct 11, 2022
ISO27001:2022─Data leakage prevention
舊版ISO27001:2013中,針對防堵資料外流的要求分散在多個控制項,包括A.13.1.1網路控制措施、A.13.1.3網路之區隔、A.13.2.3電子傳訊、A.8.3.1可移除式媒體的管理等。這次改版中,ISO27001:2022的新控制項8.12資料外洩防範(Data l
Oct 11, 2022
ISO27001:2022─Monitoring activities
新版ISO27001:2022中的活動監控(Monitoring activities)目的主要在於偵測異常行為和潛在的資訊安全事件,透過在網路流量中找到異常的癥候,以達到持續性的防護作為,採取適當的應對措施。具體執行方式可運用先前提到過的威脅情報蒐集與運用循環機制、以機器學習或
Oct 11, 2022
ISO27001:2022─Data masking
新版ISO27001:2022中的A.8.11資料遮罩(Data masking)要求組織依據法規、業務及不同主題的需要來執行資料遮罩,避免個資等敏感資料曝光;相較於2013年版本,對於敏感資料掩蔽的要求更加具體,更加強調法遵合規的精神,且不難看到GDPR、CCPA的影響力。
Oct 11, 2022
ISO27001:2022─ICT readiness for business continuity
新版ISO27001:2022新控制項A.5.30營運持續之資通訊準備(ICT readiness for business continuity)即導入ISO27031的內容,希望組織在進行營運衝擊分析時,將ICT回復服務所需的RTO及步驟納入考量,確保ICT可用性。我們直接舉
Oct 8, 2022
ISO27001:2022─Information deletion
新版ISO27001:2022的A.8.10資訊刪除 (Information deletion)焦點放在應刪除不必要的資料,以免敏感資料外洩;未來組織/企業必須在刪除方法、資訊刪除的證據留存、法遵合規三大面向符合新要求;在合規面《個資法》、ISO27701:2019可以直接對應
Oct 8, 2022
ISO27001:2022─Information security for use of cloud services
新版ISO27001:2022的A5.23 雲端服務與資訊安全(Information security for use of cloud services)要求建立獲取、使用、管理和退出雲端服務的流程。使用雲端服務的ISO27001用戶,最關心的應該就是針對合約是否有新要求?
Oct 8, 2022
ISO27001:2022─Physical security monitoring
新版ISO27001:2022的A.7.4實體安全監控(Physical security monitoring)強調應主動監控營運場所是否存在未經授權的實體進出,具體作為包括安裝影像監視器、安裝&測試警報、對外門窗加裝警報。
Oct 8, 2022
ISO27001:2022─Secure coding
新版ISO27001:2022的A.8.28程式開發安全(Secure coding)要求組織建立流程,針對軟體開發的前、中、後三階段提出最低安全準則,目的是要盡可能的減少資訊安全漏洞。適時結合A.8.16活動監控(Monitoring activities)
Oct 6, 2022
ISO27001:2022─Configuration management
Password length, password complexity, mandatory password change cycle for software and hardware service login, use of 2-layer or 3-layer AES
Oct 6, 2022
ISO27001:2022-Web filtering
A.8.23 Web filtering of the new version of ISO27001:2022 requires organizations to manage access to external websites. The main purpose is t
bottom of page