JL︳ L

中 ▋
∩

— —

lnhrma山 onSecu山 tyManagementSystem

︳
〔SO2了 00可 ∟eadAud:torCourse︳

資訊 安 全 管理 系統
︳ ︳
S。 ′EC2了 00η :2022
主 導稽 核 師課 程

Apr▓ 2耳 ∼砭8,2023
NS︳ T

O一 環 奧 國際 驗證 有 限公 司 TC︳ C∟ 下D▅
TE∟ :(02)2726-0262 FAX:(02)2726-0663
Ernai比 office@rnai︳ .tcic9roup＿ corn
 爬 颱 服 爬 癱 聯 旞颱 紉

蘆乩嗧珮
∩ SMS∟ eadAud︳ torCoUrseAgenda
︳
資訊安全 管理 系統 主車稽核 師課程大綱
｛S。 ′
︳ Ec2了 ●●可:2022｝
︳

時間 09=00 ∼ 可8:00

AⅢ ｝
PⅢ AⅢ PⅢ
Modu︳ e-0
▓ 講 師 及 學 員介 紹
▓ 課 程介 紹 Ⅲodu︳ e-2 ︳
S。 2了 00η ′
︳So27002標 準
▅ 國際 認驗證 機構 體 制 簡介
▓ ︳ S○ 27000系 列標 準 之歷 史及 發展
█ ︳ SO2700η 管理 系統介 紹
第一天
Module一 可 資通安 全概 述
▊ 資通安 全 與 資通安 全 管理 法
錶習A
▓ 資訊 安全與風 險概 述
▉ 資訊 安全 管理

Ⅲodu︳ e-2︳ S。 2了 00們 So2了 002標 準｛

故) Ⅲodu︳ e-2︳ So2了 00ㄇ 用S° 27002採 準｛
錢｝
▓ ︳ So2700η 管理 系統 介 紹 ▅ ｜ SO2700η /27002控 制措 施 介 紹
第二天 ▓ ︳ SO2700︴ /27002控 制措 施 介 紹
B
) 球習

Modu︳ e＿ 2︳ So2700們 So2了 002標 準 ｛

故｝
Modu︳ e-2︳ So2了 00η 用So2了 002標 準 ｛
故〕
SO2700η
▓ ︳ /27002控 帝ll措 施 介 紹
▓ ︳SO2700η /27002控 帝︳措 施 介 紹
練習C
第三天
Modu︳ e-3資 安標準 Add． On

測驗 方式說 明
le﹏ 管理 系統程核 錶 習 Dl故 〕
▓ 稽核 要 素
▌ 稽核原 則 Ⅲodu︳ e﹏ 管理 系統褚核 ｛
故〕
第四天 ▓ 管理 稽核 方 案 ▊ 稽核 員之 適任性與評 估
AF
▓ 管理 系統驗證機構 認證 規範及 ｜
球習 D 強制文件
Modu︳ e-5豬 核規」與執行
▄ 稽核規畫! 錶習 F
█ 執行稽核
第五天 ▓ 訪談技巧 課 程 回預
一
O ▊ 稽核 結論 與報告
幽
練習 E
 講 師介 紹 一Dav心 Wu吳 家麒 靈珮 靂
睜

— —

鍋難鑰谽 蟣 坲鏺 鉿鑞 ㄍ
ˊ 環 奧 國際驗 證 有 限公 司下C︳ C└下D.

品 質經理 /主 導稽 核 師/講 師/評 鑑 員 Canada

ˊ 國立 中正 大 學 資訊 工 程研 究所 博 士

錛黰 齡
ˊ 國防大學管理 學 院 資管 系兼任助 理 教授

h坲
邏郎
ˊ 國防部通 次 室資通安 全 處 副處長

籤︴紛籩 鋪坤玫群 軍出齡路餵符 #銳

ˊ 行 政 院聘任 部 會 資安稽核 委 員

ˊ 駭 客技術 專 家認證 C巨 H證 照

ˊ 資安 鑑識調 查 專 家認證 CHF︳ 證 照

h甚
ˊ

存野 〡 盼瑯
C︳ SCert而 ed︳ SM/︳ SACertricate
ˊ CMMCFOundation/CCPCourseCe㏄ cate

餓盯 帥
i｝

◎ by下 C︳ C

學 員介 紹
齡驤 齡妢 磯 紛錘◇餓
． YourName你 的 姓 名

． YOurOrgan眨 ahon 你 任 職 單位 傳戶門(如 不方便可不透露)

h佛
錘娣 小

． YOurJObFunc∥ on 你 的 主要 工 作
鋪謹一
飪︴幼謹 奶一時。琳笛描何 4每 翠幼 城母¢才 發 幼怖

．YOur know︳ edgeabout｜ nforrnationSecur︳ ty

你對 資訊 安全 的瞭解

． Whyareyouhere你 為什麼 來 這裡

． Whatdoyouexpect你 有什麼期 望
¢卜

◎ byTC︳ C s︳ ide2
 齡黦鑰鐪 鑴 鑈籩谽鐖 竹
∩

MOdu︳ e-0

鑰籛鐒 、
翰靃螂
錢外協籛塕坤笑概 寧泓
國際認驗證機構體制 簡介

擺侈錶舞 拂 航愛潀 〡♁螂

鐒外
◎ TC︳ C
Modu︳ eOS︳ ︳
deπ

)
★
國際認證機構 體制 關係圖 十

蛋蟲‘
β
— —

銹鑫鐪鎀 鐖 鋒籦妙鑞 ︴

M∟ A
銙籦鐕 一

′
′
′ ˋ ˋ
塕皺妳

′ ˊ ˋ
′
籤一

、
認證機構 lAB) 認證機構lAB)
琇籩銹坤欺餵 華繼學鐙肆鐒 磁登娌↙女 鎗的

｛UKAS一 其日｝ ｛SCC-加 兮大｝

U
M∟ A:Mㄩ Ⅲlatera｜ RecognⅢ onArΓangem㎝ t多 邊相 互 承認協議 ↙
AB Accredi七ation 鎯
紛外

CB 螄
◎ 了C︳ C
Modu｜ eOs︳ ide2
 ★ RecogniHonArΓ angement
A/l∟ A:Mu比 i︳ atera︳ 中 碑

β拓 r已
多邊相 互承 認 協議 — —

鋪飄 銹鈔 錔 齡難鍛鏹 鐱簼 鋊
Accred比 a七 ︳ 懋證 找 構 〕andReg︳ ona︳ Accred︳ tat︳ on
onB○ dy｛ 常
GroupⅢ embe伶 了︳ AFareadm︳ 仕edt。 the︳ AFⅢ ∟Aon︳ y
aλ eraS七 ng enteva︳ uat︳ on o了 the︳ r opera七 :。 nSbyaPeer
r︳
。
on
eVa︳ ua七 ︳ Wh:ch︳ Scharged七 oenSuretha七
yw :thboth︳ n七erna七 ︳ona︳

外
theapp︳ ︳ can七 comP︳ ︳esfu︳ ︳
standardsand︳ AFrequ︳ remen七 S█

A鏘
靆螂
籤外
The︳ AFⅢ ∟AconS︳ S*δ o了 af:Ve︳ eVe︳ arrangemeη 七
,W︳ th

塕籬 皒姊銥冷貼寧羅 雀燼濴 姆 磁李撥跡 ‘ 妢榔

︳eVe︳ s2and3const比 ut︳ ng︳ηa︳ nscoPeSand︳ eve︳ s#and5
ngsub一 scopeS■
const︳ tu七 ︳
AFⅢ ∟A由 五級排 列組成 ,其 中生銓狂且盟遘盛主要 範田
︳ ,再

師 固。

幼粹
af.nu′ en/abΘ u老 〢
Sou「 ce:h故 ps:〃 子 ia一 rn｜ a′
◎ 下C︳ C Modu｜ eOS︳ ide3

★
M∟ A:A/lu比 i︳ atera︳ Recogn比 ionArΓ angement
多邊 相 互 承 認 協議

螉籦 鈐鉿 鱷 鋪簼 盼籛 協黤 鐪 拂攤 林
ScoPeS
Currenuythe「 eare∥ ver︳ ╮ainScopeSfOΓ the︳ AF叩 ∟A:
ManagerΥ ╮ entSysternSCer心 fication,PΓoductCe㏄ ︳
ficatiOn,
Certification o了 PerSons,GΓ eenhouSeGasVa︳ idationand
︻

VeΓ ification,andVa︳ ︳dat︳ onandVeri了 ︳

cation＿
↑

︳AF︳ Ⅵ∟A∟ eVe︳ η｛end° sednoΓ ︳ηat︳ vedocⅡ ment了or

「
皺、

Accred:ta小 onBod:eS)
鈐錢 鐒︴兢每啦孥盡 學藍罐碑

︳AFM∟ A∟ eVe︳ 2｛ ma︳ nscoPew:t㏑ LeVe︳ 3〕

︳AFⅢ ∟ALeVe︳ 3｛ ︳ma︳ nscoPew︳ th∟ eve︳ 2〕
AFⅢ ∟A∟ eVe︳ 再 ｛∟eVe︳
︳ #sub一 ScoPe〕
AFⅢ L︵ LeVe︳ 5｛ Leve︳ 5sub一 scoPe〕
︳
#舞
玲趶 在 谽坤
φ打 錐

◎ TC︳ C Modu︳ eOs︳ ide碎

 ★ㄒAF已 簽署 的 M∟ A:Mu比 ateΓa︳ RecO9n比 ion i｜

Arrangernent多 邊相 互 承 認 協 議
cv0本 -3
世時
ψ比口
研 ”加 ;劾 俗
°乃ε 心
﹏。

錢舞 翂鎊 鎔 狒籛 繚攤 無
So→ o

奲
P了 °d小 C七 C● 出洐coho﹉
中
﹉
:岱 ┤ 90a餉 s)一 ●●﹉
一﹏‵ ●
s。

一一
65一 ●中 ● ﹉
掩 才gc▼ °
: :軂
一
。 一
一
一
︳/︳ct7° 公一
s° ε 乏 ﹉°令 心〔念°g才 ﹉
。 一
一
:
忌 d。 b㎡ c︿ ∴ fAGene心
一 Re9研 G的 nS 一 一
一一
鑰
…
學∮｛
的法° 中十﹏●

紛籛 銘 站
一一 a(ξ Ms｝
: ;”
:雜 l。 bdε 紅 Ⅲ C比 CS﹉ ﹏
。

一 一駹
一 C6
一 聯

銹籛 螂
2了
。
巒 坐啊 型 ㄓ 雙 愛 型 媐 延 ﹏一 ﹏ 一

兟
一 ︳〔SM9
特°ㄥ跎 2矜 ° S; ﹉
2子 °ct2° 了
∵
色 ﹉ ” t研 再老
一 ﹏一 ce 由 6on研 P針 S° n甘
﹉

¢tS220° 3— ﹏竹 俗°6° σ
°3一 ● 協 中 外

鰳 時 ;篱 ﹏←﹉
一 一 :媲 冷 ′昭CVO〞 本
一

∵。 ﹉ …← 硬
i﹏ 冷°佐 °
C什 s胡 ㄐ 時°5° 6a竹 nM盼 ﹉ 一
婚 。 十外 : :醫 ﹉ 一

鰳﹉
一 vd心 °
hu﹏ d於 曲 °
∞小n一 ﹉●竹
—
——
— d本

﹏齲 時 °
雊c件 σ出┤
@一 “ 一
; — 縐俗
°Ⅵ°
6S﹉ ﹏ ﹉
一一 一
— ——
— ∴ 菸 V鹽

一
坽 ° 6S° 銷 片 琳 Mφ

∴
才′
∞

一 鰳℃ 。 — 踴時 °6° 6中 a§ °
u。 § ︻●﹉
:

—
—
A㏄ R$Aε tMVa、 s一
一 一
陀 A° C。 又餅 ASARPSAnm令 〤榕 V° ｛
‘Ⅳ ﹉
: : 盤 ﹎ ﹏ ﹉

一 一
一一一一
一
◎ TC!C SOurce:找 睽p$:〃 子
硪｜ en/子hem妞 eξ …
.n吐 ′ 妞e走 撥子
乎S′ ?Fnember —— =98
=碪 Modu︳ eOS︳ de5
︳
一
一 一一

★
︳AFCe㏄ Search一 theg︳ oba｜ databasefoΓ
accreditedcertif︳ cations.

紉
Ce比蹄 ed◆ n推 γA㏄ 兮 年兮 !Ⅱ v單 r兮
! =yWh兮
一 一
一一 一一 一 一
一一

USerSC宙 nV含 〦
︳d巷出 ε°↙
七子#ca七 ｜
°再｛
g｝

t° n$d守 賦 ty又 再°﹌′

｜#琺 〔h兮 :
一

t;希 ㄈ
嶺 CΘ ↙ 斑官
o府 ;SVδ 七
︳d

學 cert琦 ㄈ各t官 b外 B。 dV時 Aㄍ 聽¢踉全

爸

合H° 松g。 dyi含 ︴

鋒 杰εC′ 守必七 A一 4L我 S:gn含 t。 ry
、

Source:h發 紗$:ㄥ /斌僻研好.i絨 fC♁ r者 $e份 rCh‘ °安

q↙ 鎀
師
◎ 了C︳ C
Modu︳ eOs｜ ide6
 ★
認驗證 機構 體制 關係 圖 好瓶 舜瓶
﹏ 何

— —

鋪黤 鐑餘 磻 僯簸繚鐓 ︴
鰗蠲
!螂
｜
姍
路
日 ¢輯ⅡHβ 加瑯 印 研
w#▲ g l︴
!〝 ulm〔

冢簃
Soη 70η ︴
︳

銹黮 錛
So︴ 702η -可
︳ ︳SOη 7020

*鰳
SO27006 G oVern \ ︳SOη 7025

黤螂
｜ / Govern GOVern、

籤外
AFMD /
｜ SOη 702碎
｜ \︳ SOη 5η 89

塕籛 鐒郎磁玲妳華羅 琌餘幾 鍋 磁華跨野 堆 盼瑯

人員 能力

驗證 機構 試驗 機構

SO2了 00︴
︳ S七 d-A SOη 5李 08
〡

PeΓ Sonne︳ Pr0duct

鐒擗
准t〞多
◎ 丁C︳ C Modu︳ eOs︳ ︳
de了

★︳
SOη 70﹁ ηConforrnityaSSessrnent一 Requ︳ rementsfor
a㏄ red怕 uonbod眙 S符 合 性 評 鑑 一 認 證 機 構 要 求事項
中 ㄔ

π找 ′臨
— —

鐱篷鑈谽 鑼 嬋籮鈐鑼

了蔆 b記 多
/︳ E〔 在了
0上 1工 201了 ↑
#嫋
激銵 小

n竹 rm︳ 打
色′ assessmε n七 一 R兮 quiKments 竹 了
銹犨坤

a仁 Cmd︳ 之at比 nbO由 兮Saε 〔路 d比 :ng〔 om比 rm:好 asses$m§ nt

敏︻

h° d:兮 §
鋊籦齡好羧餵 竿碼學錄鑽研

BUY了 H︳ BS了AⅢ DARD

冷 R站 A了 Ⅶ 6UA§ ε
ABS了 眼 了 P廷Ⅵ即
ε“鉀 s出 ︶
、
║

〡 ε〔工7° 在十 2° 仁7SpeC而 兮S了 equ｜ 確m台 ntSr° rtheco的 pgtence,consi§ 任 nt

∫o′ ︳
一

系耗 ﹌
一
鍋 就轟玲才︴ 紛外

oPqmtjonand︳ mPa心 a︴ i中 °facε 昤d:m哲 °Πb° 由心百aSSegS妳 gan心 宙CC跨 d︴ t;n吝 科氏PE叉 王再呂︴
︴
C● 何拓 mn︳ ” 日§SeSε mentbod:● S.
?DF 命η ﹀
駐妘§安工
φ卅

ps :〃 Ⅵu玠 Ⅳ SO.orar
SOuΓ ce:h七 甘 .︳

◎ 下C︳ C Modu︳ eOS︳ ide8

 十︳S0可 702︴ 一ηConform︳ tyasseSsrnent一 Requirer【┐ entsforbodies
prov｜ din9auditandceΓ fica七 ion o了 management systems-Pa㏄ ︴
t︳
吵

鐸藏g靂
:

RequiΓ ements符 合性 評 鑑 一 理 認證 規 範
— —

匡毯籩7$窆 優“
′選 籧球建燄毯喜
敬路乳ξ 踉子在
ya$$兮 $$路 兮 踓t-跟 e哦 蟲照:r敢 兮現在 $智bξ 路各堪:母 $
出gatd比 發出dC兮 坡 吝
牟ξ$¥ :在 怪 雜它發球 ♁出 6ξ 維 樓雄在主eme出 在
p出 雄 俊｜R兮 q在 :銓 meA在 $
報 名若告m$一 管理 系統驗 證 機 構
認 證 規 錢
(｜ s。 ′
｜ ｛
Ec｛ 7° 2︴ 一:2° ︴
S)

驟
ABS了舐 了 PRβⅥ甜

So′ 〡
｜ 在:2$在 5C° n它 a9再 Spr｜ nc:p｛ csandrequ打 e;再 en〔 §竹 r在 ㄦeε °盻 Pete｛ !ce!
EC芒 了02它 一
emε yd∥ 心｜
ε°出S;辛 在 ｜…p患 比;a︴ :竹 ° b° d;esp聆 V:d子 ngδ uε i〔 §日dㄈ e朮 ;再 ca七 ︴
σ﹏ 白︴tγ Pes
「 。「

公︿
去 年 ＿︷ ＿
a舟 吝gem台 ntε yste竹 S.

通
韜
田 苓
法 氏

人
全

宙
掰 中
o了︳〡
｝

O
一 今

六
無

一
房
◎ 下C︳ C SouΓ ce:乩 投p$:/′
-.子 $o﹏ org′ Modu︳ eOS｜ ide9

十
︳SO27006︳ n了oΓ ︳
ηa七 ion七 echno︳ ogy— Securitytechniques—
—
—
RequiΓ ementSforbOdieSprovidingaud︳ tandceλ ifica七 ion ofinforrnat;on
yrnanagemeΠ tsys七 emS
Secu一 七

$6′ 距q＿
扛 及縱B蛋 工
乏$逸 三′
︴ 產♁珪♁
︳ n拓 路 路 在 ｜ 6﹏ 走 念 ε 拓 n6笨 o廷 $e〔 牡 r｜ n｜ ques一
一
〃 #tec抾

懸 造 壘 型 興 路 扭 拓 r鈺64:兮 Sp符 吼 d:且 ga狂 di在 &n在

無仁呂在on o孔 n免 rm放 ｜
te娃 工 ●及〦兮q出 外寸咿 歿 a女 出巨井 m兮 m崔
印 $推 竹S一 Am兮 n4出 兮出在1
責訊安全管理 系統
驗證機樓認證親銘
C2充 °6£ ●竹
(子S° Ⅲε ′
加 研 :2｛9幻 )
D
三

§ⅡkE︳VtL:比 路 R朋 Λ可OH$ PR日㏄Ⅳ

εd
且 巨t#§ ︳° Pub｜ is︳ 〕 P甘 $〔 :ε ︳
#oⅡ 心a｛ ;2626一 ◇〕
娥 ﹏ ‵ 一
容卡兮我
一
εd︳ t:oΠ :全 止↓“je了 °fp§ 各茁 :2

紛
紛
抔
◎ 下C︳ C Sou「ce:&故 ps:〃 瑀們hut=SO.org/ de︴ 0
Modu｜ eOS｜ ｜
 ★
︳AFDocuments一 〝/landatoryDocurnentS
強制 文 件 β蟲 β
—
— —

彿籛 銹◇ 皭 錛靆 谽嬓 鋤簸 鑈 銹羻 螂
Commu㎡ ㄐ唾 ← P的 的 研 l° n。 !Ⅸ 比 u油 的 心

°田↓β吋〢W筋 轉 竹 坤 功外 破 ” 碎 往 ;° $﹏ *扑 研 Ⅵ
一

外 ︴
拓 ︴
所 盹 um魚 n竹 (PtS田 曲 : M虫 戈 恃UⅢ n琦 仙 上Se油 奇

執乎╟︶l一 橄 洽ㄗ研 → 故 扣 〔加 故 ㏕ 嗨 仰 研 冷#”

數 鏻灘 儉姊欽 拼 寧 琦
牌 由
、

密名

年
㏄出血 跡 廿 d妳 t祥 出 戠 盻 神 ◆↓由 ‵¢n‵ 出收 ‵ 執 竹 鉀 取 出 a:ㄍ ㄚ︴φ 掰 放出 9盜 ” 竹 結什扣 兮 “球 ｛
持 何Ⅵ 與 喲 u站
。 。

分必方 岫 ε球咚φφ聊 m° 無兮ㄘ ︴

胖π孖
緋
點

ˊ 掰mdσ 小
●Ψσ q雄 ω
㏄um切竹仙°§ Pr㏄ ●
●u竹 °㏄“
加en竹 m咚 gπ e♁

姼谽餒轟 姆 航苦撥邪 在 盼 鈺 庫
蝌 喲 “ 呵 山 m﹏ 〡 坤 守¢ 秘 坤 呵 館 啦 照 曲 竹 §出 描 妳 ●→
。
螂 帕 故 玖 趴 嫵 !帕 ;跰 線 球 妨 γ 中 胡 辦 Ⅵ懶 ●d油 千師 山°好
。
、
uε 姆 蚇 蝌 忙 ︿烈 衣 ㏄ 描 酀 竹 ψ ﹏ 扶 竹 γ名● a於 妙 軸 砵步

∞ 啷 投岫 泌 n鏡 °竹 片 鯨 符 代 用 竹 °兮 ㄍ ﹏尼°φ 山 赫 餅 熔 卸 踟 出

‵ 嗦帥啪曲 ↑
ⅣⅨⅦm的 H→ ｝ V妳 〞e芔 密 W出 時時 &ntS9
。

tAC菂 ㏑ t如 掛 ㏑ 如 心 〔A﹌ 出
然卜在 #外 ｝ ㏑㎞ u寸 唵 °心mm。 n心 ◆DS台 赩 笛｝

n
u
紅n碎府 榔 d由 心9分 σ恩°︴齡 Ⅶ ↓鈴 φ 如 抨 〝°〔睜 五◆
啷 路 §H磁俄竹 mσ σ㎡ $胡 °好m↑ 的 “時u巧 日命#曲 示: Sou 「Ce
◎ TC︳ C
°坤 ㏑ 協 甘 出 即 ㎞ 忙 通 !延 橄 ㎡ 抽 ↓◆路 赫 錢 無 心 加 “ 蟲 念
、
εh一 曲h$ma碄 ㄦb你 的 碎 t帥 嘸 βψ …m路 寸 竹ψi
o【 Modu︳ eOS｜ ide﹁ ﹁

★︳
AFDOcumentS一 MandatoryDocuments 中 ﹏

強制 文 件 ㄏ已 ㄏ已
一

錀靆 鐕¢ 鑼 鏺羅 盼鑼 ︴
AFⅢ D▊ :2● 可8︳ AFMandatoΨ DOcument了 oΓ theAud㏄ andCe㏄ iπ caⅡ on of
︳
aManag㎝ entSyst㎝ OpeΓ atedbya㎜ Ⅲ一Site° Γgan矻 ahon國 際 認 證 論
壇對執行至場區鈺織華理系統礡孩輿驗證主盟赳些文件
︳AFⅢ D2:20可 了︳ AFMandatoryDocumentfortheTΓ ansfeΓ o了
edCeH｛ ica小 on ofManagemen七 Systems國 際 認 證 論 壇 對 已
AccΓ 田 λ
銹齉 嫋 ︴

認 證 驗 證 之 管 理 系統 的移 轉 之 強 制 性 文 件
鑰黮 郎

︳AFⅢ D再 :2● 22︳ AFMandatoryDocumentfo「 theUSeoflnf0rma小 0n

簸一

andCommunicaHonTechno｜ ogy(︳ C了 )forAud㏄ ingˊAssessmen七

鯓籩 鐒︴站燎竺聚 鋒嗧錄錐卸

Purposes歐 盬 誙 重 論 壇 對 應 用資 訊 及 通 訊 科 技 C下 )於 稽 核 評 鑑 (︳

AFⅢ D們 :20可 3｜ AFMandatoryDocumentforApp︳ ica∥ on of

︳
EC可 702可 foΓ Aud︳ ts of︳ ntegratedManagementSystemS
Soˊ ︳
︳
MS)國 際認證論壇對 ︳
SO.｜ ECη 702﹁ 應用塗蓬 合性 管理 系統稽
鏺 描夥玲許 〡 幼坤

(︳

△
AFⅢ D26:2● 22TRANS｜ 下｜
︳ ONREQU︳ REMEN下 SF○ R
卸 SO/lE↙ 00︴ 吧 甚
妙抃

夥 荈 驛
唎 C狸箜 型 唧 ξ Source:h故 ps:〃
一 iaf.nu′ Modu︳ eOs︳ ide▋ 2

多打垃磎 爹衫 拓
 The｜ SO/︳ 巨C20000Scheme 靈瓶 靈舐
ㄘ齱

— —

SO
︳ AB/ 開課單位 或
CB/驗 證 機構
認證 機構

鑰籛紛幾
S七 anda「 ds
︴ ’
ˊ
品希 絆
SO20000 Audito「
SchemeReg’ s CouΓ Se

釚外
一

狒黮
on一 S社 e
EVa︳ ua七 ion

Aud
盼
劬
卅
◎ 下C︳ C Modu︳ Θ s︳ ;de︴ 3
。

琴$母 $毧 盞 艙鋨 ╙崔
魏e撥 發垂
♁斷撥盞爸縷踐吝 硪.
Lead︳ ngCe㏄ :f︳ ca七 :onandTra:n:ngProv︳ der

鑽舞餫務驗證穿 雁公 孑仁aφ 總部位在加 拿大 卑詩省素里市

(Surrey,B.C.,Canada);於 台北設 有辦 公機構 且建立 了當地 的 鎗黮 鐒谽 皤 鋒雛 ♁鐖 ︴

月艮務 團隊 ,也 是歐盟會員國奧地利 (Aus七 Ha)驗 證機構一C︳ S與

Qua︳ ityAust山 a在 太平洋地區的授權合作夥伴與直屬分支機構 ,

素 以 第三 方獨 立公正 的驗證與評鑑服務 享譽於 國際 。

銵籩 銹 兮

一 直 以來 ,下 C｜ C秉 持著最嚴謹的服務 態度 ,專 注於 資訊安全
狒雞轉

(︳SMS,︳ SO2700｛ )、 月艮矛 定管 理 (SMS,︳ SO20000一 η)、 營運 持 續

力
皴︴

(BcMS,︳ SO2230可 )、 隱 私 資 訊 管 理 (PMS,︳ So2770可 /

鏺籛 筠郎磁命堅電 靶學箠霹鐒 描華頭〃

︳SO29︴ 5｛ )、 資通安全管理(CSMS,︳ Ec62碎 碎 3-2一 η

)、 雲安全
(︳So270η 7)與 雲個資保護 SO270可 8)管 理 系統驗證稽核 、車聯
(︳

網稽核(M︳ Γ r。 r山 nkAud比 )與 教育訓練服務 ﹂

了C︳ CReg:ona︳ 什:c6S

Su「 Γ
一 ey全球 營運 。 魚部
Ta:P田 求兵 國際驗證 有 限公 司
一
#銹

▄
V︳ enna,A︼ s七 r:aEU「 oPeaΠ HeadquaΠ er一 C︳ SrQA
師
♁粹

◎ 了C︳ C 山Π du｜ e。 s︳ ide可 ㄔ

。
 ★
下C子 G俄 發♁b缺 吝C@煡 潛呂 c缺 楚on肚 遼硪口
子 ◆

Lead︳ ngCe㏄ ︳
｜︳ onandTra︳ n:ngProv︳ de「
ca七 ︳ r蟲 π
— —

銹毅 銵紛 鑼 蚺讓鍛鏺 小
╮

鋊雝 齡 ︴
瓶 報
:齺

媰攤 螂
鈚小
弊韓蓁奲籀
鈉 鎨幹平

塕簸 塕坤琳玲竺礉 緇帶室轟蝴 磁毒蟲黔 在 盼姊

義
赫摵龘麟蘊 :

帥 髒姍 韡

盼坤
◎ 下C︳ C
Modu｜ eOs︳ ide︹ 5

Canada全 球 營運 總 部
〃代▌
一 π 一

塕黮 彿紾 鑴 鍋籛 盼鐱 ︴
籛抪
皴︴ 鐒黤 鐒
$銹
鏺黫 鐒砵拓令竺鯬 攝學霪畢鏺

懼 擺臘 ﹉
$壁

一
t°
〔二
二二
t9)
蛪ㄏ在 ψ竹

「
◇抔

◎ TC︳ C
Modu︳eOs︳ ide﹁ 6
 懃部 一C︳ S
Vienna,Aust〢 a歐 洲 區為 躎 騶 翔 鱦 顄 館 鰳

庫珮 雇兙

谽
抔
◎ TC︳ C Modu︳ eOs︳ ide︴ 7

軍琺聲 酵 毧聲 鬱絡撥靈綠鎗鱴旝盞 劮雛 肚蓬
鍛撥透發 蝨H
Pac︳ f:cbased∟ ead︳ ΠgCe比 :。 ︳
ca七 :oΠ aΠ d了 ra︳ n︳ ngProv:der

奧 地利
C〡 S
台灣
環奧

加拿大
丁C｜ C

\‵ ˊ9
一

盼
擗
◎ 下C︳ C °du︳ eOS︳ :de︴ 8
山π
 ★
下ClC&aSM∥ e故 oneS俗 好 Me㏑ 榕外d︴
鑯 ︳每Q吟 兮¢ 名冷 攤
n¢ 〡
‘
t
︺
。

。
π我 好
— —

2002 S成 立 並經 BM、 lVA認 證 成 為 ︳SMS驗 證 機構 I現 為 BMDW認 證 ︳

鍋離 縐妙 嫋 鑰靆 鍛鐖 外
C︳

2003 下C︳ C成 立 ,並 由C︳ S總 部授權 進行 大 中華 區 業務 推 廣

2006 下C︳ C發 出C｜ S大 中華 區首 張 ︳ SO2700▋ 證 書
2007 TC︳ C發 出台灣 區 第 一 張 ｜So20000證 書
下C︳ C發 出其 中國 區 第一 張 〡 SO20000證 書

鐱黮 鑰 ︴
TC︳ C發 出 台灣 區 第一張 ㏄ SMF︳ So20000Aud㏄ or個 人證 照
2008 下C︳ C經TAF認 證 成 為 ｜ SO2700π ˊCNS2700η 驗證 機構

鱗籬 轉
TC︳ C獲 ㏄SMF認 證 成 為 lSO20000驗 證 機構 (RCB)及 ︳SO20000課 程提供 商

籤妳
下C︳ C完 成全球 第 一個 ︳ SO20000雙 證 書驗證 稽 核

轔簸 鑯姊銥唅妳擊 轟學鞋雜鏻 旅畢路拼 老 翰粹

20﹁ η 下C︳ C完 成 APMG認 證 機 構 的 RCB及 A下 0重 新 認證

20η 3 TC︳ C通 過汽 車連線聯盟 (Ca「 Connect” ityConSohium,CCC)認 可 ,為 其聯盟

的安全稽核 師lSecuhtyaudhors)
20﹁ 5 C｜ S-TC︳ C的 ︳ SO20000-9雲 端驗證服務認 證 通過
SO270｛ 8與 ︳
20η 9 下C︳ C推 出︳
So2770η 驗證 、教 育訓練
202η EC62“ 3-2-η ︳
下C｜ C推 出｜ EC62“ 3-2﹏ 驗證 ,教 育訓練
2022 TC︳ C成 為 資通安 全 成熟度模 型驗證之 官方認證機 構 一Cy比 rAB全 球 第 一 家位
於 美 國境外的授權教 育訓練機構 (▆ censedT「 ainingP「 oⅥ 由 r(∟下P)

鉿帥
TC｜ C首 開CMMCFounda小 on資 通安全成熟度模 型驗 證 基礎課程 及 CCP資 通安

◎ TC｜ C 全 成熟度模 型驗 證 專 家認證 轉 換課程

Modu︳ eOS︳ ide-9

★ yRecognized
下C︳ CiS｜ nte「 nationa︳ ︳ 〡

r我′
— —

了C︳ C︳SΓ ecogn︳ zedandauthor︳ zedfoΓ 了 oW︳ ngareas:

o︳ ︳
鑰靆 鐒◇ ψ

r
泓
仲 M兮 加始m研 i° n。 ︴ ●

qua︳ :︴ yaustria
鰗 $♁′在玨G盆 胡瓦;$
致 π〞
︴Ⅲ沒 鑼
§ucceedⅥ 液hQu劇 y
TC︳ C︳ Sacc「 ed比 edbyAPMG(比 SMF)
iㄦ

下C︳ CiSauthoHZedbyC︳ S/QAfor: So20000Registe「

︳ edCe㏄ ca小 0ni而

ManagementSys七 ernCe「 t｛︳cauon Body(RCB)andAccΓ ed㏄ edTΓ aining

and下 ra︳ n︳ ngSe「 v︳ ces o四 aniZa市 0nlA丁 o)
鏕 鐒咘

舳 #哪 珅 ︴掰 m戚
乎 mmm﹏ ︳6,︳

撫 抒
1一

了C｜ CiSappΓ ovedbyCar

丁C｜ CiSauth0山 Zed
了C︳ CiSAccred比edin下aiWan Connect;vityCOnsoH｜ um(CCC)
︳SOη 702η -η /︳ SO27006
byCybe「 ABas㏄ s as its securityaudi七 ΓS
LTP 。 妙
林
◎ 了C︳ C
Modu︳ eOS︳ ide20
 ★
資通安 全 管理 法 對 第三 方驗 證 之 要求 靂抵 鼷
”

▆lA,B〕 級之公務及特定非公務機關應辦事項 — —

犛遷穿金 聲璭湊 子勝 r犛 超安姿犛發 寧饞加 鍍嬲

錢韙 銹翰 鑼 鑰籛 谽矲 兮
犛踵安全 蕼豬寧緻 終,軔 酸之公務及館定鋒公務磯鱵颶齡 韓蘋

功攻愛城定或等級 變箋籛毛玉學雄 ㄢ全
$0
弊磁心 資邊:系 統篳入 兮斗忿穵筏$蓋 踉 ≡

彿繼 鋒
送7♁鋁 學資訊發金管選 系統攘舉 、 其熊
費餓發金 管選 系統戭 導入 及通
弟務再等餓球女兢兼無系統我標準 ,我
趬公正 第五才戭驗證

*縐
籛螂
其館公務欚 鱗 一 待發蔑露經生管攙爾

餽〝
認可乾攘準 璣先 去盛 乏才

錀籛 鐱碑欺報 鼚 熪帶錄躌 錐 航鱉 界 了 鈖師
一

ㄏ麥π第三 才驗 嫠╯所蔣第三 方 ,務 超過我國磥 準法生 穿務豸

工盥廢報 攥 棒齺 r委 話務礙 〃士
好 全露靜鍛基 鰡 認奢之務
擇 ′第三 〞孩密之務 齡證 鼖應穿館爾委 韜璐砪之 認證彈叢 θ
/

鍛外
◎ 了C︳ C
Modu︳ eOs︳ ide2鬥

★
資通安 全 管理 法 對 第三 方驗 證 之 要 求 β颻tβ
中

一對各機關安外選任及監督受託者之要求 — —

孷遲安全管理法 子法 r犛超安全 費習勝滮砌

鋊籛 鋒紛 鑼 鋒籮 谽鐖 一

第四錄 各機 關依 本 法 第九篠 窺 定 〔統 充
建 置 、維運 或資撬服務 之擬供 (以 下 籐簼受託 業務 ),
幼罷 鐫 外

選佐及籃餐受就者 時 ,鼳 注 意下與事壞 :
佛籛 碎

受 受範 爾 及環 颱
籤

其撥 善 逛 費邏安 全 營跟 捨 施
h協
黫 鐒碎欺餵 寧簼 幾鍛轟 鏺 拉發姓

方驗 證 。
u法
鉿師
谽抔

◎ 了C︳ C
odu︳ eOS︳ ide22
山叮
★
下C︳ C一 Accreditedby下AFfOr︳ SMS一
SO/CNS2700η
︳

野躑 ︴
母¢母
神母｛
﹏鑽璣煞鱗纖齉鞿媾

鐊難 鋒紛 鎦
壣
財出法人砭印無餿本佳#
一
熬李碎幹
<輯
韓聲
墘9坤 #抖 功
蹕 好:﹏ 睜外年
:

我軟 單
馯 幾嶺 燕發本又 ;

聊 停g好 #了 確
║嗧舉無離鑽薰麟
在 確旗掛瞭撥報有撫必宙 竹出踃幾幹簽︴卡窾基
器帝 齲 室#﹏ ︴∴
孩 ．
守
﹏η#｝ 6的 坤交妯 爸瑟
坏﹏杯守
一
﹏ 一
$無 鑈 攤維驒 煞 ㄚ女妳

路S?〕 ｛ 管理系統 岔越撿兼科衣赦份有限公再

、
凱 對
艾扷諧閷除教伀有緝公琵
亞各來

攤 撬褲瞱
研S° ｛了 管理系統 亞轙士爾溶誒簽股份有求公司 :妹 坤竹6u吋
乎發照無-﹏主#︷ β#﹏ #
再肆無人確坊竹
一
一

◎ 下C︳ C
odu｜ eOs︳ ;de23
山︳

★
The｜ SOSuⅣ eyofManagementSy.tem 中 何

好臨 ↙甄
StandardCe比 ifications-202可 — —

鑰攤 鋪鎀 鑼 鏺籩 谽餓 打
姊
幼拼 #谽 眑緻 錔 小
塕簸 蟀
皴︻鑰籛 鎀師欺餵 寧簼 學環鑮解
鈖 磁華玲鉾

◎ 了C︳ C
°
Source:、卸ⅣW‘ S° !° 笵 TC︳ C崔 ︼里 Modu︳ eOS︳ ide2冷
 ★︳
SO/︳ 巨C2700﹁ 一Ⅵ︴
o〢 dWidetota｜ 旗 瞰 臨 鑼 齷 竹

斖珮 靂

三ε /二 εC2ˊo0王 ．叫●了
t●竹FJ兮 亡 出﹏
′
。
。
數量

幣 以 S:控 S數 統 計

嘹…
以證 書數統計

西元 年

鐪
擗
◎ 下C︳ C
Source:Ⅷ 姆 $o ora 下C︳ C整 理
.︳

Modu︳ eOS︳ ide25

一
山
ˊ

SO/｜ EC2700﹁ 一Ⅵ︴

o〢 dWidetota｜
*︳
呼 齺

躍甔 鍕籈
— —

彿籛 銹鎀 鑗
滋♁螂 肇 蘿 嗧鑑選 一
鐪 航器玲誹 發 鐪 師

\︶ ˊ
劬擗

◎ 了C︳ C
S。 u了 Ce:-‘ ︳
掰一◆ F出 TC︳ C整 理
de26
Modu︳ eOs︳ ｜
 *｜
SO/︳ 巨C2700η -202﹁ 下opη 0byCerti兩 cateS 中 繲

靂颻 靂舐
以證 書數 排序
— —

鋊纖 鑰給 嬏 鏘錢谽躌 外
鐱難 錛 、
錛竷 卿
鈜外銹籛鱗妳蟻玲妳鞈航鱕帑笨盞錛 駭肇琀野 選 鎀螂
鎊帥
◎ 下C︳ C
Source:螂 .;鈴 .° 照JTC︳ C整 理
Modu︳ eOShde27

★SO/︳ 巨C2700﹁ -202η 下

｜ op﹁ 0bySiteS 齱

以場 址 數 排 序 靂颻 露鬾
— — —

錛籛 銬谽 鑗 鋨籛 谽鐖 ︻
螂
谽妳 #鎗 鎀籛 媰 ︿
鏻羻姊
皴出鏺簸 瞈師磁發跡穿露 夥籦舞錫 竊爹殺好

◎ 下C︳ C
Source:w鯽 ‘
j$o… °rgTC｜ C整
理
Modu︳ eOs｜ ide28
 下C︳ C︳ SanAPMG(比 SMF)
Reg︳ steredCertiⅡ cat︳ onBody(RCB)&Accredited
耀 躪 死 齺 齖 矽 溶豳 解

靂珮 靂珮
下ra︳ ningorgani2at︳ On(ATO)

塕籛 佛紛 鐋 鑈籛 谽鐫 外
每

礅 茂#鱗♁湖功雄球緻 嬸
鑫 威年統爸安
雄爭阱坡籐<珘 志｜
籩茁
鱮簬確輔
¢

黮螂
籤外錛籮 鈐璐欸搦 學瓶 塕耡 錐
h銬
φ#岱 肆 於呻神峰 艸

一
十 〞 :一 工ㄈV｜ 姦﹀筋卡i← 中︴打w接 守¢ 打︳
¢

攕移鐽甚狒 航雀礅好〡 盼螂
一 一
冰ψ十市 w、 小 帝中<市 ↓ “ 扭﹏ A替 $的一絮館 哦 才
師一蝷 齡 女坤 磷 酊 潔 碎 曲 ↓
協寸
坤齥﹏
軸休挔帥崩ㄨ
旬冷 輛琳移
#油班
;—

一 一
手
耘產鷂器蟲豫鍔子
姦全
意:孝 琴抾
:選 聚 一 吋 撥 玲站 ψ 的 皤 盛 你竹 兮$研 ←&移 WN竹 斗
—

鐒帥
◎ 下C︳ C Modu︳ eOs︳ ide29

佛籛 銵紛 鐖 銹籛 妙鑱 ︴
搦錢 鐋 本

TC︳ C環 司
鐖皺 蟀

S。 驗
皴︴

︳
媰籛鐋姊黕錣 罕鼳 鸅籦讓鋒 蓻潑玲帥 琇 幼師
谽杯

◎ 了C︳ C Modu｜ eOS︳ ide30

 公務機 關(包 含資通安全 責任 等級ABC級 )

銻黤 銹鎊 鑼 佛灘 繚鑩 小
′
孔文院 盞雄膬一
εxecut:veYuan ﹏
的 撫出
啦Ⅶ〝
市(本 u外 $熊 折珘祇$無 找磁｝
屐 考 餓 鐑
蜘 鮇 才↓ 出在子
Φ玖 y熊 &

珊 勞 動 部 勞 動 力發 展 著

錐黮 鈐
W° RK的 畦 印仁 〣 師 6Ⅳ ㏄ 咐NI妠 Y° 叭B° R
L(l山 ξ
。 「

h坳
灘穧
戰女
黤 厭爾坊 郎

鐱黫 鋪攤航啥咘單轟 弩軍翁錢 航筆理〃了 鈖螂

錦 女貫蠍 蠍 軸 n¢ 了
邯兮¢ R‵ °G
一

海洋委員兮海巡哥
攤 靆 齷騩 鼙 搔 饕轟轟
拗 A#協 寧¢幯

鍛將
份箱氓 念母材扭ㄝ水竹︴
辦 卡 竹

◎ 下C｜ C
Modu︳ eOs︳ ide3η

公務機 關(包 含 資通安全 責任 等級ABC級 ) β我口

′
— — —

財 政部 鏺羻鑰艙 鑼 鏺羷谽鑼 琳
出H出 〔
捎
中區 田

花運縣醫蔡局
鎀讓鐪 •
鏻籛舉
簸再鑰繳鎀抪莇離堅電 鑮笒鍰錯妽

要林縣政府 新北市政府苦察局 台北市政府苦察局

鋨 航勞鍥平發 鎊師
艙杯

◎ TC︳ C
Modu︳ eOs｜ ide32
 金融體 系(包 含資通安全 責任 等級ABC級 ) 靂舐 靂舐

銵雛 鐖鎗 鑼 狒簸谽鑼 年
鑰籮 鐋 、
鑰籧 螂
籤外鐖籅 鐖碑缸跨妳學蘿 弩饈麟狒 鯨孝超好接 妢螂
﹉
驒 ﹉
船
鑼﹉飄氀醽
蟔騲∵薪妻榮斗﹉ 煮淹主巖 ﹉
贆
一一
弓 ε
uA玲

鍛帥
?吽 斗 呷
一 一
快哼幣智
一 ?平 緊 、 早
準 。

◎ 下C｜ C de33
Modu︳ eOS｜ ︳
一
一

醫療 體 系(包 含特定非公務機關ABC級 ) 蛋蟲r彈

— — —

杉化基督教驗 財田法人
〔總院 、兒童醫院 、漢基 、 國軍 垂中總番院 鑰鑼 鋒谽 齺 鏺籛姾攤 再
二林 、南基 、鹿港 、鹿東 、
雲基 、員基 、佑 民 、東基
及輔英〕
田軍花 蓮鎴番院
鯛黫 銵 外

佛教 患濟吾療財田法人
︳花蓮/玉 里/關 山 、台
躌簸 姊

辛瑍醫轟戈擊鱗報馨 簬
北 、台中及大林分院 ︳
紉
皴︴

C臨 我休朋統 斑久︴︳遼雎睡 打 娃
q$p紫 牙主
鑰黤 鐒師滋強竺電 機學鏖聶鑼 缽器琀跰 崔 繃如

振興 吾療財田法人
振興番院 中國岳弟大學
北港附設 番院

U 三 軍鯰番院
籛
爬離
犖 籛 攤 讓
國民健康者
紛擗

衛 生者疾病管制局
◎ 下C｜ C Modu︳ eOS叮 de3碎
 學校

鍋黤 鋒鎗 鑼 翰籦 繚鐖 妳
像鑒琦靴 求
｜
螂 ﹉
聲
新助唧
:﹉

好坤 帕 坤 竹 螂 時

紛幾 鑰 ︴
中央大學電年中心
一 ∴
轍 舉 :稱 :錢 :未 :舉 一

鋒議 螂
坤φ玎牡啣 小 瑋坤印

籤本鑰籛 錢妳欽鎖 寧玀 帑箠華狒 路華強野 選 鎗坤

一

國立垂海師苑大學心理其
教 育測驗研究發展 中心

妙竹
◎ 下C︳ C
Modu︳ e〔 〕S︳ ide35

企業

t靈
爾貿網路
n帥 驐 殲 中期情患
CT扛 TC
銹黤銹鎀 鑼 鏺雞盼鑰 、
翰雞鐒 小

嬂
鋨籮妳

麟 #● 出臼6#
姍蠿 鞦繲 艦 艦 饑瞞Π
籤出

螂 竹
銹籛鐒啦磁峰堅鯬擺學鍰罐解

紉cH繺 氛路T匡 往緇
颱

╙p
口好°n兩 “︴°N:。 口V且 °口﹏6W

癱 撥
佛 風 崔
濰 鱄
浴‵
紉
鑼 缸雀迴〃單 鈔螂

麻布記帳 ｜
ⅡΞ︴ ♁
MONEYBOOK 饕簽移鑞
◇抃

義聯驚資訊 申 蒩簽訊 冬
▌ bε出日η P
n︴
◎ 了C︳ C
Modu︳ eOs︳ :de36
 TC︳ C 公司
車聯 網 客戶群

◎ 下C︳ C Modu〡 eOS︳ ide37

CCC(Mirror∟ ink)C｜ ients

鈖簬 鋒谽 鶐 鋒雛 谽鑰 ︴

屜 鑴 鑼 鰔 麙辯鎗難醽 齷一
騶!瀰 =錦 癱藕︳
茹餓胡擏鞋
拂黫 鎀 外
擁羷 師

胤豳嗧 鯆 鐎 驛毀 軒龘
鉞︿鐒黫 銹師竑勞螂鱉簼 耹鍰蘀 銹 磁鉹跨帥 常 鎊的

拗 鯽 驧 勵齺

雅鞏鑯
斖屜
砩艷難 ㏄
母 ←
翔夥再拂占
雄

︳
颱驧饟鐒鼮 攤 安哦 睜 F毽 哇垂
錢
谽抔

◎ 下C︳ C Modu︳ eOS︳ ide38

 cCc(M︳ rrorLink)C｜ ients一 0巨 M
齡
雞
鑰
紛
饑
蜘
難
餘
鏕
鐱

路社
攤
嬅斑 鼵 龘 豳 鑞 鑴籤鍛娥鑷鑑毅 鑰
鐒
簸
籤
錀
讓
鑰

雖書
嬂 :路 俄 弛 t●比即或ㄥ
發
擺
塕
簽
幾
錛

舞
〡
嬐
幼
擗
◎ 了C︳ C
6 Modu︳ eOs︳ ide39

北 美下C｜ C與 歐 盟 C︳ S驗 證 機構 管理 階層 π色 J
十

— —

銹飄 姆♁ 鑼 鑼籛 φ蟣 ︴
$盟
鋒妒
媕 磁壁殺
r玉
◇師 鑰鼮 呦 本
錢簸 瑯
錢︴鑰黫 嫋一款拼 穿羆

路几Da滋 e︳ L:ang染 呂城 ,了C℃ &C︳ S太 平 洋 磁媳經理 Ⅲ∴Ξ市●hSch田 be巧 SCE。

φ扞

c︳

◎ TC︳ C
Modu︳ eOS叮 deㄥ ｛
〕
 姒 路

Ce比 ificationProcedu「 e 晝珮 蜃

一一ˋ
\

碎﹁

下C︳ CV色 ｜
ueS
邇 躕 泓 飋 齖 中 癈

籚軏 靂㎞

錼籮 鐒紛 略 鋒籓 盼幾 輯
蹤 具備德 語 系嚴 謹穩 重的風格 且 融 入 了音 樂 之 都 的藝術 與 活潑
氣息
踆 制 度 化 的稽核 師訓 練與選 用體制 以確 保 稽 核 品 質
飋 多元 的〡 下技術 網路 問相 互 交流不 斷提 升 團隊成 員本職 學 能與 專
銬黲 搦 ︴

業競 爭 力
走及
醒 領 先獲 得 國際標 準 組 織 認證 提供 客戶 最新 的標 準驗 證 服矛
狒籛妳

力
欸︴

教 育訓 練
銬籛 鐒砵我奔咖矜旃

Ⅲ 中肯 的稽核 方 式 幫助 客戶尋找 改 善 空 間 而非單 純 的尋找 缺 點

或找麻 煩
Ⅲ 維 也 納 及加 拿 大總部 充分授權 並 與 奧 地 利維持頻 繁 的稽核 面
鋒路鑑肆 鐒 筋籍玲黔 宮 鎊 谽師

及 技術 面交流
出 以 客為 尊 貼 心 考 量客戶 需求

◎ 下C︳ C Modu｜ eOS｜ ;de42

 ★
下C︳ CSeⅣ ices專 業服 務項 目 一﹁
中

β我 舒
— —

ca七 :on′ AsseSsmen〝

Ce出 ︳ \ud比 SeⅣ ︳
ces

銻黤鋪黺 磻 彿籛紛癱 〦
:了

驗證騮 稽核服務 :

▅︳SO2700η 資訊安全管理系統驗證服務〔 BMDW&下AFAccred㏄ ed︳

▅ P㎜ S個 資管理系統驗證服務 SO2切 引 &︳ SO/CNS270η 8(有 對外雲服
I︳

務時適用)inc︳ uding︳ SO29︴ 3碎 andbasedon｜ SO/CNS2700η and

鏺籬鎀 出
︳
SO/CNS29η 00l
SO20000-η 服 務 管 理 系統 驗 證 服 務 lAPMGRCB︳
▋︳

錛簸螂
■︳ SO20000-9雲 端月 良務管理 系統驗證服務 ︳ BMDWAccred比 ed︳

鈜外
■ CNS2700η 資訊安全管理 系統驗證服務︳ TAFAccred㏄ ed︳

鐖靉鐱姊笑餵 寧簼鋒鍰鶷 鑰 貼壁理才在嬐螂

▅｜ SO2770｛ 隱私資訊 管理 系統驗證服務
︳︳ SO270η 7雲 安全管理 系統驗證服務
▆｜ SO2230η 營運持續管理 系統驗證服務
▋︳ EC62碎 碎3-2-η 資通安全管理 系統驗證服務
▅ OpenAPl資 訊 系統及安全控 管作 業評估服務
▋ 汽車連線聯盟(CaΓ Connec小 v比 yConSoHium,CCC)安 全稽核月 艮務
▋ Au七 omotⅣ eSP︳ CEAssesSment車 載軟體過程 改進和能力測定評鑑
▅ ATPSerV︳ ce:SVP課 程與教練認證 (SUPCe㏄ rica小 onScheme),Rope
Rescue救 援繩 索課程與教練認證 (R° peResc比 Ce㏄ 而ca小 onScheme)

妢師
◎ 下品
cMMcGapAna盱 山S
Modu︳ eOS｜ ideㄔ 3

★
TC｜ CSeⅣ iCeS專 業服 務 項 目 -2 〃已 π我
﹏

— — —

Tra:n︳ ng一 SeⅣ :ces 為

教 育韌︳求月貼覆十
鎀蘿鐱◇ 鑼 鏺籮艙癱 ︴
:

▓ BMDW登 錄 lnformaⅡ OnSec山 tyManage「 Course資 訊 安全 管理 師課程

▓ BMDW登 錄 lnformajonSec一 tyAud比 orCourSe資 訊 安 全稽 核 師課 程
▅APMG” 七SMF認 證 ︳ SO20000Founda小 0n/Pract比 ione「ˊ
Aud比or課 程
lAPMG(㏄ SMF)A下 0lAccred比 ed丁 rainingorgani2auon淋 證訓練機構 ,

under︳ So20000Scher︳ ●
鐒黮銹 小

e︳

■︳SO20000-︴ 服務管理 系統主導稽核 師課程15天 )

銹黫砵

力 ︳ So2700η 資訊安全管理 系統主導稽核 師課程(5天 )

▊︳
籤ㄐ

So2700η 資訊安全 管理 系統基礎課程(2天 )

鑰黫嫋柿描鋒蜥寧籀學錄囉魻

︳
▊!So27002用 So2了 003資 訊安全管理 系統建置課程(3天 )
▓︳So27005資 訊安全風險管理 SRM)韌 〡 練課程(2天 )
(︳

▓︳ So270可 7雲 安全管理 系統 主導稽核 師/轉 換課程15天 /2天 )

▅︳ SO2770η 隱私資訊 管理 系統 主導稽核師/轉 換/高 階班課程(5天 /3天 )
▋︳ So2230︴ 營運持續管理 系統主導稽核師課程15天 /3天 )
▄｜ So3η 000風 險管理 師課程(2天 )
鋊 筋猙玲許甚 谽師

▅︳ EC62ㄔ 碎3-2-η 資通安全 管理 系統主導稽核 師/轉 換課程(6天 u天 )

▊︳ EC62碎 碎3-3-2OT風 險 管 理 師 課 程 (2天 )
■ AccreditedT「 ainingPaHner(A下 P)Program
艙林

▊ GPAllSuStainabi︳ ityP咰 ectManagement課 程

◎下
吧 CMMCCertr:edˊ non一 ceλ ed課 程 Modu︳ eOs︳ ide4ㄥ
iΠ
 颯 際 認驗證 趨 勢 Ⅱ儐
︷
╮ Ⅵanagement ofCyberSecurity︳ nanOrgan:zatiOn
︳

︳
T｛ :n｜ r︳ Ⅵat:on七 echno︳ ogy〕 ′ T｛ peΠ ︳
七:onStechno︳ ogy〕
◎ TC︳ C 。 。 。 deㄔ 5
Modu︳ e〔 )S︳ ︳

○
爾際 認驗證 趨 勢 一之 〃臨口
β
中

— —

坳灘 鐑盼 嫋 坲籛 鉿鐖 鎮 黤 拂 鏺 皺 竅 嫭 難 鑱 致餵 聚 鎀雀接躌 齡 城瑗 并 〡 篎坤
ˊ 20︴ 8-08,︳ S0月 ECJ下 C可 /SC2了 對 聯 合 國 ACOMMON
REGULA下 ORYFRAMEWORKFORCYBERSECUR︳ TY
20︴ 8(UN︳ T巨 DNA下 ｜
ONS︳ DRAF下 ︳)提 出建 議

ˊ 20可 8-09,聯 合 國公 布 Dra元 proposa︳ foΓ acor︳ ╮ rnon

regu︳ a七 0ryframewo「 k oncy比 rSecuHty:Peop︳ e,PΓ oduct,
ProceSs認 頂 羷清全要 求

ˊ 20﹁ 9一 06-27,歐 盟實施Cybersecu一 ︺Act內 容 CTPΓoduct, :︳

CTSeⅣ 心e,︳ CTProcess認 驗 證 體 制

︳

AnneXB
ExamP︳ esoftheGeneric︳ Ⅵatr︳ 〤︳
Ⅵode｜ uSed︳ ndi帝erent
● app︳ ica七 ionSec七 O「S
ndustHa︳ autornaHonGMMin tab｜ eformat.
︳
鋒打

C
◎ 孔 ︳
Modu︳ eOS∥ deㄥ 6
 颯際認驗 證 趨勢 -3

纖驒鐒紾
Un主 tGd王 呵a位 呱 ECE/cTc舒 Ⅶ .♁ q619沙

EcOⅡ .nnjㄦ andSoε i玩且Co田 ntⅡ D6st:您 eⅢ才a王

Pmd出 tS色上砡 p的 G必 SeSCo竹 拎 dbyCROs㏑ dude:

ic加 o必,So
． 山 ys主 6斑 聊 ︴ Teㄑ 放no王 o針 冷 欹′
§ 王n§ ,Su● h色 Sq出t:心 a王

h出 符§它r㏄ 守uㄦ a且 d§ 上山 庛 七 路Ⅷ
Sy§ e且 且
g(a§ r° r

銀唧 拓 cov竹edby｛ 乩 工EC銳 ㄥㄥ3§ er趎 ori且撥 銘 血 娥 lS伍 且da斑$比 斑 d

◆ I蹦 tio且 al§ y§ 它
eⅡ i§ ,蜘 就 依 瓶 扯 ed
㏑ p的 出出 d8挽 砠㎡ hePit 在§ by血e工 SO/工 EC
27006§ eΥie§ or主 且te且 1打 七主o且 a上
Wor㏑ ⅡgP出 的 民egⅡ Ⅱ
出H° 呼 c● ●per出 出6Π

轉
6Π

蒮 彿幾餵砪
nndS6andard比 B“ .▲ Po︳ 出由§($T◆ ¢
$um呼 -nh出 S心 岱 hh

鐖 鋒 魧雄玲掛 在 鉿 竹
Genε V日 ,20-22Nove赫 er2° 1夕
I竹 m土 0(b)of血 pπ o㎡ s五 洳釷 刊昨nda
IⅡ 竹mn出 ”址 了eg田 出mΨ ]° ” ↑田H。 Ⅱ ;

乩山 姻 P呵 ε曲

R.p.rt oⅡ 由 ● $㏄ 竹 r斑 ㏑ 站 出注vQ● ntybQrs.‘ ︴h打

盼粹
◎ TC︳ C
Modu︳ eOS︳ :de碎 了

國際認 驗證 趨勢 一磉

鐒黫 佛翰 鑼 銹籬 紛騶 蕗 鏺 鏘 鏺黫 抪
Ba§ 比五a︴ Ⅱr於 °r obe么 合§e母 Sea
Υhingβ ｜
竹ch#ic田一1§ J兮 teⅡ 冷 Prod｛ £♂ Pe(P拓 P〔 oce§ s鈴

C。 三
npo且 eIl心
Sub＿ka〔 Ⅲel
S足 出現R且 ε2
心一
㏄

C。 出
觬

1Ⅱ 故才 neσ 心o工 玲
S血 一銘岔缸玲 二
$坲

e2
籬 鑰妳欺齵 寧籍 犖盟皤蝍佛 賊蘺跲珅 本 ◇螂

Sub一 fe岔 破

㏑出 ∼℃三
i位 璐

S心 瞞 仗社e1
Sjb-玉 n扭冷 2

6Dn研 比 如 σdε ㏑ faSy§ 竹 m’ S的ppron.Ⅱ 如 ∞ ㎡ 心r血 好 五SSe§ Sment 但 ⅢPle§ ㄜf° ︳蚪 ｛

╯ 、
鋒師

◎ 下C︳ C
Modu︳ e〔 〕s︳ ideㄔ 8
 瘢 際 認驗證 趨 肇 瞰蕃 姒

晝珮 斖
憐

′ ˋ
′ 李現
\

耕鍵曲
︳
S
師 俇 g祐 絃 〡
岱 陷 油 6抑甜 B

好 卸 而 ↑n卸 供 ｝﹁邱 封n“ 單 竹

“蟲協妳 h而 ﹉ ﹉﹉ ﹉﹉
﹉ ﹉ ﹉ ﹉﹉ ﹉ ﹉﹉
﹉ ﹉ ﹉j一 ﹉
﹉ ﹉﹉﹉
一

一一 丟
騮
︳
一 一一 一一 一
一 一
sd山 山一一 留§ 一
啊胡 子
—
—

凹 螂 賤 市 螂 体 一
佇
冉㎡ 〔帕 S
︳
好蚱 埆 σ咖 ”ㄔ崩 以飾 扭
W Ψε也m． 〡
m#:n昭A面 的
〞
′ C#一 6︴ 名● 熟 u← 又肖 用$!
打
淐
!守

$ec u坤 鞋分擁
、
崔 章 Oㄒ
g
〡
暑
倡
了
崒找ψ
︳
露
晷 ︳
聲暑昌 〡 竹 山路 抑 扔 ㎝ 心 !

、
．
罩
紫以!:l!6q艾 曲 m
︴
生且招吾Ⅱ
ε r
爭
馬
岳
一
吊
盛 居
一 喜
當 、
︳ 、︳TS9c出 比缸分輸 二二二 珈 V｛ 掤 的 ←竹
;◆

推
琵既 血
〡
︳
戒茁 研 n昭 〞
〔

谽
奶
詺竹

◎ 下C︳ C Modu︳ eOS︳ ideㄥ 9

鐱籛 銹紗 餾 銻雛 鈔鐑 妳
Anyquest:ons? 筠麰 搦 〝
狒雞 仰
兟︴銹籛 銬師珗覣 犖筋
輯駕鍰每姊

Thankyou Merc:
銹 瞞鉹玲師 蜜 鎊帥

ˊ/
ㄟ‵ ′
一
♁糽

◎ 下C︳ C Modu｜ eOs︳ ide50

 ide2
ide﹁
S︳

s︳
協籬姆鍛 齺 銹黤鎊鑼 外
鐱讓鐱 、 餓•

田odu︳ eπ
M。 du︳ e可

鑰簸鑰豍笑齵 學珃
羅嗧窪霹銹 航甚坽野單 φ︴
鐉

鑰鼳螂 幼帥
﹏

靂螽↙

坳黤鎗鎀 鑼 躌籛鍛籛 ”
銹繳鋪 ︴ 籤出
十

慶餓tβ

銹灘輕 鋪雞 鎒螂欺磥 嗧跡鋒琌箠霹錛 拓聲饉ㄏ吝 鎀坤

鎀外

小
—

—
—

與
山打〕
述
資通安 全概 述
MOdu︳ e一 η

資
資通
★
◎ byTC︳ C

◎ byTC︳ C
)
∩

屯
 什麼是資通安全lCy比 rS●cu〢 ty〕 ? ′我了
π戤
◆

— —

坲籬彿谽 蠩 拂簸嬐錢 ︴
SO27-00:2020
︳
CyberSecurity——OVerV︳ ewandconcepts

鎗讓鑰 本
●Cy比 rSecu山 ty磋 擁 子
′回 9

銹鑒師
一 Sa了 eguardingofsociety,peop︳ e,

鈱→佛黫鑈林熬餅 肇棘
organi2a七 ionandnationfroΠ ◥cyber
r︳ sks
滌 護 社 會 ,人 民 ,組 織 和 國 家 兔 於 資 通

播鋒瓥雜鑰 旅路跲抔— ♁琳
風險

盼師
GⅣ Sε2ㄔ 猝3一 了一了
註一 er 全
◎ by丁 C｜ C
Modu︳ e﹁ s︳ de3
︳

聯 合 國 開注 CyberSecuH打
U娘 報 出aH山 膝 出 C我 研 CS觶 巧瑚 1班

錛籬鑰紛
監 o生 胡㏕比出土d§°出斑 C.u︳ Ⅲ且 ε m的 !

姍
睡
一
王1§ 賏 ㏑ 站 好 玉跋 步

咖 出 螂

㏑ d出 出 ㏕ 四 ee§ 比 §6° 班 d竹 cRO§ 出 h&:

．Ⅶ 蚊c出至φ p乩 乩i出 §
,So 擊 把巡 §出 h鍋 Crj七 比斑
l且 丑屾 ε舳 m破
鈕㎡ § 岱羚 竹 主
必 一越 出 d且 g(aSfor
exa璣 ｝
主eoov竹ed竹 血 IEC倪 留 呂§erie§ ofh故m依 o曲 1§ 撽 主&㏕ §):加
．工必比田才 在o且al$於 在 螂 ,如 就 血 在符 出比 d
〡 在°pr°在 §c在 dB在 汪磁Ⅱd妞 ,Pi它 a§ by血e工 80/工 EC
2了 ●96sq止 e§ of也 戈咖 甚血
卿

工
出且玉
母扣>館 也 叩 啞 嬿
聚 鋒路餓確

們 的心
宙
出md水 玾 血 也Ψ
ht停 璃 Π m竹 叫 Ⅱuqn一
i呵 心出
§㏄缸 ︳
抖 彿 紙器跨 於 — ◇ 啐

R呼 q站 仍 ▲名㏑ 各e︳ 比 出 Ⅱ血 鈕 廠 m嘸 ∥ $班 在出 竹

乩 ㏑ 曲 ㎡ 竹 伍ε含
蜘
笆 十
一
一
¢卅

如 血 抽 曲 餾 t喇 政 並 且 留 卹 虹 色的 山 町 出 璀 躪 的 ?鈕 m鰷 睡 曲 ㄩ ㎏ 的 辦 坩
㏕ 出抽 的 蛐 蛐 臌 描 觾 竹 鈕 螂 輔
◎ by了
Modu｜ e一 s︳ ideㄔ
 什麼是資通安全(Cy比 rSecu山 ty)? 靂觝ξ
犛
竹

— —

聲邊麛 妻 營籧 勝一
轟譯 攤 鼷
黃避發音縈琤法 坲 發 出 好㏕ 睜 脺 血 確 蜘 在其站

第一學 媲攤 C螄 五心齫 埶時成旅

聲一鶴 為巍擺雜轟齺象黃 政蟲 吐路 生＿T攭 功坤 #基 t阻斑 竹 扭㎞坡 娑 灘 銅虫』
址 名瑯 已
出㎞ 爞 越
選發全避 難 #鎯 雄 摭 睡 拖路蝕 A哦 幹 蟲 挪 紘嫌 鈕 鍾 礦 砒 抽
始.守文 :

境 各些盤鋒 喊 睡蛙 :鏚 i咖 斑 ㄐ坤 宙 崶餵 齦 ㄚ 邽 盅堪
一
牽心蟲短扎 竹 血 胡出
避 象塞金 乎麰蘲盤塹址釘 。
毓 抽 州 陲 ︳挽 蹴 雄 也蚋 出 曲 蚰 鍵 ㄠ偽 的 覷 ㎞ 睡 姓站 球
蹤 撼 意避 恕奄
瑚蟲 口勝劃定毒盜 # 一
由蜘 乩 襯 曲 啦 :齟 押 睡 蠟 幽 遮心
§璁醜 甘 描 筋盛 蝴 覷 擁 甘
蟲 齡 鏹 雄 巍 覷 虣 的 色王
晦

玈夥路黚 ║ 盼帥
妢師
◎ 盯 下C︳ C Modu︳ eη S︳ ide5

資通安 全法規 範對 象ㄔ
↘務機 爾 推依法行饒公權力之中央 、
′
ㄙ 賤穿
鑰籛鈐鉹 蟣 鋒籮鎀鐖 ︿
五 、

機 (構 城公法人 。但不盈括 軍事機爾及

六 、 關鍵基礎 設施提供者 、
推﹉
公營事業及政府捅助之財羼法人 。
媰雞銹 ︴

七 、爾;鍵 基礎設施 :龍 實體或虛擬 資產 、系統或

銹靆師

網路 ．秦功 能 一 真停 止邊作或效能 降低 ,對
鈱Λ

踐家安全 、在 會公共者｜ l盡 、踐來生活或經濟

銹黮銹的箴餒 華露苓鞋轟錼 磁簽翌ㄏ甚 妢郎

活動有 重大影響之 虞 ㄅ經主管驤 爾定幾撥

視孟公告之孃城 。
︿ ◣
、 羅再鍵 基礎設 施 提供者 撬 維蓬或提供 爾鍵
設施 毛全 老β或 ｜經 中央 再騎事業
主管機 爾推定 γ藍報主管饞躕核定者 φ
九 、 政 府攝莇 之 財 攤 法 人 推其營選及 資金選
撥 猴 姆 十
一篠第三填;親 定
♁打

遙 土法 魄 任及 其年度候算書應飲 用條 第姆
◎ byTC︳ C 填親定遙 盅法 院馨鸃毛 財攤族人 心 Modu︳ e︴ S｜ :de6
 T｛ °P． Γ
a七 ︳
onS七 echno︳ ogy〕 vs
。
︳
T｛ ︳
nf。 rmat︳ on techno︳ ogy〕 ︳
了

齡籛蹐妢 鑩 繗龘餘饑 β
師

P璟 停
逞爭尼
每
V告掙
彈普
七思
為審
善酵
發γ
乎
煦用F田 屾 n 嫵
S● 啦 螂
荊 唾 ︳

鑰鼞鑰 本
翰靆坤
—︴

籤一
卜 ▋︳ █

鑰黫鑰砵欽鎖 擊落路鑑簿姊
一
— — — —

瞴
螂
﹉
軸
螂
螂瑯

OT

錢 瓶路玲黔才 鎗螂
蜘
赫

紛外
Source:︳ EC62碎 碎3-2一 ﹁ 下
◎ 盯 下C︳ C
:de7
M。 du｜ e▋ §︳

忒
ˊ

資訊 安 全與 資通安 全 r已 π
— — —

ˊ資訊安全｛ 銹黫鐱紛 鑼 鑰籬 盼鐓 ︴
︳n竹 rma山 onSecuⅡ ︺〕
yandaVai︳ ab:︳ ︳
PreseⅣation o了 confiden七 ia︳ y,:n七 egr︳ 七
i七 七yof
:nfor︳ ηa七 :on
↙保存 資訊之找 密性 、完整性與可 用性
鋊廱鑰 外

IlSO︳ EC2了 000ln竹 rma山 onSecㄩ H︺ managemen七 SyS七 emS一

veⅣ :ewandvocabu︳ a呼 】
塕皺︴

。
TS㏄ u∥ 打 資訊技術安全
籤︴

︳
銹瀲鑰坤欽鎖 鞏竹

ˊ資通安全 ｛
cybersecuHty｝
路舉盟確師

Sa竹 guard:ngofsocie﹏ ,peop｜ e,organ:za七 :° nandna七 :on了 ron︳ cybe

錛 磁箜超矸盞 ♁餓

Γ:SkS
保 設社 令 ,人 民 ,組 我和 國家免於 資通 風 險 、

︳sor︳ Ξc了 S2了 ｛°OCybe倚 eCur:︴ 一OVeⅣ :ewandConc9pts︳

︳

了Secur︳ ﹏ 資訊 技術安 全 十0了 SeCuⅡ 牡 作 業技術 安

︳
紛將

Source:︳ S。
◎ byTC︳ C
Modu︳ eη s︳ ide8
 資通安全框架
Cybersecu“ ︺ Framew。 rk

鏻蘶鐑紛 鑼 銹簸鍛饑 外
yFrameworK(CSF): ｜
CyberS ec u政 在 王C下 R2了 ｛03
SO′ ︳
o

銹羷銹 、
鐒籗陣
事前 事中 事後

籤外鑰籛擁瑯欺報 寧牌
鋒嗧籮鑫銵 箛簽玲趶母 ♁螂
society peOp︳ e

〃 /‘ ′
屍〞 ↗6矽

燄竹
Source:︳ SO27︴ 03
◎ 所 TC｜ C Modu︳ e鬥 S︳ ide9

資通安 全框 架與 資通安 全 管理 法 瑟
露籈▌
﹏

— —

CyberSecu山 tyFFamework(CSF〉 銹籦鎙鎀 鑼 銹鼛鎀鑱 小

↙ ＿
＿

籛坤
籤︴ 錀籛銹
w彿

資通安 全
銹麰銹的爽餒 壨撥幾簽僠帥

資通安 全
資邏 安
全 報 及 應 變辦 法
特 定非 機 關資通安合 畫實施 情形稽核辦 法
鋒 魼窪翌﹃女 鉿妳

資通安 全情資分享辦 法

公務機 關所屬 人 員資通安 全 事項 獎懲辦 法

份外

Sou「 ce:下 C︳ C壆至

妥里
◎ by丁C︳ C Modu｜ eHs｜ ide︴ 〔
l
 資通安 全 管理 法 r色嫠戤
— — —

‵
資安管理 法 資通 一
女全管理法施行
)
ˊ
ˋ務機關所屬人員
ㄙ 細貝生
費通安全事琪獎懲辦法
澠

公務機關資邁安全管理 特定非ˊ
ˋ
ㄙ務機關資通安全管理
龘

資邁女金
責在等級 資邏安全
分級辦法 訂定資安維護計畫 訂定通報應變機制 事件通報
及療麰辦
法

特定非′
ㄟ
ㄙ 接受稽核 提 出實施情形 通報資安事件
務機關資
通女全雄 資通安全
護計鼞寬 提 出調查 ‵處理 情資分享

爬 施偝形榰
提 出改義報告 辦法
及改善報告
孩辦法

蟒
外

◎ 所 TC︳ C Source:行 政 ㄗ
完 Modu︳ eη s︳ ︳
de﹁ η

公務機 關問之 角 色與權 責 π已.r

﹏
機 關資安 責 任等 級
提 報 所 轄 特 定非 公 務

— —
資 安責任等級
提 報自身 及所 屬

相爾報告
資安事件
關鍵基礎

關資 安
供者

得 進 行 資安 稽核
進 行 資 安 稽核
提 報資 安維護
計 畫實 施 情 形

報 資 安事 件 及
改善 報 告

提出 改 善 報 告
建報 資 安 事 件 及
計畫實施情形
提報資安維護

行 資 安 稽核

設置資安長
．
訂定及實施資安維護計畫
． /
訂定 及實施資 安維護計畫
．
訂定資安事｛
． 牛通報 及 應變
訂走資安 事件通報及雄變機制
．
機籍 lj

紛
阿

◎ by下 C︳ C Source:行 政 Π
完 M° du︳ e鬥 S｜ ide﹁ 2
 資通安 全 責任 等級 分級程序 靂颻 靂
”

齃戤
— —

主.出 身 主管機關核定
汋 行政院

生.自 身
行政院直屬機關 (構 〉
、雀諮議會 2.所 饜機 關/受 監 督 及 主管機 鼲核定
邊 所管機 關

自 、所 關
主
直轄市及縣 (市 〉政府
謈
磕颱 優
2
主管機 關核定

直轄市及縣 (市 )議 會 、鄉 主.自 身 直轄市 、縣 (市 ｝

(戛 市 政府彙速
邁埶緊鼜鼻鱉婺

出
主管機關核定

擊
生.自 身
總 統府 、匭家安全會議 ‵立法
2.所 露機爾/受 監督及 主管機爾備查
院 ∼就法 院 、考試院 ‵監察院
所管攤 爾

盼
劬
師

◎ by下C︳ C Sou「 ce:行 政 !完

Modu︳ e﹁ S︳ ideη 3

)
中

鍕薽 窟
一 — —

翂靉銹谽 皤 齺黫銹鑈 付
舜籛鐫 掛
鏺黦四

資
觬舒鑰纖 鏻啊疑餾 路拓催移箠轟錛 磁學迢好車 谽姊

U
艙帥

◎ by下 C︳ C Modu｜ e一 S︳ ideη 6

 借訊安全 好蟲 露紙
nfor︳ ηat︳ onSecur︳ ty
︳ —
— —

鍋颻錀谽 鱗 齡攤燄饑 府
保 存 資訊 之 機 密性 、完整性 、可 用性
preseⅣ a小 on ofcon∥ δ面帝ia｜ ity,integrityand
avai︳ abi︳ ityofin了 0r︳ηation

鎗議鑰 永
一瑙七 女們主
再 C° n了 :d6nt︳ a〡 已
｛ ;七 ◤｝
．使 資訊 不提供 或不揭 露予未經授權 之個 人 、個體 或

錛謹睥
過程 的性 質 。

鉞崩鑰議錀妳玫齵 寧罨玲餵瑵 銵 蹴傘跲帥者 翰妳

︳
一 完整 性 ｛ntegHty｝
．準確度(accu「 acy)及 完全性(comp心 七
eneSS)之 性 質 。
＿市 Av田 ︳
r兇 肚｛ ab︳ ︳
︳紅｝
一質

旦經 授權個 體提 出需求 時 ,即 可取得 及 使 用之性

一
備考 :此 外 ,亦 可能包唅
可歸責性(accoun
u山 ㎝
臃窅ε o㏄

谽師
◎ byTC︳ C 資料來源 :︳ SO/CNS27000 Modu︳ e︴ s︳ deη 5
︳

*風 險仰sk｝ 與 風險 等級 ｛
leve︳ f山 Sk)
。
鑰羻鑰銹 鑼 錛蕪鎀鐖 ㄨ
山Sk〕
風險｛
掛 目標 之 不確 定性的效應
e帝ect0了 uncertaintyon o° jectives
鎀黤齡 鼠
躌攤姊
籤出

怡▼dof山 Sk〕
風險等級｛
紼黦銹郎數餵 鞏烝舉選轟錐 瓶窪翌好

風 險 之 大 小 ,以 笙果 及 工 盟盤 之組合 表 示之 。
magnitudeofar:skexpressed︳ n七 ermSof
一
生一

th● combinat:on ofconsequenceSandtheir

∥kd㏑ ood 彳
留 。行 屪
妳 H鋨
鉹汁

馬斤告ㄘ〃 多〡｜ 〞
房 s。 uΓce:︳ SO/CNS3η 000,27000
◎ by下 C︳ C
Modu︳ eη S︳ ide︴ 6
 SO3η 000:20可 8
︳ 瀰 齺 崩 鑈 皺 碎

靂我 愛
風 險 管 理 Risk rnanag。 ment一 指 引gu㏕ e｜ ineS

協數銵銹 協 鑰籛鍛鐊 命
#擁
黫銹抑繳齵 擊籮 侈鍰倦幼鐱舞銬 林
聯籛聊
瓶
#而 法｛
｛留描〃安
站插 雄 接夕

哧蹦 溺瞞 再擁
嚇 癓 9

銹 航移撥帥盞 劮仰
和 弦妐密$咐 撫 咖 多李 傘筋 癇 陷 徘 紘擁姆 砃

鬱拓
原則(P山 ndpl㏄ 〕 ameWo的 and過 程(pΓocess)
.框 架 Γ (了

◎ by了 C︳ C M° du︳ e鬥 S︳ ide可 了

風 險 管理 RiSkmanagemen七 一原 則 PHncip︳ eS ﹏

靂兙好
藦
— —

鑰籛 鏘劬 皤 錐髒 鎀鐖 式
絞 改善
聯籛 銹 軒

考慮人文 因 匕其 全 面
構ㄔ
僯籛 籤
A彿
籛 鐒師氀擺 肇撬 嗧窺霹 鎗 筋簽侈許 含 銹姊

製化
\

泛｛
才．
｜害開係人必須
妙J
S
3

適當與及 時的參與｝ ︴000

◎ byTC｜ C 原 貝〢PΓ inc︳ p｜ es Modu︳ e▋ s︳ ide﹁ 8
 風險 管理 RiSkmana9ement一 才
〔王
二架 FramewoΓ k

一
︷ ㄟ
姊黤 彿谽 路 齡讓 盼饑 ∞

)ˊ
彿錘 錛 ︿
持錢改善

鏺黫 娣
餓
撫 攡

$紛
錢齡︴磁玲啦擊名路餒舞 紛 磁壁理ㄏ各 φ︴
輜 鱵 孍

建王

φ好
Source:︳ SO3︴ 000
◎ by下 C︳ C 框 架 Fmmew● Γ
k Modu︳ e﹁ S︳ ide︴ 9

風 險 管理 RiSkmanagement一 過程 Process
J已◤
一 ㄏ 一

鏺靆鏺♁ 皤 鎗蹎妙鍛 琳
銵籛齡 心
坲黤竹
餓︴

直
銹燕銹帝玫餵 跫露路鉒確研
份 城壁足〃Ⅱ 鈔︴

ㄟo/
◇粹

◎ byTC︳ C
Source:︳ So3可 000
Modu︳ eη S︳ ide20
 6>見 畫︳P︳ anning 嬤

斖珮耀
ψ

鎀籛翰艕 齺 拂黮♁鑯 外
nfO「 maHon secuHⅣ 山
2資 訊安全風險評鑑 ︳ SkaSSessment
(╮ 6． ｛．
ˊ 組 織 應這義 及 應 用 資 訊 安 全風 險 評 鑑 過 程 於 下 列 事項 中 。
下heoΓ gan︳ zat︳ Onsha｜ ｜defineandapp︳ yan in了 0rrna七 ion

翁籛鎀 本
securityriskasSeSSment proceSSthat:
a)建 立及 維持 包括下列準則之 資訊安全風險準則

鬱籮螂
estab︳ ︳
shesandmaintains informaHon secu“ ty一 skcHte山 a

籤外
thatiΠ c︳ ude:

佛黫鑰郎鎡
﹁)風 險 盛璗理捍 ︳the山 SkacceptancecΓ 比e由 ;and
2)履 行資訊安全風險評鑑之準則 cHte山 afor pe而 rrn︳ ng

玲堅嗷 確務艋路館
inforrnaⅡ on secuⅡ ty〢 skasSessrnentS;
b)確 保重複之 資訊安全風險評鑑產 生一致 、有效及適於 比較之

噰 航踞嬐帥華 艙師
結果
enSuΓ es that repeated ︳ ation secu「 :ty r心 k
nforrΥ ╮

ents produce cons:StentJ va︳ id andcornpaΓ ab︳ e

assessrΥ ╮

盼拂
esu︳ tS;
「
Source:︳ SO2700η
◎ bytC︳ C Modu︳ e︴ S︳ ide2η

D
6規 畫!P｜ ann:ng 露瓶 慶
﹏

一 — —

銹籮鑈鎀 衊 餩黮♁鑯 煞
c) 蠽 南｜資 訊 安 全 風 險 心 en小 ⅡeSthein了orma甘 onSecu︻ ty山 SkS:
● 晸 、
馝蠿靈酓瓛 、 錁魒鶷
駋ㄓ馬酷罕楚ㄤ選ㄤ生占
f綠:瑤r提 :f
鐒鏕齺 泓

酃 確銎必驟 驟嗧群:堅 鱳 黯
犓邏蟒

en七
敘ㄨ銹籬銹姊蔑餒 肇羅夥錄彈 銹 缽銎諲

;and
systeΠ ╮
者 心enj印 怕e山 SkoWners綁 門 ′管
2) 別風 險擁
一
d)分 析資訊安全風險ana▼ sesthe;nforr｜ ︳
aHon secu山 ty山 SkS:
︴〉評鑑若6.η .2(c)(可 )中 所識別之風險實現時 ,可 能導致之潛
在後果
aSseSsthepotentia︳ consequencesthatwou︳ dresu︳ tif
r華

therisks identiⅡ ed︳ n6.可 .2c)︴ )wereto rnater︳ a︳ ize;

谽郎
妙坤

Source:｜ So2700︴
◎ bytC︳ C ╮
πodu︳ e﹁ S︳ ide22
 6>見 畫︳P︳ anning
慶找口
β
— — —

鐒灘 鍋鉿 礔 錼黰 谽饑 →
2)評 鑑6.η .2(c)(η )中 所識別之風險發生的實際可能性
assess therea｜ istic︳ ike︳ ihoodoftheoccu「 renceofthe
心kSidenti了 iedin6＿ η .2c)η );and
「
3)決 定風險等級 de七 errn︳ nethe陷 VelSofhsK

銹麡 鑰 本
e)評 估資訊安全風險 。

錢繖 姊
eva︳ uatesthein竹 ajOnsecu〢 ty山 SkS:

鎡命
rr了 ╮

紛籛鑰師欺報 寧咑
η 2(a)中 所建立之風險準則 ,比 較風險分析結果
)以 6.︴ 口
compaΓ etheresu︳ ts ofΓ ︳
Skana︳ ysiswiththe「 iskcr︳ teria
estab︳ iShedin6.η .2a);and
2)訂 定已分析風險之風險處理優先序

擺嗧簽撥 鐒 赫瑟冷師 才 唦︴
priorit︳ zetheana｜ ysedrisksforΓ iSk treatrnent.

φˊ 組織應保存關於 資訊安全風險評鑑過程之文件化資訊
etaindocumented︳ n了 oΓ mationabout
下heoΓ gan︳ 2ation sha︳ ︳Γ

燄師
theinfoΓ majon secu山 ty山 SkaSSessr了 ╮
ent process＿
◎盯TC︳ C Source:︳ SO2700︴ Modu︳ e﹁ s︳ ide23

★風險評鑑過程範例 (巨 Xamp︳ esoftechn咰 ues

in support o了 ther｜ skasseSSment rocess)

〞 名娑方π 銹簸 繗
← ︼
一
︳≧▼兮丘七已出占色d 且°°r● 女Ⅱh
一

De$lr兮 de且 dS故 水ε

無虫 的 在r女 Co扭 §§嘍ueh七 e§

﹏ L° 巧
玲:° fFi巷 女

§〝pporun各 五子 i欺 ood
一
手e守 L主 ︳
ㄍ︳︴

●
千

㏑路mS扭 d作 r中
多
—

◣ 法

k呼
虫｛ 破

§
嘸 坤 盅 生 出Ⅱ hΠ m浀 n無 兮社r王 呼 A$故 牙a〤 耳 田四時且七C° m↑ o班 且仁S
一

︸
、
甘 紛妳
妢外

SouΓce:︳ So270。 5
◎ by下 C︳ C
Modu｜ eη S︳ ide2｛
 風 險評鑑 與處 理 的 主要 目的 靈擺
蟲靂
”

— —

銬齷 鋒鎊 鑼 銹 雛 鍛 饑 銹 籛 銹 鎀 籛 姆
╮ ˊ 避 免發 生重大 資訊 安 全 事 故 或降低 重
一 大 資訊安全事故發 生的可能性
ˊ 一旦發 生 資訊安全事故 時 ,能 迅速

外
口

應與復原 銼 Re由 ︳
心nce)

求
ˊ 一旦發 生 資訊安全事故 時 ,使 其對組

鈚 彿 籛 蠮 姊欽 鎖 寧 搖 移窪 雜 銵 竑彈冷帥 各 鬱 鄉
才
織造成 的衝擊降至最低

鍛抔
Source:TC｜ C整 理
◎ by下 C︳ C Modu︳ e﹁ S︳ ide25

★
後 果 量表 範 例 ↓

β觝好
好
EXarnp︳ eofConSequencesSca︳ e
— —

鎗籛 鋒鐪 鑼 彿籛 翂鐖 然
ε 己δeq︳ ●Ⅱcε s J錯 ε
坤七竑
。
各班 步仁§n∫ ε母出§Hε eg也 兮y$﹏ 彥兮
Sec留 ●r or〔 g在 Ⅱ h兮 6r發且i它 斑王 ◆且
．
乩 b出 錐 七控士 級 i強 C竹瑵$㏄ 路
p甚 reC6Sy故 亡m〔∫l,w扯 扭的 社 εq盤 配 告辛t出 改 伍灶be站 ㎎ 去 站 住坨 .

And乃 ﹏ d七 出 εu王 路 r仁比 S七 狂 魴 a㏕ 6Ve出 a且 t且 mp在 C:班 扭 ε女Su跎 gr6gtl♂ 掩 呼 缸 注C〔 i° 丘 0r

g一 C巴 守
aε 它
r$phㄦ 中
6he爸 ξi七 S〔 且i努 鋊h§ °f︶ 又
七a王 主
主npo↑ 七
εhε e＿
y¢ 〔傘g玲 °↓Sa無 dpr〔 聆gt竹 〔he&Ith
A#在 /or:cr放 竹且1C6且 $e快 妞令4ε兮§6nthe§ 出免七 !啊 °r
含
鐪靉拂 心

Crig︳

比 土盟e扯 出 p6｜ 銋心6透 ,路 StΥ uct拓且°f銘 比 土t6含 玉㏑ 竹爸趺了仕ε故 化 鈣 C竹 ｝

6nΨ 主

D二 ε&就 r$社 96。 且孑q確 ugⅡ Gε s竹 鈕 q以色五且 它a在 丘o在

鐪籛 姊

冬女C女 p鈕 i七 y助 它 E° raaoru° 丘6Fi︳ 在色

〔
he° r傳 ahi2女 址 n七 6兮 鈺 ure爸 一 ε七
玉V二 竹﹏研妞 p.s§ 站路§eriou$
在 εr姓 比在︳ ε6土 S告 q比 丘ㄜg舍 §且出兮Sa斑 Ψ 6fp也。 rS§ 丘$爸 憾 u° p針 班 ↑路 ♁㎎ 爸且i名 爸七 ︳δ且駐止士銓㏄ t︳ 注文ε拉 h就
籤站

一
°㏄ rC台 路恐爞eS比 4出 6D且 〔 VaⅡ §出路法推n兮 ¢ ,在 比 紅 t更 v王 牡 鈴 C6σ 弭 °rSta竹 S兮 C它 竹 S鈺
玫SS法 r甘 之
鐱籛 鈐師爽鎖 鞏露 緇羰霹銹 航鋒路許 音 嬐師

班足
1工 蟲 比 Op母 了a七 鈴 Wi堆 女
i㎏ $$ea骼 c竹 婊 a屯 就 軌 w主 〔lη 伕t銘 y甘 仇 各 蹈 $tihg

a斑 途之cs土∫心q上 忿疋 ε§缸 出 心εrg丑 雄 Za仁 協

全也色§七

故 齡 deg銓 d放 站發主 n出 epe｜ 拓 在且εe必 磁 e含 Ct竹 主哦 #挺 狂po合 並斑在 帥 站 出 址 ε㎝ §6q毯 e延 §S

g出
琴一$#的 呿$ =血
on 扭 e單 合籍 好 φrp斜 S° “ 含B頑 pr$pe=$兮 he¢ 確 各土佐無 i° 在Wi玨 DV兮 rε °路ε撥 eg站 u饒 路生竹比亞
ti努 $pe比 吐斑 扭 法在i出 班 在略 r描 亡遠m6在 ¢ 碎比路 u路 琌 乩 心
6出 di盟 c珪 在
∫研 〔 t0了 §比 t出 ei路 p孔 已

§㎏ 雄 至比 工雄 斑 七上︳
班主路 在 εc且 S含 q避 且ε路 鈾 r仁雄 or醉 血 2雄 心4
Jε gr餡 合的 ni且 扭 e多er飴 r扭 a且投 拼 址 ea曲 V玉 牡 w主th住 6m仕 Seq比 土㏄ S° 且它㏑gga描 玗 爸rp餅
-
且m丑 6
2﹏ 虫g且 五
忌0n§ a且 dp才 °per七y.Thε 出 巷a在 王
鈕 七i● 且 括 路 Spi扭 a比 扣
u盆 工§Verco扭 ε 七且eS比 在金Ⅱ6且 七 Ψd︳ ff好扯lt〔 εS

$p甘 確 七路 發 ind叱 路 d§ ¢ m° d母 ‘

各土
︳tg正主 兮 七↓n∫色quㄝ 土6§ S出 rt出 岔 Jrg在 且主
出Ⅱ Zatio出

且●r
土-n旺 土 N6ε e丘 §召φㄝe且 ε笛 o且 @p念 亡血 o正 g針 七工推 p各 r路 rm左 1迢 εaFt㏑ 出 七Ⅳ iΨ 6r攷 山ega拖 母 or伊 舒g0丘 g
含ndp玲 p守 Υ住 》 兮臥e◆ fg含 且挖 斑 i。 竹 竹 i玉 主a一e#¢ mem兮 S比 甘雄 i° 在 W求 仁在ㄑ
路 七﹏°無 Whdj甡 u野
兮
鉿挪

竹 a吧 牧 §W跟 丘eㄜ ohS娃 在 ε¢ .

Source:｜ SO2了 005

◎ 所 Tc｜ c Modu︳ e︴ §!ide26
 ★
可 能性 量表 範例
ke︳ ihoodSca︳ e
巨Xarnp︳ eOf了 ∟︳

佛籬 拂
╮
隘 Ⅱ法§od
〦主 丑弭φ中 七
妳Ⅱ
Υ her二 奴 兮仈 】rG§ W:︳ 王出 °$〔 C兮 rㄝ 無 n中 Γ兮各出 :兮 $° →i。 c注 軨 盯 社串加 gq竹 °f扭 兮 ε°n$【 dg4妓

S︻ A】 田
n●ε守f兮r君 於︳
㏑ m兮 〔
kφ d$ofa︳ 抾ε
k.

The王王
ke王 ︳
ho心 d6r七鈺er上 SkSε 念且&出 0主 ∫V◆工y出 拍好在 .

Th£ h故 串°u㏄ eWil︳ prob求 b℉ r缽 ε如 i七Sφ 姊 ec室 打 兮幼y〡 s王 ㎎ on念 φf出 令C° 土$id↑ 了¢dme出 ︹
在︷Υ兮呼 Ⅱ㏑田ˊ °a$◆ f↑ 兮
︴爸心比
↑h兮 攻文aih◇ Odo又速 er子 $l〔 9兮 e且 今h。 拍 扎ig!i＿
T㏑ r王 錶 βoⅥ rc兮 兮m作 兮出
i$出 ︴ As曲 e㏄ 王碑 打 usi㎎ cm兮 °f妞 ec鋼 Sidqredme出 ods
3… L出 【
e!y ratt御 ε
虹
。
Th兮 i且 ㄍ立ihoodofthoh日 kSε 守且a出 °且
︳ S$主 g且 i出 εan｛ .

Thε r二 君玫sourceh嗧 矺 ︳ at至 竹 ly玉 放ueε h鈾 CeOrf提 出 ㏑ gi七 §Obieε 在推 竹 u$:#g6且 e㎡ 出 e

｜
2一 ︳
出色舒u蛙 致●
〞 conS:妳 ed︳ n冷 有h° dS$rat在 斑 上.
℉h守 li玉 以立
lβ σd.f法 睜 r主 §k毋 εgn令 ㎡φ妳 1批
↑hε h無 s唧 r(eh令 爭﹀兮ryliㄜ︴ Ⅱg社 §φ#i兮 εu軨 町 ﹏#Ⅵ 塞¢〦e。 f$eε φn∼
¢出 且nε g◆ f堆 挕 址王
女
上一UⅡ 工
王kφ呼 aer牽 a!n兮 t扛 .住 爭°r串｛
S甚 兮a¢ k

Thei主 土ε班ho● dor由 er二 Hkgce且 在ri0王 gv母 Ψ ㏑鞋

′再 谽郎
鍛眝
◎ byTC︳ C
Source:︳ SO27005
Modu︳ eη s︳ :de27

★
風 險 準 則 定性作 法 範例 …

EXarnp︳ eofqua︳ ita七 ︳

Veapproachto riSkcriter︳ a r
β也口
— —

錛靆鋊紛 鑼 鏺

心$m§ 母堆‵母Ⅱ呼母
生且妳茁
玉王h$毋且
田每往rqu扭 玉
C撥 社 兮 εr垂 出
盞兮扭王 :S母Υ比班年 本王
留鈕︳
吝盟G放 且古 Ⅲt王 出$r
A一灘 g寧 社C出︴盡達
且 一
VgΥ 華丘堆女 勒安 域堆扭 世鞚灘
=y監 再
i追 撖兮出社班
野 要王
i女 的 推 Ψ 在堆缸 球璁濕 瑕王
基藪 鍵兮血靼斑 生伊町
扭效在甘 封地坤 摸i齡 錐§吐6求 m 豇$W 虹D姆
歡琴報 再穿H4王 故 承妙 雛佳d且 單m Ⅲ e蝕 芭雄 L各 W 色毋W 寧容ry妳 師
守Ⅲ且
她哲 豇毋盯 已召W 9
L° 取 機 Γy盞 $馬 叩 V雷ry二 Dw
舉 鏺 磁壁 翌 〃

忒
磁 .盼
φ跡

◎ byTC︳ C
SouΓce:︳ S○ 27005
Modu︳ eη S︳ ide28
 ★三
色風 險矩 陣評 估 量表範例
onSca︳ ecomb︳ nedWiththree一
EXarl╮ p︳ eofeva︳ ua七 ︳
竹

齏氖 靈
— —

紛難鑰鎀 鑼 拂難谽
∩

L邵 埤登or斑 工k 致玉
$生 母V母 土
球在七
ib且 Be㏄r妙 老
描在
缸au〔 拌 子站 五e¢ φ冷留
守各〡
¢甚$玉 $ T鈺 e=亡 #k兮 跤笓h兮 $¢ ㄈ 比兮u在
兮p七 e4名 u在 考 士
拙〔比er&‘ 冬
王兮跤
.

A拍 止oW﹏ 寸擊 扭 捶 r出 S必 r甚 $k俄 甚姓#gε 放 各單在§h° 捄mb兮 ε6h4社 C幣 d

恥 蝕 齦 狂岫 哦 qu止 d¢ rC◆ 且定
T心!eξ a也 三 r° l 谷maaC才 i$且 § $丸 ou:db兮 $φ ㄜ4單 王 ︴a雖 °巧
土 th兮 士 吇◆r∟ orc° 址｜inⅥ ♁球S
工扛pr◆ 碑 錢 ¢放母¢V¢ r七 缸兮工
生 在ed女 u出 笛土瑋王 ♁n峉 各¢r扭 ′

M兮 我善以re$寄 δrξ 佳彈Ⅵc主 mgt攻 兮 r這 $歅 甘在♁班正在 砝各Sφ i班 兮爸班 扭et甚 土在比

駐堆h帥 出 兮p球 才進
U珪鈕¢ 兮 主nt缸 #齥 r兮一七母r鈕 .♁想且e蜜 愚(主 $@才 &王 上兮r在 p♁ rt丘 o出 今Ξth兮 故ㄈt=∵ 圭F
§且◆球三
在 b¢ !6救$¢ d.

巖緇嗧箋撥僯 航華塕跡 選 鎗瑯
鎖師
SouΓ ce:｜ SO27005
◎ by下 C｜ C
Modu︳ e﹁ S︳ de29
｜

矛
風 險 矩 陣 (日 SkMat山 X)範 例

鑈簸錛縍 鑼 綹雞鎀鑼
ˊ 風 險矩 陣是 用於風 險 管理 的工 具 ,以 定性 方 式透過評鑑 事件
生 可 能性及發 生後 的嚴 重後 果 來 決 定風 險 等級 。
ˊ 風 險矩 陣縱 軸 為 可 能性 ,橫 軸 為嚴 重性 ,兩 者相 交的 區域 可
立 風 險級 距 。
A鏘
籛鑰 法
銹簸姊

嚴重性
籤小

A B C
鑰籛銹妳疑錣 鞏羅幾瑤儸帥

5
可能性

3
2
鑰 鎡發殺Γ吝 谽妳

風險矩陣範例
鎀粹

Source:︳ So27005,︳ 巨C62碎 ㄔ3-3-2,下 C｜ C整 理

◎ by了C︳ C
Modu︳ eη S︳ ;de30
 卡
後 果 或嚴 重性 量 表 範 例
(Exarnp︳ eofconsequenceorSeVeritysca︳ e)

鑰簸 錛妢
頧男 lJ

義陸
求蟲齸灥菗韰

中)::

姊 :妙
妢好
Sou「 ce:資 通安全 責任 等級 分級辦 法 一 資通 系統 防護 需求分 級 原則
◎ byTC︳ C
M。 du︳ e鬥 S︳ ｜
de3η

啪
後 果 或嚴 重性 量 表 範 例 十

β我 尸
(Exarnp︳ eofconSequenceorSeVeritysca︳ e)
— —

鋊簸鋊紛 鑼 鋊籛鎗鐖 本
ˊ 除 了可用性為OT系 統的重點 外 ,OT系 統也要考 量一 旦發 事
故 ,對 Hea︳ th andEnV︳ ronme
HSE).可 能造成的後果或嚴重性 。
｛
鰳籛錛 餟
鑰黮林
簸︴鱗黮錛螂欽鍛 鞏羅聬駕鏤竹
鑰 城聲螳╭︴ 鈖協

｝
紗肺

◎ byTC︳ C
Source:︳ EC62碎 碎3-3-2,下 C︳ C修 訂
Modu︳ e︴ S︳ ;de32
 毋
可 能性 量表 範例 ψ

靂紙 靂
(巨 eof｜ ike︳ ihoodsca︳ e
Xarn ︳ — —

銹靆鉧谽 鑗 銵籛繚鐖 外
可 能性 量 表 引導字 可 能性 描 述

銹雞鋒
5 幾乎確 定 缺 乏控 制措施 /或 控 制措 施 完全 失效 ,幾 乎確 定

A銹
雞啷
有可 能 降低發 生可能性 的控 制措 施 設 計 不足 ,及 現 有控 制措

籤無
路
施 失效 ,有 可 能 會發 生

鏞黮銹林笑報 華絲
3 可能 降低發 生可能性 的控 制措 施設 計 良好,但發 生部份控
常措施 失效 ,有 點可能 或常見的發 生
l︳

2 不太可能 降低發 生可能性 的控制措施設計 良好,但發 生部份控

緇硌麔轟狒 城鉹艙跡各 鎗仲
帶l!措 施 可能失效 ,可 以想像但 不 常發 生
︴ 幾乎不 可 能
降 低發 生可 能性 的控 制措 施 設 計 良好 ,且 完全 有 效 ,幾
乎 太可 能 會發 生到可 以假 設 不 會發 生

S0urce:︳ SO27005,︳ 巨C62碎 碎3-3-2,TC︳ C修 訂

鍛師
◎ byTC︳ C
M。 du︳ e鬥 S︳ ide33

★ 鑑過程範例 (巨 Xamp︳ esoftechn呴 ues

守 風險評
°
nSu
︳ ort o了 theriSkaSsessrnent procesS

彿籛螉鬱 蠵 錛籛谽鐖 “
nfor了 ⅥationSecurityriskcomponents
｜
●eomponents re〡 atedto thepast:
一secur︳ tyeventsandinc:dents(both︳ ns︳ dethe
鐑黫錀 打

organ︳ zationandouts︳ de);

一 Sk sourceS;
鑰羷姊

r︳
颻㏄

一 eXp︳ o︳ tedvㄩ ︳
nerab:︳ ︳es;
t︳
螉灘銹妳幾鍰 鞏露幾麛鋒解

一 measuredconsequences:
銹 齦發韹好發 鉿螂
劬師

Source:︳ S○ 27005
◎ by下 C︳ C
Modu︳ e﹁ s︳ ide3ㄥ
 ★
風險評鑑過程範例 (Exarr︳ p㎏ softechn呴 ues
inSupport oftheriSkasseSSrrlent rocess)

皭黫銬妢 鑴 拂黮餓躐 不
nforr!﹁ at︳ on securityΓ iskcomponentS
︳
● components re︳ atedto thefutuΓ e:
一 threatS;

鑰靆鑰 ‵
一 vu｜ nerab︳ ︳
ities;

一 consequences;

鱍躣聯
籤府
一 sk scenar︳ OS.

鑰籮鑰郴數齵 鞏搖硌餵轟 鋸 蹜華跨黔— 筋帕

r︳

谽汁
◎ by下 C︳ C
SouΓ ce:︳ S○ 27005
Modu︳ eη s︳ ide35

★
風險評鑑過程範例 (Examp眙 Softechn咰 ues
r戤π
nsu
︳ Ort ofthe〢 Skassessrnent proceSS) — —
—

資產 Assets 鋊靆鐱鐒 鑼 錛激鈔鐖 小

ˊ p山 rnary/businessassetS一 ︳ °n or
nfor呂 Ⅵa七 ︳
proceSsesofva︳ ueforan organization;
洪下hePrirnaΓ y/bus︳ neSSassetsareORenusedin theeven一
齡黦鑰

basedapproach(identi● cation0了 eVentsandtheiΓ

consequences onbusineSSasSets)＿
m蝴
黫妳
簸
黮鋒姆坡鷫 孥露苓環雜魽 $鐊

ˊ suppo㏄ ︳
ngassets一 cornPonents ofthe︳ nfo「 rnation
systeⅣ╮onwhichoneo「 Seve「 a︳ bus︳ nessassets
arebased.
汁 TheSuppo㏄ ingaSSetsareoRenused︳ nth ed
銹 報箜靈 安 姼碑

appΓoach(︳ denti市 cat︳ onandana︳ ysis ofVu︳ neΓ abi︳ itiesand

threats on theseassets)andin ther︳ sk treatrnent p「 ocess
(specification oftheasset(s)towhicheachco白 tro︳ Shou｜ d
♁妳

beapp︳ ied).
SouΓce:︳ SO27005
C
◎ by孔 ︳
Modu︳ e︹ S︳ de36
︳
 ★
風險評鑑過程範例 (巨 Xamp︳ eSoftechn咰 ues ψ

靂瓶 靂舐
in support o了 theriSkasseSSment process) — —

銹籛 鐑紛 齺 鐑籛 紛饑 “
墦一 壣一 鐑

鐒籮 鎀 本
銻籛 柳
籤→鏞籛 銹娜觨玲堅發 路銹第轟鏻 鎡多啥野
$erVe︴

I女 免r站 女 缺︴
t一

#妙
土r笛 Atㄥ 好 &#aS$兮 七吐兮狩建接飽 路Cˊ gr錚 出
-E為出在p≡ 兮﹉

師
紛師
=堆

◎ 盯 TC︳ C
Source:｜ SO27005
Modu〡 e﹁ S︳ ide37

★風險評鑑過程範例 (Examp︳ esoftechn㎏ ueS ﹏

彈舐〔
蛋
inSupport oftheΓ :SkasseSSment rocess — —

ˊ“ ”
鐱籦 鏺劬 鑼 鈐羷 艙鐖 ㄨ
Administ「 ato「 (type:hurnanresource),wh。 ,r not pΓ ope〢 y
trained,propagatesarisk to theaSSet.
ˊ“ ”
Ma︳ ntain︳ 下 (type:seⅣ ice),whichpΓ opagateStheHsk to the
asset.
’
ˊ “SerVer” (tyPe:hardWa「 e)or to七 heaSSet“ Ne㏑◤
or《 (type
蟒籛 銹 町

ne七 WOrkconnectiVity).TheSeⅣ er,:fitStops operaHngoΓ the

鑰簸 姊

rniSconfiguΓ edne︴ wOΓ kcausestheaSSet.

ˊ WebPoΓta︳ ” ype:app︳ :cat:oη ),to st。 prunningor tobe
“
餓妳

(七
鏺齻 銹師嵐輟 筆露 雀華傑卹

unava:︳ ab︳ e.

‘ ’
’ ‘
VVith° ut‘ VVebporta︳
,thebuSineSs proceSs‘ ShoW:ngoΓ deΓ and
’
invoiceprocessing’ does not o帝 ertheintendedprocess七 0the
cuStomerS
鑰 跡爸翌一參 紛聊
翁妳

Source:｜ SΘ 27005

◎ by下 C︳ C Modu︳ eπ s｜ de38

︳
 ★
風險評鑑過程範例 (巨 Xar了 lp｜ eSOftechn咰 ues 麟 母

籚允捷
inSupportOftheriskasSeSSment p「 ocess)
坲
屔

εθ村乎
石eVβ貯εβ
uθ W幻 ︴母女o珀 加 汝如 叩

→ ε︳ ．
i杆 ε

招 a硨 工
亡
η︴加館了

lt今 ° 色
舔 竹伊P↑ rㄜiε§打
竹 pㄉ ㏄ t﹏ ˊ
εη站J再 a｜ 瑚
牡 拄i府 H● 好βgε λ｜‘ 宮99

A§ se一 ba§ ed
KEifⅣ oop
已′
pqfat千 ona【 Oper公 t主 ◆我aI
→
°PeΓ 村i° n缸
故Ppr° ach 兮
。εgna∥ $〔 在 g〔 已且含r王 6 6及 )r胡 σ【
φε9η 加 #η 了
SCeh寂 rl° SCeh合 rio〔 n
各
ㄜ彥ㄉ¢
打oβ 召
爸冗出β99

已F子吼

→
R五 S╓

6ε ε
t2且 φ

j文 apses$班 qn︴ base在 o互 ri9kSε .且 ar玉 oS

王
F二 君社r● A.心 r【

可翁師
—
—

鬱師
Source:︳ SO27005

◎ byTC︳ C
Modu︳ e﹁ S∥ de39

★
風險評鑑過程範例 (巨 Xamp｜ esoftechn咰 ues ﹏

齷颻 齷
nSu
︳ ort oftheΓ iskasseSsment proCesS) — —

鈐教 鏺幼
ˊ
T在6王 兮A︻ 王2— ︼歐 求mp王 β$.安 r二 s故 爭ε兮狂蜜ri¢ 9且 n扭 ¢笨
監在pㄗ r° 色6he呂
—

A珇 ︴h° fi它 社riㄥ n Λεqu安 效ng女 ︳ 求r崔 它

gg甚 ca﹏ Sub〃 乇r｛ ingcr王 6i¢ 吞1主 且fFa§ 甘r出 εt甘 rε §ep王 oγ 玉ng虹 丘dd令 nandp兮 rS上 S常 兮且〔
合七爸g令 七aC放 VeC守 °r 出 含1牡 are玉n茗 h兮 Supp︶ εh盆 宜n

O6g含 且i2edCriγ nc Deve王 op出 εntDξ i二 Iega玉 E王 p汪 〔

h︳ 安出6且 DfpOrtin安 raε ︳
ru出土re mfilt&± thn◆ f七 五edOckε rs｝ uniOn
二
aε 它在
Vit主 εS
r° 王oraεomp社 t守 r二 乞
︳兮k玉 n蜜 ε$且 七 e通
r1♁ W且 an&g兮 me且 在$y$tem

T甚 Ⅸ心甚r0吐 ∫ ←aud
破王 兮rg念 ti扭 g♂ h您 Ⅱ Co扭 p巀 n玉 含S亡 ° C§ rry
°世七ξ守故← e〤 ch君 ng兮 S兮 土 theㄜ 含r如 on
七aXma← 路 t

EX︴ ♁r七 i° n hgra必 °B】 解are

D求 Strih吐 小
、
地各 r兮 SS且 ye↓ u谷 ← ob主 §in王 五g公 扭ar飲 et mo︻ 王
hau兮 nε 二
ng一 ┴令r¢ g址 I巨t° r CoIr#p︴ ng︴
立 d兮 兮i舍 i° n一 ma衣 εr
ness 女opo︶ 又εmovi且 思εOmpe七 i宙 0rS D§ famationc公 mpa玉 gn° nSocial且 et︻
#or㎏
跢跅 盞 盼 妳鎀 打

Source:︳ SO27005

◎ byTC︳ C
Modu｜ e﹁ s︳ ideㄥ 0
 ★
監控風險相 關事件 斖瓶 靂舐
才

MOnitorin riSk一 re｜ atedevents — —

鋒簸 鐑鎊 騶 銬議 艕齺 守
u6● 拾 ｝鬥

a蟲 n!出 F 多∮於 °才㏕

go先印途〔d 市g路 甜〔
｝≒β
咐

i外 路碑$昤 aP放 (Ψ

銹麶 鎗 本
P
｜
夕路 Cσ 鈴 榦
pΓ !ma呼
爪路 Ⅶa任 ¢Ⅱ
又

齴籛聊
︳
°任〔
丘
一

籈何
e啦 竹竹 °Ft挺 山出 °n竹 °hm又 σ
把士

螉雞 鑰郎箙暡堅鯬 嬏簃盈攤魽
㏑q寸 °虫
在治 站 #破 ¢︸ ●餓 無 CV宙 ㏄ ¢$∮
七
:曲 時

出!6he社 甘m在 o肚 q再 ㄝ
、 eㄇ 再 玲嘸 ueⅡ cy

出︴gg¢ ↑¢raΠ 甘●分

︳出出《仁oH
Ⅶ㏑ma
d法 ↓牙 磁〈j● Ⅱ
一日 i亡

鐪 瓶步撥許 毒 妙轉
蟲 扭 -︴ h° dr丘 乏〔
治Ⅱ
路芷ur．
一remov♂ 【
′
4芒 :︴ :掛

由找 笛- 甘水兮6eS谷

B◆ 亡§↑BT斑 $d4年↑肆土二

鍛抔
r鞋 社rε A!g﹏ 出
E又 石 p王 ca︳ 放扭

一
Source:︳ S○ 2 70︳ 5
◎ by下C︳ C 山Πdu︳ e︴ S︳ ︳
de4┐
。

★
風險評鑑過程範例 (Examp冷 s of七 echn呴 ues
nsuppO rtOfther:SkasSeSsment proceSS
︳

鐱鼛鑈鎊 鑼 銹籛 ♁鐖 依
● 定 性 作 法 Qua｜ 比at︳ Veappro孔 h
一 Consequencessca︳ e後 果 尺 度
一 凵kdihoOdScale可 能性 尺 度
錛籛齺 才

一Leve︳ OfHsk(山 Skmat〢 X)

鑰籛碎
瓾“

● 定 量 作 法 Quant:tativeapuoach
鏺籛銹師爽錣 肇露嗧瑵蘀 鐒 銥壁報′食 盼妳

一 Fin:teSca︳ es

●
妢師

Source:｜ SO27005
◎ by下 C︳ C Modu｜ e﹁ S︳ ideㄔ 2
 風 險示 意圖

佛黤 鑗綸 齺 鋪難 鎊餓
｛

風險來源
腦 控制措施
(減 少脆弱性) 脆 弱性

脆 弱性

.彿
雞鑰 本
風險來源

嫋難 師
舨

我命
全事件)

銹籩 婚螂數餾 鞏竹
脆 弱性

播縐鑑僠姊
脆 弱性

銹 蟻移凎野 手 鬱螂
Ⅳ 控制措施
(防 護威脅)
風險 來源
風險 來源

縍抔
◎ byTC︳ C
Ⅳlodu︳ e﹁ s∥ de冷 3

與機 密性相 關聯 之 風 險 項 目範例 露甔〔

π
﹏

— —

鑰籛 鈐♁ 鑼 銹繌 幼鏹 溶
翰籛蠮 好
燐攤 晦
銀水齺籮 齺師鐑掇 鞏雖 夥幾鋒館
鏺 贆墅超ㄏ登 翰師
鈔師

◎ byTC︳ C
M° du｜ eη S︳ :de冷ㄥ
 與 完整性相 關聯 之 風 險項 目範例

銹籬鑰紛 璐 繗雞燄鐖 ”
∩

齡黫鑰 式
鐒籛的
籤→鈐雞僯姊欺輯 鞏確帶鏖轟筠 就壁理ㄏ子 Φ坤
鋒竹
C
◎盯 孔 ︳ Modu︳ eη S︳ ideㄥ 5

與 可 用性相 關聯 之 風 險項 目範例 ′〦 β
〡

— —

銹錘紛紛 皤 鋒籮鎀鑼 ︴
銹鏺銹 小
$鑈
銹籛再
錢
纖銹︴坡餵 鞏露玲簽舉 鈐 磁壁理Γ丑 谽轉

●
幼打

◎ by了C︳ C deㄔ 6
M。 dU︳ e可 §∥
 考 量組織全 景/業 務/議 題的

錛驤 齡妢 鑴 佛黤 嬐爞 密
針對議題
駭 客是否可能入 侵 內部 的AAA系 統後 台 ,導 致 大 量用
戶個 人 資料 外洩 ,並 向組織 進行 勒 索 。

銹黮 鋊 八
=>衍 生風險情境(包 括瓶麟無黚 主要資產與支援資

鐒謹姊
籤”
產),例 如 :

鑈繖 錀一欺鎖 寧餡
因內部人員安全 意識不足,驤 鼛以釣魚郵件入侵內部
某個 人 電腦 ,且 內部 網路缺 乏 入 侵 偵 測機 制,駭 客長達
6個 月在 內部 網路 流 竄 ,並 成功 入 侵 內部 的好玳 系統

鑼鋒窪姦銹 磁華跲黔 吝 幼林
,且 系統缺 乏 入 侵偵測機制,導 致 駭 客竊取 大 量用戶
個 人 資料後 ,向 組 織 進行 勒 索 。

給擗
潛在後果=>A,可 能性 =》 碎,風 險 等級 =>高
◎ by下 C︳ C
Modu︳ eη s︳ ide冷 7

SO27005:2022)虱 心冊針評 鑑
︳
螉黰 鑰鬱

遜雜將齺方 ,雜 館鐖容推期
↑
﹏ ﹏ ﹏ ﹏ -— ﹏ ︻ 〡
骰繲 齷
一 一 一
— — — — — — — —
單▼ε且〡苗以S§ d單 PPr鋸 蕊 — — — — — — — —
— — —
發旗棗料
將戶飆人策琴華 公e§ 出毽4e且 d密 協!芭e

求:餗 本°u煙 c◆A§ e仗 社q漁 ε出$

ㄦ眼乓王祺 r符 k

$故 雄 σ蠛瑤 報甘
#6 七手
卡ㄍ球王
牧oo以 蔑
乎
子

玉
n齡 rq$t兮 d#爸 rΨ 迋本念 本肆發離鑼 餘礒 無
寄Ⅵ安
留牽寮
︸H主 韉 齵 女
蜜辛毒
u
犖 嚲鑼鑰
→

耘 翰蚴 一
一 撥鮒雄癒失甄 有年攏
緲 會發盤
thfe出 七

Υ王S放 出串$再谷S遜守扯七●¢無 #6出 ║本在$ ╧

路邪 — ◇ 郎

ˊ
一
紟卅

◎ byTC︳ C
M° du︳ e可 S︳ ;deㄥ 8
 降低風 險 之 控 制措 施 選 用

銹簸彿鋒 齺 錢黮鍛鐖 何
∩ 進行社 交工程演練,加 強內部人員安全意識lA.6.3),
加 強內部們 人 電腦 之 系統 應 用 系統 與 防毒 的安 全 更
新(A.8.8,A.8.7),限 制個人電腦使用者只能具備使用

翰簬鑈 式
者權 限(A.8.2),使 駭客無法 一
以釣魚郵件入侵內部某個
人 電腦.(降 低可能↑

鑼黫螂
l生 )

鈜外榦簸螉林槳餅 擊蘿鋒鑑躌 鑰 瓶移嬐跡 毒 鬱榔

↙
/增 加 EDR川 DR/DD︳ 等機 制 ,監 控 內部 網路 橫 向攻
擊 ,使 某個 人 電腦 被 入 侵 後 之 橫 向攻 擊 可 以 早期被
發 現 lA＿ 8.η 6,A.8.20)。 (降 低 可 能 一
1生 )

加 強對應 用程 式伺 服 主機 之 系統 與應 用 系統的安全
更新(A.8.8汁 (降 低可能一

谽師
1生 )

◎ by了 C︳ C
Modu︳ e﹁ S︳ de碎 9
︳

降低風 險 之 控 制措 施 選 用
鑰籛銹♁ 鑼 錐籮艙鐖 式
:露
葐籊翼藉鮤筆捨呈廖竊
降 低可能性)
齡籛躌 打
對 以客
強可駭
加

之監督 ,一 併被入侵時
一
#

鑰鼮拂

主
(如 果能愈早發現 ,防
,止

甐依

現
取 大 量 用 戶 個 人 資 料 ,則 可 降低衝擊 )
。
鎗黤鎀啷致姘 擊羅鞘鐬籜 銹 竅爸嫚好各 谽蟀

如 果 建 立 上 述控 制措 施 之風 險 處 理 計 畫 並 有 效 實 施

o鸅 將 降為 =>B,可 能性 將 降為 分 2,風 險 等級
撬尹
鈔掛

◎ 盯 了C︳ C
Modu︳ e﹁ S｜ de50
︳
 翰黰 鐑嬐 嬸 鍋攤餘饑 ︴
鑰灦 鏺 本
鑰籛 坤
籤年
資訊安全 管理

媰黮鑈姊欺齵 寧羅 琇餒鏺 銹 航路踚黔 〡 谽螂

紛件
◎ byTC︳ C
hmodu︳eη s︳ :de5η

管理 系統
ManagementSystern
錀籩鏺鐒 鑼 鐱黰妙饑 林
一套相 互 關聯 或交互作 用的元件 ,組 織 用 以建 立 政
策及 目標 ,以 及 用 以建 立達成 該 等 目標 之 過程
nterre︳ atedor interact︳ nge︳ ernents o了
Seto了 ︳ an
銹籊齡 功

org ani2at︳ on toeSta● ︳

:.np.︳ ︳ ●●je● ves
.ie● aη d一 t︳
銹籮林

andproceSses toach︳ evethoseoⅥ ect︳ ves

籤跡錛黤鑰∞欺餵 寧露鄹裝鎨姆

註:一 個組織能建立不同的管理 系統 ,如 :品 質
管理 系統(QMS)或 資訊安全 管理 系統 SMS)
彿 鎡壁理好亡 鉿坤

(︳

︴
♁外

資料 來源 :︳ SO︳ ECDirecjvePaHη
◎” 下C︳ C Modu︳ e︴ s!︳ de52
 資訊 安 全 管理 系統
〡 auonSecu山tyManagementSys七
SA/lS:︳ nforrΥ ┐ erΥ ╮

搦簇 拚舒 碑 扲鉹 鉣鄉 ︴
▓ ▆ ▓ .— ˊ ▋ ■ ■ ▌
▌一
■ ▓█ 〞 ▌ ▋ ▓ ■ ▓ —
▋ ▓▋ ▓▌ ▄ ▋ 口■ 口
█▓▓—■█
▋▓▄■■▅
▋▋▋

▋▓█

■▄▓■
■▋▋▋
． █
． ▌■ 口 ▉ ▋■ ． —

▓▋

▓
▌
● ▊

▌▊
██

▌
▊
．
▓
■
■
k■

▌
■
▓
▌
▊
▓
▓█▊▋
口▓一▌

▌▊▓▋
■▓—▌
■█▋▋

、■▓■
■ .— ■
█▄▓Ⅱ
▋
▌
口
▋■■
▊ ▓口

鋒錢 銬 本
銬箋的
瓾↑彿簸 笏“紡塕師犖知移筠碑
Π▌Π
Ⅱ田田▌▉■田

奶撈φ翂 班磁硢努 各 鈔卹
▌田田田Π
田日▌田 田田田田田▌田▌田▌田
田田田田▉mⅡ ▌

紛√
◎ by下C︳ C
M° du︳ e可 S︳ ide53

PDCA過 程模 式 Process mode︳ 〞 帥

斖珮 麠
竹

劣簽 臻絣 璐 鈐傘 劬錢 研
利害相關田娃

利害相關田娃

規 劃 Plan
搦鍵 銬 扣

建立
SMS
｜
翁籛 螂
鉉ㄨ
絎∞

錀雞 銹郎斑銘 孝茲 帑押

實作 與 運作 維持 與 改 進
〡SMS ｜SMS Act

資訊 安 監控 和 審 查 受管理
全要 求 ︳SΛ llS 的資訊
霉雊

其期
錼 筋今勝鉀 牽 繚猀

安全
6查 Check
橢﹀

SMS:勒 任之 PDCA模 式
應 用於 ︳
紛猝

◎ by下 C︳ C
M。 du︳ e月 S︳ ide5冷
u★ ｜
SO用 巨C2700η :2022標 準簡介 安蟲 β
—
— —

翰黤鍋谽 鑴 彿籤紛鐖 η
■ Preparedby︳ SO/︳ ECJ下 C﹁ /SC27

▓下︳ue一 ︳ °n$ecur比 跖 cyb兮 rSeCur:君 y接 出硪

nf♁ rtⅥ a七 ︳
pr:V撥 Cyp=o士6c伍 0n一 ︳ nformat︳ on security

鑈籬鑰 泳
anagement system一 Re型 ︳
r!╮ 匹Ⅱ迫Ⅱ㏑

鐪黤姊
籤心
Shedon the2005-06一 η5
▅ F︳ rSted︳ on pub︳ ︳

鑰黤齡轉欺齵 擊璐
t︳

▓Secondedit︳ on pub｜ ishedon the20η 3一 η0-0η

路了h:rd● d︳ ∥on pub︳ :shedon七 he2022∴ ▋9

擺鋒篴瑙鐒 齸器路帥年 份螂
▅ PurPoseofth︳ S︳ nternationa︳ Standard一 to proV︳ de
requirements了 oreStab︳ :sh︳ ng,︳ ╮
r︳p︳ ementing,

ngandcont︳ nuouS︳ y︳ rnprov︳ ngan

rna︳ ntain︳

鎗外
︳
nformaⅡ onSecu〢 tyManagernentSystern(｜ SMS)＿
◎ byTC︳ C
Modu︳ eη s︳ de55
︳

SO用 EC2700η :2022標 準 簡介

︳
錛靉鋊鈐 鑼 鑰龘谽鑯 ︴

籈蟲箠鎕磊!足七︳｜
老
扎£葛罷
鰳黤鑰 心

吐工上許 eS),,推ㄩ
(identica｜ sub一 c︳ auSet︳ 目 (心 ent︳ ca︳
鑰黫林

text),基 且且許 (c° rnm。 nterrns)及 核蛙遮蟲 (core

銀琳

辛它 已採用該 附錄 之 管理 系
一
鑰籦銹姊幾轟 擊露學鍰彈紛 瓶壁建〃— 盼坤

安 ,對 選擇運作 單
一管理
系統 ,以 滿足 2或 多個 管理 系統標 準要求事項 的組
織孫屬有 用 。
◇外

◎ byTC︳ C
山η
odu︳ eη s︳ ide56
 SO月 EC2700﹁ :2022標 準 簡介
︳ 爾 齺 勿 鱦 齷 竹

靂兙安
靂珮

銻黮齡鍛 鑼 銹蘺谽鷎 年
′
ˊ
一ˋ
ˋ AppendiX2(normative)High︳ eVe｜ Structure,identica｜ core︳ eXt,
)
COΠ Wη on七 errnSandcoredefinit:ons

0＿ntroducHon簡 介
︳
﹁＿乩 ope適 用範 圍

錐皺媕 本
— NormatiVereferences引 用標 準
— 2＿

鎀繳姊
3.TerrnsanddeⅡ n比 on用 語及 定 義

籤外
確.C♁ 外teX七 of社 雄eorg缺 niZ毯 ㄤ
｜♁n組 織 全

鋪邏鑰妳毀謠 鄹蘿 銹靃轟銹 驉華鋡跡著 鎀妼

5＿ ╙e錢 der$仇 :p領 導作 為 印6花 二老
6＿ P隘 nn｜ ng規 劃 θ
’
∠ㄉ 矽 簃
了.SuppO礎 支援 仍羽/弓努β ˊ〞/刁
opeF撥 On運 作
t｜
一 D
駐 Pe曲 rrnanceeva〡 比 ∥on績 效 評 估 C
們 mprovernent 改 善 胡

燄帥
.︳

“
P︳ an一 Do-Check一 Act
◎ byTC︳ C 山η
odu｜ e月 S︳ ;de57

★
風險 管理 RiSkmana9emen七 一過程 ProceSs ﹏

與管理 系統(MS)各 章節之對 照 關係 β颻 靂

— —

彿錘鈐鎊 鑼 錐籲鬱鐖 依
▼MS§ 碎§6
′

乎研S§ 6§ 8
一一一
鐒黫銹 外

班S§ 了
協騹碎

撥每
饑
﹀MS§ 9
A鎀
欸
纙齺帥黤餵 罕磁舉餓轟 鎗 磁簽路邦安 ♁姊

撫 鑮拂
一
查
MS§ 6§ 8
一
∪

→ MS斗 §了§︴
0
鎀挪

◎ by下 C︳ C
雖 ProcesS Modu︳ e﹁ s︳ ide68
 ★︳
S0用 巨C27002:2022標 準 簡介 十

嫠我 π
一 — —

錛羷 鐖紛 鑼 釣黮 燄饑 密
▊Preparedby｜ SO用 巨CJTC﹁ /SC27〞 之j一 坌舀

▋
◥∥︳
nformauOnsecu〢 ty,cy比 rSe互 〢
e一 ㄎ鰼
p〢 Vacyprotec山 on—
—︳
nforrΥ ╮
a∥ on secu山 tycontro︳ s

鐱簭 鎗 舛
礸 訊安 全控 報措

錛雞 姊
民

籤¢
shedon the2005-06一 η5
▅Firstedition pub︳ ︳

媰靆鐱林欺齵 寧籮 銵錄轟 銵 城曌鍛好華 盼螂

■Secondedit︳ on pub︳ ︳shedon the20﹁ 3一 可0-0η
跟Th:rdsdit｜ on pub︳ :sh@do出 七 he2@22∴ 02

▌ PurpOseofthis｜ nternationa︳ Standard一 BeusedaS

in︳ n9andi了 ︳
arefeΓ encefordeterrΥ ╮ ╮p｜ ernent:ngcontΓ o︳ sfor

︳nforrna小 0nSecuHty∥ Sk treatr【 ︳

ent inan inforrnaHon secu山 ty
rnanagement syster了︳ SMS)basedon︳ S0月 巨C2700可 ＿

燄种
(︳

◎ byTC︳ C
M° du︳ e可 S︳ ide59

★︳
SO2700﹁ /2了 002新 版 標 準
A.5 ︳ maj° nsecuH︺
nf。 了 eS女 訊安全政 無 ＿
Po︳ 比︳

A.6 °Γ on° f︳ nfoma七 ︳

gam︳ 2a七 ︳ onSecur︳ 句◤女訊安
°了 o︳ S
gan:2a七 :ona︳ con七 了
全之紅我 顫 A.6
缸 錢控制措施
A.了 Human冷 S。 uΓCesecu山 ︶ 人力女涿安全 ︳

A.8 AssetmanagemeΠ t女 產管理

A.9 Accesscon什 O︳ 存取拉制 電

c呼 ptogmPhy好 碼 乎
母
A.月 0 蕙 S
P6op︳ 6cont了 °︳
A＿ 6
Ph玲 比引 andenv︳ mnmen七 a︳ Secu“ ︶ i在 及 人 員扭制措施
A.● η
畏
牙現安 全 鮆
千
A.﹁ 2 Pe了aj。 ΠSsecur︳中 迂作安全
。
CommuΠ 比a七 ︳
魚
A.η 3 onSS.cuΓ :﹏ 通訊安全 嵬︳
笢φ 機

A.▋ ㄔ t︳ opmentand
Systemacqu︳ s︳ on,dev● ︳ PhyS子 ca︳ con七 了
°︳S
A口 了
ma︳ n㏑ Πa比e系 撓在取 、開發 及 年故
十娃技 制器施
A.η 5 SuPP︳ ︳
er了 e︳ a七 ︳
onSh︳ Ps供 危者 m你

︳d.nt maΠ agemeΠ 七女

╯

A.η 6
告︴蛋母ξ 母 士甘 是星
cuΓ :… nc︳
︴
\一

A.η 7 ︳
Π了orma七 ︳
。 句◤aspects ofbuS︳ ness
onSecⅡ r︳ 了§chnO︳ og:ca︳ contro︳ s
conⅡ nu︳ 打 maΠ agement爸 運持 A＿ 8
仁理之 女訊 技 竹 控 制措 施
安全Π面

◎
A.-8
一
Comp︳ jamce輔 性 一
Sou「ce:︳ SO27002 Modu︳ eη s︳ de60
︳
 ★︳
SO2了 00η /27002新 艞 標 準
A.5 ln竹 rma七 ︳nSecu∥ tyPo︳ :c:eS女 訊安全政 策 A.年 °rgan︳ 2欲 出ona:Con︴ ro｜ s
。
A.6 gan立aH° nof㏑ 了o了 ma“
°了 nsecuH打 女訊 安 A.6 Peop｜ econ在 D｜ $
。
全之紅我 A.了 S
PhyS:C出 ｜C° n七r° ︳
A.7 HumaΠ 怜 S。 u比 eSeCuHty人 力 資 深 安 全
A.8 下echn° 6og亡 ca︳ con守 ro︳ S

ㄏ
多 ‵
ASSe七 managemen七 女 左 管 理
A.8
報耀雜觸撥矲
A.9 Accesscontm︳ 存取拉制 ︳
子
$﹏ $了 下玖ξ
兮甚七:出 發
♁子 S¢ 俄¢兮
A.▋ 0 c呼 ptography密 碼 乎
$一 多$ 〔m絡 撥 俄球錐 $兮 ¢u站 緲 箹ξ睜$¢ 磅
A.﹁ ﹁ Ph玲 比a︳ andenv:ronmen七 a︳ Secu∥ 好 十在及 ¢多o班 dS兮 rV子 ce$
牙現安全 $t$@ m@$$︴ 陷 $吐 $工 碎岔$$
Ctξ ea球 舌
≡
A.η 2 pe了a山 onSSecuHW迂 作安全 C◆ 批鞋mu︳ 矽
一
。
A.｛ 3 C° mm凹 n:C出 :° nSSecu“ 打 通訊安全 了.6再 眝比y$舌 ca6S¢ c研 ri竹 mo加 紐 站竹$

A.一 碎 SyS七 emaCqu:s︳ t︳ on,deve︳ opmeΠ tand 各*$$ C◆ 升用gura七 :° n≡ 女$外 a$@m¢ n之
m釘 n七 enance系 仇在取 、開發 及 年吐
$.兮 ♁ f出 ma#on球 6｜ 6t︳ ¢Ⅵ
拓ξ
A.｛ 5 SuPP︳ ︳ e︳ a山 onSh:Ps供 危者 田硃
e了 了
8.｛ 在 Da耗﹏斑出S妳 nq
A.η 6 ln了ormaHon tyjnc︳ dont management女
secu了 ︳
8‘ 咚2 D出 地 e政 k爸 g兮
｜ ureVen名 :on
訊安全芋故管理
$一 ｛6 維φ孔踐oξ :扮 gaC牡 V:性 e$
A.可 了 ︳ΠfoΓ mat:onSecuΓ :tyaspec七 Sofbus︳ neSS
con“ nu︳ 七ymanagemen七 古避持﹏管理之女訊 $＿ 2芒 臨了j外 g
哦在b堆 ︳
安全丹面 $.乏 各 S爸 Cu了 eC° 碘jng
A.η 8 ComP︳ ︳
ance出 “宙性
◎ Source:︳ SO u︳ e﹁ s︳ ide6﹁

鐱籛 鑰紡 鑭 鋒繳 妙鐊 “
Anyquest:ons?
蠮籛 銹 蒶 鏺 螂
臹㏄鑰籓 銹砷致餒 擊露 緇盟籜 鐱 瓶釜嫂ㄏ姦 谽坤

｜
v Thankyou Merc︳
鎀打

◎ by了 C︳ C 山●
odu︳ e｛ S︳ ide62
 齡靆坳幼 娣 狒籛 谽鏺 外
∩

Modu︳ e-2一 ﹁

邏螂
籤外 h鐒
鑈籮 銹
So2700﹁ 月SO27002標 準

拗歡 鐱坤笑餒 華籮 玲隹舞 踘 兢壁理π〡 盼姊

︳

φ竹
◎ by下 C︳ C Modu｜ e2-︻ S︳ ide︴

(〔
)

Modu︳ e2-█ s︳ de2

︳
 *︳
SMS′ P︳ MS系 列標 準 近 況 一η
SC27WG可
SO川 ECJ下 Cπ ′

螉邀 鐖鉿 鑼 齡難 繚鐖 無
︳ :｜ 組
SⅡ /lS工 〞 ︴ ,

nfoΓ mauon
︳ secuHtyrnanagement systems

一
SO用 巨CJ下 Cη /SC2了 WG5:P︳ MS工 〞乍︳
︳ 組 ,

錛黮 鏺 ︻
dentityrnanagernentandpriVacytechno︳ ogies
︳

拂籛 坤
KTyPeA:、 ˊoca比 h呼 StandaΓ d詞 彙 標 準

籤外鐫雞 鐫坤描琀妳躄﹌
█下ypeB:Requiremen七 SStandard要 求標 準
SMS/P︳ MS特 定要求的標 準
ˊ B一 η:針 對 ︳
ˊ B-2:針 對提供 ︳ SMS/P｜ MS驗 證 與稽核機構要求的標準

鑼帑箠瑵鑰 磁整理′本 谽瑯
▋TypeC:Gui由 ︳ ineSStan由 rd指 引標準
ˊC一 仁 ︳SMSˊ PlMS綜 合性的指引標 準(geneΓ a︳ guide｜ ines)
ˊC-2:︳ SMS/P︳ MS特 定領域的指引標 準(secto「 一 spedπ cgui由 ︳
ineS

▄TypeD:ContΓ o卜 spec而 cgu心 e︳ inestandard特 定控 制措 施 的指 引

劬師
◎ by下 C︳ C
╮
田odu︳ e2-η s︳ ide3

*︳
SMS/P︳ MS系 列標 準 近 況 -2 β己 尸
﹏

— —

SO標 準專案階段(Pr切 ect stageS)及 相關文件

︳ 銹籛 鍋谽 磯 鐒籛 砂餓 一

a持 dd° c出 men〔
ASS° ε子
P了 °拎ε七S出 gε
批已竹 兮 兮Ⅵ岔t︳ °n
A出●〔

P了ε︳
︳Π｜
︳naηr st爸 gε P跨 ︳
加在再§母 WOrk子竹m 子〕
銵籛 鐒 本

!、
V!

P=° P● S已 ︳S士 兮口兮 Ne#班°放 竹empη posa｜ a 批P

ε
錢籛外

Prεpa了 目h﹏ ◤S怕 gε Wo曲 nS心 確ㄍ劫 WD

C° Ⅱ︴m︳ 路 ε缺 age Comm;iteed佫 俄岱)a CD
欸︿鋒雞 妗︴女鎖 掔熊 學靈畢鏺 缸登蛪′— 琇外

En可 6︳” §t口 ge ε#田 Ui了 yd了 a扎 心 saD〕 s

︳
汪aCW

一D︴ S
Aη p『°▼a︳ S描 口e 〡na︳ ﹉ n怡 rna七lon出 S描 nda“心．
心m及 ｛ 千

P日 h路 εa任 ●nS七 aⅡ ε ｜
n路 n爸廿o再 a｜ St3nda祀
一 雝
6 了h比 eS描 geSmayJeom再 在ε¢了aSdeSc站 bedj#如 neXF一
心 ﹉ SO,的 而m五 士扭 e心 了af七 放》「γ田心 :n︳ EC＿
Dm放 ｜n拍呵比山on斑 §伍 nda㎡ ㏑ ︳
心 Maybeom:出 a心 See2.6.路 ＿ V
′
〔 ｝
\ˋ
鎀好

Source:︳ S○ ECD︳ R可 :2022

/︳

◎ byTC︳ C Modu︳ e2︹ s∥ de↑

 *︳
SMS/P︳ MS系 列標 準 近 況 -3 腐瀰㎏繲鱗

斖弛躩
#

C6 26 66
SO標 準專案

錫讓鑰鎗 鐖 錛鼛 谽鐪 燕
ξ〔AGE 竹叫中 路 m﹏ ｜
00 a必←)〔
°研9各 °出｜呀 皆︼
卜 啟(Prqect
stages)
腳 Ⅳm中 心 竹呀u以 t﹏ 打 p哦 煦
●
m砩 π呼
〦砰〔 ∥比外 ♀迸㏄(
牠 ε

︳
嫵 m〡 妳 封好 啷 ¥←
｛少坤打¢ 求$γ ●礔
久 o 時中 p珌 ‘

銹麤 鋒 我
Pr6lPo划
曲 發 而舳

2｛ ｝ W何 仁 ﹏Ⅲ吋 a呵 照

鐋躣 螂
(無 收Wε 女 φ助竹助
〔
︸坤坤 m心 φ 9｝ ㏄ ¢山再
批 6

鈚無
30 出政 u卅 如 館 ㏑㏄師竹
㏄怯Υt

佛龘 鏻坤欺鍛 擊籀翰饈躌 鑰 蹴路暡辦 選

6。 小Ⅲ :m6 ㏑ r瓶
艸
撫

m珅 Ⅵ
▼ u叫 噁
兮︳ 砷
‘四 ㎡呼
站砪k竹 的rk姊 出 舢 n
餌﹏g◆

go #r． lㄍ

$辯 孖
踟 巾 心rf” 付

驊 聯
A” 仁
°▼a︳

故熊 心
抑u° 比︳

6｛ ｝
﹏︳
︳田;Ⅲ 宙 h
的 肝 ．
∟ 媾
9｛ 〕
〔
時Ⅸ“演浪缸 a研φ研 $中 ㄇ研府Ⅵ破 併6曲 赫 ●
…t“ ｛

航 刊﹏6研 描弔 純 研好 折V腳 市ψ ㏕
R●Ψ:竹
一 與φ 妳 ㎏
聯 拶

9呂
W:山 曲 wⅡ ︴
Source:︳ SO月 巨C R可 麭022
︳
◎ byTC︳ C 鞭 6
Ⅱ
田odu︳ e2-︴ S︳ :de5

師
鰗
*︳
SMS/P︳ MS系 列標 準 近 況 一碎

S0月 EC
︳ DeScHp小 on 了ype

27000 資訊 安全管理 系統概述與詞 彙 A

SMS-OVeⅣ ieWandvocabu｜ ary
︳ 20η 8(v5)

B一 ｛
2了 ●0η 資訊安全管理 系統一 要求事項
SⅢ S一 Requ:Γ emen七 S
︳ 2022｛ v3)
C一 ｛
2了 0● 2 資訊 安 全控 制措 施
n竹 rma出 onSecuH打
︳ c。 n七 ro︳ S 2022｛ v3)

27003 資訊 安 全 管 理 系 統 實作 指 引 C一 可
20η 7(v2)
︳ rnP︳ ementauongu｜ dance
SMS一 ｜
2700碎 資 訊 安 全 管 理 系 統 一監 督 ,量 測 ,分 析 及 評 估 C-︴
20η 6lv2〉
lnformaHOnsecuHtyrnanagemen七 -Mon比 o一 ng,
measuremen七 ,ana︳ ysisandeVa︳ uation
27005 資訊 安全風險管理 C-︴

lnforma小 onSecuⅡ tyⅡ Skmanagement(︳ SRM) 2022(v4)

資訊 安全管理 系統稽核與驗證一要求事項 B-2

2了 0● 6
20｛ 5rAmd
Requ:rernen七 SfoΓ bod:eSProv︳ d:ngaⅡ d︳ tandceλ :f;ca七 :° m
｛
◎
of︳ SMS =2020
 師
瑚
*｜
SM日 P︳ MS系 列標 準 近 況 -5
SO/︳ 巨C
︳ DescHp∥ on 下ype

2了 006▄ 2 Requ:了 emen七 Sfo了 bOd︳ es proV:d:ngaud比 and B． 2

ce比 ︳f:ca七 ion o了 :nfor︳ ηa七 :onSecu了 i﹏ manage了 nent
202η ｛
v▋ )
SyS七 emS-Pa比 2:Pr:Vacy:n了 or︳Ⅵa七 ︳ on了了︳anagemen七
syste︳ ns

27007 資訊安全 管理 系統稽核指 引 C-︴

Guide｜ inesfoΓ ︳SMSauditing 2020(v3)

27008 資訊安 全控 制措 施 稽核 師參考指 引 C-η

Gui由 ︳ ineSfoΓ aud比 orSon｜ nforma小 onSecuHtycontro心 20η 9(v︴ )

27009 特定領域使 用與應 用︳ S0月 巨C2700﹁ 第三 方認驗證 B-︴

下heUSeandApp︳ ication of︳ Soˊ lEC2了 00η foΓ 2020(v2)

Sector/Service︼ SpecificThird一 Pa仗 yAccredited
Ce∴ ︳fications

2了 0η 0 跨部 門及 跨 組織通訊之 資訊 安全管理 C-2

｜nforr!╮ a七 ionSecurityrnanagementfor inte「 -sectoΓ and 20η 5(v2)
inter-organizationa︳ corΥ ╮╮
r了 uniCations

◎ 所 了C︳ C
Modu︳ e2-η s︳ de7
︳

*︳
SMS/P｜ MS系 列標 準 近 況 -6 ﹏

孖戤 r
— —

S0月 巨C
︳ Desc︻ pjon 丁yPe

2了 0η η S0用 EC27002實 作 資訊 安
資訊 科技一通訊產 業使 用︳ C-2
全 管理 指 引 20η 6(v2)
lnfoΓ ma小 0ntechno︳ ogy一 lnfOrmaHon secu一 ty
managementguide︳ inesfoΓ te︳ ecomr!╮ unications
organi2ationsbasedon︳ SOˊ !巨 C27002
270η 3 ｜S0月 EC20000一 η及 ︳ S0月 EC2700可 整 合 實 作 指 引 C-η

Guidanceon the︳ ntegratedirΥ ╮ p︳ ementat︳ on of

202 V3 )
｜SOˊ ︳ EC20000一 ︴and︳ SO/︳ EC2700η
270﹁ 碎 資 訊 安 全 治理框 架建 議 C-η

Proposa︳ 0nan｜ nfoΓ mation secur︳ tygoveΓ nance 2020(v2)

SG)fΓ amewOrk
(︳
﹁
╯

270η 6 資訊 安全 管理一 組織 經 濟 C-η

｜ ηation security!nanagernent＿ ＿Organizationa︳
nfoΓ ︳ 20η ㄥ(v｛ )
econoΠη︳cs
幼
¢
拼
◎ by下 C︳ C
Modu︳ e2一 ηS｜ ide8
 *︳
SMS/P︳ MS系 列標 準 近 況 -7 妙

籚栽躩
— —

∩ S0用 巨C
︳ DeSc山 ption 下ype

270﹁ 7 基於 ︳ S0刀 EC2了 002之 雲端服務控 制措 施 實作 指 引 C-2

Codeofpract︳ cefor info「 ationSecur︳ tycontΓ o︳ Sbasedon
r!╮ 20︴ 5(vη )
︳SO用 EC27002fo「 c︳ oudseⅣ iceS
270﹁ 8 公用雲Pl︳ 處理者保護個人可識別資訊(P︳ ︳
)之 作業規範 C-2
Codeofpracticefor p「 yidenti兩 ab｜ e
otection ofperSona︳ ︳ 20︴ 9(v2)
inforrnation(P︳ ︳
)in pub︳ icc｜ oudSact;ng安 SP｜ ︳
proceSsors
270﹁ 9 能 源 產 業使 用 ︳ SO用 EC27002實 作 資 訊 安 全 管 理 指 引 C-2
｜ anagemen七 guide｜ inesbasedon︳ SO用 EC
nforrnation secuΓ ityr了 ╮
20η 7(vη
27002fo「 processcontΓ o︳ systernSSpecificto theenergyuti｜ ity )

industry

2702η 資訊 安 全 管 理 系統 專業人 員之 能 力要 求 D
COr了 ●
pe七 ence「 equirer︳ ╮
en七 Sfo「 inforr了 ┐
a∥ on secu山 ty 20可 7〃 rnd
management sys七 emSpro了 eSSiona｜ s η
:202η、
(Vη )

2了 022 SMS過 程 指 引
︳ D
Guidanceon informaⅡ on secuHtymanagement sys七 em 202η (v｛ )
processes

◎ byTC︳ C
Modu︳ e2-可 S︳ ide9

)
*︳
SMS/P︳ MS系 列標 準 近 況 -8 β航 瑟
﹊

— —

S0月 EC
︳ Desc一 puon Type

27023 SO/︳ EC2700｛ 及 ︳

︳ S0用 巨C27002多交版 之 對應 D
nforr!╮ a七 ion tebhno︳ ogy— Securitytechn｜ ques— Allapping
︳ 20可 5(V︴
— — )
hereVisededi七 ionSof︳ So/︳ EC2700η and︳ SO/︳ EC27002
七
2了 03η 業務持續之 資通 訊 技術齊備 D
!CTReadinessfo「 BuSinessConunuity 20︴ 可(Vη )

27032 網 際 空 間安 全 D
Guide︳ inesforCybersecu「 y i七 20︴ 2(V可 )

2了 033 資訊 科 技 ——︳ nforrnajon techno｜ ogy一 ｜

下網路 安 全 ︳ 下 D
NeMOrk security 一｛〃一
了

2了 03碎 應 用 系統 安 全 D
ApP︳ ica七 ionSecurity ︴ 7
一 ——
U 27035 資訊 科 技 一 安 全 技術一 資訊 安 全 事 古 交管 理 D
ln了o「 maHon七 echno︳ ogy＿ Secu一 tytechn｜ ques… ｜
nforrnaHon 一可∼-ㄔ
secu一 tyinciden七 ︳ anagemen七
r了

◎ by下 C︳ C
deH0
Modu︳ e2一 可S︳ ｜

/
 師
齺
*︳
SM日 P︳ MS系 列標 準 近 況 -9 籈

SO/｜ EC
︳ DeSc山 puon Type

27036 資訊 科 技 一 安 全 技術 一 外 色安 全 指 引 D
〃一
碎
auontechno｜ ogy… Secuㄇ tytechniqueS一
lnforr了 ╮
-η

Guide︳ :nesforSecu山 tyofoutsourc:ng

27037 識別 、蒐集/取 得 、保存數位證據指引Gu㏕ dinesfor D
ectionanσ oΓ acquisitionandpreseⅣ ation
identification,co︳ ｜ 20η 2(vη )
Ofdigita︳ eVidence

2了 038 資訊 科技 一 安全 技術 一 數位 節錄 規 範 D
︳nfoΓ 了
nati。 n七 echno︳ ogy— —Securitytechniques—
— 20η 碎(Vη )
SpecificationforDigita︳ Redaction

27039 資訊 科 技一 安 全技 術 一 選擇 、部署 與運作 入 侵偵 測 系統 D

︳nfor了 了
╮ation techno︳ ogy— —Secu「 itytechniqueS— —Se︳ ection, 20η 5(vη )
dep︳ oymentandopeΓ ations ofintrusiondetection systerns

270碎 0 資訊 科技 一 安 全技 術 一 儲存 安全 D
︳nforrnation techno︳ ogy— —SecuΓ itytechniques— —Storage 20η 5(vη )
secuΓ ︳ty

◎ byTC｜ C
odu︳ e2-﹁
山Ⅱ s︳ ideHㄇ

*︳
SMS/P︳ MS系 列標 準 近況 一﹁0

SO川 EC
｜ DeScHp甘 0n Type

270碎 η 確 保調 查方法合 用且 適 當參考指 引 D

GuidanceonassuΓ ingsuitabi︳ ityandadequacyof 20η 5(vη )
investigation methods

2了 0碎 2 分析 與 解 釋 數 位 證 據 指 引 D
Guide︳ inesfOrtheana︳ ysisandinterpretat｜ on of 20η 5(v︴ )

d︳ g︳ ta︳ eVidence
270碎 3 調 查原 則 與 流 程 D
nvest︳ gat︳ on princ︳ p︳ eSandpΓoceSSeS
｜ 20︴ 5(v︴ )

27050 電子 蒐證 D
ectron︳ cdiscoVery
巨︳ 一η〃-ㄔ

27099 Pub｜ ickeyinfrastructure—

— PΓ act︳ cesandpo︳ icy D ﹁
rameWork
了 2022(vη )

2了 η00 CybersecuΓ ity-OVeⅣ iewandconcepts D

2020(v︴ )

◎ byTC︳ C
Modu︳ e2-鬥 S︳ ide﹁ 2
 螂
觸
*︳
SMS/P︳ MS系 列標 準 近 況 一們

S0用 巨C
︳ DeSc山 p小 0n 下ype

27η 02 ｜n了oΓ ma小 on七 echno︳ ogy﹎ Secu山 ty七 echniques一 D

lnfo「 rna∥ on比 Cu“ tyrnanagementguide︳ ineSfor 20η 9(v︴ )

cyber︳ nsurance
27﹁ 03 ation techno｜ ogy— —Secur:tytechniqueS— —
nfo「 ╮
︳ r︳
D
Cybersecurityand︳ Soand︳ ECStandards 20｛ 8(v︴ )

27η η0 Cybersecu山 tyframewo「 kdeVe︳ Opmentguide︳ :nes D

202 ｛
(vη )

27碎 00 tyandprivacy—
o下 Secu「 ︳
｜ Guide︳ ines D
—
2022(v︴ )

27550 vacyeng:neering
PΓ ︳ D
隱私 工 程 20｛ 9(v｛ )

2755η RequirerΥ ╮entsforattribute一 baSedun︳ inkab︳ eentity B-η

authentica七 ion 202一 (v一 )

27555 yidentif︳ ab︳ e︳ nforrΥ ╮

Guide︳ ineson persona｜ ︳ ation D
de︳ etion 202η (v一 )

◎ by下 C︳ C Modu︳ e2一 可S︳ :de﹁ 3

*︳
SMS/P︳ MS系 列標 準 近 況 一﹁2 露覾 露
﹏

— —

SO川 EC
︳ DeScHp∥ on Type

27557 App︳ icat︳ Onof︳ So3可 000:20｛ 8f。 r organizatioha｜ D

priVacyriSk rnanager【 ╮ent 2022(v一 〉
27570 Privacyguide︳ inesf0r srnaΓ tcitieS D
202 ↑
(v｛ )

延伸 ︳ SO2了 002的 隱私 管理 一要 求
S0用 EC2700可 及 ｜ η&C-2
2770﹁
° 名翠
B一

委茁恿S异 ΞΣ %扜 料 帑 琵 而 點點早
嶔七混點諳 !! 20︴ 9(v︴ )

。
remen七
Requ︳ Sandguide︳ ines V2發 展 中
So2了 了0｛
SO2了 552,於 20﹁ 9-0了 -︴ 9更 名 為 ︳
註 :原 為 ︳
27789 醫療 資訊 學一 電子 醫療 紀 錄 之 稽 核 軌跡 D
Hea︳ thinfor︳ natics— Audit trai｜ sfo「 e︳ ectronichea︳ th 202η lv2)
—
records
27了 99 SO月 EC27002實 作 資訊
醫療 資訊 學一 醫療產 業使 用︳ C-2
20︴ 6lv2)
袛 鳥罵準尼ticj一 ㏑forma小 0nSecu一 打management in
EC27002
hea比 huSing︳ SO/︳

◎ by了 C︳ C Modu︳ e2一 ︴s︳ ide︴ ㄥ

 嗨
媩
*｜
SMS/P︳ MS系 列標 準 近 況 一化

S0月 巨C
︳ DeSc山 puon Stage
29η 00 eWOrk
P山 VacyfΓ arΥ ╮ A

㏕〣
松 們
隱私 權 框 架 20
η:20

29η 0┐ PriVacyarchitectureframework C-η

隱私權 架構 框 架 20η 8(v︴ )

29η 3碎 Guide︳ inesfor p「 ivacyimpactassessment C一 ︹

隱私衝 擊評 鑑指 引 20︴ 7(v︴ )

29η 5﹁ CodeofpΓ acticefoΓ persona｜ ︳

yidentifiab︳ einforrΥ ╮
ation C-2
protection
20η 7(vη )
個人可識別 資訊保護 實務
29η 8碎 Guide︳ inesfoΓ vacynot︳ ceSaΠ
on｜ inepΓ ︳ dconsent D
線 上 隱私 告 知 與 同意指 引 2020(vη )

◎ byTC︳ C
Modu︳ e2-︹ s︳ ｜
de﹁ 5

*︳
SMS/P︳ MS系 列標 準 近 況 一η
碎 ﹏

β娥.π
— —

S0月 巨C
︳ DeSc山 p∥ on Stage

29﹁ 90 Privacycapabi︳ ityaSsessr了 ╮

ent rnode︳ D
隱才 ㄙ能 力 評 鑑 模 型 20η 5(v︹ )

29η 9η rpa山 釗 yanonymou或 pa山 刮 yu㏕ nkaue B-η

籸 智:早 $片 .竹 20可 2(Vπ )

部 分 匿名及 部 分去連 結鑑 別 之 要 求事項

20889 PΓ ivacyenhancingdatade一 iden七 cat︳ on techniques
if︳ D
隱私增 強 資料 去識 別 化 技術 20η 8(vη )

22307 Financ｜ a｜ seⅣ ices— —PriVacyimpactassessment C-︴

2008(vη )

3η 700一 η ConsumerPΓ otection— —PriVacybydes:g nforconsume「 B-︴

goodsandServices— —Pa㏄ ﹁:High一 ︳ eve︳ equiΓ emen七 S 2023(vη
「 )

3η 了00-2 ConsumerpΓ otection— —PΓ ivacybydeSignforconsumer D

goodsandserv︳ ces— PaH2:UsecaseS 2023(vη ﹉
— )

猝200﹁ A「 igence——︳
tific｜ a｜ inte｜ ︳ Ⅵanagemen七 System B-η

發展 中

◎ by下 C︳ C
Modu︳ e2-﹁ S︳ ide月 6
 ☆
︳SO刃 匡C之 700︴ :2022標 準 簡介

前 言 FonⅣ ard

銬教 塕銹 銘 狒 姦 鎊 鐪 銹 簭 彿 銹 篛 螂
Th︳ sdocumen七 WaSpreparedbyJoin七 Techn:ca｜ CoΠ ∥n:ttee
︳sor︳ EcJTc可 ,︳ nfor︳ mat:on下 echno︳ °gy,SubcommitteeSC27,
了o na市 on Secu︳ y,cyberSecuri七 yand
r︳ :七 ro七 ec甘 on.

公
Th:S七 h:了 ded:七 :oncance︳ SandreP︳ aces七 heSeconded:七 :on
sor︳ Ec2了 00｛ :20｛ 3比 wh︳ chhaSbeen七 echn︳ ca︳ ︳ yΓ eV:sed.鍵 俄盞

︴
(︳ 騷♁

喜踓C妙 F粉 艙野撥盬艙$ 蕸瓶舍 萃♁爸跴鑯畫 ¢踐各爸♁野螰銷爸雛娥緻 哥 筮爸 邃了番爸確:盆 番嘍番妥

$$安 巷 爸紛野

箷 塕 竅 狒 奶缽跨師 犁 蓩 緆簽 昜 狒 筋多跆黔 牽 劬 姊
外
璀:露 鍛確碡撥跟趨 牽 $色 》
了盞紅e露 了娥嶺儸:露 毋像各了G@野 霞:窆 姾確愚

翠 纖齡 留 雄 爸雛鑫朒皒 每騷 饞解齡 撥鸃 野鬱 ll$鞭 騷 :

親 錢在

-躄 舳盤難艕X蓬 找緻$臨 餓幹獵 緻路餽 踓艙妞 淺

解宮崔朒 選隬$納 緻F妥執會擗喜
蛋膀婊

$監 好執爸鞋繈踓 督♁針 俄 級腦砩蝴紛縱 ♁跗確毯蠈畢牡e撫 騷違緻俄娥錢野爞點 ｛baSedon

sor︳ EcDirec七 :VeS.Pa比 鬥

︳ ｝硪m硠 母 谷♁ 簉G之 了$維 盆:窆 ♁窆建
r在

誰 :營 選 淼綩羞 蠠 鑈 鑒 攘Ⅱ溜,撥 一 靈,確 .撬 ,每 ▇ 確▋

3,籓 ▌
確,各 ︳ 盪J勢 嵾角咐
番婆難贐▋
孅∴3〕 讕 整 了 ◢磻′翠簪ㄅ毽H彌 ﹏$.確 ,駐 ︳鑫,$‘ 番選 舉名計瘸塞 ,罐 赤 紛︳ 盪▉確Π
一

姼帥
騷Ⅱ邃.鑫 土傘t番 n確 髒▋舉m盆 H黭 ◢
毧m8玡 黈璃矲黂 麥傻砏一 僱溶鞃嘰睡ㄥ 盈順 序
◎ byTC｜ C Modu︳ e2一 ﹁s︳ ide﹁ 7

★︳
SO/︳ 巨C2700η :2022
管 理 系統 異動摘 要表

by下 C M。 du︳ e2-︴ s｜ de︴ 8

｜
 ︳
SO川 巨C2700﹁ :2022標 準簡介 β臨 β
— — —

鐖簸 鐑劬 齺 躌難 繚鐖 外
η適用先田 Sc。 pe

a本標
準規定於組織全景內建立 、安作 、維持及持故

錛纖 鐒 出
改善資訊安全管理 系統之要求事項 。本標準亦包括
依純無 需要而裁道之安全風險評鑑及處理的要求事

蟧黤 螂
籤妳
茗 且
蛋琤菜
筆重垂
貫手夏
優姭舌
霯乎 嘻螶
盞疊每
簽

錀簸 躌外欺錯 學甌鱗帶毉旗鑰 航勞蠍一

合 至
本斟際採準時 , 不得排除綁 第坐 節所規定
之任何要求事已．
巨〤c︳ udingaη y.rtherequ:remen出 BSpec︳ 了 :ed:nC︳ auses
碎tO▋ 0︳ Sno七 acceptab︳ eWhenano「 gan︳ zationc｜ a︳ rns

:盼
confoΓ rnityto th︳ s︳ nteΓ nat︳ ona︳ Standard.

螂
埡外
◎ by了 C︳ C
odu︳ e2-η
山︳ s｜ ide﹁ 9

SO用 巨C2700﹁ :2022標 準 簡介

︳

2引 用標 準 N° rma║ vere了 erences 鑰黮 嫋♁ 鑼 縐麶 鈔鐊 一

°
部分。
田
洋哆霎
十 雷 屢 套 邊 雷 鞪 霒 是 (
鐒黫 鐪 外

oWingdocuments,inwho︳
The了 o｜ ︳ eor︳ nPaΓ t,arenorrnative｜ y
鈉簸妳

ΓefeΓ enced︳ nthisdocurnentandareindispensab︳ efor︳ ts

籤︻

app｜ ication. FoΓ datedrefeΓ ences,on︳ ytheedit︳ onc:ted

鑰籦 嫋︴欺餒 寧羅 苓錄舉 鑰 掰箜理

app︳ ︳es. FoΓ undatedΓ eferences,the︳ atestedition ofthe

re了erenceddocurnent(:nc｜ udinganyarnendments)app︳ ies.

︳SO月 巨C27000, nforrnaⅡ On

︳
techno︳ ogy＿ 安 全 技術 SecuⅡ ty下echn︳ q比 S一 資 ﹁
ˊ
\﹏ ′
訊 安 全 管理 系統 ︳ nforrnauon secu〢 tymanagernent
r玉

SySterns一 概觀 及 詞 彙 oveⅣ iewandvocabu︳ a呼

妢的
妢抔

◎ 町 下C︳ C
Modu｜ e2-﹁ s︳ ide20
 S0月 巨C2700﹁ :2022標 準 簡介
︳ 靂亂 靂颻
#

— —

齡籛齡玅 琚 鐫籛繚鐑 無
3用 語及定義 Termsandde∥ n比 ︳
onS

SO2了 000所 規定之 用語及 定義適 用於 本標 準

塕籛鋒
︳

*鐒
攤螂
For七 hePurpoSeSofthiSdocurnent,theter︳ nSand

籤無塕雞鐱螂臹啥妳擊籮錫笠舞鐫 蓻姦磯跡 古 劬妳
def︳ nit︳ onsg;ven︳ n︳ S0用 EC27000app︳ y.

鋒牪
◎ byTC︳ C Modu︳ e2一 可S｜ ide2可

★
再組織全 景 C° n七eㄦ °ftheorgan︳ zaHon

再▋
▋瞭解 組 錢 及 其 全 景 銹黮鋒谽 鑴 彿攤幼鑯 再

Unde｛ ;tand:hg七 heorgan:zat:onand︳ 虫Bc° n七 e〤七

ˊ 組 織應 決定 與 其 目的有 關且 影 響達 成其 資訊 安 全 管理 系統預
鐒篾鐊 井

期 成 果 能 力之 外部 及 內部議題 。
了heorganizat︳ on sha︳ ︳deteΓ ╮︳
neexterna︳ andinterna︳
齡籛螂

rΥ

issuesthataΓ ere︳ evant to比 Spurposeandtha七 a帝ect itS

籤ㄊ

abi︳ itytoachieVethe︳ ntendedoutcome(s)o了 比 aHOn

SinforrΥ ╮
銹籛鐒碎欺鷬 寧再

secuHtymanagement systern.

備考 :決 定比 等議題 ,係 指建 立於 〡
S● 田 000泛 0︴ 8之 碎.｛ 中
揮筠籛蘀 銹 描器路卦泛 谽外

5一

所 考 量 的組 織 外部 及 內部 全 景 。
Deterrnining七 heSe:ssuesre了erSt。 estab︳ iShingthe
externa︳ andinterna︳ contextoftheorganization
consideredinC︳ ause$.碎 .作 o¥ ｜So3︴ 000:生 0確 8.
◇林

◎ by了 C︳ C 颱 ide22
Modu｜ e五。︴§︳
 ★
#組 全 原;C。 nte〤toftheorganiza七 :on
甜〔

2瞭 解 開注 方之 需要 及 期 望

鐒籬 錀姶 饑 鑰鸃 紛嫩 外
#■

UndeΓstand︳ ngtheneedsaΠ de〤 Pe● ta七 :onSo｜

:nte「es七 edpa㏄ :es
ˊ 組 織應 決 定下 列事項 。
Theo「 ganizat:on sha｜ ︳deterrΥ╮ ine:

鍋黮 鑰 一
a)與 資訊安全管理 系統有關之 關注各方 。
inteΓ estedpaΓ tiestha七 aΓ eΓ e︳ eyantto the︳ nforrΥ ╮
ation secu「 ︳

銻邏 螂
ty
╮anagement

籈年
rΥ

鱗黳 塕妳坎鍰 鞏蘿 勞簽盞鑰 瓶簽協跡 手 盼碎

b)此 等 闕注 方之 蟣 。
ˊ

there｜ evan走 Fequ｜ rementSoftheSe〡 n士 ereS走 ed paΓ t:es;

c)此 等要 求 中之哪 些 要 求 事項 將 透 過 資訊 安 全 管理 系統 因應 。
,

theSerequ子 rementsw︳ ︴
Wh子 ch0了 ︳beaddressed 七
hrouqhthe
n了OFrna七 iOnSecu「 i打
子 〡anaqernen七 SVS走 em.
r｜

備 考 :關 注 方之 要求 事項 可能 包括法鍏 及 法盪要 求事項 ,以 及 契

約 義務 下herequ︳ Γ ements of︳ nterestedpa㏄ iescan
inc︳ ude ︳
ega｜ and Γegu︳ ato╮ ◤requirements and

鍛擗
contractua︳ ob︳ igations.
◎” 下C︳ C
Modu︳ e2-﹁ s︳ ide23

再組織全 景 C° n七eHoftheorgan︳ 2aHon -

β已 r
— —

#▋ 3決 定 資訊 安 全 管理 系統 之 我 固 銹籮銹谽 鎞 嫋難鎗錢 ︻

Deter︳ 了
●:n:ngthescoPeo了 the:nhrmat:on secuΓ :打
manage︳ 了
︳entSys七 em

ˊ 組 織應 決 定 資訊 安 全 管 理 系統之 邊 界及適咀玾
協黫錛 小

以建 立 其
範 圍 。於 決 定 比 範 圍時 ,組 織應 考 量下 列 事項 :
僯邏師

一
Theorganization sha︳ ︳deter【 ηinetheboundarieSand
皺︴

tyofthe︳ nforma小 onSecuHtymanagernent

app︳ icabi︳ ︳
鑼黫媰師漱齵 寧簼

system toeStab｜ ish︳ tsScope.、lVhendeteΓ rn︳ ningthis

Scope,theorganizat︳ on sha︳ ︳conside「 :

a)碎 .可 中所提及之外部及內告 r議 題 。
$籦

theeXterna｜ andinte「 na︳ issuesΓ e了erredto in碎 .η

翠鋒 站移路趶汪 鉿姆

b)碎 .2中 所提及之要求事項 。

theΓequirements refeΓ redto in碎 .2;
◇師

◎ byTC︳ C
Modu︳ e2η s“ de2ㄥ
 ★ heorgan︳ 2at:on
全 景;C° n七 e〤七°了七
再組甜已 腐 鑼 陷 齺 解

靂舐 鑋
#

佛纖 塕谽 鑼 銹簸 谽矲 妳
c)組 織 執 行 之 活 動 與 其 他 組 織執行 的 活 動 問之 攤 相 堡些 。
nte√ aceSanddependenciesbetweenac七 iV｜ t:eSPerfo「 ed
︳ r!╮

bytheorganiZat;on,andthosethatarepe㎡ orrnedbyothe「
organizations.
ˊ 範 圍應 以 文件 化 資 訊 提供 。

塕籛 縐 ㄊ
下heScopesha｜ ｜beavai︳ ab︳ easdocumentedinforrnation.

蠮籛 螂
鈚心
再一
再 資訊 安全 管理 系統

鐱蕤 佛螂箕鑗 寧籮 移奪璘 鑰 械券瑙掛 — 鐒螂

nfor︳ ﹁at:on secuΓ 比
︳ y了 hanagemen七 Sys七e︳ 了
︳
ˊ 組 織 應依本標 準 之 要 求事項 ,建 立 、實作 、維持 及 持 續 改
善 資訊安全 管理 系統 ,包 括 所 需過 程 及 其互動 。
下heoΓ gan︳ zation sha︳ ｜estab︳ ish,irnp︳ ernent,rna︳ nta︳ nand
con∥ nua︳ ︳ yimprOVean informaHon secu山 tymanagement
SyS七 ern,〡 nc︳ ud:ng七 heproces$esneededand七 於eiΓ
︳n七eξ 爸Cti。 nS,inacc0ΓdanceW︳ ththe requ︳ rements ofth工 S

銹師
d° Cume外 之.

◎ by下 C︳ C Modu︳ e2-﹁ S︳ :de25

5領 牛作為 ∟eadersh︳ p 嫠豔 輝
﹏

— —

5▋ 可領 斗及承諾 Leade怡 h︳ pandcomm比 ment 鑰籮 鑼谽 鑼 鐑靉 鈔鑼 琳

ˊ 最 高管理 階層 應 藉 由下 列事項 ,展 現 對 資訊 安 全 管 理 系統
之 領 導及 承 諾 :

Top rΥ ╮ ent sha︳ ︳

anager︳ ╮ demonstrate︳ eadershipand
銵籛 齴 本

corΥ ╮ m比 men七 Wi七 hreSpectto the:nformaHon secu“ ty

塕羻擁

r!╮ anager【 ╮ent sySternby:

颻妳

a)確 保 已建立 資訊安全政 策及 資訊安全 目標 ,並 與 組織之 策略

鏺籛 銹師欺餵 肇擺 帶簽終妳

方向相容 。
enSu山 ngth引 nfOrmajon secuH七 ypo︳ 比yandthe
:nfo「 majon secu山 tyoㄐ ecjvesareestab︳ ishedandare
comPat:b︳ eWi七 h七 heStΓategicdirection oftheorgan︳ zat︳ on;
b)確追珵址些′土邕舉繳釭難姓翱瞇銘u逸嘝浮珞壞過程 。
U
鋪 茄雀超好發 錼螂

enSu山 ngth引 ntegrajon oftheinfoΓ ma小 onSecuⅡ ty

managernent systemrequiremen七S︳ nt。 theorganization’ s
processes;
谽妳

◎ by了 C︳ C M° du︳ e2-︴ S︳ ide26

 5領 車作為 ∟eadersh︳ p 露瓶 露
— — —

錛纖 塕鋒 鑼 鑰黮繚鎩 外
c)確 保 資訊 安 全 管理 系統 五 需之 資源 可要 得 。
ensuringthattheΓ esouΓ ceSneededfoΓ theinfoΓ ︳
nat︳ on
SecuHtymanagernent systemareavai︳ ab︳ e;
d)傳 達有效 之 寬塾 安全隻 理 的重要 性 ,迷 及 符合覺 訊 安全管 理

鑈鑼 鐒 出
°

cornrΥ ╮ anceofe帝ectiVe︳ nfoΓ ╮

un︳ catingtheirnpo碇 ation rΥ

縐麜 螂
Secuhtymanagementando仇 onfo「 mingto theinfoΓ ╮aHOn r︳

兟無
Secu山 tymanagernent systemΓ equiΓ er了 ╮
entS;
q沝

鏻簸 瞈郎旅啥堅歡 彈移錄幾 蹸 鯨壁餵

。
enSu山 ngthattheinfo「 ma∥ on secuHtymanagerΥ ╮
ent
syste「 ╮achieves its intendedoutcome(s比

r一
嬇妳
姼粹
C
◎ by孔 ｜
de27
Modu︳ e2一 鬥§∥

★
5領 爭作為 Leadersh:p π磁 π
﹏

— —

了)指 導及支援人 員,以 促進資訊安全管理 系統之有效性 。 鋪黮 鐒鎀 鑩 鏘繳鎗鏺 一

ectingandsupportingpeΓ sons tocontributeto the

diΓ

e帝ectiVenessOftheinforrna小 onSecu“ tymanagerΥ ╮ent

syStern;
g)推 動持續改善 。及
眑黫 鋪 外

prorΥ ╮
otingcontinua︳ irnprovernent;and
呦讓 姊

h)當 適用其他相 關管理 角色之責任範圍時,加 以支持 以展現其

簸︴

領導權 。
鐪籛 鈐姊瞄♁蜥鞏羅 路釜確碎

suppoΓ t:ngothe「 e︳ evant managementΓ o｜ es to

「
demonstΓ atetheir︳ eadersh︳ pas itapp︳ ies to theiΓ areasof
responsibi︳ ity.
姆 缽登超好發 劬外

‵
、‵ ˊ/
一
’
Referenceto‘ ‘ SdOcumen它 Canbe
bus° ness’ ;n在 氿︳
in在 eΓ pre推 d一 笠 V:t︳ eSthatare
oad︴ y︴ ●!η eanthoseac七 ︳
〔
鬱抔

C
◎ by孔 ︳
coreto thepurposesoftheo mani2at｜ on’ seXistence.
Modu︳ e2-﹁ s︳ de28
︳
 5領 車作為 ∟eadersh︳ P

彿讓 鐫錯 鑼 佛雞谽饑 無
5■ 2政 策 P° lhy
最 高管理 階層應建 立 包含 下列 事 項 之 資訊 安全 政 策 :

下Op rnanagernent sha︳ ︳ ajonSecuㄩ typo︳ :cy

estab︳ ishan infoΓ ╮ rΥ

tha七 :

鐖雞 縐
a)適 合 於 組 齰.之 目 的 。
isapp「 opriateto thepurposeoftheorgani2at︳ on;

#錐
齉螂
b)包 括 全 目標(參 照6口 2)或 提供設定資報安凎珥瑏之舜轉

籤然
inc︳ udes︳ nforrnaⅡ on secu山 tyoㄐ ec小 VeS(See6＿ 2)or

鋪讓 鐖坤箋胡 犖霿 移窪琪塕 谹犖廷′任 紛螂

pΓ ov︳ deSthefrar了 〕eWO「 k了 orSe七七
inginforma∥ on secu山 ty 一
o切 ecjves;
c)包 括對滿足相關於 資訊安全之適用要求事項的承諾 。
inc｜ udeSacornrn比 rnentto saⅡ s印 app｜ icab︳ erequirements

re︳ atedto informaHonSecu︻ ty;

d)包 括對持續改善資訊安全管理 系統之承諾 。
︳nc｜ udesacornrnitrnent tocontinua︳ proVement ofthe
╮ irΥ

幼帥
info「 ma小 onSecuHtyr!╮ anager｜ ╮entSystem.
◎ byTC︳ C Modu︳ e2-﹁ s“ de29

5領 車作為 ∟eadersh中

塕黤 娥妙 鑼 嬾難 鎗鸏 坊
資 訊 安 全 政 策應 符 合 下 列項 目 :

The㏑ formauon secu山 typo｜ 比ysha︳ ︳ :

ψ 茲 文 件 化 資訊 提 供 。
聯蘿 鐪 ↑

beava:︳ ab︳ eaSdocur了 ╮

ented︳ nfor了 ﹁at:On;
D 於組織內傳達 。
狒簸蚋

unica七 edWithin theorgan︳ zation;and

becor︳ ╮╮
颻站

rΥ

g) 適用時 ,提 供子關注方 。
銹簻 鐒碎插嶺堅鯬 鋒學錢轟 彿 拓舞路抑

beavai︳ ab︳ etO:nterestedpaΓ ties,asappΓ opr:ate

#鍛
抑
谽外

◎ by下 C︳ C n田 °du｜ e2一 鬥S｜ ide3。

 5領 車作為 ∟eadersh︳ p

鐑籬鐊鍛 磻 鐫籛谽離 小
5＿ 3。 rgan︳ 2at︳ ona︳ ro︳ es,respons:b︳ ︳
︳t︳ eSandauthor:t︳ es

組 我 角 色 、職 責與權 限

ˊ 最 高管理 階層應確 保 資訊 安全相 關 角 色之 責任 及 權 限 已於 組

鋨鸃鑰 出
織 內指 派並 傳達 。

眑雞螂
anage叩 e?tsha︳ ︳ensuΓ ethattheΓ esponsibi︳ it:eSand
下op rΥ ╮

籈小
autho一 ∥ esfor rO︳ eSre︳ eVant to｜ nfo「 maHOnsecu市 tyaΓ e

鏻簸瞈螂報玲妳鞏籮聲雙麟擁 航雀娌╭
assignedandcomrnunicatedW比 h:n︴ heorcaniza∥ on.

ˊ 最 高管理 階層應指 派 下 列責任 及 權 限下0pmanager【 ╮ ent sha｜ ︳

ass︳ gntheresponsibi︳ ︳ tyandauthoHtyfor:
a)確 保 資菡垂全崔 彈 盜 笛符 合 本標 準 之 要 求事項 。
enSu市 ngthattheinfoΓ ma甘 onSecu山 tymanagement
sto thereq uirements of之 h︳ Sdocument;
SySterΥ ╮conforrΥ ╮

#盼
坤
谽師
◎ byTC︳ C Modu︳ e2-﹁ s︳ ide3鬥

★
5領 爭作為 Leadersh︳ p π我 β
﹏

— —

錛籩鑰艙 皭 鎀癈盼鏹

b)向 最高管理階層報告資訊安全管理 系統之績效 。

repoΓtingon thepe㎡ oΓ rnanceoftheinforrΥ ╮ation security
managerΥ ╮ ent syste︳η to top rnanagement.
#鐒
攤銹 兮

備 考 :最 高管 理 階層 亦可指 派報 告 組 織 內 資 訊 安 全 管 理 系統績
鑰籊缽

效 之 責任 及 權 限 。
皴︷

下op rnanagementcana︳ soassignreSpons︳ bi︳ ︳

tieSand
嫋籛縐瑯歎餵 犁羅學籦霹縐 磁發娌π在 幼姊

manceoftheinforrnat:on
author比 :eSfo「 reportin9perfo「
Secu山 tymanagement systeΓ nW比 hin theorgani2auon.
一
)╯
谽粹

◎ by下 C︳ C
Modu︳ e2一 ηS︳ ;de32
 6規 ｜P︳ ann︳ ng
:蟄 靂允躩
﹏

— —

錛籛 鑰幼 鐋 銹黤鎊鑼 外
6＿ ▅Ac七 :。 nStoaddΓ esSr:sksandopPo㏄ un:t:eS

ˊ
癹 篷簩乳騭蟻蓻髏雛鞶
籩壑魏:Whenp︳

鑰籲 銹 ︴
昲籧 妳
majon
達 成 下 列事項 anningfortheinfoΓ

籤︴
securi七 yr!╮ anagernent sys七 eΠ 孔theOΓ 9anizat︳ on sha｜ ︳

鋨簸 鏻坤欽辯 嗧紘擺砏館舞 拂 航證娌η在 鎀挪

conSidertheissuesreferΓ edto in碎 .︴ andthe
requirernentsΓ eferΓ edtOin碎 .2anddeteΓ Π 市netherisks
andoppo㏄ unitiesthatneedtobeaddressed七 o:
a)確 保資訊安全管理 系統達成其預期成果 。 ensurethe
aHon secuㄇ tyrnanagement systemcanachieve
inforrΥ ╮

比 S︳ ntendedoutcorne(s);

b)預 防或減少非所欲之影響 。 prevent,orΓ 田 uce,

undeS什ede什 ectS;

鍛外
c)達 成持續改善 。 孔hieVecon｝ nual︳ rΥ ╮
p「 oVement.
◎ by下 C︳ C Modu︳ e2— s︳ ide33

6規 畫︳P｜ ann｜ ng

ˊ組 織應 規 劃下列事項 下heo「 gan︳ zaHon sha︳ ︳p︳ an: 擁黤 鍋谽 鑼 彿籮 姶燐 打

ˊ
d)因 應比等風險及機會之行動 。及
act:ons toaddress these「 isksandoppo㏄ un︳ ties;and
鋒黫 嫋 “

e)執 行下列事項之方法 :h。 wt。

﹁)將 各項行動整合及實作於其資訊安全管理 系統過程
鑰籛嫵

之中。
織︴

integrate and irnp｜ emen七 the act︳ ons into its

縐黫 鐒拂路錄堅黧 擺學窪鶐銹 拼路冷珅 有 錯啷

informajon secur︳ ty了 nanagement sys七 em

processes;and
2)評 估此等行動之有效性 。
eva︳ uatethee帝 ectiVeneSSoftheseact︳ ons.

U
鈖林

◎ by了 C︳ C Modu︳ e2＿ sⅢ de3ㄔ

—
 69見 畫︳P︳ anning ︳

安俄口
安
— —

錢難鐖谽 鋪 鑰籛艙鐖 冬
6.η .2資 訊 安全風 險評鑑 ln下 oΓ rΥ ╮
ahon secu〢 tyhskasseSsrΥ╮
ent

ˊ 組 織應 定 義 及 應 用 資訊 安 全風 險 評 鑑 過程 於 下 列 事項 中 。
下heoΓ gani2ation sha︳ ｜de了 ineandapp︳ yan in了 oΓ ation r!╮

Secu山 ty“ skasseSsr了 ╮ent process that:

鐱籛鑰 ︴
a)建 立及維持包括下列準則之資訊安全風險準則 :

齡靉螂
shesandmainta︳ ns infoΓ maHonSecu︻
estab｜ ︳ tyHSkc山 teha

巍↑
that︳ nc︳ ude:

鏘雞鑰外犧玲聖黧 希緇竅發銹 航雀饅一存盼螂

可) 風險唧 則 。theriskacceptancecriter︳ a;and
〔
心準貝 ︳。c市 te山 afor pe矷 0rrn︳ ng
aSSeSSrΥ ╮
ents;
監產 生 一 、有 效 及 適 於 比 較 的
名
結果
enSures that repeated infoΓ r刊 ation secuΓ ity r｜ sk
asSeSsme內 tS produce consistent, Va｜ ｜ d andcompaΓab︳ e
resu︳ ts;

鈔帥
◎ 眄 下C︳ C
Modu︳ e2-︴ s︳ ide35

69見 畫︳P｜ anning

c) 識別資訊安全風險 :心 enHⅡ es七 he︳ nfo「 ma小 onSecu山 tyHsks: 銹雞鍋谽 齺 銵籛谽鐖 ︴
可)應 用資訊安全風險評鑑過程 ,以 識別資訊安全 管理 系統範
圍內與喪失資訊之機密性 、完整性及可用性相 關聯的風險
及 app︳ ytheinfoΓ ma也 0nSecu︻ ty“ SkaSsessrΥ ╮ ent
process to identi印 risksassoc︳ atedwiththe︳ oSsof
鐒籛搦 ︹

conⅡ den甘 a︳ ity,integ山 tyandavai｜ abi︳ ityfor︳ nfoΓ ma山 0n

銹籩垹

W:thin t比 Scopeofthe｜ nfoΓ mahOnsecuHtyrnanagernent

斂打

Systern;and
鑰鑫銹︴玫餵 拶羅幾錶籍妒

2)識 另寸屑孔胺 ent｜ 打 ther︳ skOwneΓS;

彩雇豸晏彥眚翏
d)分 析資訊安全風險anaVsesthe︳ nfoΓ ma∥ 0nsecu︻ tyHsks:
η)評 鑑若6.可 .2(c)(η )中 所識別之風險實際發 生時 ,可 能導致
之潛在後果
鑼 插奚男一

assess thepOtent︳ a︳ consequencesthatwou︳ dresu︳ tif

therisks︳ dent;f:edin6.可 .2c)︴ )we「 et° rnater:a︳ ize;
︷ 劬︴
紗外

◎ by下 C︳ C
Modu︳ e2… 鬥S∥ de36
 6規 劃 P｜ anning 嬤

齡難塕鎖 鑴 塕籛錼鎞 女
2)評 鑑6.η .2(c)(可 )中 所識別之風險發生的實際可能性 。及
Stic︳ ike｜ ihoodoftheoccuΓ renceo了 the
aSSeSS七 herea︳ ｜
r心 kS︳ den七 ifiedin6.﹁ .2c)｛ );and
3)塑 定風險等級 de七errninethelevels ofHsK

銹攤銹 再
評估資訊安全風險 。

鏘籮舯
e〉

eva︳ uatestheinforrl╮ ajon

secuHtyHsks:

鈚小
)以 6.｛ .2仁 )中 所建立之風險準則 ,比 較風險分析結果 。及
︴

銹簸鐱螂箕鑑 瞿碑
compaΓ etheresu︳ ts ofr︳ Skana︳ ys︳ swith七 heΓ iSkc「 ︳
teria
＿
2a);and
estab︳ ishedin6.｛
2)訂 定 已分析風險之風險處理優先序 。

舉帑窪委錛 航螢理一妥 餩螂
pri0Γ itizetheana︳ ysedΓ iSkS了or riSk trea七 rΥ ╮
ent.

ˊ 組織應保存關於資訊安全風墮藍鑑過程至主生生直塾 。
Theorgan:zation sha｜ ︳retaindocurnentedin了 0rmationabout

鎀擗
the︳ nformajon secu“ ty“ skassessment pΓ ocess.
◎ by下 C︳ C Modu︳ e2-︴ s︳ de37
︳

6規 劃 P︳ anning 穿籈 靂
…

— —

6.η .3資 訊 安全風險處理 ajonSecuHtyHSk七 reatrnen七

lnfoΓ rΥ ╮ 鑼籛 鋒谽 攠 鑰籩 紛鑰 ︷

ˊ 組 織應 定 義 並應 用 資訊 安 全風 險 處 理 過 程 ,以 達 成 下 列事項 :

下heorgani2ation sha︳ ︳def︳ neandapp︳ yan inforrⅥ ation

鎀繳 銹 外

ent proceSSto:
secu︻ tyHsk treatrΥ ╮
a)考 量風險評鑑結果 ,選 擇適切之 資訊安全風險處理選項 δ
狒羻 碑

Se︳ ec七 appropHate:n了 oΓ maUonSecu山 tyHsk treatrΥ ╮

ent
籤球

optionS, taking account ofthe riSkassessrnentΓ esu︳ tS;

縐籛銹師聽餵 穹羅 夥籦轟鑈 插姦玲帥 在 鐒師

b)對 所選定資訊安全風險處理選項 決 定所 必須 實作 之控制 ,

‘
措施 。
de七 errΥ ╮ hat are necessa╮ ◤七
ine a︳ ｜contrO︳ s 七 o irnp｜ ernent
the:nfo「 ma小 nSecuHty山 Sk treatment op甘 on(S)chosen;
。
U 備 考 仁 組 織 可依 要 求 設 計 控 制措 施 ,或 由任 何 來源識 別 之 。
oΓ gan;zat:onscandeSigncontro︳ Sasrequ:red,or
idenj印 thernf「 omanysource.
谽妳

◎ bytC︳ C de38
Modu︳ e2︺ ︴S︳ ︳
 *6先 瓩畫
︳P︳ anning 好舐溶亂
— — —

3(b)中 所 決定之控 制措施 與附錄A中 者 ,並 查證

鐑黤塕錄 鑴 鐖難繚鑨 公
c)比 較 上述 6.η 口
未忽略必要的控制措施 。
corΥ ╮
parethecontΓ o︳ sdeterrninedin6.η .3b)abovewiththoSe
一
inAnneXAandve山 打 thatno necessarycontro︳ shaVebeen
╮itted;
orΥ

鑰簼嫋 ‵
備 考 2.附 錄 A色 括 可 能 之 蒼 訊 全控 制措 施 清 單 。本 標 準之 使 用
密
著 參 照附錄 A,以 確保 未 忽略 必 要 的資訊 安全控 制措 施 。

齺雞螂
鉞外錢羷繃郎紮娣 學撥帶憲舞 燐 鯨葦撥許 選盼蟀
Users o了 之
c。 n七 ro｜ S. h;SdOcumen七 ared︳ rectedtoAnnex
A之°enSuΓ e七 hatno necesSaⅣ ;nfor了 Ⅵat〡 °nsecur:走 V
contro︳ sareover︳ Ooked
3.附 中 訊 全 施 並
需要 色括 額 外 的 資訊 安 全 控 制措 施 。
0nSecu
下he子 n了Or了 Ⅵa七 ｜ Sted︳ nAnnexAarenot
contFo︳ s｜ ︳
eXhaust︳ veandadd;t︳ Ona｜ :n拓 rr了 ︳
atiO↑ .ecuritycontrO｜ s
canbeinc!uded︳ fneeded.

鋒外
◎ by下 C｜ C
Modu︳ e2-可 S︳ ;de39

★
6規 劃 ann｜ ng
︳ ﹊

r已ㄏ
。 — —

)產 生適用性聲明 ,包 含以下各項 翰驤 縐鎀 鐖 鋊灘 盼鑱 ﹁
鉀
:

pΓ oduceaStaternent ofApP︳ icabi︳ itythatcontains:

必要之鍵制捨施 ︳ ㄘ
參t呂召6一 η.3(b)及 (c):。
thenecessarvcontro︳ s ｝ see6.︴ ︹3(b)and(c｝ ︳ :

納 入 之衡 量 理 由 。
昲巍 鍋 ︴

ustif〡 cationfortheir inc︳ usion

塕驤撫

是否實作 必要之控制措施 。及
銀出

Whe七 her七 heneceSsanrcontro︳ sare;rn p︳ ementedor no它

鑰黫 鎀咘玫餒 犖撥 玲箠畢銹 筋華珼π無 鐒妳

and
排 除 任 何 附錄 A控 措 施 之衡 量理 由
heAnnexA
thejusti乎 cat︳ onforeXc︳ ud:nganyo了 七
contro︳ S﹏
e)制 訂資訊安全風險處理計畫 。及 )

fo「 r【 ╮
u｜ atean infoΓ ma小 OnSecur︳ ty〢 sktΓ eatment p︳ an;and
艙抃

◎ byTC︳ C
;de玲 0
Modu｜ e2-︴ §︳
 6 見畫︳P︳ anning 鐉胝麤
竹

— —

鐫難 鐖鈔 嬏 拂羻 鍛鎞 無
f) 取得風險擁有者對資訊安全風險處理計畫之核 准 ,以 及對剩
餘 資訊安全風險的接受 。
a甘 onSecu山 ty市 Sk
obtain“ skOwne「 甘 aPprova｜ oftheinforr了 ╮
七 ent p︳ anandacceptanceof七 hereSidua︳ ;nfor子 nation
rea七 ╮
rΥ

鐖籛 觴 、
Secu山 ty︻ sks.

銬羻 螂
ˊ 組 織 應 保 存 關於 資訊 安 全 風 險 處 理 過程 之 文 件 化 資訊 θ

鈜︴
下heorganization sha︳ ︳retaindocurnen七 ed︳ nfoΓ ╮
ationabou七

銹黮 銹姆鎡玲姊鞏蘿琌錢華塕 插華協跡 一 盼螂
rΥ

heinforrna小 onSecuHty〢 sk七reatrnent pΓ ocess.

七

備 考 碎:本 標 準 中之 資訊 安 全風 險評鑑 及 處 理 過程 與 ︳
S○ 3︴ 000
內 ,提 供 的原 則 及 通 用指 導綱 要調和 。
TheinformajonSecuHtyHskaSsessmentandtreatrnent
proceSs︳ n七 h:Sd。 cuη e↑ ︴a｜ ignsw比 hthep山 nc︳ p︳ esand
genericgu︳ de｜ ineSpΓ oVidedin︳ SO3η 000:

鉹帥
◎ by下 C︳ C ModuIe2-︴ s︳ ︳
deㄥ ｛

★
6規 畫︳P︳ anning

㎝與㎝山
打 鋪籛鐒谽 磷 蟧攤谽鵝 ︷
γ ︳
紫驟
ˊ 組 織應 於 各相 關部 門及 層 級 建 立 資訊 安 全 目標 。
下heorgan｜ zaHOnsha︳ ︳estab︳ ishinfoΓ ma小 onSecu“ ty
搦塊鐋鋊 雞竅 ︴

o● jectivesatre︳ evantfunctionsand︳ eve︳ s:

ˊ 資訊 安全 目標應滿足下列事項 :
鐪籛銹毯塵 豫 鋒鞋籦學縐插舉路才

TheinfoΓ ma小 0nSecuHtyo切 ectivesSha︳ 比

a)與 資訊 安全政 策一致 。
beconsistentwㄤ hthe㏑ 竹rmaHOnsecu山 typo︳ icy;
b)可 暑9址 (若 可行時)。 bemeasuΓ ab｜ e(r pract心 ab｜ e);
c)孝 量 適 用 之 資 訊 安 全 要 求 事 項 ,以 及 風 險 評 鑑 及 風 險 處 理 的
．
｜
繀子 果 。 takeintoaccountapp︳ :cab︳ e:nf。 rrnation secur:ty
skassessrnentand
equirements,and「 esu︳ tsfrom:Γ ︳
Γ
師 #鈔

tΓ eatrnent;
鬱擗

由 受 監 視 。 bem㏄ ｜ 拓 re心 ;

◎ byTC︳ C hπ odu︳ e牙 ﹁ S︳ ide再 2

 ★
6>見 畫!P｜ anning

立 被傳達 。Becommun心 ated,

瞈黤鑰幼 鑼 錛議谽鑩 妳
生於適當時 ,更 新之 σbeupdatedaSappΓ oP“ ate.
q)以 文 作 化 蓄 訊 提 beaVai︳ ab︳ easdocUrnented
︳
nforξ Ⅵation

鑰飄鍋 功
ˊ組 織 應保存 關於 資訊 安全 目標 之文 件 化 資訊 ．

鐒議輕
下heorganization sha︳ ︳retaindocurnentedinforrnation on the
infoΓ rnauon secuh七 yoㄐ ecuves.

籤〝瞈簸錛妳笑齵 孥罨琌畢銵鐫 城荖路邪 卷嬐坤

ˊ於規劃如何達成資訊安全 目標時 ,組 織應決定下列事項 。
Whenp︳ anninghowtoachieVe比SinfoΓ rnauon secuΓ ︳ ty
biectives,theorgan︳ zation sha︳ ︳
deterrΥ ╮
ine:
。 bedone;
生 待辦事項 。whatWi︳ ︳
σ
┴所要求資源 whatresouΓ cesw:︳ ︳ beΓ equiΓ ed;
立 負責人 員 θwhowi︳ ︳
比 reSpon由 He;
生 完成時間 σwhen比 W︳ ︳ p︳ e七 ed;and
︳becorΥ ╮
生結 果之評估 方式 θh。 wthereSu比 SWi︳ ︳beeVa｜ uated

艕帥
◎ byTC︳ C
Modu｜ e2-↑ s︳ ︳
de冷 3

★
依 6規 劃P㏑ nning r
r也口
—
— —

6.3︴ 麰必巨珒 報〔
§掛 P｜ anning.fchan色 9$ 鐒籛銹鎀 鎞 鐒攤妙鑼 ︴
一

ˊ 當組織 決 定 需要對 資訊 安 全 管 理 系統進行 變更 時 ,應 以 規 劃

之 方 式執 行 變 更
鐒譊蠮 卡

Whentheorganiza七 iondetertninesthen。 ●¢f° rchanges to

瞈薙林

theinfoΓ rnat子 o丹 SeCuFitvma几 ageξ 了

︳entSvstemJthech色 n¢ eS
銀︷

sha︳ 〡becarr｜ edou之 inap︳ ?nnedrnannert

鑰讓鍋姊站琇膷穻露學錄邊鑈 鮕器玲沖 王妢郎
◇師

◎ by下C︳ C
Modu︳ e2-﹁ s∥ de4ㄥ
 7支 援 Support

獼籛鎀谽 孋 錀雖 舒鑼 〝
套 躄主實在建 立 、實作 、維持 及 持 續 改 善 資訊 安全 管
理 系統所 需之 資源 。

銹黮 鑰
下heorgani2ation sha︳ ︳ deterrnineandprovidethe
reSOurcesneeded了 o「 theeStab︳ iShment,｜ ╮ p｜ emen︳ a七 ion,

*鐒
rΥ

黫螂
ma︳ n七 enanceandcontinua︳ ╮proVer!╮ ent of七 he:nforrnat︳ on

籤本
irΥ

鐱蘱 彿姊磁餘如擊羅 帶雖蓊擁 箛營趖╭君 妢抑

比 CuHtyrnanagernent systern.

7＿ 2貼女 C。 ︳了︳Petence
ˊ 組 織 應 採 取 下 列措 施
TheOΓ gan︳ zation sha｜ ︳ :

a)決 定於組織控制下執行工作 ,影 響其資訊安全績效人員之必

要 創主力 。deteΓ rninethenecessaη ◤cornpetenceof
person(s) d0ingworkunder比 Scontro︳ thata帝 ectS︳ ts

鎊外
infoΓ mauon secu山 type市orr!╮ ance;
◎ by下 C︳ C ideㄥ 5
Modu︳ e2-鬥 §︳

了 支援 Support

b)確 保比等人 員於適當教育 、訓練或經驗之基礎上能勝任 。 銹籛 彿谽 鎞 銹籮 紛鑨 ︴

enSurethattheSepersonsa「 ecompetent on thebasis0了

ence;
appr0pΓ iateeducat:on,training,oreXpeΓ ︳
c)於 適 用時 ,採 取行動取得 必要能 力 ,並 評估所採取行動之有
鎀貔 鐒 一

男．l生 。Whereapp｜ icqb︳ e,takeactions toacqui「 ethe

necessa ◤corΥ╮petence,andeva｜ uatethee帝 ectiVeneSSOf

狒籛 林

theactions taken;and
敘︴

d)保 姆 文 訊 ,作 之 證 功 豪。Γetain
縐騹 鐪抪監餵 鞏確 幾簽確辦

ented︳ nfo「 rnationasev︳ denceof

appropr︳ atedocur了 ╮
comPetence.
備 考 :適 用之行 動 可 能 包括 ,例 :對 現 有 員工 提 供 訓 練 、指 導
或 重新指 派 ,或 是雇 用 或 約 用勝 任 人 員 。
錢 航羚路誹 甚 劬螂

App︳ :cab︳ eactions rnayinc｜ ude,fo「 eXamp｜ e:the

● rain︳ ng七 O,the︳ entoΓ ingof,orthe「 e一
PΓ OV｜ S︳ on of七 η

asSignrΥ ╮
ent ofcurrenternp｜oyees;ortheh︳ ringo「
鈖粹

cont「 actingofcompetent persons.

◎ by下 C︳ C Modu｜ e2-η S︳ ide46
 7支 比芟SuppoΓ t
r紙 口
嫠
— — —

佛黤鐖鐒 齺 錛籩谽鑯 兮
了■
聊 a冷 neSS

ˊ 於 組 織 控 管下 ,執 行 工 作 之 人 員應 認 知 下 列事項 :

PerSOnSdo︳ ngworkundeΓ theorgan｜ 2ation’ scontro︳ sha!︳

beawareof:

鐒龘鑰
a)資 訊安全政策 。

h鐒
黫螂
ajon
theinforrΥ ╮ secu山 typo︳ ︳
cy;

籤外
b)其 對資訊安全管理 系統有效性之 貢獻 ,包 括 改善的資訊安全

蝴羷塕拂欽覯 單簼緇簽璘 鑰 城壁理好善谽轉

績效之益處 。及
theiΓ contΓ ︳
bution
to thee帝 ect︳ Veness ofthe;nforrΥ╮
ation
secu“ tyrnanagement systerΥ ︳ ,inc︳ udingthe比 neΠ tSof
improved㏑ formauon secuΓ ityperfOrrΥ ╮ ance;and
c)未 遵循資訊安全管理 系統要求事項之可能後果 ．
cat;ons ofnotconfoΓ 了
theimp︳ ︳ ningwiththeinfor【 Ⅵation
比 Cu山 tyrnanagement systemrequiΓ ements.

鍛外
◎ by下 C︳ C
Modu︳ e2一 ηs︳ ide47

★
了支援 Support …

′出∵
〃
— —

孔#溝 通或傳達 C° mmun︳ ca山 on 鑰雞縐炒 齺 縐黮盼鑼 Ⅵ

ˊ組 織應 決 定 ,相 關於 資訊 安 全 管 理 系統 之 內部 及 外部 溝 通 或
傳 達 的 需要 ,包 括 下 列事 項 。
蠮黫蠮 小

Theorgani2at︳ on sha︳ ︳deterrn︳ netheneedfor interna︳ and

eX七 erna︳ cornrnunicajonSre｜ evant t○ the︳ nfor而 a市 0nSecuΠ ty
鑰攤於

rnanagernent system inc︳ uding:

皴︴

a)溝 通或傳達事項 。onwhat tocommunicatq

縐籧銹一城餘墅聚鑮器窪畢鑈 就畢玲野

︳ b)溝 通或傳達時間 。when tocommun℃ ate;

c)溝 通或傳達對象 。w比 hWhorn tocornmun心 ate;
d 。hoWtocoπ︳ nunica推 。
Υ

盈或傳 達 人 員wh° sh田 ︳commun:cate

註 :刪 除 溝 王
妳 #鋒
谽粹

◎ by下 C︳ C
:de碎 8
Modu｜ e2-鬥 §︳
 7支 援 S叩 port
5文 件化 資訊 D。 cumented:n㏑ rmaⅢ on

狒黤 鐖鈔 鑼 拂羷 谽饑 外
｜ 了█
╮
7.5.｛ 一 般 要 求 Genera︳
ˊ 組 織 之 資訊 安 全 管理 系統應 包括 下 列 內容 :

下heorganiZation’ Sinforrnat︳ on secur︳ tyrnanagernent system

錀攤 鋒
sha｜ ︳;nc︳ ude:

a)本 標準要求之文件化 資訊 。及

#銻
黦螂
docurnentedinfoΓ ma小 0n「 equiredby七 h︳ Sdocurne↑ ｜ ;and

兟女鑰簸 鑈郎笑媱 學蘿 帑等躌 錛 磁蕼趙跡 多 鬱榔

b)由 組織所決定對資訊安全管理 系統有效性 ,必 要之文件化 資訊
documentedinfor!nationdeteΓ rninedbytheorganizationaS
beingnecessaryforthee帝 ectiVenesSofthe︳ nfOrrnation
securityrη anagement systern.

銹外
◎ by下C︳ C Modu︳ e2-可 S︳ ideㄥ 9

7支 援 Su眒 Ort

備 考 :各 組 織 之 資訊 安 全 管 理 系 統 文 件 化 資訊 內容 ,可 能 因下 列 彿黮 彿銹 鑼 銹雞 鎀鑼 的

因素 而 異 :

下he eXtent ofdocumented inforrnation fo「 an

aHon secuHtymanagernent systemcand︳ 帝er
inforrΥ ╮
銵籛 銵 ︴

frorn oneorganiza七 ion toanotherdueto:

)組 織規模 ,以 及其活動之型式 、過程 、產品及服務 。
可
鑰羻 抩

Stypeofactiv比 ieS,
thes｜ 2eoforganizationand︳ 七
颻‵

processes,productSandSerVices;
鐋簸 銹姆欺鎖 鞏颱 機鍰鋒卹

21各 過程及其互動之複雜度 。及
onS;and
hecomp｜ eXityo了 procesSeSandthe:r:nterac七 ︳
七
3)人 員之能力 。
hecomPetenceofPersons.
七

U
彿 插移修跡 多 鐒奶
谽擗

◎ by了 C︳ C M° du︳ e多 r﹁ S︳ ;de50

 7支 援 SuⅣ ort

翰讖鑰鍛 鑼 鐖黤鋒鑼 外
｛┐.5.2制 定 及 更 胡子CΓ eatin9andupdating
ˊ於 制 訂 及 更新 文 件 化 資訊 時 ,組 織應確 保 適 切 之 下 列項 目 :

WhencreatingandupdatingdocumentedinfoΓ rnation the

o「 gani2ationSha︳ ensureappΓ opriate:
︳

鑰黮鋒 ︴
a)識 別及描述 (例 :標 題 、日期 、作者或參引號碼 )

佛簸卿
identificationanddescΓ iPt︳ on(e.g.at:t︳ e,date,author,oΓ

籤小
Γe了eΓ encenurn比 );
「

鑰癒鐱妳激報 駛 擺谽鑉躌 鑰 銥令塕邪 巷♁拂

b)格 式 (例 :語 言 、軟體版本 、圖形 )及 媒體 (例 :紙 本 、電
子 )。 及
for了 nat(e.g.︳ anguage,so㎞ areve「 sion,graphicS)and

rnedia(e.g.papeΓ , e︳ ectron︳ c);and

c)合 宜性及適切性之審查及核且 。
eviewandapprova︳ for suitabi︳ :tyandadequacy.
「

鉿帥
◎ 盯 下C︳ C
Modu︳ e2-︴ s︳ ide5︻

7支 援 Support β我 π
-

— —

7口 Cont「 o︳ ofdocurnented｜ nfomauon

5.3文 件 化 資訊之控帝● 鑰簼鍋妙 鑼 縐鑫妙饑 功

ˊ應控 制 資訊 安 全 管理 系統 及 本標 準要 求 之文 件 化 資訊 ,以 確 保
下 列事項 :

Docurnented︳ nforr︳ ╮ auon requiΓ edbythein了 Orma中 onSecu山 ty

鐒黫鐊 小

manager了 ╮ entSySternandby thiSdocurnent sha｜ ︳be

edtoensuΓ e:
鐖籛坤

contro︳ ︳
a)其 於 需要處及 需要時為可用及適用 。及
皴玄

｜
鏕黫鎀師薿齵 輩羅苓霾薄銹 林舞路趶才 盼的

it isavai︳ ab︳ eandsu︳ tab︳ eforuse,wheΓ eandWhen it is

needed;and
b)其 受適切保護 (例 :防 止喪失機密性 、不當使用或喪失完整性
it isadequate｜ yPΓ otected(e.g.from︳ oSsofconf︳ dent︳ a︳ i七 y,

impropeΓ uSe,oΓ ︳
oss ofintegHty).
艙抔

◎ by下C︳ C
Modu︳ e2一 ηS︳ ide52
 7支 援 Support 漆 蹤 既 齺 鱍

靂允留
虋
竹

ˊ為 控 制 文 件 化 資訊 ,組 織 應 於 適 用 時 ,闡 明下 列 活 動 。

鎀羻 塕銓 鑼 翁雞 谽鐖 外
ForthecontrO︳ ofdocurΥ ╮ entedinforrΥ ╮
ation,theorganization
sha｜ ︳add「 eSsthefO︳ ｜
OWingact︳ vitieS,asapp︳ icab｜ e:
c)派 送 、存取 、 檢索及使用 。
anduSe;
distribution,access,retrieva︳

鑰籛 錐 才
d)儲 存及保存 ,包 括可讀性之保存 。及
storageandpΓeservat︳ on,inc︳ udingthepreseⅣ ation

璘籩 螂
o了

籤小
eglb︳ ︳
｜ ity;

塕齉 銹姊籃覝 鞏旛緇鍰磷鐫 航穿建′移 劬瑯

e)變 更之控制 (例 :版 本控制 )。
contro︳ ofchanges(e.g.versioncon七 Γ
o︳ );and

f)留 存及屆期處置 。
reten七 ionanddispOSit｜ on.

銵附
◎ by了 C︳ C Modu︳ e2一 ﹁s︳ ide53

7支 援 Support β瓶◤
釐
﹏

— —

ˊ於 適 當 時 ,應 識 別 及 控 制 由組 織所 決 定 對 資訊 安 全 管 理 系綿 之 銹籛 銹幼 齺 彿黮 盼鐊

規 劃 及 運作 為 必 要 之 外部 來 源 的 文 件 化 資訊 。
at:on ofeXterna︳ OΓ igin,dete「 rn︳ nedbythe
DocumentedinforrΥ ╮
organ︳ zation tobenecessaryforthep︳ anningand0peration
h銹

o了 theinfoΓ maHon secu山 tymanagernent system,sha︳ ︳比

齉鐋

identi市 edaSappropΓ iate,andcontro︳ ︳

ed.
(鐫
議姊
皴出

備 考 :存 取 可 能 意味 關於 文件 化 資訊 僅 可檢 視 之 許 可 、或檢 視 及
鐒騹銹師欺黐 罕罷 學轟轟 鑰 航華跨抖 發 鐒師

變 更 文件 化 資訊 的許 可 及 權 r艮 等 之 決 策 。
AcceSScan:rΥ ╮
P︳
yadecision regardingtheperrn︳ ssion to
v:ewthedocumentedinfOΓ ╮ at:on on｜ y,orthePerrn︳ ss:on
rΥ

andau七 horitytoV:eWandchangethedocumented
in了 Or【η ation,etc.
‵
‵
、‵
＿′
′
＿;)
劬妳

◎ byTC︳ C Modu︳ e2-η s︳ ide5碎

—
 ★
8王達:作 0perat︳ on
靂薽 餫
— — —

翰雞銹谽 鑼 佛黮 銬嬓 ︴
8.可 運作 之規 刲 及 控制 Pe「 at:ona︳ P︳ ann:ngandcon七 ro︳
。
ˊ組 織應 規 劃 、實作 及 控 制符合 要 求事項所 需之 過程 ,並 藉 由
下 列 方 式 ,嘗 作 第 6節 中所 決 定 的行 動 :下 heo gan︳ 2ation
「
p︳ an,irnp︳ ernentandcontΓ o︳ theprocessesneededto

鑰飄 鑼 〦
sha｜ ︳
meetΓ equ:remen走 S ,and七 o︳ ement theactionsdeter了 n︳ ned
︴

鐑邏 螂
inC︳ ause6 by

籤伓
◆ 建 立 流 程 之 準則 。

鏻鼛 佛攤就琇妳躄 擺硌窪罷鐫 磁嫈饅

estab︳ 工 sh;nqcF比 eria了 or七 he processes:
依 準 則 實作 過 之 控 制 措 施 。
●

︳m
ernent〡
︳ contro｜ o了 士he cesseS︳ naccoFdance
WiththecΓ 〡 teΓ ia
ˊ應保 存 應 提供 文 件 化 資 訊 ,其 程 度 須 具 足 以 達 成 其 過 程 已依
規 劃執行 之 信 心 。

r子
Docurnented︳ nforr︳ ╮ ab︳ eto theextent
a七 ionSha｜ ;beava〡 ︳

鈖螂
necessa呼 tohaVeconfidencethatthepΓ ocesseshaVebeen

艕粹
◎by下 C︳ Ccarr︳ edou七 aSp︳ anned＿
Modu︳ e2-﹁ de55
︳
s︳

★
8三覂:作 0p.Tation 中

′色 β
— —

ˊ組 織應 控 制所 規 劃 之 變 更 ,並 審 查 非預 期 變 更 的後 果 ,必 要 鑰籛 銹鬱 鑗 鍋鑼姾鏺 一

時採 取 行 動 以 減輕任 何 負 面效 果 。
Theorganizat︳ on sha︳ ︳contro︳ P︳ annedchangesandrevieW
theconsequencesofunintendedchanges,takingaction to
itigateanyadveΓ See什ectS,asnecessa呼 ．
嫋籛 銹 ︴

Ⅳ╮
銹籛 妳

ˊ 組織應確保與 資訊安全 管理 系統相 關之 鋒部所提供 之 過程 、

皴︴

產 品 或服務 受控制 。
銹籦鐒坤文錣 竿攝 學盎縪卹

TheoΓg anization sha｜ ︳ensurethateX碧 ♁+然 俄鍵鞤紗Υ♁W〡 婊e硪

pΓ ocesses,pr0ducts o「 SeΠ riceSthatarere︳ evantto the

infoΓ rna小 0nSecu山 tyrΥ ╮

anagernent systernarecontrO︳ ︳
ed.
嫋 磁轟玲野

)
碎 !φ
妙好

◎ byTC︳ C
M。 du︳ e五 rη S︳ de66
︳
 8二 運:作 0peration

鐑籛塕谽 鑗 銹籛 谽鐖 烋
8＿ 2資 訊 安全風忒 跟
h「 maHon secur︳ 打 “skassesSment
㏑︳

ˊ 組織應依規劃之期間 ,或 當提議或發生重大變更時 ,考 量
6.︴ .2(a)所 建立之準則 ,執 行資訊安全風險評鑑 。

鑰驤 鋒 ︴
n了oΓ ma小 onSecu一 tyHsk
下heorgan︳ zaⅡ on sha｜ ︳perforrΥ╮︳

齺黦 螂
asseSSrnentsatp︳ anned:nte叩 a︳ Sorwhen signi了 icant

籤妳
changesareproposedor occur,takingaccount ofthe

鑈灘 鑰坤磁跆竺藢 移移軍務協 銥擊建好〡 盼坤

criteriaestab︳ ︳
shed︳ n6.可 .2a).

ˊ 組 織應 保存 資 訊 安 全風 險評鑑 結 果 之 文 件 化 資訊 。
Theorganizat︳ on sha︳ ︳reta:ndocur︳ ╮ entedinforrnat︳ on of七 he
eSu比 So了 theinfoΓ rnaⅡ on secu山 ty〢 skassessmen七 S.
「

鈔帥
◎ by下 C︳ C Modu︳ e2… 可S︳ ide57

8三運:作 0peration

8.3資 訊 安 全 風 險 處 理 ln竹 了
︳aj° nSecUH打
r︳ Hsk trea七 men七 銹籬 銹紛 鑼 鋒籮鐒鑼 、

ˊ 組 織應 實 作 資 訊 安 全風 險處 理 計 畫 。
Theo「 ganiZaUon sha︳ ︳imp｜ er︳ ┐
en七 theinf0rmajon secu山 ty
齡黫 鐑 外

r:sk treatrΥ ╮
ent p︳ an.
鐫籦換

ˊ 組 織應 保存 資訊 安 全風 險 處 理 結 果 之 文件化 資訊 。
巍︴

下he organization sha︳ ︳Γetain docurnented inforrΥ ╮

at:on 0了
銹籛 鬱坤蔇嶺堅翟 路移錯選筋 描姦冷抑 安 鐒姊

the「 esu比 softheinforrnaⅡ on secuHtyHsk treatment.

●
♁擗

◎ by了 C︳ C Modu︳ e2一 ︻s︳ jde58

 ★
9績 效 評 估 Per了ormanceevalua山 on 安觀 彈瓶
竹

— —

可監督 ,量 測,分 析及 評估

ˋ
坲籬 燐鍛 鑗 鑰靆 繚鐖 公
9█

︷—
eaSurement,ana︳ ys︳ sandeVa︳ uat︳ on

,
Ⅲon︳ 七
o「 :ng,︳ 了
︳

ˊ組 織應 決定下 列事項
下heorganization sha︳ ︳
dete「 r!╮ ︳
ne:

錛簸 銹 水
a)需 要監督及量測之事項 ,包 括資訊安全過程及控制措施
onito「 edand︳ ηeasured,inc︳ uding
Whatneeds tober︳ ╮

齡籛 螂
infoΓ mauon
secu山 typroceSsesandcontro︳ s;

籤妳
b)監 督 、量測 、分析及評估之適用方法 ,以 確保有效的結果 。所

鑰齉 鍋抪磁玲堅鷲 擺帶箠崩鑈 航命珴辦 子 劬螂

選 擇 之 方 法 宜 產 生 適於 比 及 可 重製視 為有效 的結果 。
thernethodSfoΓ mon︳ toring,measu「 ement,ana︳ ys;sand
eva｜ uat︳ on,asapp｜ icab︳ e,toensureVa︳ id「 eSu︳ ts;工 he
rnethodsse︳ ectedshou｜ dpΓ oducecomparab︴ eand
Γeproducib︳ eresu比 Stobecons工 deΓ ed Va比 d:

鍛粹
◎ byTC︳ C
Modu︳ e2-︴ s︳ ide59

★
9績 on
效 評 估 P針 竹 rmanceeva︳ ua七 ︳ β戤 ′
﹏

— —

c)應 執行監督及量測之時間 。 鑰黮 鍋谽 鋪 齡灘 谽鑱 出
whenthe︳ ηonitoringand︳ neasuΓ ︳ngsha︳ ︳bepe吋oΓ rⅥ ed;
d)應 執行監督及量測之人 員
WhoSha︳ ︳ on︳ toΓ andr了 ╮
r:╮ eaSure;
e)監 督及量測結果應分析及評估之時間 。
鐒黤 鍋 小

whenthe「 esu｜ ts了 om monito「 ingandr︳ ╮

easuΓement sha︳ ｜be
「
ana︳ ysedandeva︳ uated;
鑈雞碑

f)分 析及評估上述結果之人員
皴Ⅵ

WhoSha︳ ︳ana︳ yseandeva｜ uatethesereSu︳ ts.

媰籛 鐒抪欺鍰 肇轟 學姦雜 鐪 磁毒路外 在 綁師

ˊ 應 提 供 文 件 化 資訊 ,作 為 結 果 之證 據 。
ab︳ eaSevidenceof
DOcumented︳ nfor【 ηat︳ onSha｜ ︳beaVa︳ ｜
theresu︳ ts.
ˊ組 織 慮 評 估 資訊 安 全 績效 及 訊 安全 管理 系統 之 有效 ． l生 。

Theorqanizat︳ on sha︳ ︳eva︳ uatethe︳ nfor了 na在 ionSecuri打

pe汗 orξηanceandthee#ect︳ veness o了 七 heinfoΓ r╮ at子 0nSecu 七
V F︳
幼缽

manaqement SysterΥ ╮
.

◎ byTC︳ C
Modu︳ e2＿ ηs︳ :de60
 ★
9績 效 評 估 PeΓ formanceeva︳ ua七 ︳n 籚氖钁
十

。 — —

K催

鐑鼛 鐑鍛 嬏 狒邏 鎗鑯 外
9■ 2內 部才普核 ︳
Π七erna︳ aud:t
黲t靈 【｛ 俄 爸俄e維 垂
一 般 要 求
ˊ 組 織應 依 規 劃 之 期 間實 施 內部稽核 ,以 提供 資訊 安全 管理 系
統 的下 列資訊 。

鑰蘿 鏺 ︴
下heorganizat︳ on sha︳ ︳conduc七 interna｜ auditsa七 p︳ anned
nterva｜ s七 o proVide︳ nforrnat:on onwhetheΓ the︳ nforrna七 iOn
︳

拂籩 螂
銳〝
灌 :羲

塕龘 鐱螂笑鑑 擊撥 帶館麟 鐖 蹴鐙理〃毒 盼螂

ω 跨
烏 ;竄 鑪 訊 安全 管理 系統之 要 求事項 。
巍 寄英
theoΓ gan:zation’ SownΓequirernentsfor｜ ts infor︳ nat︳ on
ent syS七 erΥ ╮
;

2班≦工亙苤壹望比全求事 珿 :冒

the「 equirementSof七 hiSd° cumen毛 ;

b)是 否有效實作及維持 。
entedandrna︳ ntained.
:Se帝 bct:Ve︳ yimp｜ er了 ╮

刉 鍛粹
◎ by下C︳ C Modu︳ e

(
★ on
9綠;交史評估 Pe汗ormanceeva︳ ua七 ︳ ﹏

蛋籈 靂
— —

$▋ 健 踐 m牡 er出 缺｜
︳ a以 d比 ro 路 mme γ
多丌呀牽
缸 銵雞 螉盼 蠩 鏘攤 ♁鑯 打
一
組 織 應採 取 下 為
了比eorg an｜ Za報 0nS乩 ｜ anjestab｜ :Sh,｜ 了
a︳ p｜ np｜ e路 en七 andt╮ a;n七 a︳ η
anaud:tp roaramme(s).｜ nc︳ ud︳ ngthefrequency,rnethods,
鐒黤 銵 兮

ties,p︳ ann︳ ng
reSponS︳ bi︳ ︳ requirements and Γ
epoΓ ting.
組 織 應 規 劃 、建 立 、實作 及 維持 稽核 計 畫 ,包 括 、頻 率 、方法 、
鑰黫 轉

責任 、規 劃要求事項 及 報 告 。
蝕出銹籦 鐒轉欺齵 肇鑼 學鑑霹 鏺 缽器路熬 發 琇碎

W孔 ene$走 ab比 Sh: &q違 he:n在 erna｜ aud比 p ξ

oarau︳ rne6s｜ ,the
organ︳ 2at｜ onSha︳ ︳conS:derthe:mportanceoftheprocesses
conce「 nedandtheresu｜ 七 S。 fpreViousaudits.
於 建 立 內部稽核詩 畫時 ,組 織應考量將所 關切過 程之 重要性 及
U 先前稽核 的結 果 。

註 :CNS｛ 路80 96｜ SO︴ 90可 ︴)蔣 aud改 pΓ oa ramme譯 為 r稽 核 方

鎀埣

身守〕,aud子 走p｜ an譯 為 稽 移 計 書 。

◎ by下C︳ C Modu︳ e2— S︳ de62
︳

—
 ★
9績 效 評 估 Pe｛ ormanceeva︳ ua山 on β甂躍
︴

— —

鐑攤姆妢 孋 塕難銓鑼 外
組 織應 採 取 下 列作 為 :
〡
/

Theorqan工 2at;on sha︳ ｜ :

a)定 義各稽核之稽核準則及稽核範圍 。

助璧
菴箈接
遺夎造片 菃 著琨鷁齰鏟堆雛及 公
革性

錛鏨鑰 ︴
sandconductaud｜ tSthatensuΓ eo
Se｜ ectaudito「

鐒錘姊
andtheimpartia︳ ityoftheaudit proceSs;

籤外
c)確 保稽核之結果對相關管理階層報告 。

鐑籛鑰郎笑摞 鞏嵇銵鞋猋鋪 磁箜連′單嬐螂

ensurethattheresu︳ ts oftheauditsare「 eportedtoΓ e︳ evant
rΥ anagement;and
╮

6匕
D0cumen走edi ｜beaVai｜ ab｜ easevidence0了 the
at:on sh盆 ｜
irnp｜ ementat:Onoftheaud︳ t pΓ oqΓ arΥ ︳
!Ⅵ e(s)andtheaudit

reSu｜ ts.

劬附
◎ by下 C｜ C
Modu︳ e2一 ︴S︳ ide63

★ 一
9｜ 嘖安史評 估 Performanceeva︳ ua市 on

鑈篳銹谽 鑴 鱍黮妙鐖 Ⅵ
9■ 3管 理審查 Ⅲanagement rev︳ ew
9.3▋ 鬥
一般 Genem｜
ˊ 最 高管 理 階層應 於
統 ,以 確 保 其持 續
鰳黫鐋 本

下op rnanager︳ ╮
ent
secuHtyrnanagernent systematp︳ annedinteⅣ a︳ s toensure
躌黫郎

tScon七 inu︳ ngsu︳ tabi｜ ity,adequacyande帝 ect:VenesS.

︳
斂︴

3▋ 2管 理落 查蠟 人 Ma naaement r6vi6w︳ npⅡ 竹

鑰齉鏺郎臨錐竺霍璭帶鎊鋒魻

︳
管理審查應 包括對下列事項之考 量 : 旞
ThernanagementΓ ev｜ ewSha︳ ︳︳
nc︳ udecons︳ deration of:
a)過 往管理審查之議案的處理狀態 。
╮anagernent reviews;
thestatuso了 actionsfrorn pΓ ev︳ ousrΥ
彿 插簽玲趶主 谽坤

b)與 資訊安全管理系統有關之外部及 內部議題的變更 。

changes inexterna︳ and︳ nte「 na︳ issuesthataΓ eΓ e︳ evant to
t、
多 ╮
entSySterΥ ╮
咒
r了

量9︴ 易 安賁 u岩 妾孑 參
;

華 彥
鎀帥

♀ 9珍
輩 ;︳

◎ byTC︳ C
「 Modu︳ e2-鬥 S山 de6ㄥ
 ★
9績 交史評 估 Performanceeva︳ ua七 :° n 蠐 坤

靂珮 靂

銵難 鑮鋒 鑼 攤籛 繚鎞 外
鑰簼 鑈 ︴
心〉資訊安全績效之回饋,包 括下列之趨勢
a小 onSecuHtyper下 ormance,
feedback ontheinfoΓ ︳

鐒簸 螂
rΥ

:nc︳ ud:ngtrends in:

鈜無
︴)不 符合項 目及矯正措施 。

鑰羻 狒姊欽拼 幾航擺弩餞瑵鏻 航螢嫂好在 鬱螂

nitieSandcorrectiveactions;
noncon了o「 ︳
2)監 督及量測結果 。

3)步 港 °
:嬲 多昇
三 ::｝ :一 :urernent resu︳
ts;

auditΓ esu︳ tS;

碎)資 訊安全 目標之達成 。
furi︳ yo切 ecjves;
men七 ofinformaHon secu山 七

谽師
◎ 盯 TC︳ C Modu︳ e2-鬥 S︳ ide65

★
9績 ua七 ︳n
效 評 估 Performanceeva︳ 靂鑯F彈
﹏

。 — —

關注方之回饋 。
銹鸃 鏺鎀 蠩 鋒籮 紛攏 ︴
e〉

feedbackfrorΥ ╮inte「 estedpa「 ties;

f〉風險評鑑結果及風險處理計畫之狀態 。
resu︳ ts of「 iSkaSSeSSrΥ ╮
entandstatusofriSktΓ ╮
eatrΥ ent p︳ an;

g〉 持續改善之機會 。
銹籛 鐊 外

oppoΓ tunitiesforcontinua︳ irnproverΥ ╮

ent.
鑰黮 妳

,以 及 任
V:eW掩 $田 推
何
$管
鈚求

鮡 嵌m級 盤 ♁路 ¢破

峚
路

盤 Λ
9︳ 番

隻
理 齉 螢 結 果
一

尋 且 塱 些
銹籩 銹碎蟻鬱堅鯬 罐擺塞霹鋪 筋翁玲掛 在 紛妳

雪
霅曇荃
盞 窖 垂 霋 昜 畫 黌 妻 謈 肇 變 更 之 需要 。
｝
ude
ts ofthe management reView sha︳
The resu︳ ｜inc︳
decisions re︳ ated to cont:nua︳ :rnprovement opportun｜ eS t｜

andanyneedsforchangesto theinforrΥ ╮ ation secur︳ ty

management syster了 ︳ .

ˊ 應 具備 文件 化 資訊 ,以 作 為 管 理 審 查 結 果 之 證 據 。
ented︳ nfor了 nati。 nsha︳ ︳beaVai︳ ab︳ easevidenceof
DocurΥ ︳
妙抔

theresu︳ ts o了 managemen七 reV:ews.

◎ 盯 了C︳ C Modu!e2-｛ s︳ ide66
 ★
η0改 善 ︳
mProvement
η0.名 捧 鏺 改 毒 Con在 inua︳ :m proV9men七

皒纖 鐫鍛 礔 鍋籛縩饑 好
ˊ 組織應持續 改善資訊安全管理 系統之合 宜性 、適切性及 有效性
Theorgani2ationSha︳ ｜continua︳ ｜
yimp「 ovethesuitabi︳ ity,
adequacyande帝 ectiVeneSSofthe︳ nforr了 ╮ation security
managernent systern.

鋪難 錀 ︴
鐒籦 師
籤本錢籛 鑰郎欺鎖 鞏罨 擺篴轟媯 鎡器由并 移 盼郎
谽外
◎ by下 C︳ C
Ⅳlodu︳ e2-﹁ s︳ de67
︳

★
們 改善 !叩 pΓ ovement

名@.2不 鉻 與 矯 正搭 施 螉簸鑈妙 鑗 鈐簸艙鑯 功

Nonconfor▊ Ⅵ VandcO◤ r9Gt:veac在 ︳
;在 °n

ˊ 不符合 事項發 生 時 ,組 織應 有 下 列作 為 。Whena

nonconfO「 mityoccurs,theoΓ gan︳ za小 onSha︳ ︳
嫋雞鐒 小

a)對 不符合事項反應 ,並 於適用時 ,採 取下列作為

eactto thenonconfo「 ╮ty,andaSapp｜
錛籛碎

Γ ︳ r了 icab︳ e:
↙π
)採 取行動以控制並矯正之 。
斂︴錛籛鑈郎光報 鞏∞

o｜ andcorrect︳ t;and
takeaction tocon七 Γ
泛 )處 理其後果 。
dea︳ withtheconSequences;
瑙舉娃霹 縐 拓學玲野甚 鈔外

b)藉 由下列作為 對消除不符合事項 之原 因的行動 之 需要

, ,

使 其不 再發 生 發生 :

eva︳ uatetheneed Γaction toe︳ in╮ inatethecausesof

noncon了oΓ rnity,in orderthat:tdoes notrecuro「 occur
e︳ seWheΓe,by:
鎀抔

◎ by下C︳ C
｜
Ⅵodu︳ e2-︴ S∥ de68
 ﹁0改 善 ｜
mproVement 聯

靂珮 靂
竹

錫籛 銹鍛 餾 塕籛 幼鎞 兮
︴
)審 查不符合事項 。
eview｜ ng七 henonconfoΓ mity;
「
2)決 定不符合事碩之原 因 。及
deteΓ m︳ ningthecauSeSo了 thenoncon了 0rmity;and
3)判 定是否有類似之不符合事項存在 ,或 可能發生 。

銹黮 銹 ≒
de七 errΥ ╮
︳ i｜ :t︳ eSeXist,oΓ cou︳ d
ningifsirΥ ╮ar nonconforrΥ ╮
yoccur;

娣羻 螂
potentia︳ ︳
c)實 作所有所需行動 。

魏無塕籅 鑰鄉欽群 鞏躥移靈砩狒 航箜避η荏 蟧榔

︳rnp︳ ernen七 anyac七 ion needed;
d)審 查所有所採取矯正措施之有效性
eV｜ ewthee帝 ectiVeneSSofanycoΓ rectiveaction七 aken;and
「

劬帥
◎ byTC︳ C Modu︳ e2— S︳ ide69

︴0改 善 ︳
mp「 o比 men七

e)若 必要時 ,對 資訊安全管理 系統進行變更 。

錛籛 鐒鬱 鎞 錐灘 鬱鑱 ︴
makechangesto theinfoΓ ╮ anagement
auon secu山 tyrΥ ╮
rΥ

system,ifnecessary.
ˊ 矯 正 措 施 應 切 合 所 遇 到 之 不 符 合 項 目之 影 響 。
Veactions sha︳ ︳beappropriateto thee斤 ectSofthe
CoΓ rec七 ︳
鐊黫 筠 谷

nonconforr【 ╮︳tieSencounteΓ ed.

鐫鏺蜂

ˊ 應 具備 文件化 資訊 ,以 作為下列事項之證據 。
籤︴鎀黫銹豍磁強笈鯬 摧學鑑轟 鑼 筋務冷帥 君 鐪師

ab︳ easevidenceof:
Documentedinforrnat︳ Onsha｜ ｜beaVa︳ ︳
f)不 符合項 目之本質及後續採取的所有行動 。
thenatuΓ eofthenonconforrnit︳ esandanysubsequentact︳ ons
taken,
g)所 有矯正措施之結果 。
hereSu｜ ts0了 anycorrect:veaction.
七
妙帥

◎ by下C︳ C Modu︳ e2-｛ S︳ ide70

 ★︳
SO/︳ 巨C2700﹁ :2022用 寸6琭 A

Anne〤 A(規 定 norma打 e)資 訊安全控制措施參了｜

鐊攤鑰谽 鑼 鱗雞鍛鐖 外
ln竹 rma山 onSecu∥ ︺ contro︳ sre竹 rence
ˊ表A.｛ 所 列之各項資訊安全控制措施 ,及 直接取 自︳ S0川 巨C
2。 ●φΞ:202Σ 第5節 至第8節 ,並 與之調和 ,且 於內文 中啦
下he㏑ 竹 rmauon secuHtyeontΓ o心 ︳
心ted㏑ 下ab陷
二遵垼且′

錀鑈銹 ︴
A.η arediΓ ect︳ yderiVedfrorΥ ╮anda︳ ignedWiththose︳ iStedin
So/l巨 C27002:2022,C｜ auses5to8andaretobeusedin

鐒蘱跡
︳
contextw︳ thC｜ ause6.η .3

籤外錀靉鑰妳欽鑼 學攤 帶靈躌鑰 城華為許 堆谽螂

艕外
◎ by下 C︳ C
Modu｜ e2一 ηs︳ ide7鬥

r
β娥口
— —

銹雥縐鎀 皭 鏺鼛谽鑰 ︴

Anyquest︳ Ons?
鐒籛瞈 小
螉籩撫
皴“鐑龘鎀師覽餵 犖熊學鍛鑼鰼

Thankyou Ⅲ erc︳
嫋 舖發餵◤

●
碎
觔擗 #鉿

◎ byTC︳ C
Modu︳ e2-η S︳
jde72
 腐齺彬豳留 #
靂弛¥
聲

坳簸綹鎀 鑼 蹻籛鏺齺 外
∩

MOdu︳ e-2-2

鐖繳鍇 〦
協黫榔
兟心
SO2700η 月SO27002標 準

鑰籛攤豍箋襯 肇豬 學熊舞 鑰 貓潑踚挪

｜
一控 制措 施 介 紹

:谽
坤
幼師
◎ 下C︳ C Modu︳ e2ㄐ 2S︳ :de｛

)
泊
膬鈔 豫習鈔砂確黤鑼 芔 邂 齵赯 麤 -

縐黰 鑱紛 鑼 鎞皺 鬱鐖 心
T再 j竹 ▲在-hJo∥ 嘸在o且 蝴 茁#心淑 U虫
︼出 Ⅱ1ㄥ 笛at血 toⅡ 打o1♂

鯽一
。

｜
瑟.S(〦 城 斑 ε赫 血 拓 扭 Ht而 且瑯 虹 呼

〦 S瑟 Π路 m出 珀ㄗ
ε C● n竹 研

β6姓 必守 站 必 扭 d路 印 J出 路曲 比 σ●
硹 §.追 兮瓶 ed卸 站 出 ㄍ 館ed餌 ∞無 1略 站 出 eo噁m
鐒籩 鑰 八

AS.令 s← 6r〔 每n#● 區召

睜d〔 命守
S
悸錶 垚 更血 路 鎖 d妳 S祈 唧 岫 蜘 曲 盟竹 卿 e蟲 茁
。
M扭 噁 mㄝ 站 un銩
rε ε 跟 甘必
錀羷聊

故 必琳 岫 胡
︳ 澀 際 蠟 駱 黯 蹓 鑑 麮 翠 女
觝帝

出SS E山 ↓6a啦 爞 宙¢故 研 照 出

︳
鞏 垚 t鈾 赫 甜 鏹 蟲 赫 必 mⅡ 竹 路 ∞ 妳 瓶 描 e琍 女 m出 “ 無 馬
塕籩 協妳鐑齵 擊簼 路鍛器辦

它●出Ⅱ硪嬭 P§ 蟲 遜
﹏ i嘸 站 各班 Pp
岫 襁 卹 岫 艸 岫 螂 猷
︳
蟲 蟲 鎞 鼷 騩 灩
︴
的。、料

出 旅 館 醜 階 站
=π
田 軘 你蟲 m甜 啦 好嗨 岫 硹 路 ”臨 甘m6好 螂 ㄉ u。 舳 師
︳
蟲 鈕
mn

rm出 aE&ε 呻 hu憐 e此 丘 m牢 心mQ出

朏抾必
卸蝴蟲越
出.§ !ε 臨
一◆˙︴‥N◆

te站故舯奶心鈕°JⅥ 站 π且
路g輕無心
三.5p ε●曲 玉
。
曲 噁 叫 mq財 出 齦 ↓θd兮 哖 加醉
銹 磁器琀跡 訂 妙瑯

併 的拓 師 ㏕ 出 竹 蜜如㎡ 扭 斑 如 嶭 寫 躪 胡

U
u坤

而qi祈 曲Πd. 。
、一 >〞 ︻坤﹌ ◆

「
ㄥ.S〔 二
σ

路.斑 i 比 瓶 在 好 “ 母站

鄰 岫
ha站

廢蟲 驟 鑑 饑 镽 澀 钀 鋒驟 每器 詊
紛帥
︼︷

Source:︳ So
!—
—————

◎ 了C︳ C
de2
Modu︳ e2-2s︳ ｜
 扎戩♁ 毚習♁♁躄:畟 $壁 躄蓶
襄導 餒籤 麗
— — —

INTERNAT工 ONAL 工
SO↙ E仁 翰

$取 NDARD 2了 6● 穵
幾
蟒
◇

︳ ⅡC坌 7002:坌 0坌 2
SO一 ｜ 一
舌
nfO「 子
ηat° on secur文 y′ cyberSecur〡 tyandpr〡 vacyprotect〡 on——
古
∩fo「 〡
Ⅵat〡 OnSecurityco∩ trO︳ S
ed靶 抬王°nof王 SO/工 EC29° 02:2022㏑ corporat必 the如 ︳1O#㏑ gcor比 Ct㏑ nS:
ThlSε orr爸 ε七

Abstrac 一 non-比 nct:oni牲 竹 pe油 nks︳ hr↑ ugho社 t由 edocumenthavebe研 re9七 °redj

t$iSd㏄ umeΠ t pr 一 in｜ he9戒 r° d｛ 疋七 °Ψ t子 Ⅵeing山 d公 社ge§ .22andinTaU︴ eA‘在 〔

了°WS.22〕 ,女 期 n鈾Fn路吝i° n一 Sec法 ri﹏ y＿
了
g心 dancq了 h心 ° asguranε et’ hasbe§ n moVedfrom thecolumnheadod“ Securitydomai在 S︳ t° the〔 olun▅ 且 headed
． ︳
!!operat王 0n含 Cφ abi玉 主Ⅱe§
:.

a｝ w︴ eC° nj
th$︴ 出

助 的了;” p廷 men苗 〔
巧“︴
｛°了
ma● °n令 兮◆ y皊 ¢ g付 符dbeS〔 p路 #C心 $
§b° S的 °站 n竹 坤爸“en宙 竹
u﹏ Vq)破 ∞︳
一 。 紫館 藩〡甘 舝
:一 螢螢
述雜繫基#︴ :::一 :一

¢ 佑rde唯 ︳P;ngo巧 ani=3水 °Γ

:Sp㏄ i再 c南 葯m、 ak池 nS6cu山 Vm3nagement qu｜ neS
d兮 無
。
再〔｜ ::一 ﹉
:::::一 ﹉盞巍雞灘鑼
:一 :一 :一

Genera︳ 〡
nformauon鑯 一 一一 一一一 一
一
S㏑ ms:° P﹏ 研心hβ d Pub!子 c故 i° mda｛ :2022一 02
一 一一一一 一
一
一 一
一一一
C。 πε於 d旳 “訂on 竹η｝:2022一 03
Ed:‵ i° ﹏;3 Nu加 出e了 舒 P3與 ∮﹏S2

社ChWca〔 Com的 #路 e:〡 S針 ︴

εCJ了 C〡 俗C27!nfom放 nSecu#t站 cVbe玲 ㏄u︻ ︶°
l° ndp㎡ 了
a砰 p昤 〔
守al° n
、
◎ 下C SOurce:︳ SO Modu︳ e2-2s“ de3

驫廳 ㄔ 好我 π&
— —
﹊ ︻

A.5 ma山 onSecu山 打 P。 ︳

ln竹 Γ 比︳eS女 訊 :一 全 政 無 ˋ 分:燉 !支 放兮gor垃at:on) 控 制措 施
A.6 吧an︳ zaⅡ om of︳ n竹 ︳
︳a出 oΠ SecuΓ ︳
.︳
︺ 女訊安
。
全之缸 我 鱉
∵ ♁ 留q簽 哦;逐 磁報¢雄缺華

A.了 Human了 eSouΓ cesecu山 打 人 力 女 深 安 全 $

風“ ¢°佛莊好
♁官$ 各翠
甘
A.8 Assetmanagement女 左管理 鮫鱴撥閷播 箷
凱
A.9 Accesscon七 m︳ 存取在制 覽
Ⅱ

A.︹ 0 c呼 Pt。 gmP㏑ y密 巧 乎 ll

毯 S
Peop︳ econt了 °︳
η andenv︳ Γ
oΠ men七 a︳ SeCuΓ :… 十 Ⅲ亡
〞
A＿ 6 8
A.︴
人 貝控 制措 施
糶 。盞萋
A.η 2 °Pem｝ ons secu㎡ 打 迂作安全
A.-3 COmmun怡 ajonSs㏄ u山 ” 通 訊 安 全 瓋 PhyS︳ ca:con七了
°︳S
罠ㄈ畏

A.η 碎 Systemacqu︳ s︳ on,deve︳ oPm● ntand

t︳ A一 了 ｛再
m釘 ntenance系 出在取 、開乎 及 作吐 女越甚 制措 施
A.｛ 5 Supp︳ :erΓ e︳ ationSh︳ PS一 央危者 子
田硃
A.η 6 lnfo『 matjon secuH… ㏑由dent management吋
訊安全芋故兮理 冬 了兮Chn° ｜ og宮 ca︳

了 ︳ onSecⅡ Γ
nforma七 ︳ :h◤ aspects o了 bⅡ S:ness
A.$ c° n七 ro;S 3瑹
║
A.η
con山 mu︳ … management古 逛持 玟兮理之 女訊 技術 控 制措 施
安全乃面

◎
A.η 8 COmP︳ ︳
anco無 出古性 ︳ (● )一可 ㄔ
 女子
$♁ 窆習♁0確 趁習♁02鰳 繼糶 鱦攤 龘 麤醜既嬾齷 竹

馨乳 馨

劫籛 呦盼 咩 齡踐 錼銹 ∥
麤斗
轟莊罕 輩 齥纗 繼麚 喜蛐 艙蝁
馨鞿 軂攤賒聯 麤 麛 攬 饕 牢
麤方
麡故籦舉 軂捄蠟 轟鑫野駤喜
雜 膦 轟幾鬱燄蠛麚鞤 寶黺難 銝難齡 皤華籬麚
蟿攤當聯 茻騛 撥憲看 輟鑫雜

艬 擺轚龘龘驂 鑑 餐擸 麛鹽
颺*巔 出
巷番 鐑馨鸃幾 餓黺 鶹魏 錐燚蠟鞶
雛黭轟轟 雪雜獸 齥籬龜喜
贐 軍 鮮鱍麤嬧毒
畫

撈籛 協 溶
蘴鼷攤纚鸆鼷鞏饑蠱轆

紛簻 坳
歲▉
孑齉 爸緻選$$G娥 蚺鍛
紳 舳聹 在 蹤 $雄 擺鬱 嬿 雖齺 變 艭 嬖 金 蠽 擺
一

埶外務籮 拗郎激豯 罕豩 路鬱芻 錐 蹜器跨帥 管 鎊呦

麤#齉 了
雖 鏃 媕 蹤餽 籬 駿臘 熱 撥驧 齺 纖雛饞鎀 毽攤 齡鱷 鱷 鼷 餐 钁

麤必
雝ㄥ礭錐 蹳 籬 對聯 繼難鬱睋 碪鬱鎔 皺艙 雛 聲 轙 鑭 鑰

魕‘
戲已 催礭 雄雜 虋 攤 龘 齯
撥 讒難籛 驧 繼簪鼥喜

濷 貉H礭 籦 雄 籛躄撥 臨 繼艗 勝谽 紺 臘 駤艙攕甄 軂 膝 饕 攤 濺 龘 齉 簬

一
麤【寋 僱紼 纙 艕雄錐撥嫩推鰅 織 報驥鍵宙
鑼 豔擺 瀋齺 ㄔ 豸移 泵
一
殲 眨
t齉 靈蕛 齺鎗軸齥隬 雌雄餓鱺 棗罐廊

姼帥
繼t鑫 雖
麤‘ 鑫雜觟蹴濰 繀雜礅齥繆聲蟄玃 蘶畿 韡
◎ 了C︳ C Modu︳ e22s︳ ide5

★︳
SO/︳ 巨C2700η :2022 曲鼮甪覷辭 ﹏

藦珮 藦
控 制 措 施 異 動摘 要 表

ˊ
ㄟ 散﹉
刀 ﹉﹉
由′。
三版﹏〡
白條﹉
款摯編為′′
﹉
′版↑
︴白︴
年熟 ﹉
﹉
靼條 ﹉今
控制 目標 35 0 。
新版耳又消控雋ll目 標了改由個月 控制措施內之 目的取
。
l」

一 一一熊
一 一一 一 一 一一 一
一 一
—
—

◎
 卡 宏了♁♁窒:殳 ♁窒宏礂
:S♁一 票!隼 靂羸罈
中

— —

搦籮翰鎊 皤 翰黫盼鐊 年
｜ 顏 ℃ 。ntr田 ㏑you七 控 制措 施 布局

下he!ayoutforeachcontro︳ contains thefO︳ ︳

owin9:

鐪黷鑈 野
一COntΓ o︳ tit｜ e控 制檔 施 標 晨監:Short eofthecontΓ o︳
narΥ ╮ ;

齡霾艸
守 A走 thbu七 e七 ab｜ e屬 ‘
l生 表 :AtableShowstheVa︳ ue(s)Ofeach

鈜妳
attributeforthegivencontΓ o︳

攤綴齡師繳鷬 犁豬夥駕躌 齡 城溫嗡黔 彥谽螂

;

一ContΓ O︳ 控制措施 (內 容 ):WhatthecontΓ o︳ 心 ;

一Purpose 目道 圴:、 lVhythecontro︳ shou︳ dbeirΥ ╮

p︳ ernented;

一Guidance守 旨弓〡 :Howthecontro︳ shou︳ dbeimp︳ ernented;

一other in了 oΓ ma小 on其 它 資 訊 :EXp︳ anato呼 teXt or
efeΓ ences
「
to otheΓ re︳ ateddOcuments

# β

劬外
SouΓ ce:｜ SO27002:2022
◎ 了C︳ C
4甲 刀 p6刃 今︳
｝ Modu｜ e2一 2S｜ ide7

一
帝︳
措施的屬性表你杜田丸
｜ 一破eㄝ缺b;e｜ 犀薽 露
﹏

— —

◎
m︳ odu︳ e2＿ 2S︳ ide8
 SO2700可 /27002控 帝︳措 施 異 動 說 明
︳

塕纖鐊翰 蠮 塕籛 盼饑 妳
鐖繩 鑼 ︴
新的控希ll措 施(c㎝ tro㎏ ｝

銹籛 艸
鈚求鑰躩 錀碑竊路妳挐姊
變動 衫或廖 芻務 旄 紟oη 拖 研 夕逆 磥
φη年
外銓φ
〔黏 :K料
崖rSO/′ ㄥG2◤θθ2j2θ 了3顏 .觴 藐於 覆

錙鋒餓讓 佛 航選琀黚 ‘ 谽艸
一 一
—

鎀師
◎ 下C︳ C
Modu︳ e2-2s︳ ide9

A.50「 gan眨 ajona︳ cont「 o怡 組 織控 制

A.5.可 Po︳ icieS了 OΓ infOrmauon secuhty 銹

籛
鐖
資訊 安全 的政 策 谽
礔
鑰
C° n七 rol控 制措 施 籛
谽
蹦
銹
籦
銹
鋒
資訊 安全政策及主題特定政策應予以定義 、由管理階層核可 、發布 、傳達子 羷
相關人 員及相關關注方 ,且 其係知 悉 ,蓮座遐圍邀運丞發 在當大轡更時審查 兟
砩
簸
鋪
C° 出老 機力
ro:車 生毒寸 色
㏑a比 紐edef君 ned,a兮 pr♁ Vedby 麟
一
k〕 emp:oyee$往 几dre︴ evan名 鱉
嶉
學
,且 對所有 員二與相 孱
毒各外部各 方公布 鍰
鐳

u 佛

$e$O幾 辯氍言 nned:n道 eⅣ a:Sor君 f

音
羝 裝年
急琇
蕊甘 ?出
犛嫠齵趙鶗塔
雄 各｜ ty,adequ孩 Cy,a出 d
;｜
舜
器

訂
資 安全政 策應 依規 勤之 期 間或發 生 重大變更 時審 查 ,以 確保其持 續的合 女 1生 、
訊 鉿

適切 推及 有 效推 。 劬
師
◎ 下C︳ C
Modu︳ e2-2s︳ ;de可 0
 A.50rgan泛 auona︳ contro怡 組 織 控 制

瞈簸鑰餓 擺
ηPo︳ icieSfOΓ
A.5口 infoΓ rnaHonSecu山 ty

資訊 安全 的政 策

E● n〔 r0I6rp兮 王n㏑ r女 at㏑ n 姐y右 ersof止 r二tˊ DperatiQma1 S㏄ ur二 七ˊd● maims
§兮〔uriΨ proPert£ § CoⅡ ε兮Pt§ ε及p才 bili在 iε S
#PreVe且 uVe #Con丘 de︳ 】
tiali玗 帝斑§
nu打 #Governance #GOveΥ nanGeandEco∼
器㏑挽 野 竹 §ystε In#Resilience
#Ava且 ab主 lity

Tah二 e王 一 Differenε esbε tweeⅡ i且 笛 rmatiO且 §eCurhyp0Ⅱ εyand七 op玉 c一 §pε ci生 εpOHε y

iε y
Informat:on§ ecuriㄝ ◤po一 ︳ TOpi(》 §ped在 εpoliε y

Leve玉 o安 detaiI Genera王 orh主 gh＿ lev政 Speci出 canddetailed

DOcum． n七 兮daⅡ dform斑 拉 ofmanagement

T6pIn爸 nageⅡ 朮eht 如 propr1斑 eleVe王
approvε d小y

啦路餓一
P e目

舞 鋨 貼母路郢
Toensurecontinuingsuitabi︳ it坊 adequa汛、e帝bc七 iVeness ofmanagement
direc山 onandsupPo㏄ foΓ inforrna山 onSecu山 tyinaccordancew㏄ hbusineSS,
equi「ements.
ega︳ ,statutoΨ ,Γ egu︳ aton◤ andcontrac七 ua︳ Γ
｜

:鬱
,確 保 管 理 指 示 之 持 續 合 宜 性 、適

坤
/爹 項

妢帥
是爰 茗隻 霮 ;安 茇莒 尹
◎ 下C︳ C Modu︳ e2-2S︳ ideη ﹁

A.50rgan眨 auona︳ contro怡 組 織 控 制

鏺簸擁鍛 鑼 鑈飄谽鑱 鏺蘿錛 鑰籦坤

secu山 tyΓ o︳ esandresp0nS︳ bi｜ 比ieS
A.5口 2lnforma∥ on

資訊 安 全 之 角 色與 責任

措施
Contro︳ 控 帝︳
→

responsibi︳ itiessha︳ ︳bedefined

抩 貂難混::卑 驟諸韃 oFqan︳ zat︳ on needs.
︿ 籤命

組 織 需要 定 義 並 配 置 資 訊 安 全 之 角 色及 責任 。
郾 ｜
擁黫鐱林跍雜啦單露路盟選鑈 就路冷許可 φ螂

一
、
一

C° n之 Υ
°︳控 帝心檔仿也
五
滾〃iη ㄌ〃ηθ安 一 SeoVlrli｜ˊ結●poη s︳b子︴
0η 工
古工eSSㄌ a〃 bθ de”peJaη 6
a︴ OGa路 6.
應 姆確 定 瑧犛 豳 寠〞 穿 貧 窮 安 全 責豬 。
一
◇盯

◎ TC︳ C Modu｜ e2-2S｜ ideη 2

 A.50rgan矻 aHona︳ contro心 組 織 控 制 瘸齺臨鰗麟 #
靂允好
靂

銵鑨鑰翰 錔 鑰一
A.5.2︳ nfoΓ rnat︳ 0nsecurityro︳ esandresponsib︳ ｜eS it︳

資 訊 安 全 之 角 色與 責任

Co且 七rO王 守ype 且笛 r且 ︴迋七i●土 C” 兮rS︳ εⅡr二 七ˊ oper出 它

i6王 a上 yd0mi4∫
∫eε Ⅱr三 七
εeε uri好 pr$｝ εr仁 ieS t0且 Cep七 § εap&b且 Ⅱ止e∫
華PrW七nt工 Ve 一
#Ccnfide工︳在亡a:i牡 勞王
建e斌 工
矽 #Governance #GovernanGe一 amd一 Eco§ yS︺
#工 ntegrl矽 taⅡ 半Protectien拜 Res:王 王
e且 Ce
ty
#Avai:a忠 :子 交

協 鴳 蕤 躌 拂夔黐 擊 豯 夥箠 器 鑰 赫雀砱黔 香 谽 螂
外
Pㄩ rPose目 的
下oeStab︳ ishadefined,approVedandundeΓ stoodStructurefor
p︳ ernentation,operat︳ 0nand【 Ⅵ
theirΥ ╮ anagernent of
︳n竹 rrnaHon secu一 tywith︳ ntheo「 gani2a∥ on.
建 立 已定 義 、經 核 可及 已瞭 解 之 結 構 ,用 於 組 織 內 資訊 安 全 的
實 作 、運 作 及 管 理 。

鉿師
◎ TC︳ C
de﹁ 3
Modu︳ e2-2s︳ ︳

A.50rgan矻 aHona︳ contro怡 組 織 控 制

鏘籛鑱谽 齺 拂籛鬱鑞 →
A.5.3SegregaH0nofdujes職 務 區 隔

COnt「 ol控 制 措 施
Conf｜ ictingdu七 ieSandareasofresPonsibi︳ itysha｜ ︳be
鎀黫鑰 外

segrega七 ed口
鑰羻螂

笆峚至些塗及衝突的責任龜團應 予 以 區隔 。
飆帝鑰籩鐱姊貓嬐聖發 熪夥瑤攤 鑱 插曌鍛好車 盼仰

Co鈴 盞
rO︳ 控 希U寸 堵施

Cθη拜 佇σσV普 eSaβ σa紿 aSor跨 ↓p0η s子扭｜ ︴

坤 sㄌ a〃 凸θ
u

=e打
Seareσ 守才 o′e6σ e♁ Θppo砟 σβ｜
eσ ︳ 力0好∠eσ or
eS了 brVβ aσ 才
工
一

一 一
〞η η紿η才♁ηa三 了 一
打 再c往扣0η orη ?玄 SVSeo′ 出
0以子 外eoη aη 〞a妥
=op兮
aSSθ 古
S‘

篘突 之麟摎汲 貫豬露戰穗 子〞 區厲 ,〞 曆砥盈 饑 資產遣瑧 經發

貗 彧 非 妻意廖 犛 或 鑏π之璐 奓 θ
谽跡

◎ 了C︳ C
Modu︳ e2ㄛ ㄥs︳ ide● 6
 A.50rgan眨 a小 ona︳ contro怡 組 織 控 制

鎀靆瞈砏 鑼 齡一
A.5.3SegregaHon ofduties 羽
我矛定區 隔
力

Eontro一 type Inf● rm出 i° n 6ybersecⅡ r三 七y oㄗ er?在 on女 Ⅱ Securitydoma主 n§

S兮 C在 r土 yProPer七 eS
又 εonCep在 S 〔apabⅡ itie§
學Prevent主 Ve #Con生 dentia1土 y #Protect 帶GOVernamce #Governance一 a㏕ ＿Ecos群 S一
#工 ntegrity #〔 dentity＿ and一 ac- teIn
#Avai王 ability ces∫ management
一

朅 齡 黰 鑰 竄 路琳 雀筋鍕學箠 霹 燐 筋券撥趶 音 谽 螂
熱
PurPose目 的
ToreducetheΓ iSko了 fraud,erroran心 bypaSs︳ ngof:n了 oF了 nat︳ On
secur︳ tycontrO︳ S

監堡童麥′ 錯誤及繞過資訊 安 全控 制措 施 之風 險 。

妙師
◎ TC︳ C deη 5
Modu︳ e2-2s︳ ︳

A.50「gan弦 auona︳ cont「 o心 組織控 制

鑼繳錛紾 齺 錛籛♁鏹 ¢
A.5.再 A/lanagernent「 esp0ns:bi｜ 比心S管 理 階層 責任

ge心 0nnd㏑ app盱 ㏑ 竹Γ m㎝ on

對 旴眾 瓷鵲 〧 黓 祥★
鐱黫齡

estab︳ ishedinfoΓ rnation

Secur比 ypo︳ icy,topic一 specif:cpo︳ icieSandpΓ oceduresofthe
A齡
黤姊

oΓ gani2atiOn.
籤府

管理 階層應要求所有人 員 ,依 組織所建 立 資訊安全政 策 、主題

鑈簸錐站欺報 寧攝苓鍰路鉀

特定政 策及程序 ,實 施 資訊安全 。

Con#o｜ 腔帝寸 暗施
ㄐ
Manaσ emen走 Sha比 Fequ° rea｜ ;emp︳ oyeesandcont「 ac之 °r$七
一 牡 :naccordancew:走 heStab︳ 工 c:eSand 。
she心 po︳ 工
鑈 臨舉玲黔哥 ψ 劬帥

app︳ ysecur子
procedureso了 theorgan;2a報 Oni
管理 階層應 要 求所 有 員工 及 約用 人 員 ,依 照組 織所建 立政 策及
程 序施 行 資訊 安 全 事 宜 。
◎ 下C︳ C Modu︳ e2-2S︳ ideη 6
 A＿ 50「gan眩 a甘 0na︳ cont「 o心 組 織控 帶 ll
磯路膨豳鱗 才

靂珮 靂瓶

鈐籛鈐鎀 姼 豁
entΓ espons;b︳ ⅢeS管 理 階層 責任
A.56ManagerΥ ╮

C° 且七Γ ype
●正仁 且出 rma甘 O且 忿坤 兮rS兮 Curity oP● ra七 iOnaⅡ SeC社 r托 ydo班 aiⅡ §
yp〔卅
Seε Ⅵr是七 er在 e∫ C0且 Cep七 § Cap出 b王 工
五七二
︳S
一
Ve
#Preven七 工 #Con出 den七 :a王 比y #王 dent五 牡 考Governance #G0vernance一 及nd一 ECosys一
#Integr工 ty 七e召Π
abi上 比y
#Ava主 王

城 鑰 籛 齡 抑插路帥 弩筋錯帑簽選 ︴
本
Purpose目 的
下0enSurernanagemen七 understandtheir ro︳ ein｜ n了0rrnation
securityandundertakeactionsairn︳ ngtoensurea｜ ︳perSOnne︳
areawareofandfu肝 theiΓ in了ormauon secu日 七 yΓ eSponsibi｜ 比ieS.

瞈 航器跨跡 含 谽 啷
i︳

確 保 管 理 階層 瞭 解 其 於 資訊 安 全 中之 角 色 ,並 採 取 旨在確 保 所
有 人 員認 知並 採 取 其 資訊 安 全 責 任 的行 動 。

紛師
◎ TC︳ C Modu︳ e2-2S︳ ;de可 了

A.50rgan眨 auona︳ contro怡 組 織 控 制

錛黝 鑈谽 蠮 鍋雞 ♁鑰 宙
A.5.5C。 nt孔 七W比 hau七 ho山 eS與 權 責機 關之聯繫

釗田a㎝ Shandm卸 耐
卸nco㏕ ad㏕ h
落錙驟 早
漟
鐒籩 銹 本

組 織 應建 立並 維持與相 關權 責機 關之聯繫 。
鐑灘坤
籤竹塕籩 銹睞報琀聖髏 路鐲餵還狒 箍券聆帥 哥 谽碑

C♁ 錧智0｜ 控 特寸
→著施
A紂 帥釘Opria七 eGOm老 級C乏 $Wi老 抽re霪 eV位 n七 接$七 孔o好 ｜
崔:e$S無 俄卅be
m桋 君件牽俄吝孔ed﹏
應 維 捧 與 相 關權 賣機 關 之 適 切 聯 繫 。
︴
發
ˊ
‵ ＿′
\、
‵
＿＿ ,′
紛師

◎ 了C︳ C
╮ de﹁ 8
πodu︳ e2-2s︳ ︳
一
 A.50rgan眨 ahona︳ contro心 組 織 控 制
嫠俄rβ 戰
— — —

銹黮螉谽 孋 齡黤一
A.5.5Cont孔 tW比 hautho︻ ues與 權 責機 關之聯繫

COⅡ h「 <ㄤ type nm了 Ⅲ 它i6n 〔ˊㄌerseε urity °per巨 出O五 a玉 $eε 社r五 ﹏rdo出 ai且 S
§eε H工 二
句ㄕ↑ξopε 了七 王
εs εoⅡ ε中 t§ ε年 玉h在 i猿 es
一
#Pr$qm〔 玉Ve #C6且 f五de一 lt子 a1止 ˊ 爭 deⅡ 七
i的 √#P｝σ七
eC七 #GOVe了 出anCe #D刮 踏nε e
#Couec守 i改 #玉 nte麥 北y #Respohd#及 念CoVer 特ReSilie在 Ce
#舸 缸㏑ h打 一

‵ 攤簸 錛郎航峰姊雀筋躍舉舉舞 齡 蚢雀建 η吝 谽 螂
Purpose日 ｜
琦
下0enSuΓ eappropriatef︳ owofinforrnation takesp｜ acewith
ΓesPect to︳ nfOr︳ ηat︳ on securitybe︴ Ween七 heorganizationand
re︳ evant︳ ega︳ ,Γ egu｜ atoryandsupe口 risoryauthoritieS口
就 資訊 安 全 而 言 ,確 保 組 織 與 相 關 法 律 、法規 及 監 督 權 責機 關
間 ,進 行 適 切 的 資訊 流 。

唦帥
◎ TC︳ C
deη 9
Modu︳ e2-2S︳ ︳

A.50rgan矻 aHona︳ contro心 組 織 控 制

鐖籦鑈紟 鋪 鑈颻♁鐖 →
A.5.6ContactwithSpecia︳ inteΓ estgroups
與特殊 關注群 組之 聯 繫

Cont「 o︳ 寸
腔帝︳
●告施
錐驤錐 本

ainta︳ ncontactWith
Theorgani2ation sha︳ ︳eStab︳ iShandrΥ ╮
sped刉 uSec㏕ v竹 叫mSand
錛籛珅

呂驄 :忍 描 衷 銛 呂鵲忌患 .dheΓ
籤¢

組織應建 立並 維持與各特殊 關注群 組 或其他各專家安全論壇 及

鏺籛鐒姊瞄鵻姊寧爾夥瑤孻蝍

專業協會之聯繫 。

Con崔 ㄌ︳控 制措 施
ApprΘ pr︳ a牧 9c。 nt爸 C特 WithSpec工 a｜ ︳
n友 ere$塞 9F° ups or o守 heξ
彿 航傘玲鉾巨 幼轉

st sec加 印 了OrumS敘 dpFo拖 SS〡 ㏄ 田 a$S° c︳ a妳 ●几$Sha︳ 子

spec;a︴ 工
beΥ na︳ nta｜ ned一

應 維持 與各 特殊 關注才 或其他 各專 家安 全論壇及 專 業協 會之 適

♁師

切聯 繫 。
︸\。 ◎ 下C︳ C
Modu｜ e2-2S︳ ;de20
 A＿ 50rgan矻 auona︳ contro心 組 織 控 崙 lj
溯豳既豳鱗

靂珮 靂 一

瞈黤 錛翰 蹓 瞈纖一
A.5.6C° ntactWithSpecia︳ interestgroupS
與 特 殊 關注群 組之 聯 繫

C$▲七rOltype 斑 f0rⅢ 社比且 Cyber§ eε uri七y opεr且 u° 土a1 Se召 ur主 七ydom&之 且§
§兮εⅡr主 ﹏◤prop兮 r七 j治 $ C0五εεp6$ 才基
εR乎 砭已i王三 εf

#Pr守 V§ 且tiVe 勞COIlf子 忒e土 t主 a王 i廿 #比 o七 eC七 #R£ SP° 且d 掙 GOV釨 且 盆土 Ce 群J§ 兔叭〔e
#COrr§ ctWq #工 且七念♀ 主哲 #A廷 §oVer
#Avail崩 主 1睜

協
黫
塕

P︼ rpoSe目 ｜
的
ToensureappropΓ iatefloWOfinfoΓ rnation takeSp｜ acewithΓ eSpect to
●小0nSecu“ ty.
in竹 rrΥ ╮
就 資 訊 安 全 而 言 ,確 保 進行 適 切 之 資訊 流 。

拉
帥 才 鎀螂
砏帥
◎ TC!C ╮
πodu︳ e2-2S｜ ide2η

A.50rganizaⅡ ona︳ contro︳ s組 織 控 帶 ll

﹏

彈
釐爞〔
— —

A.5.7下 hrea七 inte︳ igence威 脅情 資

︳ 鋒黷 鑈谽 鑴 鑱黮 紛鑞 ¢

Contro︳ 控 制措 施
n竹 m㎝ on rd㎝ ngb㏑ 竹
︳ 「 rm㎝ onSecg日
拙早
出 ξ忌 比
︳ ysedto producethK ε :φ
鐒黮 鎀 ‵

ectedandana︳
co｜

應 威 脅相 關之 訊 ,」 以 生威脅情 資 。
齡繳 啤
鈱宙鑰黫鐒碎數錨 鞏簼 帶鎖盟鸝 銥券路帥 富 劫師

V
♁帥

◎ TC︳ C M。 du︳ e2-2S︳ ide22

 A,〔 50rgan泛 a∥ ona︳ contro心 組 織 控 制
靈戤 釐戤
— — —

鋊籛 鑰劫 鑼 孅
A石 .7了 hreat inte︳ igence威 脅情 資
︳

ε9ntrDltype nforma七 i● n
王 CybersecⅡ r三 七y oPera七 主
oⅡ a王 §CC跟 r二 tydOⅢ 五五Ⅱ 子
SeC旺 ritypr● per在 eS ε●ⅡEep七 S 七apat且 ities
#Preve1ltive #Con及 dentiality #Deteε 在
#工 den七 iㄉ #Threa虹 andJu玉 nε r- #Defence
#De七 eCtiVe #王 Ⅱ teghty #Re∫ pond ment
ab主 lity… !4ana呂 β #ReS主 1去 enGe
#COrrectjve #Av&主 王
ab三 王
︴ty

螂
航 齡 黫 鐑 螂航跨堅 電 擺犖塞 霹 齡 貼器跨跡 音 谽 螂
外
PurPose目 ｜
的
TopΓ ovideawareness oftheorgani2ation’ sthΓ eatenviΓ onrΥ ╮
ent
so thattheappΓ opriate了 nitigatiOnact:onscanbetaken.
ˊ提供 對 組 織 威 脅環 境 之 認 知 ,以 便 採 取 適 切 的減緩措 施 。

砏帥
◎ 了C︳ G
Modu!e2ㄐ 2S︳ ide23

A.50rgan眨 ajona︳ contro心 組 織 控 制 十

r出π
— —

A石 .7下 hΓ eat inte︳ igence威 脅情 資

︳ 鰳繳錀谽 鐖 彿灘紗鑞 ∞

Gu︳ dance指 ︳
引｛SO2了 002〕
︳ ectedand
nfoFmationabouteXiSt︳ ngoΓ emeΓ gingthreats isco︳ ︳
ana｜ ysed︳ n order to:
銹籦銹 永

蒐集並 分 析 有 關 既 有 或新 出現 威 脅 之 資 訊 ,以 便 用於 下 列 事項 :
齡讓姊

a)Fac︳ ︳
itateinforrnedact︳ ons t0prevent thethΓ eatsfΓ orΥ ╮
數市

causinghaΓ ╮to theoΓ gan︳ zation;

鑈黫鑈姊缸雜聖聚 擺夥鍰盟鍋 瞞器撥野百 皓螂

rΥ

促 進採 取 知 情行 動 ,以 防止 威 脅對 組 織 造成 傷 害
b)reducetheimpactofsuchthΓ eatS.
降低此等威脅之衝擊
谽盰

◎ TC︳ C
Modu︳ e2＿ 2s︳ ide2ㄔ
 A.50rgan眨 auOna︳ cont「 o怡 組織控 制 才

靂珮孽
靈抵
╮

— —

塕纖鑰妙 擺 鑰颳嚇鐑 外
igence威 脅情資
A.5.7下 hreat︳ nte︳ ︳
\

Gu:dance指 引｛
︳S° 2了 002〕
下hΓ eat igencecanbedividedinto
inte｜ ︳ th「 ee｜ ayers,which

鋪靆鑼 →
shou︳ da︳ ︳beconsidered.

威脅情資可分為 3層 ,皆 宜予以考量

鐒黫螂
:

a)strateg:cthΓ eat inte︳ ︳

igence:eXchangeofhigh-︳ eVe︳

鈚小齡黤路螂航路醉寧豬犖錯髒 鐑 協議玲跡 昏 谽螂
in了 Ormajonaboutthechangingthreat︳ andscape(e.g＿ typesof

attackers ortypeS0了 attackS);

笈蟞底盈墳資 :交 換關於 不斷變更之威脅形勢的高階資訊(例 :

攻擊者型式或攻擊型式);
b)七 白 ︳ ationabou七 a七 七
gence:infoΓ ╮
c七 ica︳ threat︳ nte︳ ︳ rΥ ackeΓ
methodo︳ ogieS,too︳ sandtechno︳ ogies;nVo｜ Ved;
毯鍾座渥逸垺卜 關於所 涉及攻 擊者 方法論 、工 具及技術 之 資訊

盼師
◎ TC︳ C odu︳ e2-2S︳ idΘ 25
山Π

A.50rgan︳ 2aHona︳ contro︳ S組 織 控 帝︳ ﹏

露磁 碀
— —

A.5.7ThΓ eat inte︳ igence威 脅情資

︳ 錀黰狒紛 蹦 彿激鈔鑞 →

SabOⅢ spedπ ca仕 孔

ca扣 ㎝ ㎏
黯‵
畾 者斟︴
守 腢隙
鑈繳銹 外

,色 括技術孝
隻生蟲重虜瓚 :關 於特定攻擊之細節 蓋標 。
鑱簸碑
颻市

下h「 eat inte︳ ︳ dbe:威 脅情資宜具下列特性

鑰黫鑱姊繳齵 寧蘿琌磁帶輕

igenceshou︳
a)re︳ evant(︳ .e.re︳ atedto theProtect:on oftheorganization);

相 關(亦 即與組織之保護有關)
b)ins:ghtfu｜ .e.proV:d:ngtheorganizat:onw:thanaccurate
(︳

anddetai︳ edunders七 and:ngOfthethreat︳ andscape比

協 磁毐跧跡哥 妙姊

具 洞察力(亦 即提供組織對威脅形勢之準確及詳細的瞭解)
谽師

◎ 了C︳ C 田odu︳ e2-2s︳ ide26

小
 A.50rgan泛 ajona︳ contro心 組 織 控 制

齡纖 鑰盼 璐 瞈黤 錯餓 外
A石 .7下 hreat inte︳ igence威 脅情 資
︳

o耐e站 u孔 ㏑
中conteXtto uoMdemu針 °
theinfo「 ╮ onb召留 詊從 群文是窩 平

佛雞 鐒 功
rΥ at｜

usexpeΓ iencesandpΓ eva｜ encein

ξ卜
早挖
詮ㄜㄠ玉單括 i°

銻讓 姊
#芹 Fㄢ FgF一
時 間 、 事件 發 生的

甀外
疊︳
全
梵季窆釐
盞癹絮好駁留 籤帚牡 簆長 驫

姆籗 鑰妳站玲堅鮤 糴弩餵委 塕 瞞壁餵ㄏ含 谽坤

位 情 況 ,新 增全 景資
訊)
山布蹡 卅:毬品 ㎡ z㎝ °
ncanaao〣 n竹 rm鈉 on
掰
1圣塈 生 數 (亦 即 組 織 可 快速 有 效 對 資訊 採 取行 動 )

妙汁
◎ 下C︳ C
Modu︳ e2-2s︳ ide27

A.50rgani2ationa︳ contro︳ s組 織 控 帝︳

鑈籩錛餘 鑼 銵籦♁魕 命
A.5.7下 hΓ eat inte︳ ︳
｜ gence威 脅情資

Guidance指 引｛
︳S。 2了 0● 2)
genceactivitieSShou︳ dinc︳ ude:
下h「 eat inte｜ ︳
︳
鎙黰鑈 泳

威 脅情 資 活 動 宜 包括 下 列各項 :
錉籛姊

a)Estab︳ 心h︳ ngo切 ect︳ vesforthΓ eat inte︳ ｜

igencepΓ oduction;
鉞“

建立產生威脅情資之 目標
鑈籛鈖妳欺餅 寧露嗧竅畢銹 協雀趕好哥 鈔姊

b)identi打 ︳ ng,vett｜ ngandse︳ ecting｜ nteΓ na︳ andeXterna︳

infoΓ rnat︳ on sourcesthatarenecessaryandappΓ opriateto
nation requ︳ redfortheproduction ofthreat
provideinfoΓ ︳
︳
igence;
一╯

inte｜
—

識 別 、審 查 及 選擇 必 要 且 適 切 之 內部 及 外部 資訊 源 ,以 提 供
產 生 威 脅情 資所 要 求 資訊
谽外

◎ TC︳ C
de28
Modu︳ e22s︳ ︳
 A.50「 gan泛 auona︳ con七 ro心 組 織控 制

塕黮銹蜴 嬾 鑰黮銹蹦 外
╮ A.5.7下 hreat intel｜ 咆ence威 脅情 資
Gu:dance指 引｛
︳SO2了 002)
c)c呂 ︳
rma七 onfrorn se︳ ectedsourceS,Whichcanbeinterna｜
Fg王 且
七 舁:非

銹黮佛 Ⅵ
由選定之來源(可 能係內部及外部)蒐 集資訊
ψ° ︴ 暋親接 點腦 邶sm盯
黯星手
七 驟踽茻 將

鐒簸螂
:F千

鷂外
處理所蒐集之資訊以準備供分析(例 :藉 由轉譯 、格式化或證實資訊)

鐫籦豽螂齸路辦學航擺寧簽躌 鑰 筋潑跨帥 昏鎀啷

e)ana︳ ysinginformaHOn七 oundeΓ standhoW比 re︳ a七 eSandis meaningfu︳
to theorgani2ation;
分析 資訊 以瞭解其與 組 織 之 關係 及 崶 組 織 的 意義
f)communica$ngandsha一 ng比 七
o「 e︳ evant indiVidua︳ S｜ naforma七 七
hat
canbeunderStood.
式與相 關個 人溝通或傳達及分享

鎀帥
◎ 下C︳ C Modu︳ e2-2S︳ ide29

A.50rgan矻 aHona︳ contro怡 組 織 控 制 ↓

躍籈 靂
— —

錼籛鑱紛 鑴 錢雞♁饑 ¢
A.5＿ 7ThΓ eat inte｜ gence威 脅情資
︳
︳

Guidance指 引｛
︳S。 2了 002〕
下h「ea七 ;n七 e｜ ｜igenceshou︳ dbeana︳ ysedand｜ aterused:
宜分 析威 脅情 資並供 後續使 用
銹龘瞈 本

a)Byimp︳ emen∥ ngprocesSeSto inc︳ udeinforma小 ongat比 redfrom

銹羷螂

igencesou「 ces into theo「gani2at｜ on’ s inforrnation

threat in七 e︳ ︳
security「 isk【 nanagement p「 ocesses;
籤命鑱癱銹林欽齵 鞏簼絳畫旗縐旅爹麒外車 蚡嘟

藉 由實作 過程 ,將 由威脅情資來源蒐集之 資訊納入 組織的資訊安全

風 險管理過程
b)asaddi七 ︳ Ona!inpu七 七0technica︳ prevent｜ Veandde七 ect:Vecon七 rO︳ S
︳ike兩 reWa︳ ︳ s,︳ ntrusionde七 ection syste日 出0ranti rna︳ wareso︳ utions;

作 為 如 防 火牆 、入 侵偵 測 系統 或 防惡 意軟體解 決方 案等技術 預 防及
偵 測控 制 措 施 之 額 外輸 入
0theinforma七 ionSecu「 yteStpΓ Ocessesandtechn:ques.
c)as inpu七 七 ;七

作 為資訊安全測試過程及技術之輸入
艙師

◎ TC︳ C Modu︳ o2… 2S｜ ;de30

 A.50rgan泛 aⅡ Ona｜ cont「 o心 組 織控 制

齡黤瞈妙 鑼 鑰黤盼饑 外
A＿ 5.7下 hΓ eat︳ nte︳ ︳
igence威 脅情資

Guidance指 引｛
︳S。 27002)
j蝌 荋 漼
路蹓驟點竹H:占 腦 !幦｜ 。 七 灩 hΓ eat

鍋繳鏺 ︴
組 織 宜於 施 互 基 礎 上 與 其 6也 組 纖 分 享威 者情 資 ,以 改善整體 威 發情 管 、

錐齷螂
羝︴
七her:nhr了 了 a山 on其 它 資 訊
︳

齡黫錛姊魔齷 罕簼駱餵譏 齡 缸孝撥珅 各谽坤

。
o「 ganiZationscanusethreat inte｜ ︳
igenceto preVent,detect,oΓ
espondto threats.OrganiZationscan producethreat inte︳ ︳ igence,but
「
moretypica︳ ︳yreceiVeandrnakeuseofthreat inte︳ ︳ igeη ceproduced
byotherSources.
組織可使 用威脅情資以預防 、偵測或 回應 威脅 。組織可產生威脅情資 ,

但 更常見的是接 收及利用其他 來源產生之 威脅情資 。

妢師
◎ 了C︳ C
Modu︳ e2┤ 2s︳ ide3η

A＿ 50rgan矻 auona︳ cont「 o心 組 織控 制

A.5.8lnfo「 maHOnsecu市 tyin pΓ 切ectmanageΓ nent 綁驪 鏺嬐 蠮 錛籛 劬饑 ψ

ContrO︳ 措施
控 帝︳
onSecu山 tysha︳ ｜beintegratedinto pΓ 切ect
錛攤 鐒 本

lnfoΓ rna山
managernent.
鑈讓螂

資訊 安 全應 整 合 入 專 案管 理 中 。
航︴鑰籩 鑈師欺錣 學簼 學錣緇鉀

Con竹 O官 寸 捨施
陸帝嘻

〡
卷莒呂卷
哲苦
〔昂
單再
莒告 基︴打
居要器 ° edin prq｜ ec七 man白 gement,
吾 一 ;手

,應
各 呂母 :︳
9努

°
不論 專案之 型式 在專案管理 中困應 資訊 安全 。
比屾 礙
俄 綣翠鼳 笨鷂 隸繳 李
鑈 磁聲窪才日 ♁師

en找 ancements士 0eX｜ in9:n知 ︴

S在 舉 rΠ

事項 ,應 納 入 新 資訊 系統 或 既 有 資訊 系統之 強
雇 驁 靈衾 篫蘱 暈 季
劬盯

◎ 下C!C
Modu︳ e2-2s︳ ide32
 A.50「 gan眨 aHona｜ con七 o心 組 織控 制
「 爾豳比麟齷 站

靂珮 靂

銹雞鎀鬱 鐋 幾雞一
maHon secu山 tyin pr切 ect rnanagernent
A＿ 5.8︳ nfo「

專 案管理之 資訊安全

C。 且七rC一 yp兮
七 沒免 r盟 妹 站 n
正 Cy哲 εrs兮 Cur:七y OP｜ ra在 主
6且 五王 §Ct出 r二 七yd.發 a盪 疋§
SeC社 r二 巧rpr0per吝 ieS εOnCep在 $ C且 p社 右 i遷 it主 兮S

著PreV兮 n〔 打e #COIlΠ dent甚 斑比歹

一
#王 de三 玉差
y要 Protec︴
t主 #§ OⅥe玉 n笛王
:C§ 母 § 0Ver丘 a正 Ce一 且 且 d一 ECOSyS-

學≡n抬 嶭 1圩 0n
七併在勞Protec七 主
許〝 之文
王a在 1王 甘

外
鎞 籛 鑰 姊羧 譅 篧 豬 帑箠 舞 齺 航器跨辦 含 盼 螂
PU叩 OSe目 的
Toensu「 ein了0rmajon secu山 ty山 SkSre｜ atedto p「 切ectsand
de︳ iverab︳ esa「 ee帝 ectiVe︳ yaddreSsedin project rl╮ anagemen七
七hroughoutthepr中 ct︳ ︳ fecycle.
確 保 於 整個 專 案生命週期 之 專 案管理 中 ,有 效 因應 與專 案及 交
付 項 目相 關的 資訊 安 全風 險 。

劬帥
◎ 下C｜ C
Modu︳ e2-2s︳ ide33

A.50rgan眨 aⅡ ona︳ contro心 組 織 控 制

A.5.9lnVen ofinfor乎ha毛 :on踐 nd。 therassoc:a七 edaSSets 璘簸鑱銓 齺 銹黮劬鑰 外

訊 及

空帶︳
Contro︳ 守 ㄐ告施
鈐麰鐒 永

An︳ nVentoryofinforrnationandotherassoc:atedassets,
︳nc｜ udingowners,sha︳ ︳bedeve︳ opedandrnainta:ned.
鑱雛娣

並 維護 (包 括擁有著)之 清冊 。
餓¢

醙 訊 及 其他
齺黫鐱的箴鐋 寧搖犖礞鑼姊

C♁ n受 ξ
o｜ 控希(一
檔力
也

一
砍縱 韔餓 省 星鑝 智選 藪 芼姆 娥 吁呂槃 籬 鎩蟲 d!
應識 艿︳ l與 資訊及 資訊 處 理 設施相 關聯 之 資產 ,並 製作與維持 此
攤 磁華玲對當 盼螂

等資產 之 清冊 。
nedin琶 he︳ 雄Vem走 0ξ y$h爸 音｜be♁ Wm舍 心
Λ S$e女$r我 接;n左 級言 .

清將 中將 維持 之 資產蠯 兵時雍有者 。
翰師

◎ 下C︳ C
M° du｜ e2-2s︳ ;de3ㄔ
 A.50「 gan矻 a山 ona︳ cont「 o心 組 織控 制
蛋戤 瑋戤
— — —

鈐黤 螉妙 鑼 鑰鄹 伈
A． 5． 9彗 塑 旦 生 ╝ 些 坐 些 坐 ⊿ 生 生assets
輩埭 馬嶷 鎞 斃 茻 半

yp兮
ContrO玉 仁 IⅡ 加 Ⅱ蹈┴
︴i0且 CJ路 e站 ｜εⅡhty o｝ erat主 O且 a王 Ⅱ王王
SQε ur二 竹 d． 且 且S
sε εHHi︴ ypΥ op兮 r七 iε § εOn仁 εp︴ s εapati王 土站 s
勞PreVe1ltive 1ti在 1女 y
#C0且 f掗 工 #工 de↑ ti乎 母A§ Setmanage- #GOvernahce一 and一 Ec0-
#王 ntegr在 y nent
】 Ψ S在 e正 1華Protect主 o玉
#AVa王 1出 i王 i牡

‵ 躌 黫 錛 輕航鬱琳 罕 羅 路盤 舉 錛 磁孝 理 η甘 谽 螂
PuΓ PoSe目 ｜
琦
下oidenti打 theo「 gani2ation’ s inforrΥ ╮at︳ onandOtheΓ aSsoc︳ ated

aSSetSin orde「 to pΓ eseⅣ ethe︳ Γ︳ nfoΓ rnahon secu山 tyand

assignappropΓ iateOWneΓ ship.
蝍 之 資訊及 其他相 關聯 資產 ,以 保 護 其 訊 安 全並指 定
適 切之擁 有權 。

谽外
◎ 丁C︳ C Modu︳ e2┤ 2S︳ ide35

A.50rgan矻 a∥ ona︳ contro心 組 織 控 制

A.5.η 0Acceptab︳ euse0了 infoΓ mationandotheraSsociatedassets 鑰繖鏺翰 鑼 翰議艙餓

可接 受使 用 資訊及 其 他相 關聯 資產

ContΓ ol控 制 措 施
Ru︳ esfortheacceptab｜ euseandpΓ oceduresforhand｜ ationand
inginfo「 r了 ﹁
h鏻

otherassociatedassetsSha｜ ｜beidentiΠ ed,documentedandirnp︳ emented.

黫鑈 外

及其他相 關聯 資產 之可接 受使 用的規 則及

篧騫掣觱 擺 穋 零
拂黰輛
鈚↓鑼黰鑈︴數報 擊籀夥接嶉辦

Contro;控 常!毒 普施
｜

且
臘致 潦 恩長 ︳
基
躐旻饑綴瓏朧穿滾纕辛
鍛嚫比h

en掩
竹np:e出
講 ξ d.
聲 與 資訊及 資訊 處 理 設施相 關聯之 資訊及 資產 ,應 識別 、文件化及 實作 其可被
接 受騎使 用之規則 。
鋒 磁舝蝵﹊守 鈔妳

°珫
g:維 g布 無
#主 尹
雞甜雖意 傑騩$綾辯毛
歡堆凰
擗忌出燎ξ
ㄊ
°四aniZa小 on一
應依 組 織所採 用 的 資訊 分 級 方 案 ,發 展及 實 作處 置 資產 之 程序 ．
妙盯

◎ TC︳ C
de36
Modu｜ e2弓 工S︳ ︳
 A.50「 gan眨 ajona︳ contro㎏ 組 織 控 制 竹

靂抵 籚
— —

鑰籛鑰翰 鐇 鑰聬
0Acceptab︳ euseof〡 nforrnationandotheraSSociatedasse七 S
A.5.┐
可接 受使 用 資訊及 其 他 相 關聯 資產

CJ且竹 6王 type 王且你 r亞 a在 :Bn y

Cy4er§ ec在 r主 七 0pε Γ&在6玉a正 §兮Cur雇 tyd.出 賤 主土S
各eε 田r北yprGpε r七 主Bs 6$ncep惹 ε Cap盆 t正 二
七主e§

勞Pre吊℃且七
它Ve #Cσ Ⅱf二 de二 1t三 a在 i牡 #Proㄜ ec七 勞虫忑Se扛 一
文nana各 em兮nt #6overn甚 止 Ce一 &王 d一 ECCs”
-

勞遲且路Sr1甘 華王且f0r正在at主 on一 Pr。 ﹏ te社 1#Protec〔 王

o出
女y
勞AV社 i三 H放 玉 t§ ction

赫 瞈 簸 翰 芞 路醉 雀描玀絳螴 舞 鑰 瓶器鋡帥 令 谽 螂
外
PⅡ rpos● 目的
Toensureinforrnationandotherassoc︳ atedassetsare
appropriate｜ ypro七 ected,usedandhand｜ ed＿
確 保 資訊及 其他相 關聯 資產 受到適切保護 、使 用及

幼帥
◎ TC︳ C
Modu︳ e2一 2s︳ ide37

A＿ 50「 gan泛 a山 ona︳ contro怡 組 織 控 制

鑱籛鑼鎗 鑴 銹麶鈔攤 ¢
A.5.可 可Return ofas比 tS資 產 之 歸還

ContΓ o︳ 控 制 措 施
Personne︳ and0七 her︳ ntereStedpartiesasappropriatesha︳ ︳returna︳ ︳
七heo吧 aniZation’ SaSSets in七 heiΓ poSSeSSionuponchangeo「
銹鼮鐑 本

terrnination oftheiΓ emp︳ oyη en七 ,contractoΓ agreerΥ ╮

ent口
錢雞師

適 切 時 ,人 員及 其他 關 注 方於 其聘 用 ,契 約或協 議 變 更或終 止 時 ,應 歸
餓好

還其 持有之 所有 組織 資產 。
鑈黫鑈姊欺齵 肇攝夥路

C◆ 嶭竹O︳ 控 常｜
措施

母哲蟲吝 序
珴 鑨煍 全能黮 老
乩出 r

簼鑨籅已吾
手鏮 毒鼳 選去
men毛 ﹏
路鵝蝌

,應
鐱 瞞曌嫂好音 鎗啷

使 用者於 其 用 、契 約 或 協 議 終 止 時 歸還其據有之
U 鍪馫 歷虃齤釐擊 彈
鋨師

◎ 下C︳ C
de38
Modu︳ e2-2§ 比
 A.50rgan眨 auona︳ contro心 組 織 控 制 十

錚蟲 β
— —

錛黤鑰鎀 鑼 鐑岬
A.5.η ηRetuΓ nofas比 tS資 產 之 歸 還

εDΠ#0一 tyPe Ⅱ比 rmatiD五 ε於 erseⅢ 斑 y 0Pε 三

無 io▲ 出1 Sε 〔社r比 yd.嫵 nS
§
eε Hri﹏ γPr． Pert扥 § 〔°玉ε●pts 召出Ph〦 i1北 ie§
一
勞PreVe工 ltiVe #C㎝ 在血 Ⅱjm工 呼 #Protec〔 撫 Set mnnage﹏ #Protecㄜ ioⅡl
年三
;︳ te多 1呼 Inent
華AVaj王
一 abil比
y

外
狒 黫 錛 妳蟻玲螂 琌城腦路單 霹 齡 甋拶 靼 η吝 鈔 坤
Pu叩 °Se目 的
下o protecttheo「 gani2ation’ saSsetsaSpaΓ toftheproceSSof
changingoΓ te「 【 ent.contΓ act oragreement.
n︳ natingemp｜ oyrΥ ╮

將 保 護 組 織 之 資產 ,作 為 變 更 或終 止 聘 用 、 契 約 或協議 之 過 程
的 一部 分 。

幼帥
◎ 下C︳ C
Modu︳ e2一 2s︳ ;de39

A.50「 gan眨 auona︳ contro怡 組 織 控 制

r 我r
— — —

A.5.η 2C︳ aSsiⅡ caHon ofinforma小 0n資 訊之 歡 ㄟ級

刀 錛靆鑈鍛 擺 鏺蠿嬐鑯 →

Contro︳ 控 制 措 施
︳
nfoΓ rnation sha︳ ︳bec︳ assifiedaccoΓ dingto the︳ nformation secu「 ity
needsoftheorgani2ationbasedonconfidentia︳ ity,integrity,
銹鼛齡 八

avai︳ abi︳ ityand「 e︳ evant interes七 edpaλ y「 equirements.

蹳簸螂

資 訊 應 依 組 織 之 資 訊 安 全 需要 ,依 機 密 性 、完 整 性 、 可 用性 及 相 關 關
餓市

注方要求事項途遊盼埳‥
鋤黫鑰妳皺齵 單眾路餓罐卹

COn︴ ro｜ 藜〔常ㄈ

措施
°nSh3︳ ︳bec︳ 爸SSi出 ed︳ n在 er才 ╮S° 了｜
:nforrn爸 七︳ eg岔 ｜requ:remen七 $,Va｜ ue,
cΓ i之 〡
c各 ｜
比yandSensit︴ v;打 ︴9#na以 主hOΥ :Se心 d〡 Sc;oSureofFnodi再 ca主 ;On.
一
╯

資訊應依其幹 法律 要求 、價 值 、重要︴
l生 及 未 經授權盪邁趴 修 改之敏戚性
鍋 銥鋒撥黔再 ♁師

分級 。
紛糽

◎ 下C︳ C
;de40
Modu︳ e2ㄐ 2§ ︳
 A.50rganizaHona︳ contro︳ S組 織 控 帝j 滷齺協幽好 竹

靂紙 靂

翰灘鎀盼 熪 琇卿
╮ A＿ 5＿ η2chSSⅢ caUon ofinforrnaHOn資 訊 之 分 類 分級
一

C● 王七r0王 打 擊ε 【玉色 rm色 七主O且 Cy$ε r§ eε 求ri︳ y oPera甘 6n出 SeC社 rㄈ tydoⅡ〕
錢王ⅡS
∫
eε 社r二 ㄗγp!．per毛 ie§ εDⅡ C兮 p它 ∫ ε女p宜b王 王
比:e§
一
#PreVe且 ti▼e 考C<站 f由全 hti斑主
哲 李〔
dmt主 牡 正銘 rnla法o∴井 ro一
母王 #Pr0七 eC七 iOn
報工 玉te各 n七 y 七eC毛 主
0〔1 誰乙ejencε
#皮 V血 比b宮 li打

甀小
拂殿 狒拂斃齷 肇羅 夥 $舞 妗 航器路跡 喜 谽瑯
PurPoSe目 ｜
琦
下0enSureidentif︳ cationandunders七 and:ngofpFO七 ection
needsofinfoΓ mation inaccoΓdanceWithitSirnpoΓ tanceto the
o「 gan︳ zation.

依 資 訊 對 組 織 之 重要 性 ,確 保 識 別 及 瞭解 資 訊 的保 護 需要 。

砏帥
◎ TC︳ C 田odu︳ e2-2s｜ ideㄔ ﹁
小

A.50rgan矻 ajona︳ contr引 S組 織控 制 ﹏

釐颻甲
靂
—
—

鏘雞 鑈鍛 齺 鑈纖 紛鐖 ㎡
A.5.η 3∟ abe︳ ︳
ingofin了 Ormauon.釐 盪生生燙匙示

ContΓ o︳ 控 甜擋 另
包
鋪繳 鐒 永

AnappropΓ iateSetofpΓ oceduresf0「 inforrη ation︳ abe︳ ︳

ingsha︳ ｜
bedeVe︳ opedand:rl╮ p｜ er︳ ╮entedinaccordancew︳ ththe
銵皺 螂

a七 ionc︳ assificat:onSchemeadoptedbytheorgan︳ zat:on.

inforrΥ ╮
皺心

資 訊 分 類 分 級 方 案 ,發 展 及 實 作 一 套 適 切 的
鑱籛 餩缽欽琳 鞏籀 夥盟麓驫 磁器跨討 音 鐪師

暾 籗 筆 籊 奪 ?之

CΦ 找室
才O｜ 控 崙心檔方
也
An按 ppFopr工 接一
琶eSe是 ♁了pFoce唼 琺re$｜ br｜ 雉forr改 缺者
言°n｜ abe｜ in$$鈍 a〡 〡
｜ d¢ ˇe｜ opea接一nd︳ mη ︳
eme雄 扭 di$accoξ 心缺nCeⅦ 銋乩 走he
╰ b兮
︳
nΥor年 Ⅵ按君
︳onC舌 a$S〡 無ca在 ;@n$cheme俄 dopt@° by七 純e0吟 an︳ 2a七 ︳
on
應 依 照組 織研採 用的 資訊 分 級 方 案 ,簽 展 及 實 作 一套適 當的 資
谽師

訊 標 示程 序 。
◎ 下C︳ C
叮du｜ e2┤ 2S︳ id。 碎2
山
。
 A.50rgan泛 a山 ona︳ contro心 組 織 控 制 ◆

彈也 β
— —

鐒瀚 塕紼 孋 塕鰓
A.5.可 ingofinfoma山 0n資 訊之標 示
3∟ a比 ｜
︳

COⅡ它
rO一 寸 pε IⅡ 拓 r】 比女在出 y
C坤 erfe兮 玫出︴ 6Per女 〔ionm玉 £兮兮ⅥritydOm致 主
ns
Seε 玨r二 tˊ pr9Pε F七 i兮 § C° 且εeP七 § 〔工pa七 i1王 ties
掙Pre唯 ntiVe 華COⅡ fjden七 i斑 ky 掙Pr0︴ ect #王 llfo】 ．
】 On
na〔 主 券De及Ⅲce
e『 比y
#I且 七 pro由 C拄 0n #Pr° 扭 mOⅡ
#Avai妳 b且 i呼

甄 鑰 羷 齡 姊貼路堅 聚 繙犖塞 辨 齡 赫器路跡 三 砏 螂

妳
PurPose目 ｜
的
下ofac:︳ itatethecoⅣ╮
rnunicat︳ on ofc｜ assification ofinforrnation
andSupportautomation ofinforrnation processingand
rnanagement.
為 促 進 資 訊 分類 分 級 之 溝通 或傳 達 ,並 支持 資訊 處 理 及 管 理 的
自動化 。

黺帥
° 下C｜ C
Modu｜ e22s︳ ideㄔ 3

A＿ 50rgan眨 a山 ona︳ con七 rolS組 織 控 制

攤羷錀鍛 鐇 鑈黰劬纖 “
A.5.何 lnfoΓ rnajon transfer資 訊 傳 送

COntro｜ 守
空希!H階 施
︳nfo「 mation七 ΓanSferru︳ es,pΓ ocedures,o「 agΓ eements sha︳ ︳bein
銹黫鎀 〝

p｜ acefoΓ a︳ ｜tyPesoftransfeΓ faci︳ itieswithin theorganizationand

betWeentheo「 gan︳ zationandotheΓ paHies.
齡黤坤

,肚4垼銓於 及組織與其他各方問
餽帝

丘盛壘 議
雩
鑈黮縐抪欺韻 寧攝路跟路妒

惶 霹蒡蠢癹麛蘉麚聖竟

Con︴ ㄌ;控 制 措 施
FO「 ma︳ 之強 nS了 er po比 c;eS,pr.cedureS,andcon名 SSh色 ︳︳be:np︴ aceto
F。 ｜

﹏pesof
p幻tea︴ het陷 nS竹 Γ0了 ;n竹 rma竹 0n出 路ugh它 heu§ eo了 a︳ 〡
鑼 磁鑋瑣

commun:ca走 ｜
onfaci︳ ie§i七 .

應備妥正 式之傳送政 策 、程序 及控制措施 ,以 保護經 由使用所有型式通

r〡

訊設施之 資訊傳送 。
♁碎
燄盯

◎ TC︳ C
deㄔ 6
Modu︳ e2-2s︳ ︳
 A.50「gan眨 aHonalcontr0心 組 織 控 制 腐豳用齥鱍 才

靂舐 靂

鐒繳翰啥 璐 塕籛谽鑰 茁
A＿ 5.可 碎lnfo「 ma小 on transfer資 訊傳送
e君 ξ接&$路 ξ0手 $u$君 &每 $$
｜be磁 da冷 $S︳ he$ec旺 了
茂 $掩 e幾 爸n崔 $Sh接 ｜
在
雄當 ◆n撥 踓婊e焲 er我 磁︳肸缺踐豆
◇孔紐e碧 雖eea毛 乩爸♁玵aniZ破 ︳
♁rma老 君 e$.

鐪 議 應 開明 組織與 夕 卜老#各 方 營運 資訊之 安 全 傳 送 。

搦黫齡 野
善
n孽 ♁ Ⅵ a毛 主
r孑 ved工 $e子 ec七 ron︴ cξ 報eS$發 $言 雄
♁俄inV◇ ｜ y
qs乩 俄比粉e缺 pp一 ♁pξ ;a七 守︳

鐒麰螂
紵野◇道ec電ed‘

航
應 適 切保 護 電子傳 訊 時碑 涉及 之 資訊 。
ㄈs1｜ r.王 吁 今兮 王且拓 r血 法t主 6且 Cy忠 留 §它〔迂r主 好 0P兮 r狂 七主 且法王 §CC社 r主 ﹏◤u． m法 i▲ S
．
SeC王 ri拚/pr6pert主 ss εe土 竹 p七 S c6中 欲§二
二土路s

#P≡ eΥen七 iVe 帶C0n及 硅eΛ 王 t比吐女y 學pro七 gct 報 SSe七 ma且 忥

各
eㄥ lent #Protect:b且
♁n
一

華I二 1七 e各 r王 ty #≡ n免 rmat王 ●土＿pF● tε c七 玉

#缸aⅡabif托 y 一

犩 鑰 瓶簿跨珅 安 紛 師
Pu叩 Se目 的
。
下o rnaintain thesecu一 tyofinforma小 on tranSferΓ edWithinan
o「 ganiZationandwithanyeXterna︳ ;nte「 eStedpa㏄ y.

鎀坤
維護 於組織 內及與任何外部 關注方傳 送之 資訊 的安全性 。
◎ 下C︳ C M° du︳ e2一 2S︳ ide碎 5

A.50rgan眨 aHona︳ con七ro㎏ 組織控 制 ﹏

釐觝u瑟
— —

鐒颻擁鐱 鑼 拂灘鈔鐖 琦
A.5.﹁ 5AcceSScontro︳ 才
子取控 制

空帝!寸告施
Con七 ro︳ ︴
a七 ionandother
acceSS七 o｜ nfo「 ︳
鰳黫錫 〝

Ru︳ es tocontro︳ phys︳ ca︳ and︳ ogica｜ r了

aSsociatedaSsetSsha｜ ｜beestab︳ iShedandimp︳ ementedbasedon

鐪籛坤

buSinesSandinformauon secuHtyrequirements.
應依 營運及 資訊安全要求事項 ,建 立並 實作對
餓館

關聯資產之
撥籮翰林貓皓堅震輯夥瑤腦屻

實體及邏 制 的規 則 。

C6n建 安
0令 推 希嘻;檔 功色
A雄 佼 CCe$ScΘ n崔 ξ° ｜ pΘ 比 cy$把 a︴ ︳ $eestab︴ ︳$hed子 doc吐 我 e&奄 e吐 子 爸 nd

reVie啦edbaSedonb吐 $︳ n岔 SS3n♂ 子 :onSecur;走 yreq吐 君

nfor了 h爸 舌 ξemen它 $.
銹箍移跨帥音 琀螂

存取 控制殘 策應依據營運及 資訊安全要求 ,建 主 、文件化及審查之 。

圩Seξ SS乩 a｜ 君 On｜ y路 eproV官 de心 卍 孔盆CCe$S七0它 乩 e我 e瑋 紝 kSand無 e之 uerk
◆ξ i碧

、 、
heyhavebeenSpec工 再ca︳ :yau奇 hor:2ed七 0uSei 、
Se野 V子 ce$七 ha七 七
谽師

應 僅 提 供 子 使 用 者 存 取 真 已被 特 定授 權 使 用 之 網 路 及 網 路 服 務 。
◎ 下C︳ C Modu︳ e2-2S比 deㄔ 6
 A.50rgan矻 a山 0na︳ contr0心 組 織 控 制

鐒黮 銹蝴 鐇 齡繳 “
A.5.η 5AccesScontro︳ 存取控制

C． ntro二 type 工王
ⅡbΓ Ⅲ 五在oⅡ 竹 出以 $e它 Ⅱh守 Op︴ a在◆出Ξ yd6出 二nS
Sε ε世r丟 ε
∫ε〔ur王 打√pr.per千 iε f coⅡ εep︳∫ C出p致 b王 王毛k§
母Pre﹌ gn｛ ive #C㏄ ▲
丘de政 i斑 i哲 #Prote〔 t 一
#王 dentity一 a且 d一 a← 帝PΥ o控 C七 i6n
e醉1ty 一
#王 n七 cess一 managellleⅡ t
#AVai:a班 玉
主ty 一

戈 錛讓 砩轉磁跨墅 翟 鍛學塞舞 鐑 瓶器玲邪 各 鉿 螂

P︼ 卬 Se目 的
。
丁oenSuΓ eauthor︳ zedaccessandto pΓ eventunauthor︳ 2ed
access to︳ nforrnationandothe「 aSsociatedassets.
對 資訊 及 其 他 相 關聯 資產 ,確 保 經 授 權 之 存 取 並 防止 未 經 授 權
的存 取 。

♁帥
◎ TC︳ C
Modu︳ e2ㄛ 2s｜ ideㄔ 7

A.50「 gan矻 aHona︳ contro怡 組 織 控 制

一 r
r几口 一

彿黮鑈餘 齺 鐖籦谽饑
A巧 .︴ 6︳ denHtymanagement身 分管理

ContΓ o︳ 控 制 ㄎ
堵方包
下hefu︳ ｜︳ 一e0f︳ dentitiessha︳ ︳bernanaged
ifecyc︳
.螉
籛鑰 無

〡應 管理 身分之 整個 生命 週期 。
鑰繳姊

U
餓帝鏺籦鋪師出雜聖窯 緇學塞聶彿

Con之 Γ
o︳ 控 希吋;檔 路
色
一 $trati． nandde中 re9工 Strat｜ on proce$ssha:｜
AfoΓ rna︳ uSerreg｜ be
irnp︳ emen毛 ed宙0enab︳ eass｜ gnmen煮 ofaccess ri9拓 tSi

應 實作 正 式 之 使 用者 註 冊 與 註 銷 流程 分俾 艞 派 存 取權 限 。
餵好
啷
♁╟$雀
:妙

◎ 下C︳ C
Ⅳ︳
odu︳ e五 r2S!ideㄔ 8
 A.50rgan︳ 2aHona︳ contro︳ S組 然
戠控常︳
．

銹纖 琇鉿 嬏 螉錢 ﹌
A石 .可 6｜ den甘 tyrnanagement身 分管理

C.Ⅱ tr0二 type 王王銘 r且 故 王 o4 y

Cy屯 兮rε eε ur五 在 oP兮 r且 t王 6n及王 ˊda且 ainS
S兮 C｛ 比它
εeC在 r二 站╒pr◆ per七 比§ COnEep七 S C柱 pab三 出︳ 三
弓§
#PreveΛ 七iVe 斑才y
#Con氏 de出惹走 #Protect #Ident神一and一 ac- 勞PrO〔 ec毛 王
0玉 :

華正n控 醉 ︳# Ce§ S︸ 鈕 ana鋅 且en〔

考A▼ a正 甚bi王 女ˊ

舛
齡簅 銹螂航跆堅鴷 鑮犖盤鶢鑰 磁瑙撥珅 工 鬱螂
Purpose目 亡
琦
0Wfo「 theun︳ que︳ dentification ofind︳
下oa︳ ︳ v｜ dua｜ sand
systemsaccessingtheorgani2ation’ s︳ nforrnat︳ onandother
asSOciatedassetsand七 0enab︳ eappropΓ ia七 eaSSignmen七 of
acceSs rights.

子他
相關聯產
資之人
個及系
星｜
瑩青發
璧晉雷
鼇署簑
肇蠹籠
霮

鐒帥
◎ 了C︳ C Modu︳ e2-2s︳ ide49

A.50rgan泛 aHona︳ contro怡 組 織 控 制 ﹏

露甔 鐐
— —

鐒黦錀谽 鑴 鑼雞♁鑯 ¢
A.5.η 7Authenjcauon︳ nformauon鑩〨
另●資訊

措施
Contro︳ 控 帝｜
鈐躈鈖 本

A｜ ｜
ocationandrΥ︳anagement ofauthentication infOrrnation sha︳ ︳
edbyarnanagement pΓ ocesS,︳ nc｜ udingadV︳ S:ng
becontro︳ ︳
鐑黤螂

personne｜ ofaPpΓ opriatehand︳ ingOfau七 hentication inforrΥ ︳

ation.
餓¢

鑑 別 資訊 之 配 置 及 管 理 應 由 管理 過 程 控 制 ,包 括 告 知 人 員 關於
錀瀸鑈姊磁蠱啦寧擺學鑑嶺 銹就器玲抻音 姼坤

鑑 別 資訊 的適 切 處 理 。

C♁ 破拎｜
控帝ll捨 施
了he缺 ≡ 〡♁C8ti。 nΘ苦Secre走 爸u七 he維 老 ♁n言 nfOrInat子 on$仇 a君 子be
:ca崔 ≡

c♁ $tξo官 ｜
♁心t乩 紅 ♁u$乩 aforma︳ m綾 孔爸geme找 毛pξ oce$$︳
應 以 正 式 之 管 理 過 簿 控 制 秘 密鑑 房時資 訊 的 配 置 。
紛阿

◎ TC︳ C Modu︳ e2E2s︳ ide50

 A.50rgan眨 a∥ ona︳ contro怡 組 織 控 制 十

β戤禕
— —

螉議鑰♁ 餾 鑱黮劬鐖 外
A.5jη 7AuthenucaHon informa∥ on鎦 :別 資 訊
Users sha｜ ｜ OWtheoΓ ganization’ sPracticesin the
beΓ equiΓ edtofo︳ ｜
useofsecΓ etauthentication infor!Ⅵ ation.
於 使 用秘密鑑 別 資訊 時 ,應 要求生 用者 遵 照組織 之 實務 規定 。

鐑籦鎙 玲
PassWoΓ dr｜ ╮anagement systeΠ ╮sha︳ ︳
be;可 dsha︳ ︳
ensu「 e tera繭

錫籦螂
qua︳ itypassWords.

兟Λ
札 行碼 管理 系統應 為 互 動 式 ,並 應確 保嚴謹通行碼 。

躌娣
CDⅡ 打 ●二typ｜ h㏑ r班 就 i● n Cy也 crSecur放 了 oper臣 ti● 且&主 Sqε ur且 ydDm葅 ns
各εεur主 tyPr3pu在 ｜s ε6Ⅱ〔epts 出(§
ε&p致 ti王 二
李PreV§ nt二 ve #CoIfiden〔 走 a王 i寸 #Proteε 七 #室 εen在 呂
Jtand一 a! #Pro〔 ec仁 ion
勞Ξ
一Ⅱ巳aI1劍gemeIlt
ntegr王 守 CeS§
母帥 aⅡ ab主 1扎 y

研
鑰 蹜器路跡
PurPose目 的
下0enSu「 epΓopeΓ entityauthenticationandp了 eVentfai︳ uresof

:鈖
怬
authentication pΓ ocesSes.

盼帥
◎TC陀 確 保 正 確 之 個 體 鑑 別 並 防 止 鑑 別 過 程 失 效 。 Modu︳ e2-2s︳ ide5η

A.50rgan眨 auona︳ cont「 o㎏ 組 織控 制 ﹏

′我 π
— —

A.5.﹁ 8Access ri htS 存取權 限 錀繳餓餓 鑼 銹虃鈖蹦 •

Contro︳ 控 帝︳
措施
AcceSsΓ ights a七 ionandotherassociatedassets sha︳ ︳
to infoΓ ╮ r︳ be
鏺顅鑈 永

proVisioned,Γ ev;eWed,modifiedand「 emovedinaccordancewith七 he

Specif︳ cpo︳ icyonandΓ u︳ esfo「 accesscontrO︳
oΓ gani2ation’ s toPi心 一
鑰繳姊

應依組織之存取控制的主題特定政 策及 規則 ,提 瑟 、審查 、修 改及刪

簸心

除對 資訊及 其他相 關聯資產 之存取權 限 必

鑈籩銹芔致報 鞏簼學鍰選崩 磁舉玲討音 鍛坤

C㎝ 求ㄌ;控 制 措 施
A拓 n每 ︳u$° racces$prov:$jon︳ ngproce$$$ha:｜
r∵ be｜ mp｜ @men拖 d它 °a$$° $n or
冷VOkeaece$$山 9h竹 拓r田 〡u$er牡pes toa︳ ︳
systemsandseⅣ :ces一
應實作 正 式使 用者存取權 限配 置程序 ,以 對所有型式之使 用者 射新有 系統及服
務 ,指 派 或撤銷存取權 限 σ
A$$e七 °Wners s拽 田 ︴FeV;eWu$er$． 宙CC兮 $$↑ 〡 egu︳ 守r︳ n在 eⅣ a︳ S.
9h它 $a卡 乎

資產擁 有者 應 定崩審 查使 用者 之才
子取 權 限 。
谽師

◎ TC︳ C
Modu︳ e2-2s“ de52
 °

A＿ 50rgan眨 aHona︳ con七 ro㎏ 組 織控 制

瞈籮齡盼 嫋 瞈籛妢齺 磄 黰協 站
A.5.η 8Accessㄇ ghts存 取權 限
下heaccess rights ofa︳ ︳emp｜ oyeeSandeXterna︳ pa比 yuSeΓ s to
｜ oVed
nforrnationandinfOrrnation proceSSing了 aci︳ itieSsha︳ ︳berer｜ ╮
ination oftheirernp︳ oymen比 c° n七 ract oragreement,or
upon terrΥ ╮
a山 us七 eduponchangd口
斤有 員工 及 外部使 用者對 資訊及 資訊 處 理設施之存 取權 限 ,一 旦其聘 用

筠麰螂
ㄏ戶
契約或協議終 止 時 ,均 應予 以移除 ;或 於 其聘 用 、契約或協議 變更時均

瓶‵齡︴
須調 整 u
yp仁
εσntr.王 七 王且拓 r政 a〔 玉 n Cˊ ︳erε ε〔Ⅱr王 哲 0工 era毛 主
6Ⅱ a1 §eC旺 r放 y接 玉 a王 n§
． ．
§εεHri好 pr0fert王 eS ε0玉 Cε p在 S 6已 p盆 已善主 已§
在主

勞Pr念 V密 上
】〔汁§ 勞Con且 血 nu斑 i七 y 華Pro七告G七 aen意 王
勞工 七!Land一 a乎 勞Pr●挺 C在o正
一
勞王 egrlty
且守 cess一 maⅡ agement
求蠟 主 1旃 主 牡

卿
i玉

塕 筋器嬐聊 宮 艙郴
PurpoSe目 的
a七 ionando七 heΓ aSsociatedassets is
下0enSuΓ eaccess七 o;nforrΥ ╮

盼帥
zedaccordingtOthebus︳ nessΓ equi「ements.
def︳ nedandautho「 ｜

㎝ 確保依營運要求事項 ,定 義及授權對資訊及 其他相 關聯資產 之存取 。

◎了 Modu︳ e2︼ 2S︳ :de53

A.50rgan矻 aHona︳ contro㎏ 組 織 控 制 呼

釐薽 靂
— —

齡雞鈉鍛 蠣 璘簸谽鑰 密
A.5.︴ 9︳ nformaHOnsecuHtyinSupp︳ ieΓ re︳ °nShips
缸︳
供 應 者 關係 中之 資訊 安 全
鎗籩齡 然

空希!H皆 施
Con七 ro︳ 寸
Processesandproceduressha︳ ｜bedefinedandimp︳ ernentedto
齡黫哪

managetheinfo「 rna小 0nSe● u一 tyhSkSaSsociatedwiththeuSeof

鋮而

supp︳ ier’ sProducts or se︹ riceS.

鑱籛鑈坤城鬱聊鴷 擺路環盛齺 航簽啥帥章 姼螂

應 定 義並 實作 過程 及 程序 ,管 理 與供應 者產 品 或服務 之 使 用相 關聯 的 資
訊安 全風險 。

CO&毒 r0子 控 帝甘睹路

色
吾n牽 bξ ma各 ♁nSecuh紅
一一 equ汁 eme雉 $了oΥ 餓 掩工 c接 $nσ 七he比$kS我 S$OC=毬 七ed
W推 乩 $upp:言 er甚 eCeSS七Θ o塯 an≡ 左接本on’ S爸 SSe崔 SS乩 撥君君劫ea$了 兮ed、 u子 毛
乩走孔e
一
$upp吾 randdoc以 men守ed.
緞帥

颼與 供應者蟻定並文碑化 ,降 低與供應者存取 組織 資產 關聯 之風 險的 資
=爸

◎ 了C︳ C 訊安 全要求事項 。 M° du｜ e2弓 2S︳ :de5ㄔ

 A.50rgan眨 aHona︳ controls組 織控 制
穿戡 屋薽
— — —

鐒黤齡谽 璐 餓雞犐
A.5.﹁ 9lnfoΓ ma小 onSecu〢 tyin supp︳ ierre︳ auonships

供 應 者 關係 中之 資訊 安 全

C● 且七
r● ︳竹 p兮 Ⅱ竹 rm五 t二 °Ⅱ
王 Cy右 兮r§ eC社 ri打 opε rη 注o且 致五 6ε c︳ ︳
←主t》 d田ma主Ⅱs
§eC性 ri可 ㄏprGpert主 兮S C0止 εep在 § C及 pabⅡ it二 es

#Prevent〝q 勞Co二 !ndeㄦ tia玉 放y 考工

dq注 i打 #§ upP且 挺rr政 a︴ 二
on- #G0vernance一 nd＿
帶工且te安 玉 ty §hiP屯 §eCur是 好 Ecosystε #Pr0七 §〔︹
=上
抽 ai1女 b︳ li哲 t主 0n

外
鑰 籩 狒 姊航路堅 鮤 錯夥崒 舞 錀 蹴學霆 η吝 ♁ 姊
PurPose日 ｜
有
a︳ ntainanagΓ eed︳ eve︳
下orΥ ╮ ofinforrΥ ╮
ationSecurity:nsupp︳ ieΓ

re︳ ationships.
於 供 應 者 關係 中維持 議 定 之 資 訊 安 全 等級 。

紛帥
◎ 了C︳ C
Modu︳ e2ㄛ 2S︳ ide5S

A.50rgan泛 a山 ona︳ contro心 組 織 控 制

錛黰錛蜍 齺 鏺驤紛鑰 ︴
氏 5.20Ad什 eSSinginfOrrna∥ on比 Cu︻ tyW㏄ hin supp｜ ier
agΓ eements於 供 應 者 協 議 中 闡 明 資 訊 安 全
ContΓ o︳ 措施
控 希↓
Re︳ eVant informa小 0nSecuH七yrequirements sha｜ ︳beestab︳ ishedand
鏺雞齡 八

agΓ eedwitheachSuPp︳ ︳
basedon thetypeofsuPP︳ ierΓ e︳ ationsh︳ p.
eΓ

應依供應者 關係 之 型式 ,建 立相 關的資訊 安全要求事項 ,並 與各供應

齡羷螂
銀“

議定 。
鑈籦鍋師歎報 犁羅學簽路鉀

COn崔 Υ
°〡控希呼
寸著施
A子 子re｜ eVan七 ｜ n竹 Γ ma║ on sec吐 好 好 req sha｜ ｜beestab比 Shedand
agreedw:在 heachsupp｜ ︳ ertha在 rnayaccess,proces$,s左 0re.
COu〡 r料 un子 ca走 e,or prov︴ de令 了 in打aS之 ructurecomponen走 SfoΥ ,︴ he
鑈 旅器冷許可 谽螂

Organ:2爸 七
;。 n’ S子 n了Orma七︳
°n. ◣
應舞每偶可能才 子取 、處理 一儲存 或傳達資訊 ,或 提供 ｜
T基 礎建設 組件 資
訊之供 應者 ,建 立及議定所有相 關資訊 安全要求事項 。
劬糽

◎ 下C｜ C
Modu!e2-2S∥ de56
 A.50rgan眨 a小 ona︳ contro心 組 織控 制 蠐 坤

疊珮 靂栽

齴籛鎀谽 鎔 鐒籛盼鑯
A石 .20AddreSSing:nfOrmaHOnsecu山 tyw㏄ hinSupp︳ ieΓ
agreements於 供應者協議 中闡 明 資訊 安 全

Contr91七 yPε 比f以我雜 i故 y

Cy才 erε ec社 r二 七 9P︴ r盡 t在 五紅王 S兮C法 政寸 埃o且 甚注
且∫
ypr6pε r在 抬§ Cap出 已三
王．
正在
iε S
εeε u正｜ CGⅡ C兮 rts

#?re吊 ◤
e玉 ltiVe #C° 址fiden言 三
久li睜 #工 路趴拉圩 #SⅥ pp王 ier〦 da各 站n- #Gσ 咪才nanCe一 玉瑟d一
華愛五te各 r比 y ecⅡ 且打
比p﹂ §
§ Ecoε ˊstem勞 Pξ 6守 eC-
鼓蠟 i抾b王 王 i牡 在O工 王

一
攤 螂鎡撥跡 學 黏 嗧篴 鐒 鑰 城雄玲帥 含 鈔 螂
PurPose目 ｜
琦
下o rnain七 ainanagreed︳ eve︳ ofinfoΓ rnationSecurityinSupp︳ :er
e︳ ationsh:ps.
「
於供 應 者 關係 中維持議 定 之 資訊 安 全 等 級 。

鐪帥
◎ 下C︳ C de57
Modu︳ e2＿ 2s︳ ︳

A.50rganizajona︳ cont「 o㎏ 組 織控 制

翰籦協谽 鑴 擁麰鬱鑰 就
Managing︳ nformahon secuHtyin the︳ CTSupp︳ ychain
A.5.2η
CT供 應鏈 中之 資訊 安 全
管理 ｜
Con七 rO︳ 寸
空帝︳
寸告施
銹幾鎀 井

ProcesSeSandproceduressha︳ ︳bedeπ nedandimP︳ ementedto

y︻ sksassociatedW比 hthe｜ C下 p「 oducts
manageinfoΓ ma小 0nSecu一 七
鑰羷坤

andseⅣ icessupp︳ ychain.

簸“

應定義並實作過程及程序 ,管 理與 ︳
C下 產品丞盟盪堡選鏈型盟塈之資
鑰繳鑈妳瓶趙聖黧 鑼夥錯幾師

訊安 全風險 。

CO比 芭Υo︳ 控 常 堪
兮著施
Agξ ♁e竹 e#奇 SW言 ︴hSupp比 er$$h爸 ︳ nC︳ ude了 eq吐 ≡
︳君 ξe出 en左S盞 ♁ 簽ddξ 兮SS︴ he
錫 磁拶撥帥章 鎗螂

︳n路 野ma雜 onSecu無 好 Ⅱsksassoc︳ 往路dW工 t筑 ︳ &拓 ξ維爸報0n筏 &吐

Com約 un:C斑 言o雄 $者echr︴ 0｜ ocySep比 ceS接 几dprodu兮 發S磁 紂p吾 ych接 ;n.
與供 應著 之 協議 ,應 色含 因應 與 資訊及 蜘 服務及 其產 嬾 鏈爾
谽外

聯 之 資訊安全嵐 險 。
◎ 了C︳ C Modu︳ e2-2s︳ ide58
 A.50rgan泛 a∥ ona︳ con七 ro心 組 織控 制
β戤 β
— — —

鈐黤齡谽 孋 齡黤岱
A.5.2η ︳
Ⅵanag︳ ng:nfor【 ηationSecuΓ ityin the︳ C┐ supp︳ ychain
「
管理 ︳
C了 供 應鏈 中之 資訊 安 全

C° 五在ro一 tˊ pe Informa在 元
DⅡ CyherS兮 εur主守 operation且 玉 §eε 攻r五 Eˊ dDmaiⅡ s
seε uri竹 √PrsPer〔 ie§ εonε ep｜ § εapab三 址ies
#preVe且the #Con且 den〔 hh〔 ˊ 報d錢 毛
i牡 #Sttpplkf二 礅雄站在打 帶GOVeξ〕 lance一 a朮 走
一
勞Intβgr久 ty §hipS一securi七 y Bε os於 七en及 努Prote←
組 V斑 土a拉王 ibΓ 七ion

本
瞈攤錛螂皴鍥 擊羅猙能舉鑰 航曌型η音谽”
PurP。 se日 ｜ 琦
下o rnaintainanagreed︳ eve｜ ofinforrΥ ╮
ation secu「 ityin supp︳ ie「
Γe︳ ationships.

於 供 應 者 關孫 中維持議 定 之 資訊 安 全 等 級 。

姼阿
◎ 下C︳ C
Modu︳ e2-2s︳ :de59

A.50「 gan矻 a∥ ona︳ cont「 o心 組織控 制 ﹏

β&r
— —

攤黮錛嬐 皤 銹籬♁饑 ︴
A.5.22︳ Ⅵonito「 ing,「 eviewandchangernanagernent ofsupp︳ ieΓ

SeⅣ 心eS供 應 者 服 務 之 監視 、審 查 及 變 更 管 理

措施
ContΓ O︳ 控 帝︳
鏺黫鎙 本

TheoΓ gan︳ zation sha︳ ︳regu︳ ar︳ y︳non;tor,review,eva｜ uateand

managechan9einSupp︳ ier︳ n了o「 ma小 OnSecu山 typracjcesand
坳籦坤
航→

Sen山 cede︳ :veη◤ .

協黫縐一漁胡 學罨夥鑑將館

組 織 應 定期 監視 、審 查 、評 估 及 管 理 供 應 者 資訊 安 全 實務 作 法
及 服 務 交付 之 變 更 。

Con老 r刮 控常ll措 施
錢 城雀邂

y了n。 n;在 °r,reviewandaudit$upp:;er

or9an豆 2a牡 ♁n$Sha︳ ｜regu︳ aΥ ︳
seηr:cede比 Veη◤
r莒

i
谽瑯

紙 織 應 定 期 監視 、審 查及 稽 核 供 應 老丹
艮務 交付 。
♁抔

◎ TC︳ C
Modu︳ e2-2s︳ ide69
 松 .50rgan眨 ajOna︳ contro怡 組 織 控 制 竹

靂珮 籚
— —

銵靆鈐翰 蠮 齡麶紛鐊
A.5.22｜ Ⅵonitoring,rev︳ eWandchanger【 ╮
anagement ofsupp︳ ieΓ
seMces供 應 者 服務 之 監視 、審 查及 變 更 管理
C● 盜守rd班 ♂ Υ玉拓 rma唾 cn Cy出 它r∫ §C!r丘 牡 §pera在 e玉 在玉 $eG出 r主 研r遠 兮班 a:且 §
eS c6nc辦 6佼 p在 ↓主
主出iε S

$鐖
§兮〔世r二 出◤p娑6p§ 比 主

雥鋪 洴
肆Pre¢無 竹Ve 聲εφ比冉de在 #王 在y
i主 路玉
山g工 t仁 牡 特$upp主 i兮 〡r以 B出 °n一 器Gφ 甲e=nㄠ nc兮 ︸
an滾
一
tegr睜 EccSy§ te膝 器P↑ ●七

鐒黫螂
#王 公 ships亦 $e〔 ur在 竹 eC︼
-1女
緻 Va迋 王芒
出′ i”
i才 #〔 h出 出 佳t王 en﹏ $ecu﹏ t主 兮且
#Jt銘 h〔 兮

餓外
ri七 y＿ 含SSㄝ 全各 n6e

鈐黤齡螂鍍齠 擊羅移鞋麟 鎀 筋犖理π安鎀螂

PurPose日 ｜
琦
下o rnaintainanagreed｜ eve︳ o了 ︳ nfoΓ rnationSecurityandserV;ce
de︳ iVe呼 in︳ inewithSupp︳ ieragreer︳ ╮ ents.

依 供 應 者 協 議 ,維 持 議 定 之 資 訊 安 全 及月
艮務 交付 等 級 。

劬帥
◎ TC︳ C Modu︳ e2-2S︳ ide6π

A口 50rgani2a∥ ona︳ con七 ro︳ S組 織 控 制

oudSeⅣ ︳
a小 onSecuⅡ tyforuSeo仇 ︳
氏 5.23︳ nforr︳ ╮ ces 攤黮擁谽 鑼 鍋黦紛鰳 心

措施
Contro︳ 控 帝︳
鐒籦銹 本

ProceSSeSfo「 acqu:sit:on,uSe,managernentandexitfror｜ ╮
錢鼵坤

c︳ oudSe口 ricessha︳ ︳beestab｜ :shedinaccordanceWiththe

兟¢

organiza小 0n’ Sin了 0rrna小 onSecuHtyrequirements.

鑈黫瞈嬾磁鬱聖絮路夥環躌 銹 插薄跨挪黨 劬榔

應 依 組 織 之 資訊 安 全 要 求事 項 ,建 立 獲 取 、使 用 、管 理 及 退 出
雲端 服 務 的過 程 。
嬐師

◎ 了C︳ C Modu︳ e2E2s∥ de62

 A.50rgan矻 auona︳ contΓ o心 組 織控 制
擇亂 β薽
— — —

鐑議齡妢 鑼
氏 5.23︳ nfoΓ maUon比 Cu山 tyforuseo仇 ︳
oudSeⅣ ices
使 用 雲端服務 之 資訊 安 全

℃O址ro工 七ypε n出 rⅢ 在 王
o且 Cyb兮 r§ eCⅡ ri七y Dpera6二 o且 a玉 Sε εⅥr扭 ydDmalns 淒
§εεuri︴ yPΓ .Pε rt竹 E C° ⅡCε p︳ s ε五p放h:1哀 垃es
一 發
著PreVe11t主 V3 #Ca〦 生d§ nti且 i守 勞Proteε t #S社 ppI主 e‘ 比1此 出工
1- #GOveΓ nanε ε一:nd└ 李
#出㏑各!玉 哲 小§Curi〔 y
且1中 § Eco巧 /steIn#Pro控 ︳
舳 社出 哲 iI玉 在o11

鼛酸 ‵
Purpose目 ｜
的
ToSpeci打 andmanageinfo「 ╮
auon secu山 tyfortheuseo仇 ︳
r了 oud
SeⅣ ︳ceS.

星星並隻運垼且盪些服務 之 資訊 安 全性 。
紛
紛
帥
◎ TC｜ C
Modu︳ e2-2s︳ ide63

A.50rgah泛 a甘 0na︳ contro怡 組 織 控 制

A＿ a出 0nSecu︻ tyforuSeo仇 ︳
5.23lnforrΥ ╮ OudSeΓ ′
ices 錛籦彿鎗 鑴 鑈黦♁蟣 ψ
、
艮務 之 資訊 安 全
使 用 雲端 月
彿黫狒 本

昇
路荋召Π
倍腱許思
出瑟 噁丮
對｜ S七;榴 :腮 :龍 挖
:廚 辯逯口
,並
鑰黤師

宜建 立 使 用 雲端服務 之 主題 特 定政 策 向所 有相 關關注 方 溝通 或
鸒篷
餓的鑰黤鑈抪描蠱螂寧蓀學環盟麤 磁夥玲野哥 妙螂

TheoΓ gan︳ 2a七 ionShou︳ ddefineandcoΓ ╮ uniCa七 ehoWit intends七 °

!╮ r了

manage︳ nfor了 nation securityriSkSasSociatedWiththeuSeofc︳ oud

services.︳ tcanbeane好 enSion or paHoftheeXiS七 ingapproachfoΓ
hoWan organi2ation rΥ ︳ anagesse口 σices proVidedbyexterna︳ pa比 ieS
(see5… 2｛ and5.22).

蹧籈蘚華 (參
親議嚲難駝鸅緣簃犁斃姴
及 5.22)
延 部分 照 伸或一 5.2η
鍛外

◎ 了C︳ C
Modu︳ e2-2s︳ ide6ㄔ
 A＿ 50rgan矻 aHOnalcontr0心 組 織 控 制 蠐

翰籛 翰谽 錔 鑰黫 盼鐖
oudSeⅣ iceS
auon secu市 tyforuSeo比 ︳
氏 5.23︳ nforrΥ ╮
使 用 雲端 服 務 之 資訊 安 全

GU:dance指 引｛
︳S。 2了 002｝

$銵
了heuSeo了 OudSeⅣ iceScaninvO︳ vesharedresponsib:︳ ityfor

黰錫
c︳

aboratiVee帝 o比 be七Ween七 hec︳ oudserV︳ ce

inforrl╮ ation securi七 yandco︳ ︳

#鎀
黫榔
proViderandtheorganiza七 ｜ onactingas七 hec︳ oudservicecustomeΓ 口︳ t

甄無
isesSentia︳ tha七 七hereSponsibi｜ eSforboththec｜ °udSe「ViceproVider

眑籩 錢啷斑鑑 寧露 夥嗷銵 呦 筋路跨珅 當 鍛螂

it︳

and七 heorgani2a七 ion,actingaS七 hec︳ oudservicecustomer,are

definedandirnp︳ ementedappropriate︳ y.
雲端月艮務之使用 ,可 能涉及 雲端月
艮務提供者與組織(扮 演雲端月 艮務客戶)
問的資訊安全及協同工作之共同責任 (Shared「 espon由 b｜ ︳
ity)。 適切 定
艮務提供者與組織(扮 演雲端服務客戶)兩 者問之 責任
義並 實作 雲端月 ,

至為 重要 。

幼帥
◎ TC︳ C Modu︳ e2-2s︳ ide65

A＿ 50rgan泛 a∥ ona︳ cont「 o｜ s組 織 控 制 中

釐薽呂
露
— —

oudSeⅣ ices
aHonSecu山 tyforuseo比 ︳
A.5.23︳ nforr了 ╮ 鐖灘嫋♁ 鑼 鑼籛幼鐱 。

使 用 雲端 服 務 之 資訊 安 全

Gㄩ :dance指 引｛ ︳
S。 2了 ●02〕
鑈籛嫋 本

Theo「gan矻 aj。 nShoulddeΠ ne組 織宜定義下列事項 :

鐑激螂

a)a︳ ｜e︳ evant inforrnation securityrequirernentsassociated

「
兟¢

heuSeofthec︳ oudserViceS;
鑈黫鐱砷欽覝 擊羅琌鏺轟 鍋 航移玲跡名 蛜螂

W︳ th七

與使 用 雲端 月 艮務 相 關聯 之 所 有相 關資訊 安全要求事項
b)c︳ oudseⅣ iceSe｜ ect:oncr︳ ter:aandScopeofc︳ udServ:ce
usage; 。
雲端 月 艮務 選擇 準 則 及 雲端 服 務 使 用 範 圍
c)ro︳ esandresponSibi︳ it:esre︳ atedto theuSeand
management ofc︳ oudSeⅣ ices;
盼帥

與 雲端 服 務 之 使 用及 管理 相 關 的 角 色及 責任
◎ 下C︳ C Modu︳ e2-2S｜ ide66
 A.50rgan矻 aHona︳ contro心 組 織 控 制

錛飄 鑰幼 鑼 鑰 雞 谽 鏹
A.5.23︳ nfoΓ rna小 on比 CuhtyfoΓ uSeo仇 ︳
oudServices
使 用 雲端 服 務 之 資訊 安 全

Gu︳ dance指 ︳
引｛SO2了 ●●2｝

加
鑰籛 齡
下heor9anizaⅡ on shou︳ ddeπ ne組 織 宜定義 :

$鏺
d)whichinfoΓ rnaUon secuHtycont「 o︳ sarernanagedbythe

霮坤
兟 撥 黤 鑰 螂航玲堅 黧 鋒路盤 舉 鑰 薪靜路黔 音 谽 螂
c︳ oudserviceproviderandWhichaΓ erΥ ╮ anagedbythe

本
oΓ gan:2ationaSthec︳ oudser、 ′
icecustomeΓ ;

資訊 安 全 控 制措 施 哪 些係 由 雲端 月 艮務 提 供 者 管理 ,哪 些係 由作
為 雲端 服 務 客 戶 之 組 織 管 理
e)howto obtainandu小 ︳
iZeinfo「 ma小 onSecu山 tycapabi︳ 比ieS
pΓ ovidedbythec︳ oudSeⅣ icepΓ oVideΓ ;

如 何 取 得 並 利 用 雲端 服 務 提 供 者 所 提供 之 資 訊 安 全 能 力

鎀師
◎ TC︳ C
Modu︳ e2-2s︳ ide67

A.50rgan眨 auona︳ cont「 o怡 組 織控 制 十

′已 β
— —

ation secu「 ityfo「 useofc︳ oudseⅣ ices

A.5.23｜ nforrΥ ︳ 錢雞鏺谽 鑼 錛籛紛蠟 ¢

使 用雲端服務 之 資訊 安全

Gu:daΠ ce指 引｛
︳S° 2了 002〕
彿纓鎗 〝

f)howto obtainaSsuΓ anceon informaⅡ on secu一 tycont「 o︳ s

np︳ ementedbyc︳ oudse︹ ↙
iΓ iceproviders;
鑰纖師

如 何 取得 對 雲端服務提供者 所 實作 之 資訊 安全控 制措 施 的保 證
觝的

g)howto managecontro︳ s,inte㎡ acesandchangesin seⅣ iceswhen

鑈黫鏺協數報 學露舉鑑選鍋 磁發觳′巨 ¢師

ano「 gan｜ zationuseSrnu︳ tip︳ ec︳ OudseΓvices,paHicu︳ ar!yfrom

di帝 eren七 c︳ OudseⅣ iceproviders;
艮務提供 者 之 雲端服
同雲端月
饔 豊聶 薯器壅 首!覯 至
h)Proceduresforhand︳ inginformaHOnsecu一 tyincidents thatoccu「 in
re︳ a七 :。 n七 0theuseo了 c︳ oudserviceS;
′
一′
)

處 理 與 雲端服 務使 用相 關︴ 真 垂 安 全 車救 起 猩 序
谽擗

◎ 下C︳ C
Modu︳ e2-2s︳ ;de68
 A.50rgan眨 aHOnalcon七 ro怡 組 織 控 制

鎀雞 翰谽 嫋 鐑纖 盼鐖 ︴
A.5.23｜ nforma小 on比 CuHtyfo「 uSeo仇 ︳
oudSeⅣ iceS
使 用 雲端 服 務 之 資訊 安全

Gu︳ dance指 ︳
引｛So2了 002〕

佛繳 銹 方
i)i七 Sapp「 oachfor rnonitor｜ ng,reVieW︳ ngandeva︳ uatingtheongo︳ ng
useofc｜ oudSerVices七 0managein了 0Γ mauon secuHtyHSks;

彿黦 螂
監視 、審 查及 評 估 持續使 用雲端服務 管理 資訊安全風險之作 法

餓︴蠮黰 鐑仰鍍磥 摯硌 孥餓躌 錀 航路玲沖 各 錯螂

j)h。 wt。 changeor s七optheuseo了 c︳ oudSeⅣ iceSinc︳ udingexit
ategies了 0Γ c︳ oudSeF︺ iceS.
S七 Γ

如 何 變更或停 止 雲端服務使 用 ,包 括 雲端服務 之 退 出策略

鎀帥
◎ TC︳ C Modu︳ e2-2S︳ ide69

A.50rgan矻 ajona︳ contro怡 組 織 控 制

A.5.23︳ nforrnation securityfo「 uSeofc︳ oudSeⅣ ices 齡黰 齡鍛 攝 錛纖 紛錀 。

艮務 之 資訊 安 全
使 用 雲端 月

GU:dance指 引｛
︳S。 2了 002〕
齡黫 齡 本

C︳ oudSe︹︺ iceag「 eementsareoΠ en pre一 def︳ nedandnot open to

nego七iation.Fora︳ ︳ c︳ oudseⅣ ices,theorganizationShOU︳ dΓ ev:ew
鑰騹 郴

c︳ oudSerViceag「 eemen七 SWiththec︳ oudSeⅣ iceprOvider(s).Ac︳ oud

兟¢

seⅣ iceagreement shou︳ dadd「 eSS七 hecon何 denja︳ ity,in七 eg一 ty,
攤黫 協師瓶路妳擊露 帶鑑孻帥

avai︳ abi︳ ityandinfoΓ majonhand｜ ｜

ngΓ equirements of七 heo「 gan:2aⅡ on,
Withapp「 op∥ atec｜ oudseⅣ ice︳ eve︳ o切 ectiveSandc︳ oudservice
qua︳ 比 at｜ Ve0切 ectives.

雲端服務協議通 常係姊 ,
對於所有雲端月 艮務 ,組 織 宜
審 查與 雲端服務提供者 之 雲端服務協 。雲 端服務協議宜 因應組織之機
擁 磁器玲掛 守 盼妳

密性 、完整性 、可 用性及 資訊 處 理 要求事項 ,並 具適 切 的雲端 月 艮務 等級

目標 及 雲端 服 務 定性 目標 。
紛師

◎ 下C︳ C πodu︳ e2圮 2S︳ ide70

╮
 A.50rgan矻 aHona︳ contro怡 組 織 控 制 ｜

錚毯口
β
— —

螉黤齡盼 齺 鏺黫鎗饑 岱
A.5.23︳ nforma甘 0nsecuHty了 o「 uSeO比 ︳
oudseⅣ ices
艮務 之 資訊 安全
使 用 雲端月

Gu:dance指 引｛
︳So2了 002〕

鐖纖鑰 於
下heorgani2ationShou︳ da｜ sounde仗 akeΓ e︳ eVantΓ iskaSSeSsments to
identify七 he山 SkSaSsociatedwithusing七 hec︳ oudseⅣ ice.AnyΓ esidua︳

銵簸蚺
risksconnected七 0theuseofthec｜ oudseⅣ iceShou︳ dbec︳ ear｜ y

餓外
iden七 iΠ edandacceptedbytheappΓ opriaternanagement ofthe

鑰黫齡坤箋餵 學籍 琌饈攀 瞈 薪甚撥黚 吝谽螂

o「 ganization.

組織亦宜進行狸區凰鐱設聳 ,識 別與使用雲端服務相 關聯之風險 。與

使用雲端月 艮務相 關之所有剩餘風險 ,皆 宜明確識 別並 由組織 的適切 管
理 階層接 受 。

妙帥
◎ 下C︳ C
Modu︳ e2＿ 2s!ide7η

A.50「gan泛 auo內 a︳ contro心 組 織 控 制 ﹊

π&π
— —

A.5.23︳ nforrna七 ionSecurityfoΓ useofc︳ oudseⅣ ices 錛籬 鑈鉿 鑴 彿籦 妢饑

艮務 之 資訊 安全
使 用 雲端月

Gu:dance指 了︳｛︳
S。 2了 0● 2〕
AnagreementbeⅦqenthec1oudseⅣ iceproviderandtheorganization,
h鎙
纋 齡 錛雝 螂

actingasthecloudse︻◤ icecustome巧 ShouldincludethefolloⅥ πng

︿

Provisi。 nsfortheprotection oftheorganization’ Sdataandavailabilityof

幾 鑈籮 鏺姊鐑報 翟 舉學既轟 錛 琳牶玲野 哥 妙一

SeⅣ ices:
心

雲端 月艮務 提 供 者 與 作 為 雲端 服 務 客 戶 之 組 織 問 的 協 議 ,宜 包括 下 列 關
於 保 護 組 織 資料 及 服 務 可 用 性 之 條 款 :

a) pr° vidingso︳ utionsbaSedon:ndus七 ryaccepteds七 andardsfor

a「 chitectureandin了 Γ
aStructure
依產 業公認之 架構 及 基礎設 施 標 準 ,提 供解 決
° σ 七
案
b︴

亡
苣
全 主
芒
亡〧全
量昂
子子
1音耴,以占
舌 ξ
︴ F｜ g再
:早
c｜ udse口 iceto rnee七 he

管理 雲端月
艮務 之存取控制
紛師

符合 組織的要求事項
◎ 了C︳ C
de72
Modu︳ e2-2S︳ ︳

一
 A＿ 50「 gan眨 aHon刉 contro︳ S組 織控 制 瘸 騶 翔 鑗 鱗 竹

籚珮 靂

鈐纖齡翰 餾 翰籛 盼鐪 外
A.5.23︳ nfo「 rl╮ ation securityforuseofc︳ OudSeⅣ iceS
使 用 雲端服務 之 資訊 安全

Gu:dance指 引｛
︳So2了 002｝

齺鏃 搦
on比 0hngandp「 otecHonSO︳ u小 ons
c):mp︳ emen竹 ngma︳ warerΥ ︳
實作對 惡意軟體監視及防護之解決方案

#彿
籛螂
d)processingandstoringtheorganization’ ssensitiVe︳ nfor【 nation in

籤外鎀瓔 鏻挪箋餵 箤礽
apP「 oved｜ ocations(e.g.particu｜ a「 countryor「egion)orwithin oΓ
su切 ec七 七0apaHicu｜ arjuΓ isdi田 ion
於 核可之位 置(例 :特 定國家或地區)或 於 特定管轄 區內或受特定管
轄權約束 ,處 理及儲存組織的敏威性 資訊

舉夥鐵躌 呦 妳鑉跨掛 令 鍛娜
e)p「 ovidingdedica七edSupport in七 heeVent ofan inforrna七 ionSecur｜ ty
incident︳ nthec︳ oudserViceenvironment

艮務環境 中發 生 資訊安全事 故 時 ,提 供專屬 支援

於 雲端月

鎀帥
◎ 下C︳ C de73
Modu︳ e2-2S︳ ｜

A.50「ganizaHona︳ con七 ro︳ S組 織 控 制

A.5＿ 23︳ nfoΓ mation securityforuSeofc︳ oudSeⅣ ices 錢繳嗡谽 齺 鐖籲紛鑰 ¢

使 用 雲端 服 務 之 資訊 安全

Gu:dance指 引｛
︳So2了 002)
鐒黦鎙 本

f)ensur︳ ngthattheoΓ ganiZa七 ion’ SinforrΥ ation securityrequi「 ements

．
e七 in theeVent ofc｜ oudServicesbe:ngfu㏄ hersub-cont「 ac七 ed
arer︳ ╮
鑰繳坤

toanexte「 na︳ supp︳ ier(OΓ pΓ °hib｜ tingc︳ oudseⅣ icesfror了 ╮beingsub-

魏∞

contracted)
縐雞鐪師筋

於 雲端服務進一步分包子外部供應者(或 禁止分包雲端月 艮務〉之情況下 ,

確保符合組織的資訊安全要求事項
驗姊罕罨夥雄義 鐪 磁簽玲鄸宮 盼轉

g)suppor七 ︳ngtheorgan︳ zat｜ on ingather︳ ngdigi七 a｜ eVidence,七 akinginto

conside「 ation｜ awsandregu︳ a七 :onSford︳ gita︳ eV︳ denceacross
di什erentjuHSdicⅡ ons

支援 組織蒐集數位證據 ,同 時將跨越不同管轄權之數位證據 法律及法

規納 入考量
嬐拂

◎ 下C︳ C
de了ㄥ
Modu︳ e2█ 2S｜ ︳
 A,50rgan矻 a山 ona︳ contro心 組 織 控 制

瞈黰鋒鍛 鑼 鑰靆皊艤 外
A.5.23lnfo「 maHOnsecu山 tyfoΓ useo比 ︳
oudSeⅣ iceS
使 用 雲端服務 之 資訊 安 全

Gu︳ dance指 ︳
引｛So2了 002〕

錀羻鐪
h)pΓ ovid︳ ngapPropriatesuPportandaVai︳ ityofSeⅣ icesfoΓ an
abi︳

appropriatetirneframeWhen七 heorganizationwants toeXi七 fΓ om the

$鐒
饕螂
c︳ oudseⅣ ︳
ce

麩無
當組織欲退 出雲端服務 時 ,於 適切 時限內提供適切之 支援及服務 可用性

齡雞錀陣欺齠 犛撥移建舞 齡 甋發餵好音谽仲

i) pΓ ovidingΓ equiredbackupofdataandconfigu「 ation︳ nfoΓ mationand
secure︳ y︳ nanagingbackupsasapp︳ icab︳ e,basedonthecapabi︳ ities
o了 thec︳ oudse︹ riceproViderusedby七 heorgani2ation,actingasthe

c︳ oudse「 VicecuStome「
依組織(扮 演雲端服務客戶)使 用之雲端服務提供者的能力 ,提 供所要
求之 資料 及組 態資訊備份 ,並 於適用時安全 管理備份

幼師
◎ TC︳ C
Modu︳ e2-2s︳ ide75

A.50rgan矻 a∥ ona︳ contro怡 組 織 控 制 ↓

π已 ′
— —

A.5.23lnfoΓ ma∥ on secu山 tyforuseo比 ｜

oudSeⅣ ices 鑰雞縐簸 鑼 銹黤♁蟣
使 用 雲端服務 之 資訊 安 全
Gu:dance指 引｛
︳So2了 ●02〕
j)pΓ ovidingand「eturninginfOrmation suchaSconfiguKλ tionfi｜ eS,
sourcecodeanddatatha七 aΓeoWnedby七 heoΓ gan︳ 2ation,act︳ ngas
b縐
籦銹 井

thec︳ oudse口 ︺
icecustome「 ,WhenrequestedduringtheserVice
pΓ ovision ora七 七
er〔 nination ofservice.
鋒黫螂

於服務提供期間或服務終止提出請求時 ,提 供及歸還組織(扮 演雲端

皺命鐱纖螉妳磁雜墅程 緇舉塞轟鑼磁器路掛訂 啥輕

服務客戶)所 擁有之資訊(諸 如組態檔案 、原始碼及資料)

下he°rganizati0n,actingaSthec︳ oudseⅣ icecustomer,shou｜ d
considerWhether七heagreement shou｜ dΓequiΓec︳ oudseΓ V︳ ce
0anysubstantive
proViderS七 0pΓ ovideadVancenotiπ cation p「 io「 七
cuStomer︳ rnpactingchangesbeingrnadeto thewaythese︹ ︺iceis
一 一

de︳ iveredto theoΓ gani2a七 ion,inc︳ uding:

組織(扮 演雲端月 艮務提供者 ,於

艮務客戶)宜 考量協議是否 宜要 求雲端月
對交付月艮務子組織之方式所做的任何實質影響客戶之 變更前 ,提 供提
前通知 ,包 括下列各項
♁師

◎ 下C｜ C
Modu︳ e2E2s︳ ide了 6
 A＿ 50「 gan:ZaHOna︳ con七 ro心 組織控 制 爾騶娹豳解 竹

靂珮 靂舐

鐒鐵鋒啥 皤 鑱籛皤臘 外
A口 5.23︳ nforrr╮ ationSecuri七 yforuseofc｜ oudservices
使 用 雲端 服 務 之 資訊 安全

Gu:dance指 引｛
︳So2了 002〕

錛幾鋪 ㄞ
a) changesto the七 echnica︳ infrastΓ ucture(e.g口 re︳ ocation,
reconfiguration,orchanges inhardWareor software)thata什 ecto「

彿羻螂
changethec︳ oudserViceo帝 ering

鈚水
影響或變更雲端服務產品之技術基礎設施的變更(例 :變 更位置 、重新

塕黤撥螂摝黐 筆羅夥餓牌鑰 航器跨邪 安谽螂

設定組態 ,或 是硬體或軟體之 變更)
b)pF。 cessingor sto「 ingin了 ormation inanewgeog「 aph︳ ca︳ or｜ ega︳
jur︳ sd｜ ction

於 新的地理位 置或法律管轄 區 ,處 理 或儲存資訊

c)useofpeerc︳ oudServiceproviders or othe「 Sub-contractorS
(inc︳ udingchangingeXistingoruSingnewpa㏄ ies)

同級 雲端服務提供者或其他次供應者之使用(包 括變更既有或使用新增

鬱帥
者)
◎ 了C︳ C Modu︳ e2可 2S︳ ide77

A.50rgan眨 a山 0na︳ contro怡 組 織控 制 ﹊

露鼠好
靂
—
—

鏘纖鑈谽 蠮 鑼鑈鬱鑯 館
A.5.23｜ nforrl╮ aⅡ on secuHtyfo「 useo仇 ｜
oudSeⅣ iceS
艮務 之 資訊 安 全
使 用 雲端月

GuidaΠ ce指 引｛ So2了 002〕

︳
TheorganizationuSingc｜ oudseⅣ iceSShou︳ d了┐aintainc｜ osecontactwithitS
鑰雖鐒 無

c｜ oudse︹riceprov;ders.下 heSecontactsenab︳ e了 nutua︳ e〤 changeof

inforrnaⅡ onaboutin竹 Γ ma｝ on secu山 打 fortheuseofthec︳ oudseⅣ ices

狒黫碑

inc｜ udinga︳nechan;smfoΓ bothc｜ oudSeⅣ ;ceProviderandtheorgan︳ zation,

颻舒

act子 ngaSthec︳ oudseⅣ icecustomer,七 0rnonitoreachseⅣ icecharacteristic

鑈繳銹姊鎡鬱聖豫 帶夥殲擺辦

ni七 mentScontainedin七 heag「 eernents.

andΓ epo㏄ 了ai︳ u「es to thecoΠ ╮了
使用 雲端服務之組織宜與其雲端月 艮務提供者維持密切聯繫 。比等聯絡 窗口能相
互交換 關於使用雲端服務之 資訊安全的資訊 ,包 括雲端服務提供者及組織(扮 演
雲端 月 艮務客戶)之機制 ,以 監視各服務特性並報告未能履行協議 中所包含的承諾
o七 her㏑ 竹rmajon其 它資訊
鍋 航鉹跨對當 鍛啷

下hiScontro｜ conside「 sc︳ oudSecurityfrom theperspec七 iVeof七 hec〡 °udSeⅣ ice

cuS七 mer.
。
比控 制措 施 由雲端服務 客戶之 角度考 量雲端安全
嬐師

◎ 下C︳ C Modu︳ e2-2s︳ ide了 8

 A.50rgan矻 aHOna︳ contro心 組 織 控 制

蠮黤翰幼 孋 翰黤蜙鐖
氏5.23lnforma小 0nSecuhtyforuseo仇 ｜
oudSeⅣ ices
艮務 之 資訊 安 全
使 用雲端月

o七 her㏑ 〡
orma山 on其 它 資訊
Additiona︳ information re︳ atingtoc｜ oudseⅣ icescanbefoㄩ ndin︳ SO/︳ EC
︴7788,︳ So/︳ EC﹁ 7789and︳ So/︳ EC22︴ 23-η

$鱗
灘鑰 ︴
.

與 雲端服 務 相 關 之 額 外 資 訊 ,可 參 照 CNSη 7788、 CNSη 7789及

銹龘艸
︳SOˊ ｜ EC22η 23-η 。

餓外
Specificsre︳ atedtoc︳ oudportabi︳ ityin support ofexit strategiescanbefound

鐫籦鑰師繳齵 學Ⅵ
in︳ SO/︳ ECη 99碎 ﹁ .SpecificSΓ e｜ a七 edto infoΓ ma七 i° nSecurityandpub︳ icc︳ oud
seⅣ icesaredescΓ ibedin︳ SO/︳ EC270η 7.Speciπ csΓe｜ atedtoP︳ ︳Protection in
pub︳ icc｜ oudsactingasP︳ ︳ proceSSoΓ aΓ edescΓ ibedin︳ SO/｜ EC270η 8.Supp︳ ieΓ
Γe︳ ationshipsfoΓ c｜ oudseⅣ icesaΓ ecoveredby｜ SOˊ ︳ EC27036一 碎andc︳ oㄩ d

躍帶餵舞鑰 磁路撥黚 音鎗螂

seⅣ iceagreementsandtheircontentsaΓ edea｜ twithin the｜ SO/︳ ECη 9086
series,withSecuΓityandpriVacyspeci何 ca︳ ︳ ycoveredby︳ SO/｜ ECη 9086一 再.

與 支援 退 出策略 之 雲端 可 移植 性相 關的 細 節 ,可 參 照 ︳ SO/｜ EC● 99碎 ︴。與 資 訊

安 全及 公 用 雲端 服務 相 關 之細 節描 述 於 ︳
SO/︳ EC270｛ 7中 。與扮 演 P︳ ︳處 理 者
之 公 用 雲 中的 P︳ ︳保 護相 關之 細 節描 述 於 CNS?70η 8中 。雲端服務 之 供 應者 關
係 由CNS27036一 碎涵 蓋 ,且 雲端 月

谽帥
艮務 協議 及 其 內容於 CNS▋ 9086系 列標 準 中
處理 ,安 全 及 隱私 特 別 由 CNSη 9086-碎 涵 蓋 。
◎ 下C︳ C
Modu︳ e2-2S︳ ide了 9

A.50rgan矻 a山 ona︳ contro怡 組 織 控 制 十

r我 ′
霐 t工 月 刁 路穿
,︼

— —

A.5.2碎 ︳nformaHon secu︻ ty:ncident rΥ ╮

anagement p︳ anningand 鑱驤鑼鍛 鑼 鑼黮紛鑰 ︴

prepaΓ a山 0n資 訊 安 全 事 故 管理 規 劃 及 準備

Contro︳ 控 制 H際 施
鑰籦銹 〝

下heo「ganization sha︳ ︳p︳ anandprepa「 efo「 rnanaginginfOrr了 ● a七 ion

security︳ ncidentsbydefining,estab︳ ishingandcoⅣ ∥ nunicating

鑰籦轉

infOΓ ┐ anagement processeS,ro︳ esand

ation secuΓ ityincident r︳ ╮
籤前

rΥ

Γ
鍛籦鰳姊疑群 犖蘿移餵擺姆

esponsibi︳ ities.
組 織應 藉 由定 義 、建 立並 溝通 或傳 達 資訊 安全 事 故 管理 過程 、角 色及 責
任 ,規 劃 並 準備 管 理 資訊 安全 事 故 。

Con之 安
0︳ 發筥希ㄈ
措施
鑈 磁器啥趶音 姼外

解anagemen走 re$pons;b︳ :推 :esandprOGeduFessha:｜ beeS七 ab子 ≡ $hed女o

en$↓ reaquick,e研bc七 iVe,ando站 er︳ yre$ponse︴ o:孔 了
0卅n往 甘;° nSecur:芭 y

inc:den七 S.
谽帥

應 建 立 管 理 責任 及程 序 ,以 確 保 對 資訊 安全 事 故做 迅速 、有效 及 有序 之
◎Tqc回 應 。 Modu︳ e2-2SⅢ de80
 A︹ 50「 gan眨 ajona｜ cont「 o心 組 織控 制

齡雞翰盼 豂 鑱皺幼
anagerΥ ╮
ma小 onSecu山 ty︳ ncident rΥ ╮
A＿ 5＿ 2碎 lnf。 ent p︳ anningand
「
preparajon資 訊 安 全 事 故 管理 規 劃及 準備

ype
rO正 在
Co丘七 工
且拓 rI交 a球 0女 CybersecⅥ 了i它 ˊ op兮 rat甚 ●na玉 七ˊd色 孜 a三 且ε
§eε 社Γ主
§eε u了 itypr6rε rt:es ε6ACε pt§ 〔及pabi王 去t二 es

#Correc七 iVe 勞CoIt宜 遮en七 iality #Re§ pO及 d#ReCeΥ er 勞GoVer且 anCe Ce
母Ele民且在
學工玉王t℃ 各rity #王 n拓 rn︴ a七 io土 ＿§eatri-
#AVa立 ︳ 旃 i1是 寸 缸 一eveEh且扭1們ge4qnt

餌
齡 籛 齡 螂拓熪姊 聯鮛簿移簽 芻 鐑 筋灘踚帥 當 鈖 螂
PⅡ 印 Se目 的
。
下oenSurequick,e什 ect︳ Ve,conSiStentandorder︳ yresponseto
㏑foΓ ╮rΥauon sec山 Htyincidents,:nc︳ udingcommunicauon on
in了 orrnauon secu山 tyeVents.

確 保 對 資 訊 安 全 事 故做 迅 速 、有 效 、一 致及 有序 之 回應
,包 括

鍛帥
資 訊 安 全 事件 的溝通 或傳 達 。
◎ 了C｜ C Modu｜ e2一 2S︳ ide8可

A＿ 50rgan眨 aHona︳ contro心 組 織 控 制

A.5.25ASSessmentanddecision on:nformaHonSecuHty 齡鑨鑈谽 蹓 鑈黰紛鑰 帝

events對 資訊 安 全 事6牛 之評 鑑 及 洪 策

Con七 ro︳ 控 制措 施
鑰鑼鐒 〝

Theorganization sha︳ ｜aSSeSs︳ nforrnationSecurityeVentsand

齡歠卿

decide︳ ftheyaretobecategoΓ :2edas inforrnation secur:ty

餓一

incidents.
鑱黫銹坤畿鎖 單撬夥璱擺蟀

組 織 應 評 鑑 資訊 安 全 事件 ,並 判 定是 否將 其 歸 類 為 資訊 安 全 事
故二。

措施
Con七 ro｜ 控 希∫
鏘 航舉路黔宮 鬱砷

n季oF妥 ╮at;♁ 外 SeCur=為 √events$ha#bea$$eSse心

吾 ｜be
缺&d工 電S乩 爸｜

dec:ded︳ 琴they盆 ξebeC︳ 接SS工 f≡ y

0碓 SeCur〡 在
e硅 a$君 批銘 r路 a電 工
外C官 婊e再 碧
｜ $γ
妢帥

應評 鑑 資訊安全事件 ,以 決定是否將其要歸類為 資訊 安全 事故 。
◎ TC︳ C Modu｜ e2-2S︳ ide82
 A.50rgan泛 a甘 ona︳ contr0心 組 織控 制 十

釐亂 π我
— —

齡麗齡蛜 鑼 鏺纖佛
A＿5.25ASSessmentanddeciSion on:nforma小 onSecuHty
events對 資訊 安 全 事件 之 評鑑 及 決 策

C6ntro三 七yP兮 I且 丘9r亞 a在 on Cyb子 r§ εC｝ ri守 o#era〔 i6Ⅱ aI Sε C追 r五 好 dom玉 主n§
Seε 已rityprφ 兮r心 ε§ C0玒 〔ε′七§ cap主七且iHes
#Detect〝毛 #Confi並 nth主 比ˊ #De可玲C七 #ReSpon° nfOr正 lation＿ secur主 - 李Defence
努工
一
#工 ntegr王 tˊ
母一evelIt上 nana各 e:ne我 t
紐 Vailabi王 主
母

岱
狒 踐 銹 師紅路竺 聚 彈李箠 舞 齡 筋我路河
PurPose目 的
Toensuree仟 ectiVecategoΓ izationandpΓ ioriti2ation0了
infoΓ mation secuΓ ︳
tyeVents.
確 保 對 資 訊 安 全 事件 有 效 分類 及 定優 先序 。

螂 :谽
錯帥
◎ TC︳ C
Modu︳ e2-2S︳ ide83

A.50rgan泛 ajona︳ cont「 o心 組 織控 制

A.5＿ 26ReSponseto info「mauon secu〢 ty︳ nc︳ dents 錛黮銵♁ 鑴 鐪纖♁鑞 前

對 資訊 安全 事 故之 回應

ContΓ 0｜ ㄐ
腔帝︳
ㄐ階施
鏺黫齡 八

lnfoΓ rΥ ╮
aHon secu山 tyincidents sha︳ ︳berespondedto︳ n
鐑黰師

accordanceWiththedocurnentedprocedu「 es.
皴山

應 依 書 面 主 程 序 ,回 應 資訊 安 全 事 故 。
鑈纋鈖︴欺群 罕邁學盟館妒

篴
笱
Con#o︳ ︴
陸希好
ㄐ告施
音be冷
:n竹 rm撥 妳O雄 SeCu雄 ty=nG心 e雄SSA缺 ︳ $pondedto｜ n
幼 磁套跟

accordancew︳ ththedoc伍 路entedprocedu了 eS.

應 依 文件化程 序 ,回 廲 資訊 安 全 事 故 。
r守
幼姊
劬╟

◎ 了C︳ C
Modu︳ e2-2S︳ ide84
 A＿ 50rgan眨 aHona︳ cont「 o怡 組 織控 制

紛靆翰盼 鑗 鑰纖﹌
A.5.26ReSponseto informaHon secu山 tyinciden七 S
對 資訊 安 全 事 故之 回應

C● 址它 法pe
r● 王有 出 笳 r趴 故 是 土 Cyterseε uri在y o↑兮〔 求 o丘 故 容eε 汪r二在y茧 o攻 女是
且ε
． ε●且Cε pts Cnp出 b玉 追
女主εS
巧◤prGp母 r七 iε §
g兮 GⅡ r二
一
#Corre〔 七
主Ve 掙Co1l且 de王lti雄 i七!, #玉 (Spo上 ld華 只兮COYer 勞工nfeΥ 路 a七 ion＿ Sec社 r主 - 考Dd陲 1王 Ce
#王 汪
王拍g比 圩 七又 eV告n社＿ 工na五 age丘主 忿n七
拜AV娥 出j主 王 近y

戈 鑱黝 瞈忡插琇螂璐筋傑夥簽邀 ︴
PurpoSe目 ｜
的
at︳ on
下oenSuree仔 icientande汗 ect:VeresponSeto:nforrΥ ╮

塕 航誰跨黔 莒 谽 艸
Secur︳ tyinc︳ dents.

確 保 有 效 率 且 有 效 地 回應 資訊 安 全 事 故 。

鎀帥
◎ TC︳ C de85
Modu︳ e2-2S︳ ｜

A.50rgan矻 aⅡ onalcontro怡 組 織 控 制 ﹏

π娥〔
彈
— —

A.5＿ 27∟ eaΓ ningfΓ om㏑ foΓ ma∥ onSecu山 tyincidents 拂黰銹鏤 鑴 銹黰谽鑰 必

由 資 訊 安 全 事 故 中學 習

空帝!措施
Contro｜ 守
鑰錘銹 本

KnoW︳ edgegainedf「 orn info「 mat︳ on securityincidents sha︳ ｜beused七 o

錀黦珅

Streng七 henand:mproVet比 info「 a∥ on secuhtycontro︳ s.

r!╮
數︴

應 使 用 由 資訊 安 全 事 故 中所獲 得 之知 識 ,強 化及 改善 資訊 安全控 制措 施
鑰黮鐱碎欺齵 寧籀拶霮琲鑱 磁撰齶一

CO&在 才
°;︴ 空希甘
堪拖
KnoW吝 edge9a:找 ed#♁ 群︴接n凄 :y$子 ngandre$Θ 吝V｜ &$=n拖 r出 a七 j0&Sec爸 r:ty
$Sh每 ::beu$ed電 ° redu兮 e君he︳ 官
在C:硅 e跎 ︴
子 找ood♁ F;Γ npac在 0琴 久放ure
Ke｜ 子

再C=de我 tS一
〡
U 應使 用獲 自分析及解決資訊安全事故之知識,以 降低未來事故乏可能
音盼螂

l生 或衝 擊 。
．
蛜擗

◎ TC︳ C Modu︳ e2-2S｜ ide86

 A.50rgan眨 ahona︳ contro心 組 織 控 制

鑰齥 齡姼 齺 齡靆一
A.5.27LeaΓ n｜ ngfΓ orΥ╮︳
nfor【ηation secuΓ ityinc︳ dentS

由 資訊 安 全 事 故 中學 習

εOn仁 r° 王珘 ε 王n拓 r取 a在 i● 且 Cyt兮 r§ εε及r二 七y 9↑ εr魚 t王 oⅡ 笛︳ §ec4ri守 dom斑 土§

§e〔 Ⅱr王 typropert§ es εOmcePts ε名
Ψ ab社 比iε §
#PreventiVe 勞COI】 且den七 主
aIi中 #五 de蛙 主
玗 #Pr0七 ㏄七 #王 n£ 0r工 Ⅱa七 ion＿ Secu… #De整 nce
#王 ntegrㄦ y rjtyeVe二 lt＿ 正1且 nage一
#AVa王 二 曲 就y
i】 ment

Λ
鑱 激 錛 師蹴路蜘 翠 織 緇幾選 一
PurPose日 ｜
琦
TOreducethe︳ ike｜ ihOOdoΓ conSequencesoffuture︳ ncidents.
降低 未 來事 故之 可 能性 或後 果 。

齡 筋甚玲珅 音 谽 郎
嬐外
◎ 下C︳ C
╮ de87
田odu︳ e2-2s︳ ︳

A.50rgan︳ 2auona︳ contro︳ s組 織 控 制

π已 J
—
— —

A＿ 5.28Co︳ ︳ ecuon ofevidence絮 垂┤ 鱗灦鍋鍛 鑴 彿繳♁爞 心

豦之 步
色集

ContΓ o︳ 寸
腔帝︳
ㄐ告施
下heoΓ gani2ation sha｜ ︳estab︳ ︳shandir︳╮ p︳ ement p「 ceduΓ esfor
齡黰錛 〝

ection,acquis︳ tionandpΓ eseⅣ

theident︳ cat︳ On,co︳ ︳
f︳
。ation of
錛黫姊

eVi比 nceΓ e︳ atedto in了orma∥ on secuHtyevents.

餓→

組織應建 立並 實作 程序 ,用 以識別 、蒐集 、獲取 及保存與 資訊

鑰黫螉師故解 擊露苓容義錛 跡捧。黔︴ 幼帕

安全 事件相 關之證 據 。

COn七 Υ｜腔常寸
寸隆施
。
下heorσ an︳ zation sha｜ ︳ de田 neandapp｜ yprocedureS了 0Γ 走 抗e
ident︳ 罰 一︳
ca士 on,co｜ ｜
ect〡 On,acqu:si在 ︳
°naη心preServa之 ion o了
;n了or≡na︴ o竹 ,Wh官 chcanservea$eV工 dence.

組 織應 定 義及 應 用程序 ,以 識 污 收 集 ,獲 取及保 存 可 用作 證 據
紛師

lJ｜

之 資訊 。
◎ TC︳ C
Modu︳ e2一 2S︳ ide88
 A＿ 50rgan矻 ajona︳ con七 ro心 組 織控 制 蠐 竹

靂允留
靂舐

搦籛 塕鬱 鑼 胇
ec小 on ofeVidence證 據 之 蒐集
A.5.28C。 ︳
︳

Ce且 :r↑ 王〔ˊpε 王Ⅱhr避 ︴

且︳是
c上 Cyb兮 rSeε 班r比 y opε r支 法◆且&主 Seε 逆 ritˊ 追 o盟 政 主且 S

ˊprop§ rt二 守S
seε Hr主 七 c● ncε pt§ capa出 主王 eS
i〔 主

#Co了 reC〔 ive 母Conf主 del1tia｜ i〔 y 帶Deㄜ 〔〔七#ReSpald #王 n銘 rm且 tion＿ sec在 … 勞砂§fence
#I上 1忘 e安 i哲 r轉Δ 玫 I上 m在 土age-
#AV求 王
lab止 王
吁 拉 e址

小
鐑 籛 夠 蟀羧餵 揫 羅 夥雖 鶢 佛 跡驛窆 η善 谽 坤
Pu卬 °se目 的
Toensureaconsis七 entande帝 ectiVerⅥ anagement of
eVidencere︳ atedto︳ nfo「 rnationSecuΓ ityincidents了orthe
pu「 poseSofdiScip︳ inaryand｜ ega︳ actions.
確保對與資訊安全事故相 關之證據 的一豫里互盔華理 ,供 典懲
及法律行霸可途 。

幼帥
◎ 下C︳ C Modu︳ e2一 2s︳ ide89

A.50「 gan泛 aHona︳ contro怡 組 織 控 制

A.5.29lnfO「 mauon secuHtyduHngdisrup小 on 錀繳 佛餘 擺 銵籛♁鑞 “

中斷 期 間之 資訊 安 全
Contro｜ 控 制措 施
丁heorganization sha｜ ︳p︳ anhoWto rnaintain infoΓ rnation securityatan
鐒雞 錛 〝

aPPΓ P了 iate｜ eVe｜ dur子 n9diSruption.

。
組 織 應 規 劃 ,如 何 於 中斷期 間維持 資訊 安 全於 適 切 等級 。
鑱繳姊

﹉
了 了
籤

C♁ 娥玲︴控 制 措 施
#鑰
纖 瞈妳鐑餅 學攝 移瑞擺辦鱗 磁炎 蹈 車 姼郎

下heo6g缺 孔弦 甜 ♁出 $㏑ 缺雖 de絡 r岫 出e君 竹 冷 q班 子

冷 men盞 $竹 r子 出曲 rm鈉 o出 $eC↓ 好 砝nd r｜

°
t的 韓 C° 破:外 Ⅵ工
七 yξ升amag@m@坤 老i雄 爸
yo｜ n了 o〔 m缺 雜on$ec班 者 r〡 dVeF$e$〡 抽破 n$,e.修 ．
拚gaC比
=。
d出 ξ
進 S︳ $° rd:sas抬 r.
組 織 韙 法 定其對 資訊 安全 之 要 求 事項 ,以 及 在 不 ˊ 卡 情 況 下 竹﹏:危 攘 或 哭雞 難 間汁
l｜

對 資 訊 安 全 管理 持 續 推 要 求事項 。
┬h@◇ rga你 工 Sh,doc班 men音 ,︳ 了
｜e$它 ab令 ｜
之a之 i。 nSh缺 ︳ np︳ emen七 在n心 m磁 ;n名 ain

ηr◇ ces$es,procedu跨 SandCo破 冷 ︴ S七 en$ure︴ 仇eFequi跨 d｜eVe｜ ofcΦ 外Hnu︳ 抄

o〢 n拓 Fma︴ :onSecur;竹 d吐 斑ngan缺 dVe博
了
。
e$掩坊a竹 on‘
組 織 應 建 立 、文件 化 、實 作 及 維持 過 程 ,程 序 及控 制措 紐 以確 保 不利情 況期
劬擗

閣所 要 求之 資訊 安 全 持 續 等級 。
◎ 下C︳ C h田 odu｜ e2-2S︳ ide90
 A.50rgan眨 auona︳ contro心 組 織 控 制

翰鼛蚴啪 磻 鑰黤鍛饑 小
auon secu〢 tydu山 ngdisruP∥ On
A.5.29ln了orr了 ╮
中斷期 間 之 資訊 安 全
了外eo巧 an;Za牡 onSha〡 ︳ver° 竹 thees站 幼｜
Shedand:mη ｜
emen竹 d
n拓 rma“ on$ecu∥ 在
｜ ycon伍 nu;竹 eontro︳ sa︴ regu｜ ar in推 Ⅳa｜ S=n

鍋黫鑼
o沁er toensure名 ha主 七 dande母 bct;Vedur° ngadvers兮
heyaΓ eva︳ ︳

$鐒
Si在 u缺 t:° n$‘

齷螂
鍼
組 織應 定期 查證所 建 立 與 實作 之 資訊 安 全 持 續性 控 制措施 :以 確 保 其於 不 良情 況

$鐫
期 間係 生效 及 有 效 。

鄧
心O玉 七r@玉 ｜ype IⅡ 比rma︴ i． Ⅱ c9bersefⅡ ri玗 ope〔依 iOh女 1 。eε 社r主 七ydo且 ai▲ §
§efur丘 ypr● p念 rtiε § ε●4〔 gpt§ 出 p在 出是it路 s
#Pr(非 ent王 Ve#Cor一 華C0在 f斑 ent主 ali吁 #Protect#Resp0nd #C0n在 nuity 舞Protectio玨
tNq ntegriΨ 一
reε #玉 #玉£Si玉 主
ellce
持A吊∴
久ilab玉 lity

︴
鑰 城窪 韹 好含 餩 阿
Pu叩 °Se目 的
TOprotect infor〔Ⅵationandothe「 associatedassetsduringdisruption
於 中 斷 期 間 ,保 護 資 訊 及 其 他 相 關聯 資產 。

劬師
◎ 下C︳ 〔
.田 odu︳ e2-2s︳ ide9﹁

A.50rgani2aHona︳ cont「 o︳ s組 織 控 制
π我 r
—
— —

A.5.30︳ C下 eadinessfoΓ busineSScontinu 鑼黮鑰谽 齺 銹黦谽鑞 ¢

「
營運持續之︳ C下 備要性 β勿 r垔
ˋ
缸︳小次
ContΓ ㄩ 控 制 措 施 〃o↙ 銬 η //竹
鐒龘鎀 外

︳CT「eadineSssha︳ ︳bep︳ anned,irnp︳ emented,maintainedand

鑰黤懶

testedbasedonbusineSsconjnu︳ tyo切 ecuvesand︳ CT

饑¢

con小 nu︳ tyΓ equiΓ ernents.

鐱黫鑈坤欺崩 學簼鋒鍛磪卹

C下 持 續 之 要 求事項 ,規 劃 、實作 、維護

應依 營運持 續 目標 及 ︳
及 測試 ︳
C下 備 要
侈
馝｝十翊
鎞 插華撥許可 鎗師

〃甲 小二不定徯 姼 磾
♁帥

◎ 下C︳ C
;de92
Modu︳ e2已 工§︳
 A＿ 50rgan眨 aⅡ ona︳ cont「 o心 組織控 制 #
靂舐 靂
— —

瞈籛鈐盼 鑼 齡籛翰一
A.5.30｜ CTread︳ nessforbusineSSconunu｜ ty
營運 持 續 之 ｜
C下 備要性

ε9址 打o︳ 守 pε I取 拓r班 a在 ≡

●玉 c坤 ｜rsecur主 寸 6p兮 rati9正 故王 $eε 伍r是 tydo班 雄且ε
S兮 C出 ri﹏ rpr6p子 r注 e§ ε
°且｜
●?tS Cap及 已Ⅱ是 在主
e§

聲Corr台 C七 二
巧◤e #如出工
芒曲是
亡:竹 半Reε 口0nd 群§on七 至
上芒
uity 華R且 Sil≡ ence

外
拂 籛 齡 螂磁路螄 犖筋繆犖雂 轟 鑱 插移琇辦 喜 鍛 螂
PHrpose目 ｜
琦
TOensure︴ heava︳ ︳abi｜ ityoftheorgan︳ za七 i。 n’ Sinforrnation

andotheΓ assoc︳ atedassetsdur:ngdisruption.

確 保 於 中斷期 間 ,組 織 之 資訊 及 其 他相 關聯 資產 的可 用性 。

翰阿
◎ 下C︳ C
Modu︳ e2-2s｜ ide93

A＿ 50rgan泛 aHona︳ contro心 組 織 控 制 ﹊

露熾uπ
— —

A＿ 5.30︳ C下 readiness了 OrbuSinesscon小 nu:ty 錢黮 錛谽 鏽 鍋黤 盼離 心

CT備 要性
營運 持 續之︳

GU:dance指 引｛
︳S。 2了 002〕
銹黫 齡 ︿

C下 readineSsforbuSinessconUnu︳ ty︳ san:rnpo㏄ ant

︳
鐑鍵婢

component inbusinessconHnuityrnanagementand:nformajon
籤∞

Secu山 tymanagemen七 七 oenSure七 ha七 七heorganizaHon’ s

縐黫 鰳帥箍嬐帥擊搖 移荔擺的

0● jec七 iVeScancont:nuetoberΥ╮ etdur:ngdisΓ upt︳ On.

營運持續之 ︳ C下 備要性係營運持續管理及 資訊 安全管理 的重要 組
成部 分 ,以 確保於 中斷期 間可持續符合組織之 目標 。
銹 航器玲抑 章 玅的
♁師

◎ 下C︳ C
Modu︳ e2┤ 2s｜ ide9ㄥ
 A.50rganizajona︳ contro︳ S組 織 控 制

辮黤齡玅 鑼 齡黤盼齺 無
A.5.30︳ C下 Γ
eadinessfoΓ b比 ineSScon小 nuity
營運持 續 之 ︳
C下 備 要 性

Gu︳ dance指 引｛ ︳SO2了 002｝

鑰羷鑰 功
The︳ C下 conunuity「 equirementsaretheoutcomeof七 hebuSiness
impactana︳ ys︳ s(B｜ A).下 heB︳ Ap「 ocess shou︳ duSeimpacttyPesand

鐪鼷班
criteriatoassess theimpacts oVer time「 esu︳ tingfrom thedis「 uptionOf

餓水錛黫螉坤笑黐 學羅簞鑑委 翰 筋發嗷

businessactivitieSthatde︳ iVer productsandseⅣ ices口 下her了 ● agnitude
pactshou︳ dbeuSedto identi印
andduΓ ation oftheΓ esu︳ tingir︳ ┐
pΓ ioriti2edactiVitiesWhichShou︳ dbeassignedarecoverytime

°功ec山 Ve(RTO).
︳CT持 續性要求事項係營運衝擊分析 (B︳ A)之 結果 。B︳ A過 程 宜使 用衝
擊型式及 準則 ,以 評鑑 隨時間推移 ,因 交付產 品及服務之營運 活動 中
斷 而造成的衝擊 。宜使 用所造成衝擊之 幅度及期 間 ,識 別宜指 派復原 時
間 目標 (RTO)之 優先活動 。

r吝
谽蚱
谽將
◎ 下C︳ C
Modu︳ e2ㄐ 2s︳ ide95

A.50rgan:za甘 ona︳ contro︳ S自 巨｜

戰控 帝︳ ﹊

π&▌π
— —

鐑籲 離鍛 鑼 錛 黦 妙 蠟
A.5.30︳ C下 eadineSSforbuSinesScon心 nuity
「
營運持 續 之 ｜
C下 備要性

Gu:dance指 引｛
︳S。 2了 002)
h錫

下heB︳ Ashou︳ dthendeteΓ ︳ ηinewhich「 eSourcesaΓ eneededto

麰 鎀 銹纖 姊

tiZedactiVitieS.AnR下 0Shou︳ da︳ sobespecifiedfor

SuppoΓ t prioΓ ｜
床

theseresources.Asubsetofthese「 esourcesshou︳ dinc︳ ude︳ CT

餓 鏹 灘 鐱 師航鋡堅 蕉 嬸移簽播帥鑼 眛器玲帥 一 砏 坤

SeⅣ iceS口
¢

至皇 多 。亦 宜規 定 此 等資源 之 R丁 O。
食聳 蔧瑁 全 褼罕 籠霧 撉

TheB︳ A｜ nVo｜ Ving︳ C┐ servicescanbeexPandedtodeπ ne

「
pe㎡ormanceandcapac:tyrequiΓ ements of︳ CTsyStemSandΓ ecove呼
Point o切 ec小 VeS(RPO)。 finforma小 0nrequ:redto suppo㏄ actiV比 ieS
du「 ingd︳ sΓ uption.

可 擴展 涉及 ︳ 艮務 之 B｜ A,以 定 義 ︳
◇師

C下 月 C了 系統 的效 能及 容 量要 求事項 ,

◎用:以 及於 中斷期 間支援 活 動所 要 求 資訊 之 復原 點 目標 (RPO汁 Modu︳ e2田 2S︳ ide96

 A＿ 50「 gan眨 aHona︳ con七 ro℃ 組織控 制 爾旛的騶齷 鈔

籚乳 蘆

紛籛鐒鍛 鑼 塕鏺銹鑰 研
A＿ 5＿ 30︳ CTreadinesSforbuSineSSconjnu︳ ty
營運 持續 之 ｜
C下 備要 性

︳
Gv:dance指 引｛S。 2了 002〕

拂驤銹 再
Basedontheoutputsfrorn七 heB︳ AandΓ iskassessment inVo︳ ving︳ C下

鋪黲螂
CTcon山 nuity
services,theorganizaHOnshou〡 d︳ denjfyandse︳ ec七 ︳
strategies七 hatconsider optionSfo「 be了 0re,du「 ingandafterdis「 uption.

餓外錛驆撥姊舞餾 鞏豬夥燄髒 鈐 航舉瑙珅 各鎊螂

ThebuSineSscon七 inui七 ystra七 egieScancomPriseoneor rnoΓ e
so︳ utions.BaSedon thestra七 eg︳ eS,p︳ ans shou︳ dbedeVe︳ oped,
irΥ╮ entedandteStedto rneettherequiredavai︳ abi︳ ｜
p｜ erΥ ╮ ty｜ eve︳ of︳ C下

serViceSandin七 heΓ equiΓ edtirneframeSfo︳ ︳ OW︳ nginte「 uption tO,o「

「
fai︳ ureof,c「 itica｜ processes.
組 餓 宜依 涉及 ︳ C下 月艮務 之 日A及 風 險評鑑 的產 出 ,識 別並選擇考 量 中
斷 前 、中斷期 間及 中斷後 之 選 項 的 ︳ C下 持續 策略 。營運持 續 策略可 由 η
或 多 個 解 洪方 案 組 成 。依 比 等 策略 ,宜 制 定 、實作 並 測試計 畫 ,以 符合
所 要 求之 ︳ 艮務 可 用性水 準 ,且 符 合於 關鍵 過 程 中斷 或 失效後所 要
C下 月

艙帥
求 的 時限 。
◎ TC比 Modu︳ e22s︳ ide97

A.50rgan眨 aHona︳ controlS組 織 控 制

A.5＿ 30｜ CTreadiness了 orbuSineSScontinu︳ ty 鐑雞鑰劬 鑼 鑈黤緲饑 ∞

營運 持 續 之 ︳
C下 備要 性

Guidance指 引｛
︳So2了 002｝
鐒鍐鎀 外

TheorganiZajon shou︳ denSurethat組 織宜確保下列事項 :

a)anadequateorgani2aⅡ ona︳ s七 ructureis in p｜ aceto prepa「 efor,m比 igateand

鑰纖螂

esPondtoadisruPtionSupPo比 edbyPe「 Sonne︳ Withthenecessa呼 「

eSponsibi〡 ity
兟如

「
authorityandcompetence;
鐒黤銹姊瓶蘳幼擊露夥鑑鐑姊

備 安 適 切之 組 織 結 構 ,以 準備 、減 緩 及 回應 中斷 ,比 結 構 係 由具 必 要 責任 、權
及 專 業 能力的人 員所 支援
b)︳ C下 continuityp︳ ans,inc︳ udingresPonSeandrecoVeryProcedu了 eSdetai︳ ing
the。 吧 an:Zation｜ Sp︳ anningto rnanagean︳ C┐ seⅣ ︳ cedis「 uption,are:
「
寺續 計 畫(色 含詳細敘明組織如何規劃管理 ｜
C下 之
︳ C下 服務 中斷之回應及復原程序)
鎞 赫錚啥揤甘 蛤郴

η)re9u︳ arlyeva︳ uatedthrougheXerciseSandtests;

透過演練及測試 ,定 期評估
2)approvedbyrnanagement;
嬐外

由管理階層核可
◎ 下C︳ C Modu︳ e2-2S｜ ide98
 A.50rgan泛 aHona︳ controㄦ 組 織 控 制 ψ

釐薽 嫠觝
— —

′
一﹀

鑯黤鑰翰 璐 齡纖綁齺
｜
A.5.30｜ C下 Γ
eadiness了 0Γ buSineSsconhnuity 尹

、
營運持 續 之 ︳
C下 備要 性

Gu:dance指 引｛
︳S。 2了 002｝

$鐒
黮擁 站
c)｜ CTconjnuityp｜ ans inc︳ udethefO︳ oWing︳ C丁 conjnu比 yin了 ormajon
︳

鈐颻螂
︳
C下 持續計 畫 包括 下列 ︳ CT持 續 資訊

籤跡
︴)pe吋o「 anceandcapacityspecificationSto「 neetthe business

錛黫躋螂航玲姊孥簼舉鐵讓鑰 筋李撥邪 音谽轉

rl╮

continuityrequirementsandobiectivesas specifiedin theB︳ A;

符合依 日A中 規定之營運持續要求事項及 目標的績效及容量規格 ;

2)R下 00feachprio一 ∥
zed︳ C了 SeⅣ iceandthepΓ oceduresfo「
restoringthosecomponents;
具優 先序 之 各項 ︳ CT服 務 的 R下 0及 復 原 該 等組 件 之 程序
3)RPO。 fthep一 ohj2ed︳ C了 eSourceSde… nedas infoΓ majonand
「
thepΓoceduΓ esfoΓ restoringtheinforrnation.
RPO及 復原 該 等資訊 的

盼師
定 義為 資訊 之 具優 先序 的各 項 ︳
C下 資源 之
◎ 下C︳ C 程序 。
Modu︳ e2-2S︳ ide99

A.50「 gan矻 ajona︳ con七 ro心 組織控 制

鐖黦擁嬐 鑼 錛黤燄餓 兮
A.5.30︳ CTreadinessforbusinesscont:nu︳ ty
營運持 續 之 ｜
C下 備要 性

o七 her imforma山 on其 它資訊

錛罌鰳 依

Managing︳ CTcontinui︺ 了ormSakeypah0了 buSinesscon“ nuityrequiΓ ernents

鏺籛坤

ytobeab︳ eto:
conceΓ ningavai︳ abi︳ i七

CT持 續性 ,形 成 關於 可用性之 營運持續性要 求事項 的關鍵 告r分 ,以 便 能

餓“

管理 ︳ :
鑈籛錛姊欺齵 寧玀苓鐙鑮辦

a)ResP。 ndand「 ecoverfromdisruP市 on to｜ CTseⅣ icesΓegard｜ ess ofthe

cause;
CT月 艮務 中斷 並 由 中斷 中復 原
回應 ︳ ,不 論 原 因如 何
b)ensurecon七 inuityofP「 i。 ri七 iZedactivitieSa「 esuPpo㏄edbythe「 equiΓ ed︳ CT
seⅣ ︳
ces;
協 磁霹玲并百 ♁師

確保 由所 要 求 ︳ CT月 艮務 支援 具優 先序 活 動之持 續性
c)「 esP° ndbeforead︳ sruPtion to︳ CTseⅣ icesoccuΓ s,andupondetection o了 at
︳east oneincident thatcanresu︳ t inadisruption to︳ C┐ seⅣ ices口
「
於︳ CT月 艮務 中斷發 生前 回應 ,以 及於 偵 測到 至 少 ︹個 可能 導致 ︳ C下 月
艮務 中斷
幼帥

之 事 故 時 回應
◎ 下C︳ C
2-2S︳ ide可 00
 A＿ 50rgan︳ 2auona︳ cont「 o︳ S組 織 控 制 中

靂戈躩
— —

蹸黤瞈砏 鑼 鈐籛翰鑰 分
A.5.3η Lega｜ ,Statutory,「 egu｜ atoryandcontractua｜
requ｜ rements法 律 、法 令 、法規及 契約 的要 求事項

ㄏ
Con七 ro︳ 控 制措 方
也

彿繳鑰 才
Lega︳ ,Statutory,regu︳ atoryandcontractua︳ equi「 emen七Sre︳ evant to
「
heSe
inforrl╮ ation securityandtheorganiZat｜ on’ sapproach七 o︳ ﹁ee七 七

縐籛螂
●eiden七 ified,documen七 edandkep七 up todate.
｜
requirements sha｜

鈜外
應識別 、書面記錄及保持更新資訊安全相 關法律 、法令 、法規及契約之

鑰籩狒轉幾齦 擊豨夥窺讓 齡 瓶瑙跨掛 食劬螂

要求事項 ,以 及組織為符合 此等要求事項的作 法 。

C♁ 俄音
ro︴ 控 餚｜告落
寸 包
A｜ 善Fe卡 eVan︴ s進 接︴u走 0ry?regu︳ a名 on√ he
盆ndC● ↑qr俄 e七 ua:re¢ 吐:remen走 Sa&碟 在
ξ on’ $appξ Oachto rnee七 七
$俄 ni之 上放子 乩eseξ eq吐 子了 y
emen走 SSma::beexp::ci走 ︳
。
岱en電 :出 ed,dΘ cu出 en走ed,andkep老 級紗各
︳ 0d接 鎔 f° re砝 Ch︳ n知 rm爸 之 〡n
heo℃ an｜ 2a碧 :Φ 出 。
Sy$︴ eu在 a再 d七 .

對每 個 資訊 系統與組織 ,應 明確識秀ll、 文件化及保持最新所有相 關法律

鬱帥
◎ TC︳ C
法 令 、法親及契約要 求事項 ,以 及組織為符合 此 等要求之6乍 法 。
2挖 S︳ ide鬥 0鬥

A… 50rgan眨 ajona︳ contro怡 組 織 控 制 ﹏

露蠢 靂
—
—

A.5.3︴ ∟ega︳ ,StatutoΨ ,regu｜ atOΓ yandcontractua︳ 鑈黦 狒鍛 躤 鑈籛 餘鑰 赫 雝 鑰 雄 羷 窏

requirements法 律 、法 令 、法規及 契 約的要 求事項

c叩 ¢盞0gra抖 hicc♁ n君 Fe落 SSh出 :beu$ed亡 n兮0mp︳ ｜爸維C台 eV爸 俄︴

W;電 ha｜ 芒跨 令

agξ ee俄 en道 S,:缺 W$子 an¢ re$u｜ a老 子0再 S一

應使 用密碼 式控 制措 施 ,以 蓮循所有相 關的協議 、法律 及 法規 。

CD且它ro王 ︳ˊpe 且永”Π且&七 主 $且 c力 館§emr二 呼 D工 eratiβ且at S● C注 r琵 ˊ 盆 c盟 母上ㄥ §

εεεⅡr比 ypropε r#e§ 〔︳n〔 εp七 S 〔ap我 出二 ii§ s

二
一
Ve
#PreVe且 七主 者Co且 且dg止七主 a比 哲 報&nt是 # 善 Lega至 a且 d一 C° 狂 王 p王 r #G0吊 吧
=nanCe一
a且 d一
ebσ r茂 y
一

孝王且七 且土ㄈe ΞCoSyT七 eⅡ 文#Pr° 毛eC-

°
#AVa主 扭bi王 在 ｛ 在o且

PⅡ rpose目 的
磁器拎珅章 盼榔

下oenSu「 ecomp｜ iancewi七 h︳ ega｜ ,statutory,regu｜ ato╮ ◤andcon七 ractua｜

a七 ed七 0informaHOnsecu山 ︳
equirements陀 ｜ ㄚ
「
鍛跡

確保 遵循與資訊 安全相 關之法律 、法令 、法規及契約的要求事項 。

◎ 下C︳ C 22S︳ ide-02
 A.50rgan矻 a甘 0na︳ cont「 引 S組 織 控 制 ◆

露颻口
犛戰
— —

A石 .32︳ nte｜ ︳ ope㏄y一 ghts智 慧財產權

鎀靆鑯蚡 皤 齡雞鉿鑯
ectua︳ pΓ

ContΓ o︳ ●
腔帝︳
ㄐ際施
下heorgan︳ 2ation sha︳ ︳irnP︳ ernentappΓ opriateproceduΓ es to
ectua｜ prope㏄ y「 ights.
pΓ otect︳ nte︳ ︳

$鱗
黤鏻 坊
組織應 實作適切程序 ,以 保護智 慧財產權 。

鐒攤瑯
城小狒颻錀坤磁玲師犖撥夥幾舞 螉 蹜器跨掛 豆谽帕
;罐 方
COn主 ro︳ 控 希寸 也
AppΥ opri按 七 eproce4ur@$s找
一 a〡 〡 be;mp:emen七edt。 ensure
comp子 ︳ ancew︳ th｜ egis｜ a本 Ve〡 ξ ,爸 ndC° n︴ rac七 ua〡
egu︴ a之 0η′
re俄 班子 remen廷 $Fe︳ a七 edt° 七 e｜ ｜
ir︴ec之 ua:proPe礎 yΓ ;gh發 S爸 n心 社 Se° 乎
p年 oprie七 aη rSΘ 瓶 arepro妞 uc七 $.

應實作適當程序 ,以 確保遵循與智慧財產權及 專屬軟體產 品使

用稱 爾之法律 、法令 、法規及契約的要求事項 。

幼外
◎ TC︳ C
2-2S︳ ide↑ 03

A.50rgani2a山 ona︳ contro︳ s組 織 控 帝︳

齡黷鑈紛 鑼 錛職
A.5.32︳ nte︳ ︳
ectua｜ pΓ opeΓ ty山 ghts智 慧財產權

心@五 tro王 tyPε 王Ⅱ比 r扭 at玉 丘 Cy右 erseε 在r受 ﹏ˊ 0P兮 r日h● Ⅱ女l §eε 避ri竹 d0m五 三ns
． ε°Ⅱ笓 PtS ε印 蟲 i王 描拼
seε Ⅱr五 ︴yPrGpε o注兮S

Ve
掙PreVen才 主 勞C0且技den七 i且 h” 拜Idm〔 好y 年L輯 且
Lan釷 ε
o1nui- #Gover工 1爸 n〔 e一 an土
報 nt吧 r士 守 anε e Eε 0§ yste工 n
器AV缸 1爸 b正 琵,
行
鐪 籬 鑈 師就翁咖 寧 露 移競嗧妒銹 描姦路野 守 幼 林

PuΓ Pose日 ｜
的
ToensuΓ ecomp︳ ianceW︳ th︳ ega︳ ,statutory,regu︳ atoΓ yand
ectua︳ prope〢 yΓ ights
c。 ntΓ actua｜ requiΓ ernents re︳ atedto inte︳ ︳
anduseO了 propΓ ieta╮ ◤pΓ oducts.
確 保 遵循 與 智 慧財產 權 及 專屬 產 品 使 用相 關之 法 律 、法 令 、法
規及 契 約 的要 求 事項 。
♁好

◎ 了C︳ C
2一 2S∥ de﹁ 0ㄥ
 A.50「gan眨 auona︳ contr刮 S組 織 控 制 瘸孋既鱷齷 竹

靂珮 钁

坳籛銹翰 鐋 塕籛錯鑰 外
╮ A． 5． 33ProtecⅡ OnofrecO「 dS紀 錄 之 保 護
一
Contr引 控 制措 施
RecordSsha︳ ｜beprotectedfrorn︳ oss,destruction,fa︳ si市 cation,

拂雞銹
unauthorizedaccessandunauthor:2edFe!ease.
應 保 護 紀 錄 ,免 於 遺 失 、毀損 、偽 造 、未 經 授 權存 取 及 未 經 授

$鐒
羻啷
颻
權發布 。

A齡
籛齡螂航琇堲歡 鐒移離盞 躋 竑移跨黔 彥紛螂
ξ
C♁ 擗電0子 控 希時著施
名
臥ec◇ !4$$娥 綾︴ ec絡 d了 r♁ 俄 ︳
子妳e紂 r♁ 乏 °S$!de$七 r以 C老 i° 找,｜a:$掙 官 子
e我 電♁附 ,

Zed我
u外 接 u它 hOξ ︳ CCe$$接 我娥 un接 班t乩 Θr:Zed才 紛｜e襏 $e,:我 錢CC♁ rdance
W比 雖︴
eg︳ $芒 級0ry,re9u︳ 爸t0功ryc° 什七
舌 rac之 u接 子爸舟abu$｜ 雄♁$$

麤 依 法 令∵ 法 鄒 契 約 及 營 運 要 求 保 護 紀 錄 ,免 於 遺 失 、毀 損 、

幼粹
偽 造 、未經援權存取 及 未經 授權發布 。
:追 》下C｜ C 2一 2S︳ de｛ 05
︳

A.50「 gan矻 aⅡ ona︳ contro心 組織控 制

鑱灘 嫋谽 鐋 嬾
A.5.33Pr0七 ection ofΓ ecoΓ ds率 己錄 之 保 護

pe
CC基 trm竹◤ 工銘 r且 a在o且 Cy出兮r§ g仁 孩r二 好 6pε rat王 6Ⅱ a怪 εeε 注r二 何◤建o-
g念 Cnr琵
ˊP=6per七 ie§ ε0王Cep在 § ε且p在 出王
正且ie∫ 巨 錢二 且§
一
華PreVehtiYe #Co且 fide且七iali牡 #Iden惹 主
fy#Pr0七 eC吝 好Lega1一 a王 ld＿ C0玉 五pliance 器D念 挺且Ce
勞工二土
te安 二 W 華As$e在 ＿In在 且佳ge出 e玉 王 七
繳 V釘乩bh放 y 普王止免 rm汪 吝又 On一 p!o七 εc-
各bn
兟 錀 靆 鑈 神駥唅堅 瞿 擺夥碎
曲

PurPose目 的
下0enSurecomp︳ iancewith｜ ega︳ ,sta七 utory,Γ egu︳ atoryand
equirements,asWe︳ ︳ascomrΥ ╮
contΓ actua︳ Γ un:tyor soc心 ta︳
踇擺聊鑈 磁舉跧辦 音 蛜 師

eXpecta七 ionS「 e︳ ated七 otheprotect:onandavai︳ abi︳ :tyof

recordS.
確 保 遵循 與 紀 錄 保 護 及 可 用性相 關之 法 律 、法 令 、法規及 契
鬱擗

約 的 要 求事項 ,以 及 行 業期 望 或社 會期 望 。
◎ TC︳ C Modu︳ e2-2s｜ ide︴ 06
 A.50rgan眨 a∥ ona︳ contro怡 組 織 控 制 中

β強 安我
— —

眑黦齡盼 鑼 齡黮劮鷂 外
A.5.3碎 PhVa cyandpΓ otection o了 P〡 ︳
隱私 及 護
Contro︳ 厝施
控 制寸
下heo「 ganization sha︳ ︳identi /andrΥ ︳
eettherequirementsΓ egarding

鑰飄鏺 打
七hepreseⅣ ation ofpriVacyandprotection ofP︳ ︳accordingto
app︳ icab︳ e︳ awsandregu︳ ationSandcontractua︳ requirer了 ﹁
entS.

鋊譊坤
組 織應 依 適 用之 法律 、法規及 契 約的要 求事項 ,識 別 並 符合 關於 隱私保

餓代
護及正m程藍色皇坴重掙 °

狒簸齡鄉欺齵 學筋
Con甘 幻〡控 帝ll措 施
Pr;vacyandpr0老 eCt︳ OnofperSOna｜ ︴

鎖路餵舞 鑰 描器曲趶 吝 ♁螂
y｜ dent:再 ab｜ e;nfor一 nat:Onsha︴ ｜be

e俄 Su了 edaS=equ;red︳ nre子 eVan七 ︳

e$iS｜ 各t:。 nandregu｜ 由七 ionWheTe
app︴ ;cab子 e﹏

應依 適 用之相 關法 令 、法規 中之 要 求 ,以 確保 個 人 可識別 資訊之 隱私 及

保護 。

紛師
◎ 下C︳ C
2-2S∥ de︴ 07

A.50rgan眨 aHona︳ con七 o心 組織控 制

「

錛籩錛谽 鑴 鑈籧鈔
A.5.3碎 PΓ ｜ VacyandpΓ otection ofP︳ ︳
隱私 及 P︳ ︳保 護

ypε
CoH七 r6玉 七 In拓 m筑 充Ⅱ εyLer§ ecⅡ ri﹏ˊ 6rε ra七 i兮 Ⅱa王 Sε εⅡri6γ 殖0︻
§eC社 r一 tyrropeΓ 在主
︳§ ε0且 εep︳ § 〔apat至 li在 § 沮 五 ▲g
．
勞Pre從 n七 子
珽 勞Co且 致de且 th王 安 哲 勞Iden七 茫y#Protect 勞 工 且 forⅡ lat主 O且

一
pr0扭 CHOI1 一6n
拜Protect之
勞I且 tegr玉 ” 器Leg且 一and︸ cDⅡ ｛｝
生法且Ge
帶A田1主 1出 b無 i七 y
翰黰 鏺 妳紫 報 翠 露 苓鑑遇 蘜 磁鋒冷ˊ 哥 玅 坤

PwP。 se目 的
下oenSurecornp｜ ︳ ancew;th︳ ega︳ ,statutory,regu︳ at0η ◤and
contractua｜ requiΓ ernents re︳ atedt0theinfoΓ ╮ ation secur︳ ty
rΥ

asPects ofthepr。 tection ofP︳ ｜ ＿

確 保 與 P︳ ︳保 護 之 資訊 安 全 層 面相 關的 法 律 、法令 、法規 及 契
約之 要 求事項 的遵循 性 。
嬐扞

◎ TC︳ C
Modu︳ e2一 2s︳;de﹁ 08
 A＿ 50rgan︳ Za… ona︳ contro︳ S組 織 控 制 竹

靂珮 屢
— —

翰籲瞈銹 餾 筠鼬 劬鑯
A口 5.35︳ ndependen七 eVieWofinfOrma小 onSecuⅡ ty
「

資訊 安 全 之獨 立審 查
Con七 ro︳ 控 帝︳ 措施
下heorganiza七 :on’ Sapproach七 0rnanag｜ nginforrl╮ a七 ionSecur︳ tyandits
irnp︳ ementa七 ion inc︳ udingpeop︳ e,processeSand七 echno︳ ogiessha︳ ︳ be

$鏘
濺銹 巧
reviewed｜ ndependent︳ yatp︳ anned︳ n七 eⅣ a︳ S,orWhenSign｜ fican七

銹籬 螂
巖 璚撈缶 或

兟琳
獨 立審 查組 織對管理 資訊 安全 的
鼷搗鑫鶷

坳蠿 齡碑繳餵 犖撥學錶躋 鑰 箍鋒琀掛 食 鬱螂

作 法及 其實作 (包 耗 )

隆路ㄈ
Com︴ rO︳ 寸 ︴著施
Th♁ oη an;2斑 ;on’ $app幻 aCht° t╮ an礅 9｜ 向σ :俄 了Θr維 a發 ♁nSec旺 r;乳 √a俄 d｜ 七$
:幻 p:emen毛 a守 Θn◆ te.c6n老 m｜ O幼 eaive$,co破 冷 子 S,pO:比 ieS,pmce$Se$
在ndpmCedu冷 S竹 r〡 出竹 rmaHOn$ec$放 打 〉s乩 接君:berev子 eWed
︳ ︳
什de紗 ender︳ 廷ya在 p︳ ann爸 d︴ 玲eⅣ a吾 $orW抽 enS〡 $孔 辛
崔 再ca出 乏6h缺 ngeSocc吐 r﹏

應 依 將規劃的期 間或當發生重大 變更時 ,獨 立馨 查組織對管理 資訊 安全

劬帥
之作 法及 其實作 (亦 即資訊 安 全之各項控 制 呂標 、控帶ll措 施 、政 策 、過
虰㏄ 程 及 程序 汁 Modu︳ e2-2s︳ ide﹁ 9 (〕

勞 多踴毛安參
管

A.50rganiza甘 ona︳ cont「 o心 巨︳

室 哉控:帝 ︳

齡鑈 銹♁ 鑼 錛籛(
A.5.35lndependentΓ ev心 WOf︳ nforma∥ on secu“ ty
資訊 安全 之 獨 立 審 查

C6臣 七r●王聊 兮 n拈 r且 且七主.且

工 ε於 兮rSeC旺 ri臼◤ op兮 r三 七五
on且 ns
§它ε在r二 好 d° 放 出主
!ε C也 r二 七群p!oper七 王
e§ εa且 C官p七 § 〔ap五 t王 it王 它§
一
學PreVe且 七艮想 勞Cor- #C0I玉 f主 den七 i注 王
女犁 牡 母升 0te〔七
期 硾e王 !七 主 #王 nf0r土 lat王 G虫 § eC七 ︳ 肆 GoVer趾 及 11C兮 a社 d一

一
苦h盜 gr豆 ﹏
一
一

reCt〝色 r女 y＿ ∫s吐 r丑 且Ce Ec0§ yste跟

#AV斑 Iabi至 玉
七y
∞
鏺 繳 協 時欽競 寧 籮 移盤錯睥銹 磁拶膛 妗辛 唦 師

P▉ rPoSe目 ｜
有
了oenSurethecont:nu︳ ngsuitabi︳ ity,adequacyand
e帝 ectiVeness oftheorganization’ sapproachto rnanaging
︳ onSecuΓ ity＿
nfoΓ rna七 ︳

確 保 組 織 對 管理 資訊 安全 之 作 法 的持 續 合 宜性 、適 切性及 有
效性 。
谽帥

◎ 下C｜ C Modu｜ e2-2s｜ ;deH︴ 0

 A.50「 gan泛 auona︳ contro心 組 織 控 制

螉黤鏺盼 鑼 錀黤谽鐖 外
A.5.36COr了 ╮ anceWithpo｜ icieS,ru︳ esandstandaΓ dsfoΓ
p︳ ︳

inforrna∥ on secu山 ty資 訊 安 全政 策 、規 則 及 標 準 之 遵循 性

COntΓ o︳ 控制措施
Comp︳ iancewiththeorganiZation’ s infor了 了
╮ationSecuritypo︳ icy,topic一

錛黤鑈
specificpo︳ icies,ru︳ esandstandardssha︳ ︳beregu︳ ar︳ y「 eVieWed.
應定期審查組織直塾遠拴逆錚 主題特定政策 、
邁剷選邊逢之遵循性 。

$彿
黫螂
戰外鑰麙錛妳欺餵 孥霉犖錢舞 鑰 鮛拳玲珅 含 谽螂
CΘ n毛 ro︳ 控 制措 施
一
Mana9兮 〔 On
SSha︴ ︳regu︳ ar︳ yrev:ew七 hecomp比 anceof︳ nforΥ ha老 ︳
processin$anuproceduresw｜ th︳ n七 he︳ rareaOfre$ponSib:｜ 放yw〡 th〔 孔e
appropr︳ a七e$eeur｜ 出/po︳ ︳ c:eS,S走 anda始 Sandanyotheξ securi廷 y
requ子 rernen︴ s‘

管理人 員應 以適切之安全政 策,、 標準及所有其它安全 要求事項 ,定 期

審查其責任 範圈‘了
內之安全處理及程序 的遵循tl生 。

盼師
◎ TC︳ C u︳ e2-2s︳ ︳
de鬥 ︹﹁

A.50rgan泛 a甘 ona｜ cont「 o℃ 組 織控 制

鐖鸂鑼燄 鑼
A.5.36Comp｜ iancew︳ thpo｜ icieS,Γ u︳ eSandStandards了oΓ
infO「 了 y資 訊 安全 政 策
nau。 nsecu山 七 、規 則 及 標 準 之 遵循 性

Con七 rD王 6yPe ◣

㏑ 拓 r一【址 在Ⅱ 兮yb.r§ ec丘Γ
二ty opera在 王
OⅡ alc出pa打 iⅡ
- SqC在 ri﹏ ◤在omai且S
εecurityPrφ ．er七 二
●S c． Ⅱc睜 ts 七i£ S
二
#Preventive #Confidentia1王 ” #王 denti牡 #Pro｜ ect #Lega 欲nd＿ ε
°mpli一 #GoverⅡ 衣nε eand
#I且 七e各 r:ty anε e EcoSyS七 em
#Avai1日bihty #正 在fOrma:ion ∫ecur主 一
ty＿ aS§ ur承 玉Ce
譾 鑰 ︴磁雜姊 學 頡

PurPoSe日 ｜
琦
路移珺絳姆鏺 插器玲許 音 唦 郎

Toensure七 hat info「 ma小 onSecu山 tyis︳ mP︳ ernentedand

ope「 atedinaccoΓ dancewiththeoΓ ganization’ s in了oΓ nation
「
securitypo｜ icy,top︳ c一 sPecificpo｜ icieS,ru︳ eSandstandards.
確 保 依 組 織 之 資訊 安 全政 策 、主 題 特 定 政 策 、規 則 及 標 準 ,
劬師

實作 及 運 作 資訊 安 全 。
◎ 了C︳ C Modu︳ e2-2s｜ ide︻
-2
 A.50「 gan泛 aHOna︳ cont「 o心 組織 控 制

﹉
╮ A.5.37D。 cumentedoperaungprocedu「 es書 面記錄 之 運作程序 筠
籛
鈐
銹
驟
鑱
Contro︳ 腔希︳
ㄐ階施 攤
紛
Operat︳ ngproceduresforinforrnation proceSs︳ ngfaci︳ itieSsha︳ ｜ 鐊

bedocurnentedandrnadeavai︳
一 ab︳ eto personne︳ whoneed 鐖
黦
鍋
therΥ ╮ .
銹
麶
應 書 面記 錄 資訊 處 理 設 施 之 運作 程 序 ,並 使 所 有 需要 的 人 員均 鈚
鈐
可取得 。 黫
瞈

鑫
繳
僠
夥
C♁ 找智♁︳
︴腔希〔
︴際疹
笆 鐵
麟
O紳 erat｜ 踓gpξ Θceduξe$$ha｜ ︳妳e4♁ c妓 men走 ed俄 nd了 ╮ade
瞈

磁V襏 ｜︳
接妳｜ e毛 oa｜ 君 hem.
u$♁ r$w扥 ♁nee岱 七 辯
音
運 作 程 序 應 加 以 文件 化 ,並 使 碑 有 需要 之 健 用 著均 可取 得 。 綠
幼
坤
◎ 下C︳ C
2-2S︳ ide鬥 ﹁3

A＿ 50「 gan︳ zaⅡ ona︳ contro︳ S組 織 控 制 ﹏

錚觀 嬋
— —

鐖
A石 .37DOcumen七 edopera∥ ngproceduΓes書 面 記 錄 之 運 作 程 序 籦
齡

Co五 在rC一 七ype 且出 rm且 七主

工 o且 Cyterseε 在r王 ty 6pern七 三
O且 a一 Secur王呼 d° ma王 且ε
q$
Secur:七 犎pr． P． r七 王 C● nCeP七 S εaF岔 私主
王二 es
七丘
ve
#Preven七 七 #Confiden〔 ia︴ ty
甚 #Protect#Recover #Asset＿ managemen〔 #GOVernance一 nd︺
勞CorrectN毛 #王 ntegr工 tˊ #Phys主 ca王 ＿security EcOSyS七 em#Protec-
求挔 a主 a色 立
王 htˊ #SˊS比 ma丘 d一 且e七- tiO正
W0了 虹 ∫ecuri七 y #Defence
#App｜ ication一securi七 y
#S§ cure一 con在 g冱 ra七 i° n
#工 denti七 比 and＿ accε ss一

竹anagemen七
考Thre&tand巧 啦王 nera一
bⅡ i七 比 rnan出 geme土 〔
一
#Cont亡 且u主 仁 y
#Inform故 垃on Securi一
ty＿ event＿man女 gemen七
$錙
師鑈 旅薄玲野 有 姼 螂

PurPose目 的
下0enSu「 ethecorrectandsecu「 eoperation0了 ｜
nfo「 rnat︳ on
processingfaci｜ eS. it︳
谽師

◎ 下C比
確 保 資訊 處 理 設 施 之 正 確 及 安 全 運 作 。
6
Modu︳ e2-2S｜ :de一 η
 A.6PeOp｜ econtro︴ S人 員控 帝甘 十

安爞了
β
— —

鐱黦鑰翰 鑼 鑰籛鎗饑 豁
A.6.η ScΓ eening篩 選
Contro︳ 控 制 措 施
Backg「 oundVerificationchecks ona｜ ︳ candidateStobecornepersonne︳ sha｜ ︳be
Ca「 了
ied° u七 pΓ ior七 o joiningtheorganizationandonan ongoingbasis takinginto
considerationaPp︳ ationsandethicsandbeProPo｛ iona︳ to the
icab︳ e︳ aWs,「 egu︳

鐖雞鑈
business requirements,thec｜ asSi兩 cation ofthein了 oΓ mation tobeaccessedand
thepeΓceivedrisks.

$鋒
黫螂
對所有成為 員工 之候 選者 ,應 於 其加 入 組織前 ,進 行 背景 查證調 查 ,且 持續進

籤
行 ,同 時將適用的法律 、法規及倫理納 入 考 量 ,並 宜相稱於 營運要求事項 ,其

A齡
黳鑰師擁餵 跢鮕
將存取 之 資訊 的分類分級及 所察覺之風險 。

Contro︳ 控 制措施

嬸路每要鑰 赫舝娌π豆谽坤
Back9roundve了 ica︴ ︳
;了 oncheckSona︳ ︳e3nd｜ da抬 Sfore鬥 p︳ oyment sha︴ ｜be
carr;edou之 ｜ nacco憾 anceW〡 走h*令 ︳
eVan七 ｜aWS,re9u:at〡 onsandeth;cs,andSha｜ :

bepropo出 ;Ona︴ to thebus｜ ne$srequ:rerl╮ en毛 S,thec︴ aSsi角 cat:on o了 the

°n︴ obeaccessed,andtheperce︳ ve心 risks﹏
in了or了 na︴ ︳

對所 有 可能被 聘 用所 進行 之 背景調 查 ,應 筱 照相 關 法律 、法規及 倫 理 ,並 應相

妙師
稱 於 營運 要 求 及 其將存 取 之 資訊 簡保 密 等 級及 組 織所 察 覺 之風 險聘 再 。

◎ 下C︳ C de鬥 ︴5
2-2S︳ ︳

A.6。 eop︳ econtro︳ S人 員控 帝︳ ﹊

r&口 r
— —

攤籦鑈谽 ψ
A.6＿ 可Sc「 eening篩 選

ΓoI在 ype
COⅡ〔 IⅡ forⅡ a七 主on yb兮 rSeCuriㄉ opera七 主
o且 aⅡ § cⅡ ri一 時/doma王 Ⅱs
§兮C︴ ri竹 /PrDpertiε ε 「 ε0亞 ε兮PtS Cap臣 出且it二 es ．

#Preventive #C0Ⅱ 且de丘 tia1主 好 #Pr0七 eCt #Hmmanregourcε #G° Ver玖 anCe欲 nd
華Integr主 在y Secur近 y Ecosysten
#AVa主 la也 i1比 y
永
躌醫師
籤希

Purpose目
鑈蠿鑰咖爽報 學攝學嗧璐卹

｜
琦
gib︳ eandsu︳ tab︳ efor theΓ o︳ es
下oenSurea︳ ︳personne︳ aree︳ ︳
了0rWhichtheyaΓ econsideredandΓ ernaine｜ ︳ gib︳ eandsu︳ tab︳ e

du市 ngthe︳ remp︳ oyrnent.

確保所 有 人 員皆合格 及 適合所 考 量之 角色 ,且 於 其聘 用期 間保
\D
鑈 航彈馥π辛 谽瑯

持合格及合適 。
燄跡

◎ TC︳ C 2挖 S︳ ;deπ η6
 A.6P岔 會 C0坲 愛F♁ ｜
♁紂在 零 人 民 控 轟ll 爾齺出鯛嬤 竹

靂舐 靂

搦鸃筠鎀 鐋 鐱籛劬齺 外
｜
╮ A口 6.2下 ermSandcond山 0nSOfemuoyment聘 用條 款 及 條 件

措施
Contro︳ 控 帝︳
下heemp︳ oymentcontractua︳ agreemen七 SSha︳ ︳Statethe

佛籛鑼 ︴
’
pe「 sonne︳ sand七 heorgani2ation’ SreSponSibi｜ ︳
tieS了 0r

銹曌啷
inforrnation security＿

甄
聘 用 契 約 協議 應 敘 明 人 員及 組 織 對 資訊 安 全 之 責任 。

$鋤
騶鑰聊擁齠 肇豬移蠶舞 齡 筋券跆黚 音紛螂
C♁ 批老
Υ0︴ 控希擒落
↓ 包
下h@co碓 電r密 C七 Ⅵ彿｜宙9re♁ me俄 七 芝hemp:Oyee巷 撥ndC° m七r俄 6七0ξ $
$、 雄︳
’
$h級 ｜ 批ei野 缺俄孲崔
｜$透 襏範 七 m♁ ♁略俄雄〡
2a七 ;O維 $ξ e$pon$i紐 言
︳
言魅e$普 ♁r
i錐 ｜ ︳
♁ 女往芭
r子 ♁n$ec磁 ξ
︳是
y.

組 織 與 員 工 及 約 璃 人 員簽訂 之 的 契 約化 協議 書 ,應 敘 明 雙 方 對
資 訊 安 全 的責任 。

鎗帥
◎ 下C︳ C
2-2S︳ ︳
de可 可7

A＿ 6Peop︳ econtΓ o︳ S人 員龍〨希︳ ﹏

彈籈 露
— —

A.6.2下 e「 Sandconmions ofemp︳ oyment聘 用 條 款 及 條 件

r!╮ 鐑黮 嫋艙 齺 ︴

Cj且七rO王 七yPe 了n拓 rma〔 是6且 Cyter§ ec世 r二 ty opera七 二

●n女 ︳ Seε ur:tydo出 a主 且§
呂eCur扭 ypr． per注 tS CoⅡ CCpts Cap女 t且 玉
七二eS
Ve
#PreVe且 七二 華Con垚 血 nt:a王 社ˊ #Protec七 #Hu政 故◣二 e§ 0沒rCe＿ #Governahceand
舉三ntegr比 群 SeCⅥ ri七 ˊ ECoSyS七 em
#Avai王 ab止 :毛 y
巍睥
鏕 鑱 黰 翰 郙欼 覝 單 路 舉錄邐 拂 航猙玲帥 茗 蛜 螂
如

PurPose目 的
下oenSurePersonne︳ understandthei「 in了orrl╮ aⅡ on secu“ ty
resp● ns︳ bi｜ itieSforthero｜ esforwhichtheyaΓ econS:dered
確 保 人 員瞭 解 其 對 所 考 量 角 色 之 資 訊 安 全 責 任 。
●
鎊師

◎ 下C︳ C
deπ ﹁8
Modu︳ e2-2s︳ ｜
 A.6PΘ o外 econ逢 rO︳ S人 員控 制

鑰灘餓艅 擺 翰籛盼饑 外
A.6.3lnfoΓ mauon secu山 tyaWareness,educa小 0nandt「 ain︳ ng

資訊安全認知在邀 育訓鉖
時方色
Cont「 o｜ 控 制 寸
Personne︳ oftheorgani2ationand「 e｜ evant inteΓ eStedpartiessha〡 ︳receiVe

齡讓鑼
appropriateinforrnation securityawareneSs,educationandtΓ ainingand
Γegu︳ a「 updatesoftheoΓ gani2ation︳ s info「 rnationSecuritypo︳ icy,topic。

$鈐
癱螂
SpecificPo︳ icieSandp「 ocedureS,aSΓ e︳ eVantfortheirjobfunction.

餓〝錛黤麟娣笑磥 擊籀苓簽麟 鐑 蹴器跨羚 吝♁艸

嗺竿
全篷翨
罌安愛
賓釐主
屢邊傷
譬曇基
盞孟算
愛靈習
黌蠶午
璧霆霒
晝靠李
C° n走 向︳控 制措施
A〡 ︳emp〡 oyeeso了 之 heor9an;za︳ :onand,wherere︳ evan扎 c° n走 raCt° rSSha｜ ︴
recejve3ppropr:a七 eaWareness t=a:n;ngandΥ egu〡 arupda者 e$;n
organizat︳ on爸 ︳
poㄜ :cieSandpΓ ocedures,asre｜ evan七 ｜rt仇 e汁 job║unc︴ ;on.
。
組織所有員工和柏關的約用人 長 ,均 應接受與其工作職能稱 關的組織政 策
與程序 之適切認知 、教育及訓練 ,並 定期更新 。

幼帥
◎ TC︳ C
2-2S︳ ideη ﹁9

A.6PeoP︳ econtro︳ s人 員韹生帝︳

π扺〔
π
— — —

鑈黮協妢 鑼 協驒
A.6.3︳ nfor【 nationSecurityawareness,educationandtΓ a︳ ning
資訊 安 全認 知及 教 育訓 練

C● 丘tr● 三七yPe 珇f° rⅢ a〔 ion εybε rsε curiΨ Oper缸在ona1 § εⅡri出◤d．m久 i且 S

s．cⅡ ritypr● p｜ r七 i兮S toⅡ 〔ep在 S Capa右 i玉 在es ．
一
#Preventive #Conf坵 en〔 主
a︳ ity #Proteε 七 #HⅡ manresourε e #GOvernanceand
#工 n七 egrity Seε ur:ty ΞcoSyS七 em
#Avai王 出 ili好
府
鑱 籛 鑰 兩瞞雖琳 寧 碑

PuΓ Pose目 ｜
琦
下0enSu「 epeΓsonne︳ and「 e︳ evant intereStedpa碇 ieSaΓ e
瑙路餵錯妽鑼 航轝 懘 ′

aWa「 eofandfu︳ 兩︳the︳ r inforrnajon secuHtyΓ espons︳ bi｜ 比ieS.

確 保 人 員及 相 關 關注 方認 知 ,並 履 行 其 資 訊 安 全 責任 。
.眵
郎
鍛阿

◎ 了C︳ C
2-2S田 de︴ 20
 A.6P餓 $人 長 控 制
爸 C0俄 盞r♁ ｜
♁紳｜ 機 齺 雨 躪 鍍 竹

靂戈ξ
靂

鑰靆鐒鎗 鐇 齡雞谽鑈 山
∩ A＿ 6.碎 DiSdp︳ inaryprocesS獎 懲過程

ContΓ o｜ 腔帝寸
ㄐ告施
AdiScip︳ inaryprocessSha︳ ︳befOrrl╮ a｜ i2edandcornrΥ ╮un︳ cated

齡黰鑈 打
一
to takeactionsagainStpersonne︳ ando七 herre｜ evant inteΓ eSted

銹籗艸
parueswhohaVecommi世 a小 0nSecu山 typo︳ icy
edan inforrΥ ╮

籤無
V:o｜ ajon.

銹黫躌螂鍍槂 肇羅夥餵髒 鑰 筋器暡邪 喜谽螂

應 明確 訂 定並 傳 達 獎懲過程 ,以 對違 反 資訊 安全 政 策之 人 員及
其 他 相 關 關注 方採取行 動 。

C♁ 踱幻︳控 制擋 施
了比ek多 $h爸 比 be密 edd=Scip比 外俄$/pFoceSS︳ n
fbrr我 稜｜甚ndC° 舛甘沒un:C爸 在

俄e♁ 七
p子 ◆︴ ♁yee$w拙 ohaVecOⅣ ℉n=投edan
ake孩 C七 i6r一 aga工 ns︴ e維 〞｜
n苦 ◇rg找 3碧 :♁ nSee以 r;走 ybreach!
子

鉿帥
應 具備 正 式及 已傳違之懲處過程 ,以 辨違反 資訊安全之 晨王採取行節
◎ 下C︳ C 2-2S︳ ide鬥 2﹁

A＿ 6Peop︳ econt「 o︳ S人 員控 帝︳ ﹏

瑟舐好
蹬
— —

氏 6.碎 DiScip︳ ina呼 pΓ ocess獎 懲過 程 縐纖昲艙 璐

C° 且〔r° 毛ype IⅡ f0rⅢ a七 二

° n Cy$ersecur二 ty 0pera七 三
o球 a一 ydom臣 王ns
Secur二 ︴
secHr丘 Ⅵ◤pr● pertie§ ε6Acepts C在 pab玉 云
t王 e§

#Preven七 亡一
Ve#C0r- #Con且 den七 主
ality #Protect#ReSpond #E社孔 an＿ res0法 rε e一 #G0vernance＿ nd一
rec七 :Ve 勞工ntcgr工 ty Secur比 ˊ EcOS歹 Stem
#AV及 工玉abi生 比步
幾 鏃 銹 雞 鐒 碑驈蠱空 籊 鑼夥碎
布

PⅡ rPoSe目 的
下oenSurepersonne｜ andotherre｜ evant︳ ntereStedparties
understand七 heconsequencesofinforr【 ╮ at︳ on secur︳typo︳ icy

on,todeterandapprOp「 iate︳ ydea︳ withperSOnne︳ and

Vio︳ a七 ︳
路擺啣鑰 磁雀 霆 〃當 瞈 螂

otherΓ e｜ evant︳ nterestedpartiesWhocoΠ ╮ rnittedthevio︳ ation.

J 確保 人 員及 其他相 關關注方瞭解違反 資訊安全政 策之後果 ,制
一 止及妥善處理違反 資訊安全政 策的人 員及其他相 關關注方 。
谽將

◎ TC︳ C Modu︳ e2-2s比 de鬥 22

 A.6Peo外 econ在 rO心 人 員控帝心 中

釐舐『
好籤
— —

翰黝鎀鍛 鑼 鑰靆餓饑 餌
A.6.5ReSponsibi︳ itiesa丘 eΓ teΓ mination oΓ changeof
erΥ ╮
u。 yrnent聘 用終止或變更後之責任

ContrO︳ 腔帝︳
︴ ●昔施

瞈灘鍋 →
｜nforrΥ ╮
ation secuΓ ityresponsibi︳ itieSandduties七 ha七 remainva︳ ida孔er
ination oΓ changeofemp｜ oyr了 ︳
terrΥ ╮ entSha︳ ︳bedefined,enforcedand

縐譊螂
coⅣ Wnunicatedto re｜ eVant personne︳ andothe「 interestedpa㏄ ies.

我外鑰雞拂坤欺齵 笭臨
應 對相 關人 員及 其他 關注 方定 義 、施 行 並 傳 達 於 聘 用終止 或變更後 ,仍
保持 有 效 之 資訊 安全 責任及 義務 。

ㄉ→打占●﹉琢︻ ㄔ兮

皤移磊器鑰 航謹路邪 含 谽螂
Con士 r° ｜二
腔希好
寸階施
n的 rma各 錢
︳ SeCuⅡ 打 responS工 堆 b:｜ S臨。a什 ema子 nVa︴ ︴da放 er
teΓ ︳
n〡 nat︳ on orch按 ngeOfemp｜ oy了=eSanddu乩
Ⅵen之 S找 爸︳ 一 ned,coπ Wn級一 C接 主ed
〡bedef｜ n︳

Θ theernp︴
在 oyeeore◆ n在 rac之 Θ randen了 orced.
應 聲 員工 或約 用 人 員定義 、傳 達 於 撐 用終止 或變更後 ,資 訊 安 全 責任 及

鎗帥
義務 仍保 持 有 效 ,並 執行 之 。
◎ 下C︳ C
2︹ 2S︳ide︻ 23

A.6Peop｜ econ七 ro︳ S人 員守

空帝︳

鑰雞鑱艙 擺 鍋攤小
A.6.5ReSpons:bi｜ itiesaReΓ te「 rnination orchangeof
ernploymdnt聘 用終 止 或 變 更後 之 責任

εoⅡtrO一 type I且 出 rm放 主G工 Cy七 εrsε c︳ ri” oP兮 ra七 拓已a一 Sε c｝ r土 yd0田 臣主ns
Seε ur二 七ˊPr● pert主 eS C° Ⅱε兮pts εapa出 五i在 兮§
#Pre甲 entN毛 #C0土 fiden守 i且 li打 #Proteε t #HumanΥ esourε e #GOvernanceand
#工 ntegrity seε urity EGOsyStem
abi王 近y
#Ava主 王 級 ssetmanagement
㏄
鑰 钂 鑈 一描♁螂 寧 羅 學篴 斟 鏺 磁華冷鉾 音 妙 的

Pu卬 °Se目 的
To protecttheorganization’ s︳ nterestsaspa㏄ of七 heprocess of
changingoΓ terrninatingemp｜ oyment o「 contracts.
將 保 護 組 織 利 益 納 入 變 更 或 終 止 聘 用 或 契 約 之 過 程 的 一 告r分 。
谽粹

◎ 了C︳ C
M。 du︳ e五 r2S︳ ︳
de︴ 2‘
 A.6P砏 ♁紂｜
@$0n逢 野
♁︳竊人 員控 希嘻 趣 臟 陷 觸 麼 乎

靂舐 躍珮

眑黮錛幼 鐇 鑰纖鎀鑈 研
A＿ 6.6COnⅡ dentia︳ ityor non一 disc︳ oSureagreerΥ ╮
ents
機 密性 或保 密協議

腔希!寸際施
Con七 ro︳ 寸

錀繖鑈 跡
Confidentia!ityor non-disc︳ oSu「 eagreernents ref｜ ec七 ing七 he
be

鐒黫螂
organi2at︳ on’ Sneedsfor七 heprotec七 ion ofinforrnat:Onsha｜ ｜
identi了ied,documented,regu｜ ar︳ yreviewedands︳ gnedbypersonne︳

餓外鑰黫齡螂繳黐 學蘿苓盎譏 鑰 赫發盈π安鎀螂

ando七 herre︳ evant in七 ereStedpa㏄ ies.

又 映 組 織 對 資訊 保護 之 需要 的機 密性 或保 密協議 ,應 由人 員及 其他相 關
關 注 方 ,識 別 、書 面記錄 、定期審 查及簽署 。

G◆ n崔 幻｜控 制措 施
R兮 ¢$:Femen在 S串 0ξ c● n了 ｜ non一 d子 Sc:O$urea$reemen走 $
den║ 盆︳
:道 yor

°
re用 ec電 :n@theO的 aΛ 子 0n’ $needS了0r︴ hep了 o︴ eC笆 On° 了
之a老 子 n奉 Θ
︳ rrna七 :Oη
fied,regu︳ 8F｜ yreV工 ¢賤 ¢ 撥mdd° CⅥ me我 碧ed‘
Sh撥 雄 be｜ ¢en之 ︳

谽坤
及文件化 ,以 及盛籃纖螢 訊保 護 色 需要 始機 密．
l生 或

唎擺 議鑨 一
2-2S︳ ide可 25

A＿ 6Peop︳ econtro︳ s人 員控 帝︳ ﹏

A.6＿ 6ConⅡ den小 a︳ yoΓ non一 disc︳ OSureagreements

i七
鐖籛 鐑嬐 齺 錢鵯

機 密 性 或保 密協議

C° 在七r● y〡 e
在 I女 f● r】 m宙 uO在 C於 ersec也 七
在y opera七 王
oⅡΠl Sε εur土ydOma:五 $
seε uritypr.p兮 r在 εs Cσ nε 兮p七 S Cap母已甘:tieS
一
一 #Human一 resOⅡ rce＿ Sec吐 r主 ty #GoVern琖 玉Gε d
#Preventi吒 #Confiden〔 ia土 tˊ 界Pr0七 ect a且
且f0rmat主 On一 protec七 tOn
著玉 且Co∫ ˊS右 em
#乩【
pp士 工
et了 e土 a七 主
OnSh﹏ ∫
織 鐪 籮 齡 抪協翰帥 擊 籮 學錯繙蝷鍋 插鋒跨釙 章 姼 螂
布

PHrPoSe目 的
tyofinformaHOnaccess︳ eby
TOm田 n七 ainconⅡ denUa｜ ︳ b｜

personne︳ o「 eXterna︳ paΓ eS. t︳

維 護 人 員或 外部 各 方 可 存 取 之 資 訊 的機 密性 。
紛肺

◎ 下C︳ C e2-2s︳ ide﹁ 26

ㄩ︳
 A.6Peop｜ econ七 ro︳ S人 員控 制
安蟲口
β戰
—
— —

協靆 鑰妨 嬏 齡灘 鎖鑞 外
oteWO「 hng遠 端 工 作
A.6.7RerΥ ╮

措施
Contro︳ 控 帝︳
Securityrneasuressha︳ ︳beimp︳ ementedWhenpeΓsonne︳ are

鑰黮 佛 站
WOΓ kingΓ er!╮ ote︳ yto protect｜ nfoΓ ationaccesSed,p「 oceSsed
r!╮

or stoΓ edouts︳ detheorganizat︳ on’ spΓ erniSes.

協巍 艸
↙應實作安全措施 ,當 人員於遠端工作時 ,保 護於組織場所外存

鋮小錛羅 鑰娣欺齠 擊“
取 、處 理 或儲存 之 資訊 。

Contro｜ 寸 ㄐ
腔常｛階施

鑼夥窋罍 娥 臨器跨潞 善 谽坤
Apo︳ ︳ cy俄 ndSuppor七 in9rnea$uΓ essΛ 爸︳ ︳be:mp︳ emen七 edt°
pΓ o推 c七 in了OFξ nat︳ onaccessed,proces$edor storeda女

七e｜ eW° rk子 n$S=tes.

應 實作 政 策及 支援 之 安全措施 ,以 保護存取 ,處 理 或儲存 於 遠距

幼竹
工作場所 之 資訊 。
◎ 下C︳ C
2-2S︳ ︳
deη 27

A.6Peop︳ econt「 o｜ s人 員控 制

錀黰 鑈谽
A.6.7RernoteWOr㏑ ng遠 端 工 作
了破 ︶ Pe
C● Ⅱ七 五比 rma它 且 n C於 ers.cⅡ r土 y OPera在 i°na︳ Seε uri七 ydDmains
． ieS
secⅡ r二 好 pr.per七 ε●n吁 εP七 E ε汪
｜ ab五 1女 ies
一
#PreventNq #CoⅡ fident主 眾Iㄦ y #Pr0七 ect #A∫ Se七 ＿man招 e亞 en仁 #Pr0仁 eCtiOn
#工 址 e野 :守 #rn∫ orma七主
0n＿ pr0七 eε 一
#Avai1刮 bili牡 thn
#Phy§ icaI＿ sec,rity
#Sy∫ temand＿1︳ e←
work＿ Seε ur在 ty
“
鑈 黮 錛 林欺 鍛 期孟將雀窩將辦彿 描玲跨 ↙ 工 妙 螂

PWP。 Se目 的
TOensu「 etheSecu「 ityofinfOrΓ na七 ionWhenpersonne︳ are
Workingremote︳ y＿
確 保 人 員遠 端 工 作 時 之 資訊 安 全 。
劬盯

◎ TC︳ C
du｜ e2＿2sⅢ de﹁ 28
u。
 A.6Peop︳ econtro︳ S人 員守
空帝心

齡騷齡錯 鐋 鐑籛谽鑰 餅
A.6.8︳ nformajon secu“ tyeventΓ epo比 ing資 訊 安全事件通報

Contr引 控 制措 施

協籛佛 巧
O
eChanisrnfor personne︳ 七
Theorganizat:on sha︳ ｜pΓ 0Videar了 ╮
eport obserVedor suspectedinforrnationSecurityevents

齡錘螂
「
throughappropΓ :atechanne︳ s inatirne︳ yrnanner.

鎡岱
組 織 應 提 供機 制 ,供 人 員透 過 適 切 之 管道 ,及 時 通 報 所 觀 察到

呦黰協妽輹黐 犖跡
或 可 疑 的 資訊 安 全 事件 。

擺寧駕譏瞈 筋 $琀跡 當谽螂

C♁ 批發
野 二
◆含控 帝寸堵一
另色
♁俄 $eCuΓ ityeven走 S$h級 ︳
雄督♁F︳ $位 之｜
︴ :b紛Fep6歧 edt圠 r♁ u@抁
Sa$伐 $言 ck:y鐵 $pΦ $$工 莏｜e.
俄ppFOpξ ia七 er﹏ an接 9eme件 七chan俄 ♁︳

應僱 適坊之 管理 管遙 ,儘 速通報 資訊安全事件 。

盼外
◎ tC︳ C 2-2S︳ ide｛ 29

A＿ 6Peop︳ econtro︳ S人 員控 制 ﹏

犛戤 β颻
— —

鐑議鑰徐 齵
A.6.8ln了 ormajonSecu山 tyeVentΓepo㏄ ing資 訊 安 全 事件 通報

C∮ Ⅱ七
r斑 typ兮 土銘 rⅢ 斑 拓 n
王 C!” er§ ec旺 Hty Opera七 二且a至 Securi” do扭 ainS
s§ cur是 typr． per它 ieS Co↑ Cε PtS capa右主二。 es
留 :主

勞Detective #Co且 fident王 a1比 y 華｝e守 eCt #王 nforma它 王 On小 eC故 一 #De銘 nce
站 egr〔 ㄝ
#王 rity＿ eVen比 ma阻ge-
帶知 a工 !at王 王
i中 me址
躐睥
兟 鑰 黫 鍋 師城啥帥 擊 撬 移盟播妽彿 磁鉹路掛 哥 艙 師
千

P︼ rPoSe目 的
ToSuppo㏄ tirne｜ y,consiStentande帝 ect:Vereportingof
atiOn台 ecur︳ tyeven七 Sthatcanbeident:f︳
infoΓ rΥ ╮ edby
personne︳
U
.

支援 及 時 、一致及 有效通報 ,可 由人 員識別 之 資訊 安全事件 。

鎀外

◎ 下C｜ C 2-2S︳ ide｛ 3。

 A.了 Physica︳ contr0心 實 體控制 十

r爞 輝
— —

齡繖 鎀盼 鑼 餓靆 紛鑯 無
A.7.η Phy由 calSecu山 typeㄩ ╮
eters實 體安全周界
rΥ

Contro︳ 腔帝︳
┤際施
Secur:typerimetersSha︳ ︳bedefinedanduSedto pΓ otecta「 eas

錀鑫 鍋 打
一 n info「 rnation andotherasSOciatedassets.
thatconta︳

鈐繳 抑
殭 冬 盄 圣 使 用安 全 周 界
,
以保 護 收 容 資 訊 及 其 他相 關聯 資產 之

餓ㄍ鏺雞 撥師舞鏃 癹羅 路錄舉 齡 航令玲邪

Con註 ro｜ 控 希心
措施
SeC班 扎 perimeters s几 俄︳
r︳ ｜bede了〡 nedandusedto pro七 ectareas
老ha七 conta:ne:t乩 erSen$itiveorcF° 老 〡ca︳ 子 nat︳ 0nand
n了0Γ 【

子 一
n了orrⅥ a七 ;° np「 ocessin$｜ aci:〡 七
〡eS.
廲 定 義與使 用安 全 用 界 ,以 保 護 收容敏 戚 或 重要 資訊及 資訊 處

:谽
理 設 施 之 區域 。

螂
紛擗
◎ 下C︳ C
22S︳ ︳
de﹁ 3︴

A.7Phys比 a︳ contro心 實 體控 制

燐飄 鑱燄 硹
A.7.可 Phy由 calSecu︻ type山 rl╮ eteΓ s實 體安全周界

εo▲trol七 yPe I且 免 rⅢ a七 i◆ Ⅱ Cy出 ers． εⅡr二 在y opε ra止 ⅡaⅡ Sε εrityd㎝ains

Ⅱ
Becurityprop.r技 εB ε●ⅡcePts ．
拉es
capε bi王 二
#PreVe且七iVe #C01fidentia王 ity 拜Proteε t #P竹∫比a王 一sec社 r社 y #Proteσ七
主on
#工 n仁 egrity
#AV多 :l加 王
王坤
鏺鼛的
蠍•鑈黫 齡妳欺覝 鞏簼 帑竅讓媰 城簽玲許 守 妙師

PWP。 se目 的
下o preVentunauthoΓ :zedphysica︳ access,damageand
inte市 eΓ enceto theorgan:zation’ s︳ nfor【 ηationandother
asSociatedassets.
防止未 經授權 之 實 體進 出 、破 壞 及 干擾 組織的資訊與其他相 關
聯 資產 。
♁擗

◎ TC︳ C
2-2S︳ :de﹁ 32
 A＿ 了 Phys比 到 contro心 實 體 控 制 務齥的鱷齷 竹

靂乳 靈

齡籛鈐錯 鑼 瞈籛鐒鐖 ∫
╮ A.7.2Phy由 c刉 ent「 y實 體進入

Contro︳ 三
腔希︳
┤階施
Secureareassha︳ ︳beprotectedbyappropriateentrycontro｜ S

鐊黮鑰 排
andaccess points.

鐒黫艸
保 全 區域 應 藉 由 適 切 之 進 入 控 制措 施 及 進 出點 加 以 保 護 。

$佛
巍
φ竹韓坤笛e〞 箄躍:琴 習璋

黦搦睥毅磥 寧簼帑饈舞 鑰 魧器琀黚 音谽艸

C♁ 維選
安♁︴控 希寸攜名
毯
$兮 G敬 ξ 一一 爸｜
皓俄Fe砝 $$鈺 碧紐e紂 好♁teG之 e硾 妳
一y雀 ppξ ♁紂 俄有een者一岑¥e♁ m雷r♁ ｜
$
r工

在0e無 $級 ξe道 拈綾愛♁n君 y撥 妖邊撫Θri2ed紂 e野 $O抩 紂e｜ 襏Fe綾 官

︴ 一 Cee$$〔
♁躍 ed爸

保安 區域應藉 曲適 切之 進入控制措施加 以保護 ,以 確保僅 允許

經授 權 人 員進 出 。

艙帥
◎ 下C︳ C 2一 2S︳ide鬥 33

A.7Physica︳ cont「 olS實 體控制 ﹏

露薽 躍
— —

A.7.2Phy乩 a︳ entry實 體進入 聯雞鑈谽 鎞 鑈籩鈔饑 心

Acce$$伊 外老
♁｜ $$燄 eh徬 $de言 ｜ 維紼 俄Fe礅 $撥 雄d♁ 走乩eξ
Ve犐 ′俄拂a︳ o俄 妞〡
pΘ ｜
批達$、 解he野 ♁ um接 敬琶範♁r:崖 e妞 per$o雄 $r╮ 按ye雄 在e各 $e$
七扽epre出 冉〡
在bec0找 穹
$比 踐善 ξ ed俄 nd,:才 p♁ $喜 君
Θ毒
︳ 妞︳@︳ ︳
$Θ 音
俄發e礎 了F♁ m︳ $管 ΘFr乳 磁報Φn
鑰籦瞈 穴

pξ ♁C♁ 爸$言 n$f接 C言 ︴

工
在君
e$七 ♁接 吐u我 錢u電 納♁ξ
V。 子 君Ze硪 接CCe嶺 $‘

對 謠 如 交付 及 裝卸 磁 ,以 及 其 銘未經授 權 人 嚴可 進 入 之 作 業場
鑰黫艸

僻 釣 進 出點 ,宜 加 以控 管 :若 可 能 ,室 與 資訊 處 理設 施 鵰籬
兟心

,
鐱

以 避 兔未 經授 罐 之 存 取 。
C●且七r斑 七步pe I玉 拓 r玉 at王 S且 Cy己 ¢r§ ec在 r王 年 op它 ra七 二
o且 a一 Se〔ur引 七√d° mai王∫
SeCⅡ r二 七ypr6pε rt二 es C6在 Cep七 ε caPab王 二 七主
eε

#Pre玲 就 差
Ve #Ccn丘 dentia王 比y #PrO〔 ec七 #P啦s王 ca:＿ SecuriW #Protec在 On
一
#王 ntegr1哲 #王 dmt瑛一and＿ Ac-
ty
#及Vai王 abi玉 主 εe§ g＿ &任 a土 agelhent

P︼ rPoSe目 的
磁舉跨掛 當 盼 師

下0enSureon︳ yauthoΓ izedphys︳ ca︳ access to the

organization’ s inf○ r┐ a七 ionando七heraSsoc:atedassets occurs
嬐師

「
◎孔陀確 保 僅 有 對 織 資 訊 及 其 他 相 關聯 資產 的 經 授 權 實 體 進 出 。
組 之
2-2S∥ de-3ㄔ
 A＿ 7P仇 ys比 alcontro心 實 體控 制

鎀黤 錐轒 鑼 鑰纖 幼鑭 小
A.7.3Secur:ngo帝 ︳
ceS,roornsandfaci︳ ities

保 全 辦 公 室 、戶
方問及 設 施

措施
ContΓ o︳ 控 帝︳

鑈飄 錛 站
PhySica︳ 比 Cu山 tyfor o帝 iceS,roomsandfaci︳ ㏄ieSSha︳ ｜be

鋊黫 螂
〞
鼛室素
挐尺≧ㄗ
雪旨≡
室霓主
實體全
安並作
實之。

甄本齡黤 齡坤爽覯 縈徽 舉餓譁 螉 瞞甚珴邪 喜 紛師

Con之 ro︳ 夌生臻﹏
措施
Phys:ca｜ Secur︳ ty了 orO拜 iceS,rOOms,and了 ac︳ ｜
雄:eSSha︳ ｜be
des︳ gnedandapp︳ ︳
ed.
應 設 計辦 公 室 、房 間及設施 的 實 體 安 全並施 行 之 。

♁外
◎ 下C︳ C
2-2S︳ ide鬥 35

A.7Phys℃ a︳ controㄦ 實 體控 制
尸已 ㄏ
—
—

鑈黦鑰鍛 鑴 銹簸杺
A.7口 3Securing0用 ceS,Γ oomSandfaci︳ itieS
保 全 辦 公 室 、戶
方間及 設 施

C● mtr● 工type 出 hr五 鉒 比在 CyberS兮 CⅡ riW oper斑 在oⅡ a一 S兮 Cur土 ydo工 ︳

la】 且S
secⅡ r五 typr●per七 ieS εonε 兮pts εnpnbⅡ it二 兮S
#Prevent亡 ve #Con我 dentj女 王
i打 #Pr0七 ec七 #P時s比 al＿ SecHr主 ty on
勞Protec七 主
#工n七 egri七 y #ASSe七 途anag㎝ ent
拙 va長 lab:1:仁 y
一
市
鑈 黫 鏺 ︴臨離聖 電 輜學蛋確姆錛 航拜冷河 毒 幼 郎

P肝 P。 Se目 的
下o preVentunauthorizedphysica︳ access,daΓ nageand
:nte㎡ erenceto theorgan:2ation’ s in了orrnationandother
aSSociatedassets in0和 ceS,「 oomsandfaci｜ itieS.
防止 對辦 公 室 、戶方問及 設 施 中組 織 之 資 訊及 其 他相 關資產 的未
經 授權 之 實 體存 取 、破 壞 及 干擾 。
谽盯

◎ 丁C︳ C
Modu︳ e2-2s︳ ide▅ 36
 A.了 Phys怡 a︳ contro怡 實 體控制 好

靂颻 靂
— —

銹驗鈐鍛 曬 鋡籛谽鑼 餅
A.7口 碎Physica｜ Secur:tyrnonitoΓ ing
實 體安全 監視

Contro︳ 控 帝中檔切也

鑈籲鐊
Prernisessha︳ ｜becont︳ nuouS｜ yrΥ ╮
onitoredforunauthorized

#銹
題螂
phys︳ ca︳ access.

籤妳鑱籛銹仰籃黐 孥簃學餯擺師
所 ,
權 之 實體進 出 。

鐑 航器冷帥 宮鈔螂
幼帥
◎ 了C︳ C
22S｜ ide﹁ 37

A.7Phys心 a︳ contro心 實 體控制 十

簽舐好
露
— —

A.了 .碎 Physica︳ Securityrnonitor︳ ng 鐑黝狒劬 饑

實 體 安 全 監視

C°且tr° 1打 pe 且拓 rⅢ a七 i° 且 c群bersecⅡ ri七 y oPera住 o且 a二 Se〔 吐ri出 ◤dD扭 ai且 §

§ecⅡ r王 typr6p兮 r〔 iε § εOnε ep七 S C且 Pab甚 主
主jc§
一
考Pr忿 Vent在 ve 華COn在 dentiaI工 七 y #P了 0teC七 #DGtect #P丘 y∫ icaI一 SeGur比 y #Protec七 i0n
#De七ectiVe #五 且tegrit牙 #De抬 且Ce
ty
鰍 Vai〔 出bi王 玉
姊
翰 籦 齡 螂欺 齵 學 轉

PurPose目 的
Todetectanddeterunauthori2edphysica!access.
播舉錯盤 砩 赫器撥鉾 再 螃 艸

偵 測 並 阻止 未 經 授 權 之 實 體 進 出 。
鋨帥

◎ 下C︳ C
2-2S｜ :de｛ 38
 A.7Phys︳ ca︳ controls實 體控 制
嫠薽 窟
— — —

鑰靆鑰鍛 鑼 鏺飄幼鑯 外
A＿ 7口 4Physica︳ Secu山 tymon比 0山 ng
實 體安全監視

Guidance指 引｛
︳So27002)

錛雞瞬 琳
Physica︳ prerΥ ╮
isesshou︳ dberΥ ╮ ancesystems,
onitoredbysuⅣ ei︳ ︳
Whichcan inc︳ udeguards,intΓ ude「 a︳ arr【 ╮s,video rnonitoringsystems

鎙黫螂
suchasc｜ osed一 c︳ rcuit te︳ eVisionandphySica︳ securityinfor了 nation

甄八
management soflWaΓ ee︳ theΓ ︳ yorbyarnonitoring

鐖簭鑰師航玲竺電 擺犖每舞 鎀 魧器跨跡 彥谽螂

anagedinterna︳ ︳
rΥ

serviceprovider.
實 體 場 所 宜 由監 控 系統 監視 ,其 中包括 警衛 、入 侵 者 警報 器 、視 訊 監
視系統(諸 如 閉路電視),以 及於內部管理 或由監視服務提供者管理之
實體安全 資訊 管理軟體 。
Access tobui︳ dingsthathouSecΓ itica︳ systemsshou︳ dbecontinuous︳ y
monitoredtodetec七 unauthori2edaccess orSuSpiciousbehaViouΓ by
宜藉 由下 列方 式持續監視 容納 關鍵 系統 之 建物進 出 ,以 偵測未 經授權
的進 出或可疑行為

啪將
:

◎ 下C︳ C
2-2S︳ ide﹁ 39

A.7Phys℃ a｜ controlS實 體控 制 -

π已 π
— —

A.了 .碎 Physica｜ Securitymon㏄ o〢 ng 鑰黮彿鍛 鑼 鍋黤紛纖 ¢

實體安 全監視
a)︳ nsta︳ ︳
ingvide° rnonitoringsystemssuchasc｜ osed-circuit te︳ evision toView
and「ecordaccess to sensitivea「 easwithinandoutSidean organization’ s
pren╮ ︳seS;
銹攤瞈 外

安裝視 訊 監視 系統 (諸 如 閉路 電視 ),以 查看 並記錄 組 織場所 內外敏 感 區域 之 進

出 。
鑰黤師

ing,accordingto re︳ eVantaPP︳ icab︳ estanda了 dS,andpeΓ iodica︳ ︳

b)inS七 a︳ ︳ ytesting
紙山

contact,soundor rnotionde七 ect。 Γ s to triggeran intrude「 a︳ arm suchas:

銹纖鑰郎貓雜螂擊羅學驟鑑帥

依相 關適用標 準安裝 ,並 定期測試觸發諸 如 下列各種 方 式之入侵者 警報 器的接

觸 、聲音或移動 之 偵 測 器 :

ingcont孔 tdetectors thatt山 ggeΓ ana︳ arrnWhenacon七 actiSma比

η);nsta︳ ︳
orbroken inanyp︳ aceWhereacontactcanbe了 nadeoΓ bΓ oken(Suchas
WindoWsanddoorsandunde「 neatho● jects)tobeusedasapanica︳ a︳n;
一 一
鍋 城鑏啥沖官 幼螂

於 所 有可接觸 或斷 開接觸 之 處 (諸 如 門窗及物體 下 方),安 裝接觸 偵測 器作 為 緊

急警報 ,當 接觸 或斷開時 ,觸 發 警報 。
2)rn。 ti° ndetectorsbasedon infra-redtechno︳ ogywhichtriggerana〡 arrn
whenano切 ectpaSsesthroughtheirΠ e︳ dofView;
谽盯

基於 紅 外線技術 之 移動偵測 器 ,當 物體通過其視野 時觸發 警報 。

◎ 下C︳ C
2-2S｜ ide鬥 ㄔo
 A.7Phy山 ca︳ cont「 o︳ S實 體控制 蠐

搦雞鈐艙 璐 翰皺谽鐖 外
A.7.碎 Phy由 ca︳ Secu山 tymon比 OHng

實 體安全監視

3)insta｜ ︳
in9sensors senSi七 iVeto thesOundofbreakingg︳ aSS、Ⅳhichcanbe
usedto tr° ggerana︳ arrΥ ︳

鐖黰錀 功
toa｜ e比 Securityperson ne比

安裝野玻璃破碎 聲敏 感 之 感測 舞 ,可 用 以觸發 警報 以 警示安全 人 員 。

縐籛螂
externa｜ doorsandaccessib︳ eWindoWS.
c)usingth° sea︳ arr﹁ s tocoVera︳ ︳
irneS;coVe「 Shou｜ da｜ sobe

颻外
Unoccupiedareasshou︳ dbea︳ aΓ rnedata︳ ︳七

銹黫鐖師籃稱 擊露雀簽舞佛 筋潑跨珅 當嬓螂

providedfor otherareas(e.g.computer orcommunicaⅡ onsΓ ooms).
使 用上述警報 器以涵 蓋所 有連外大 門及可接近之 窗戶 。無 人區域 宜全時段 警
戒 ,亦 宜涵蓋其他 區域 (例 :電 腦 或通訊 室l。
下hedeSi9nofrnonitoΓ ingsystemSShou︳ dbekeptcon何 dentia︳ because
diSc｜ oSurecanfaci︳ itateundetec七 edbreak一 ins.

鵔視 系統 之 設 計 官保 持 勝 密 因揭 露可 能 易遭 無 種 渙〡比 菂 闔 入 ．

Ⅱllonitorin9systemsshou｜ dbeprotectedfroΠ ╮unauthorizedaccess in ordeΓ

七o preVent suΓ ′ anceinforrnation,suchaSvideofeeds,froΠ ╮being
ei｜ ｜
、
accessedbyunauthorizedpersons or syste了 ﹁Sbeingdisab｜ edΓ erl╮ o七 e︳ y

翰帥
宜保 護 監視 系統 免 受未經 授權 之 存 取 ,以 防止 未 經授 權 人 員存 取 監視 資訊
◎ 了C︳ C
(諸 如視訊饋送)或 由遠端停用系統 。 2-2S▆ de可 ㄥ鬥

A＿ 了Phys心 a｜ cont「 o｜ s實 體控制 ﹏

靂
靂鑯口
— —

A.7.碎 Physica︳ Secu「 ity【nonitO「 ing 鍋黲鑼嬐 鋪 銹颻鈔鏹 ¢

實 體 安 全 監視
﹁Sys七 eⅣ ●contro｜ pane｜ shou｜ dbep︳acedinana︳ ar了 ned20ne
下hea︳ ar了 了
oWsaneasyexi七 r° u七 efoΓ the
and,for safetya︳ a「 r!╮ S,inap｜ acetha七 a｜ ︳
銹羻銹 本

personwhoSets七 hea︳ ar︳╮.下 hecontro︳ pane︳ andthedetectors

shou︳ dhave七 amperproOfr了 ︳eChanisms.下 heSys七 eΠ╮Shou︳ d「egu〡 ar︳ y
錛黤螂

betested七 0enSure七 hati七 iSWorkingaSin七 ended,pa㏄ icㄐ ︳ a「 ︳

yif︳ ts
餓¢

co「 nPonentsa「 ebat七 erypoWered.

縐纖協碑畿觀 寧搖夥坤

警報 系統控制 面板 宜放 置於 警報 區 ,且 安全 警報 宜放 置於 容許設 定警報

器之 人 員方便進 出 處 。控 制 面板 及 偵測 器宜具防破壞機制 。宜定期測
試 系 統 以確保其依 預期 工作 ,尤 其是其 組 件 由電池供 電時 。
Anymonitoringandrecording〔 nechan:SΠ︳shou｜ dbeusedtak｜ ngin七
級錯蝷

awsand「 egu︳ ationSinc︳ udingdatapr0七 ect:onand 。

conSiderat︳ on︳ oca︳ ︳
鑈歡磁

P︳ ︳ yregarding七 he〔 nonitoringof

pΓ0七 ection︳ egiS｜ ation,espec︳ a︳ ｜
跲鉾言 鎀坤

Personne｜ andrecordedvideore七 en七 ionPeriodS口

所有 監視 及記錄機 制 之 使 用 ,皆 宜考 量當地法律 及 法規 ,包 括 資料保護
鎀抔

及 P︳ ︳保護 法律 ,特 別是 關於 人 員監視及錄 製視 訊之 留存期 限 。

◎ 下C︳ C 2-2S︳ ideη ㄔ2
 A.7Physica︳ contro心 實 體控制

錛灘齡蚡 鐇 鑰黫妢鑰 外
A.7.5Protectingagainst physica︳ andenVironrnenta︳ threats
防範 實 體及 環 境威 脅

ContΓ o︳ 控 制措 力
也

鑼黫鑼
PΓ otectionagainst physica︳ andenvironmenta︳ thΓ eats,suchas

$鈐
natura︳ d︳ sasterSandother intentiona︳ OrunintentiOna︳ physica︳

曆啷
鎡小
thΓ eats to infraStructuΓ esha︳ ︳bedesignedandirΥ ╮p︳ emented.

鑰籲鑰坤樊餵 筆攜帶饈奲 鏺 舖發姓ㄏ音♁妳

應 設 計 並 實 作 防範 實 體 及 環 境 威 脅 (諸 如 天 然 災害 及 其 他 對 基 礎
設施之蓄意或非蓄意的實體威脅)之 措施 。

Control控 制措 施
Phys｜ ca｜ PFO七 ec之 iOna$接 inS走 na七 uΥ 接;d〡 Saster$,ma官 iciOus缺投ack
oracc;den七 $Sha︳ ︳bede$i$neda我 dapη ︴ ied.

應 設 計 並施 行 實 體保 護 ,以 防 範 天 史 、惡 意攻 擊 或事 故 。

幼帥
◎ 丁C︳ C
2-2S︳ ide︹ 玲3

A.7Phy山 calcont「 o心 實 體控 制 十

π出 π
— —

A.7:5P「 0七 ectingaga︳ nst physica｜ andenvironmenta︳ th「 eatS 鑰飄 鑱鉹 鑼 椰

防範 實 體及 環 境威 脅

CcⅡ trd七 yPe I五 掐 rⅢ區心 on Cy打 erε ec在 rit/ OpeΓ a#Ona1 yd㎝
Se〔 ur五 七 a主 ︴S
seε uritypr． Perties εOnCeP七 ε Ca↑ ab王 Ⅱ在eS
勞Prevem〝q #COnf主 den在 盆:比 y #Protect #喲 s比 a S㏄ uri中 #Pr0在 eCtion
#Integrity
#Avai︳ ab正 土群
“
鑰 黫 銵 ︴描雜堅 翟 緇路鏺緇鉀佛 磁曌霆 ′手 ♁ 螂

P︼ 卬 Se目 的
。
下o preVent orΓ educetheconsequencesofevents originating
fror︳ ╮phys︳ ca︳ andenvironrnenta｜ thΓeats＿
一 一

防止 或 降低 源 自實 體及 環 境 威 脅 之 事件 的後 果 。
燄師

◎ 下C︳ C
2-2S︳ ide一 冷兮
 A＿ 7Phys比 a｜ contro心 實 體控 制

塕繖瞈妢 餾 翰騹盼纖 小
｜
╮ A.7.6wor㎏ nginSecureaΓ eas於 安 全 區域 內工作

腔帝︳
Contro︳ ㄐ ┤暗施
SecuHtymeasuresforWOrk:ngin secureareassha｜ ｜be

鐖飄鑈 功
p︳ emented.
designedandirΥ ╮

鈐籛螂
應 設 計 並 實作 於 安 全 區域 內工 作 之 安 全措 施 。

鉞外鏺黦齡帥斃磥 罕豬移栽鶢 瞈 竑器撥黚 音 谽螂

C♁ 孔七
r♁ 帶嘻;路 路
色
=控
Pr♁ Ced琲 ξe$苦♁FW♁
一 ξ改︳雄
gin$ec研 Fe彿 安e硪 $Sh俄 君︳be4爸 $=9ned缺 件d
接p紳 吝︳
eu…

應 設 計 血施行 於 安 全 區域 內工 作 之 程序 。

砏帥
◎ 下C︳ C 2-2S山 deπ ㄥ5

A＿ 7Phy由 ca︳ contro怡 實 體控 制 ﹊

揮舐好
彈
— —

齡黮 鑈錼 鑴 錛
A.7.6WOrkingin securea「 eas於 安 全 區 域 內 工 作

ype
C.ㄥ trO一 七 致拓 r且 出 比 n y
Cyberε et社 r玉 七 opera七 主
o且 a= §eε Ⅱr主 七ydD且 a二 n§
seε ↓r引七√propε r在 ieS C● 玉Cep七 S εapab且 主歧es
一
Ve
特PreVen七 在 #Con&de且 七ia｜ i七y #P了 0teC守 #P盯 s竹a:一gecuh吁
一
#Pr0它 eCt玉 0n
#正 比 e舒 在
呼
#肘磁且ab二 主itˊ
$鑈
黤 搊 碑瓶雜豎 鮤 路移靈 轟 鑈 械錚玲鉾 每 盼 啷

Pu印 °se目 的
下o pr0七 ect inforr!︳ at︳ onandotheraSSociatedassets in secure
areasfΓ orndamageandunauthor︳ zed:nte㎡ brenceby
personne︳ woΓ king:ntheseareas.
U 保護 安全 區域 內之 資訊及 其他相 關聯 資產 ,免 受於此 等區域 內
工作 的人 員之損壞 及 未經授權 的干擾 。
紛外

◎ 下C︳ C 2-2S︳ ︳
de﹁ 46
 A.7Phy由 ca︳ contro心 實 體控 制 ◆

錚燄 β
— —

齡鸂翰盼 蟠 齡颾繚鑯 加
A.7.7C｜ eaΓ deskandc︳ earScreen
桌 面淨 空與 螢幕 淨 空

ContΓ o︳ 寸
腔帝︳
ㄐ際施

鑰麤銹
C︳ eaΓ ovab︳ eStoΓ agerⅥ ediaand
desk ru｜ esfor pape「 sandΓ erΥ ╮
earscreenΓ u︳ esfoΓ inforrna七 ion pΓ oceSSingfaci︳ itieSSha︳ ︳be

$彿
靉郴
c︳

definedandappropr:ate｜ yenforced.

鉞出銹黫鏻螂欺餵 學姊
應 定 義對 紙 本 及 可移 除 式儲 存 媒 體 之 桌 面 淨 空規 則 ,以 及 對 資
訊 處 理 設 施 的 螢幕 淨 空規 則 ,並 適 切 實 施 之 。

路瑹餵灘 鑰 瞞壁餵ㄔ音 谽螂
COn走 ro︳ 控 制措 施
AC︳ e爸 cyfor paperSandξ emov爸 b｜ eS在 orage【 ╮ed;aanda
=deSkp0比
c︳ earscreen po比 cyfor;n了 0rrⅥ a左 ion proeeSSjno了 ac:︴ :9$s乩 a比 be
i︴

ad° p毛 ed.
對紙本媒體與可移除式儲 存媒體應採 用 桌面 淨 空政 策 ,且 聲 資訊處 理設

妙帥
◎Tc℃ 施 應採 罵 螢幕淨 空政 策 。 22S︳ ide︴ 碎7

A.7Phys心 a︳ contro心 實 體控 制 十

π出 β
— —

A.7.7C︳ eardeskandc︳ eaΓ scΓ een 鑰黮鋒鎗 鑼 鑈

桌 面 淨 空與 螢幕 淨 空

C° 嶔tr● 1七 ype In竹 rm在七 i● n C” ersecⅡ r放y oPer田 七

主ona玉 S㏄玫ri竹 d° mains
批㏄ r一 typropor伍 es C° mCep在 § εaPa#≡ 1二在es
#Prevent≡ ve #CO且 燕dentia!ity #Protect #Physica1一 security #Protection
無
鑰龘師
兟府鏺籦鏺螂欺鷫 瞿露拳餒盈崩 磁麓齵一

Pu卬 °Se目 的
2edaccess,︳ oSSofand
下oreduce七 heriSks ofunauthoΓ ｜
damageto︳ nforrnat︳ on ondesks,screenSandin other
accessib︳ e︳ ocationsduΓ ingandouts︳ denorrna︳ working
houΓs.

降低 於 正 常工 作 時 間 內及 外 ,桌 面 、螢幕 及 其他 可 存 取位 置
常 緲 ♁盯

上 之 資訊 ,遭 受未 經 授 權 的存 取 、遺 失及 毀 損 之 風 險 。
└Ⅳ＿

◎ 下C︳ C
e

2-2S｜ ;deη ㄔ8
 A.了 Phy由 ca︳ contro怡 實 體控 制 母

靂氖查舐
— —

翰巍錢蜍 蠮 翰黮劬饑 〝
｜
╮ A.7.8巨 qu︳ pr【 ent s山 ngandprotection設 備 安 置及 保護
╮

措施
Contro︳ 控 帝心
Equ｜ prnent sha︳ 比 eSitedsecure︳ yandprotectedj

鐖繳銹 玢
設 備 應安 全 安 置 並 受保 護 。

鐒攤螂
鈚外
跆麼路

拂黦齡聊繳鏍 拶撥縈館彈翰 貓器路許 善鍛榔

C琇 娘ro｜ 控 制撥 施 一
。
狂殘$在 pmen雷 $挑 撥｜ ｜豁e$君牽 ed走 ♁ re心 妳ee盞 heri$ks
eΦ 俄雄dpr0毒 e¢ 脅
$接 n4h稜 左硪Fd$,爸 出4♁ 紳肸♁雄 u#i崔 〡♁$f♁ ξ
了r6u︳ e俄 V手 ro出 路 e$碧 接︳七hre俄 性

u件 au之 h° r:2edacc♁ $$一

應 安 置鼓保 護 設 備 ,以 降低 來 齒環 境 乏 威 脅及 危 害造 成 的嵐 險 ,

以及 未 經授 權 存 取 之 機 會 。

幼帥
◎ TC︳ C 2-2S︳ ide可 ㄔ9

A.7Physicalcontro怡 實 體控 制 …

犛鬾 靂
— —

A.7.8巨 qu︳ pmentSitingandp「 otection設 備 安 置 及 保 護 鐖纖饞谽 鑴 鍋

yPe
C° 傘七r° 王七 王n出 rma七 主 on Eybersec逑 r丘 七y opera七 拓 土a王 Seε 社ri中 d0ma五 且S
Secur王 句t proper七 ieS C° 在Cepts capab在 狂t王 eS

#Preven七 打e #Co且 Hden七 :ali七 y #Protec七 #Phys工 ca:一 gec在 r主 ty #Protect主 0n

考王ntegrity #Ag§ e它 出an多 gemen它
一
北y
#Ava:王 &b垚 王
φ
銹 黫 鑰 師瞞鬱帥 夥磁路琌舜錯帥餚 瓶路撥帥 莒 鬱 師

P° Se目 的
PⅡ Γ
下o「educetherisksfroΠ ╮physica｜ andenvironmenta︳ 七
hreats,
andfroΠ ╮unauthorizedaccessanddamage.
降 低 源 自實 體 及 環 境 之 威 脅 的風 險 ,以 及 未 經 授 權 存 取 及 破 壞
之風 險 。
♁鄉

◎ 了C︳ C 2-2S｜ ide﹁ 50

 A.7Phys比 alcontro︳ S實 體控制

齡籬齡妢 嬾 齡黤紛鑯 外
A.7.9Secuhtyofassets o十 prernises
場所 外 資產 之 安 全

COntΓ o︳ 腔帝︳
┤階施

錀驤鏺 溶
ofus︳ teassets sha︳ ︳beprotected.

螉靨郎
應 保 護 場一域 外 資產 。

籤岱齡黫齡碑欺齷 鞏撥舉窟嬰鑰 磁路路卸 吝♁榔

CO我 #° ｜控希﹏
︴際施
Secu站 雜 ′Sha︳ 吾beapp｜ ︳ ed七 °O#-$iteaSsets之 akin9:ntoaccount
守hed子 田腔>rent r〡 sk$o了 WΘ rk︳ ngouts子 det找 eoΓ Sani2ation’ s
pre竹╮︳SeSi
安全應 適 用於 場域 外 資產 ,並 將 於 組 織場所 外 工 作 之 不 同風 險
納入考 量 。

盼阿
◎ 下C︳ C
2︺ 2S︳ ide﹁ 5η

A.7Phys℃ alcontrolS實 體控 制 十

r出r
— —

A.7.9Secu山 tyofassets o║ -premiseS 鋪籛鑈鍛 鐖

場 所 外 資產 之 安 全

ε0且 七 yPe
r6正 七 玉
n出 田口na七 是 Ⅱ cybersε tur土 y oPera拉 Ⅱa王 SecⅡ rityd.ma五 ㄥs
sε 〔 ．七
Ⅱrityprop.Γ ieS εoncepts ． eS
caPa在 致i且
#Preven七 iVe 勞C0nfid§ Ⅱtia王 北ˊ #Protect #Phys二 ca王 sec迂 ri七y #Proteε t三 On
一
#王 ntegr北 y 井AS§ et＿ managemen七
仔Avai且 出bi上 七
乎

P︼ 卬 °Se目 的
黫
鏺

To preVent︳ oss,damage,theRo「 comprorniseofo犴 一

Site 礅
鞏
deVicesandinterruption to theorgani2at︳ on’ Soperations. 舉
學

防止場域外裝置之 遺失 、損 害 、遭竊或危 害 ,並 防止組織 運作

好
霹
銹

中斷 。 薟

肆
哥
紛
♁
抔
◎ 下C︳ C
2-2S∥ de︴ 52
 A＿ 7Phys心 a︳ con七 rO℃ 實 體控 制 爾騪扔鱦解 竹

斖瓶 籚

鈐纖鈐鍛 錙 塕籛 紛鑨 鈺
╮ A.7.η 0stora9emedh儲 存媒 體

ContΓ o︳ 寸 H告 施
陸帝︳
ediasha︳ ︳berl╮ anaged七 hroughits︳ ifecyc︳ eofacqu:sition,
S七 orager了 ╮

擁豳 鑰 ︴
use,tΓ anspoㄤ ationanddisposa｜ inaccordancewiththeorganization’ S
c｜ aSsifica七 ionSchemeandhand〡 ingrequiremen七 S.

鈐黫 螂
儲 存 媒 體應依 組 織 之 分類 分 級 方 案及 處 置要 求事項 ,於 其獲取 、使 用 、

覾外鑰羷 錛卹裟鷏 犖籮 學簽幾 塕 航器路帥 善 谽聊

運 送 及 汰 除 的整個 生命 週 期 內進行 管 理 。

C鉗 竹 o︴ 控 制措 施
P印◆Ceduressha｜︳be=m肆 ｜ emen掩 d︴ bξ 它 挑e了 nanagemem老 °了remoVab:e了 ﹏ed工 a｜ m
缺CC。 于
d缺 nCe、離 七 ica七 :° nSchemeadop七 e球 by七 h。 °
hec:盆 $$︳ 了
jt托
姆盆m｜ 2a七 ︳
°m‘
應依 組 織所採 躝之 資訊 分級 方 案 ,實 作 管理 可移 除 式媒 體 之 程 序 。
Med工 嵌$拚 a:｜ bed工 $po$e婊 ofSec班 re︳ y↘u抽 en no︴ ongeξ Feq研 ｜
red子 u$=n$fbξ 〔
n缺 ｜

紛阿
pro6e心 Ⅵ〔
e$‘

宙 ,應 使 用 正 式 綠 序 加 以 安 全 汰 除 。
◎Tac當 不 再 露要 媒 體 毒 2-2S︳ ide可 53

A.7Physica︳ con七ro怡 實 體控 制

A.7.η 0StOΓ agernedia儲 存媒 體 鑰羻 彿鐱 躤 彿籛 谽鑰 帝

Me姼 工襏 C° 出之後 n$;m了orγ ha它 子onSh盆 〡︴bepξ ◇絡 c推 妞 缺$a〔 舟$左 un缺 盼︴h° 工ed往 CCe$$,
r〡

︴$u$e♁ rc◇=n工
音 肸︳
r了 ║ ︴°比dW;mσ ｜ r磁 n$po← 守
破子♁外‘
應保 護含有 資訊乏 媒體 於 傳 送時 ,不 受未經授 權 齡存取 、謑 璃或毀嶺 。
鏘麰 銹 外

巨q以 君 ,︳ n拓 r出 爸
η附e外 毛 七!° n♁ r$o發 W3re$乩 a｜ ｜出°電$e七 a臥 e&♁ 了
雷-$比 eW:之 恥o出 藍p比 or

嵌u色 找♁好
:π 爸之:o什 ﹏
齡黤 藐

未 經 事前授 權 ,不 得將設節 資訊 或軟體 帶 出場 域外 。

ype
ε6且 七r● 七 王
nf° rma七站Ⅱ Cyt兮 rSeCur王 ty opeΓ 公亡
五ona一 ydomai且 ∫
S兮 CⅡ r王 七
seε Ⅱr二 ﹏yPrσ pe比 三
eS 〔onε cp七 ε ε&pa出 二正
七二§S
一
#Preven七 :Ve #C0n且de站王
a::ty #Protec有 #P時∫:ca王 ＿secur三 七y #Pr0七 ec七 iOn
y 一
#王 ntegr比 學AJ∫ e社 m在 且ageme且 七
ty
考Ava且 ab且主

Purpose目
磁鏤鈴↗哥 嬐的

的
Toensureon︳ yau七 hoΓ iZeddiSc｜ osu「 e,r了 ╮ diπ ca七 ion,「 emoVa︳ oΓ
。
deS七 ruct︳ on ofinfor【 ﹁at｜ on on storage▊nedia.
谽師

確 保 僅 經 授 權 之 揭 露 、修 改 、 冊l!除 或銷 毀 儲 存 媒 體 上 的 資 訊 。
◎ 了CK
安2S︳ ide﹁ 5ㄥ
 A.了 Phys︳ ca︳ cont「 o心 實 體控制

齡飄幾妙 鑼 鑰攤翰饑 外
A.7.↑ 可Supp0rⅡ nguH︳ Ⅲes支 援 之公用服務 事業

Cont「 o︳ 控 帝嵽 施
︳
nfoΓ 〔 :tieSSha︳ ︳beprotectedfrorΥ ╮poWe一
Ⅵation proceSsingfac︳ ︳

鐖麤鑼
fai｜ ureSandotherdiSruptionscausedbyfai︳ uresin suppo比 ing

$鬱
u七 itieS.

黫螂
i︳

應保護資訊處理設施 免於 電源失效 ,以 及 因支援 之 /ㄙㄟ用服務事

甀本錛黤鱗姊塊齵 鱀 舉路餵舞 鑰 瞞犖餵ㄏ音 谽螂

業失效 ,所 導致 的其他 中斷 。

C° n電r° ︳控 帝寸檔力
也
εqu:pment sha︳一一︳beprotec掩 d#O什 ︴power了 ai︳ uresando者 扎eΓ
onScausedbyfa︳ ︳吐reS:nsuppo浪 ︳ngu七 ︳︳it:eS＿
d;$r班 p在 ︳

應保護設備免於 電源失效 ,及 其6也 支援 帥公用服務 事業失效 ,

所 導致之 中斷 。

鯓帥
◎ 下C︳ C
2＿ 2smde﹁ 55

A.了 Physic割 con七 o︳

「
S實 體 控 制
π俄▌
′
—
— —

錫簸銹錄 躪 鑈
A.7＿ 可ηSuppOH︳ nguj︳ 山eS支 援 之公 用月
艮務 事業

ε°▲七r° 玉type Inf● rmation cytersecuΓ 二

ty oPera山 na一 Seε urityd.Ⅲ 區主
ns
seε urityproPert二 eδ εonε §pts εapaBi一女i● S
#Preventive #Integr:ty #Protect#De七 ect #Plly∫ 主
ca王 security
一
#Protect:on
勞Detective #Avai王 abi1土 y
描
齡 黫 縐 螂城雜聖 崔 鋒學鑑擺鉀鑈 球爸霆 ′哥 盼 郴

Purpose目 的
下OpreVent｜ osS,dama9eorcornprornise0了 in了oΓ 了 nationand
otherassociatedasSets,oΓ interrupt︳ on to theoΓ ganization’ s
OpeΓ ationsduetofa︳ ︳
uΓ eanddisruption ofsuppOΓ tinguti︳ ities.

防止 資訊及 其他相 關聯 資產 之 遺失 、破 碩 或危 害 ,或 由於 支援
的公用服務事業之失效及 中斷 而 中斷 組織 的運作 。
鍋帥

◎ 下C︳ C
2-2S｜ :deη S6
 A.7Phy由 ca｜ contro心 實 體控 制

鈐幾鑰鎀 餾 鑰籛鐪齺 跡
︵ ︴2ca〣 ingsecuⅡ ty佈 纜安 全
〉 A． 7．

一
C○ ntro｜ 守 措力
空希↓ 也
Cab︳ escarΓ y:n9poweΓ ,dataor supportinginforrΥ ╮ ation senrices

翰黦擁 再
sha︳ ︳bep「o七ec七 edfrorn in七 e「 ception,inte市 e「 enceordamage.

鬱鑼榔
應 保 護 傳 送 電源 、資料 或 支援 資 訊 服 務 之 纜 線 ,以 防 範 竊 聽 、

鈚本
干擾 或破 壞 。

蹸攤齡拂軌齡琳鞏聲嗧饒躌 齡 臨謻跨外 音紼螂

C◇ 無在
F♁ ︴腔帶呼措施
P♁ WeF俄 附d七e︴ eCo∥ 乓｜
社u$官 c後老
｜Θ擗$C缺 馬｜
︳n$c爸 r留y:n$da電級 0r
一 n寧0ξ ξ
$u針 p♁ 候:m$︳ n爸 ♁nSenσ ic♁ $sha︳ :掛 ePre在 e研 e4fr0雄
t︳

｜ ercep發 ｜
介蓬 O升 ,:n老 ♁踐色 renCe♁ r¢ 綾約 俄g爸
一
應保 護傳 送資料 或支援 資訊服務之 電源及 電信佈纜 ,以 防止竊
聽 ,子 耰 或碩 客 。

呦帥
◎ 下C︳ C
2-2S︳ :deπ 5了

A.7Phys心 alcontro怡 實體控 制 ﹏

A口 7.可 2CaⅢ ︳
ngsecu∥ ty佈 纜安 全 鐖黫齡谽 齺

ype
Co無怎r° 七 王n拓 rma七 i° n Cy︳ ersecurity opera七 注五a玉 SecⅡ r扭 yd6Ⅲ a王 且S
SeCuri七 ypr9pef七 二e§ C0在 Cep七 § ．
εapabi一 三
七ieS
一
Ve
#Prε Ven七 王 #Conlden七 ia王 泮 i七 #Protec七 #P竹 sica︳ 一Securi七 ˊ #Pr0七 ect亡 O正
#AvaiI玟 L玉 i七 y
本
鐑黫 碑
兟 鑰 幾 翰 師玫 齵 擊 邁 移錯擺卹攝 磁舉啥拼 百 妙 螂
館

PuΓ PoSe目 的
oSS,darnage,theft
下0preVen七 ｜ orcomp「 or了 ╮iSe。 finfoΓ rna七 :on
andothe「 asSocia七 edaSSetsand︳ nte「 up七 ion to the
「
organ︳ zation’ s ope「 ationsΓ e︳ ated七 o powerandcoΠ wη unicat:ons
cab︳ ︳
ng.
防止 資 訊及 其 他 相 關聯 資產 之 遺 失 、破 壞 、遭 竊 或危 害 ,並 防止
與 電 源 及 通 訊 佈 纜 相 關的 組 織運作 中斷 。
翰帥

◎ TC︳ C
2E2S︳ ideη 58
 A.了 Phys泡 a︳ contro心 實 體控制 ◆

安瓶 β蟲
— —

瞈飄鑰姊 皤 螉黫鉿饑 外
A.7.η 3巨 quipment maintenance設 備 維 護

COntΓ o︳ 控 制 ;睹 力
也
巨quipment sha︳一︳berη aintainedcorrect︳ ytoenSureavai︳ abi︳ ity,

鐖黫鑈 站
integ山 tyandconⅡ den小 a︳ ityofinfoΓ mauon.

鐒灘榔
應 正 確 維護 設 備 ,以 確 保 資訊 之 可 用性 、完整性 及 機 密性 。

籤︴鑰雞鑰姊激驃 擊露犖磁彈 鑰 航姦琇許 喜谽啷

Con七 Υ
°｜控 希寸
措施
狂qu︳ pment s我 a︳ ︳5ecorrec︴ ︳ yrΥ 母
a︳ n在 a工 ned七 0enSure〡 女
S
con社 nued爸 Vai︳ ab工 :i打 爸nd︳ n掩 9山 竹 .

應 正 確 地 維護 設 備 ,以 確 保 其持 續 的可 用‘ ‘
l生 及 完整 l生 。

鉹帥
◎ 下C︳ C
2-2S︳ ide︴ 59

A.7Phys心 a︳ cont「 o心 實 體控 制

鑈簼鑰谽 鑼 拂
A.7.﹁ 3巨 quiprΥ 〕
ent maintenance當 黈備 鬥筀瑋
羞

εoⅡ tro︳ ” Pε 王ⅡfOrma子 iOⅡ εyberS兮 ε旺ri玗 OPeΓ ati． Ⅱ斑 Seε uritydoma王 m§
securi句 πProJ〔 r七 二
●S ε 且εSp〔 s C伸 出七 二
在es
i三
。
#Preven七 Wq 帶COn我 dentinlity #Pro〔 ec七 secur比 y
#Phy∫ 比a王 一 #ProtetL在 on
#工 ntegr比 ˊ #AS∫ et＿ management #Re∫ ilienε ε
#Avai王 出 i1:七 y
譾睥
無 錀 籩 鏺 坤蹴餓堅 翟 路撥鍰嗧鉀翰 瞞舉跨鉾 善 盼 師
㎡

PWP° S● 目的
下o preVent｜ oss,damage,the及 orcornprorniseo了 infoΓ rnation
andotheraSSoc︳ atedaSsetsandinterΓ uption to the
organization’ s operationscausedby︳ ackO了 maintenance.
防止 資訊 及 其 他 相 關聯 資產 之 遺 失 、破 壞 、遭 竊 或危 害 ,以 及
因缺 乏 維護 而 導 致 組 織 營運 中斷 。
劬帥

◎ 下C︳ C
Modu!e2-2s∥ deη 60
 A.了 Phys℃ a︳ contro心 實 體控制

齡籛 坳鬱 鐋 鑰齊 鐒鎞 年
A＿ 了.︴ 碎Securedisposa︳ oΓ re一 useofeqUiprnent
設 備 汰 除 或 重新使 用之保 全

Contro︳ 控 制措 施

拂鑵 鐑 站
︳temsofequipmentcontainingstoΓ age了 ned:asha︳ ｜beVerifiedto
ensuretha七 anysensit｜ Veda七 aand〡 icensedsoRWa「 ehasbeen

銹籛 柳
emoVedor secure︳ yoVenⅣ itten prior todispoSa︳ or re一 uSe.

籤燕
「 「
備 項 目 ,以 確 保 於 汰 除 或 重新使 用前 ,所 有

鐑黮 鏘仰繳餒 琌輔籍學饈舞 鏘 蹴簽淼帥 百 鏺螂

應 查證 包含儲 存 媒 體 之設
敏 感 性 資料 及 具使 用授 權 的軟體 己移 除 或安 全 覆 寫 。

C加 女′σ¢原 無:琴 琴〞
G錐 更約︳控 希ll措 施
。
A:善 e出 SOξ equ:pmen七 cΘ n七 a:n︳ ngs︴ Θξ
:左 aqerhed;接 S抽 爸子 一 了
子beVer︳ ;ed七 o
一
en$盼 ′e它 h3七 3ny$ens︳ 是 Veda七 aand｜ ︳
〡 cen$edso馳 arehasbeen 一
e幼 ◆Ved° r$兮 C紅 re｜ yoven絆 ri︴ 七兮np始 Θr七Θ 吐 or re-u$e.
=$posa︳
含有儲存媒體
一 之所 有設備組件 ,於 汰除 或霹使 用前應加 以查證 ,以 確

唦帥
l生 的資料 及 有版權 之 軟 體 已被 移除或安全地 養窩 。
保任何敏戚．
◎ 下C︳ C
2-2S︳ ︳
de﹁ 6一

A＿ 7Phys心 a︳ cont「 o怡 實 體控 制 …

露薽t彈
— —

鐖纖 媰錄 齺 鐖螂
A.7.﹁ 碎SecuredispoSa︳ or「 e一 useofequ;pment
設 備 汰 除 或 重新使 用之保 全

COn七 r° 1七 ype h几 rm斑二°n Cy已 ersecuri七 y Opera七 主on宙 1 JeC社 ri︴ ydoⅢ 斑n§
Se兮 Ⅱr王 〔yproperε ie§ Conε ep七 ε 〔aP玉 已王上t主 eS
學Pre改 n七 Rt #C0n&den七 ia1三 打 華Pro七 ec七 #Physjca1一 securi七 y #Pr0七 eCt︳ 0n
#As∫ et＿ manage政 en〔
帥
篱 籈 窈 激 媲 磁帶默 欺鑼玲媸轟 鍋 磁鋒撥帥 茗 妙姊

PHrPose目 的
了o preVen七 ︳
eakageofinforrΥ ╮
at｜ onfror【 ╮ ent tobe
equiprΥ ╮
dispoSedorΓ e一 used.
防止 資訊 由待 汰 除 或 重新使 用之 設 備 洩 露 。
谽帥

◎ 下C︳ C
Modu｜ e2-2s︳ ︳
de可 62
 A.8下echno︳ og︳ ca︳ cont「 o︳ S技 術韹〨帝︳

鑰點蜂砏 瞱 鐑籧谽鶵 跡
A.8.可 USerendpointdeV心 eS使 用者 端 點 裝 置

ContΓ O｜ 控 制 ;睹 力
也
︳nforr了 ︳
ation storedon,pΓ ocessedbyoracceSSib︳ eviauseΓ

攤黮鎞 ︴
一
endpointdev︳ cessha︳ ︳beprotected.
用
使者點
端裝置
處理經
或由

鑼黫螂
矲管
霤暈籃
套董尋
牽要聖
醬曇

颻密
:由

攤黳鑰輛箋齵 擊務移鑑攤鑰 磁盟踚跡 豆紛螂

空備﹏
C0n七 ro︴ 琖 措施
Apo︳ 工cyandsupp0技 :ngsec吐 ﹏ measure$sAa｜ 〡beadop︴ ed雷 ♁
r〡

m爸 n盆 Se七 her言 SkS︳ n七 roducedbyus:ngγ nob;｜ edev=ce$﹏

應採 用政 策並 支援 之安全措施 ,以 管理使 用行動 裝 置所 導致之 風險 。
USers sha｜ ｜
ensure七 ha︴ una仕 endedequ工 pmen在 h嵌 Sappr0料 出a走e
pro在 e缺 ion.

使 璐者痗確保 無人看管色設備 具適切保護 。

盼阿
◎ TC︳ C
2-2S︳ ide鬥 63

A.8下ech 術控制
拉 ′
ˊ

繗黫銹嬐 鑼 坲
A.8.可 USeΓ endpointdeVices使 用者 端 點 裝 置

COntr． 王在ype In盈 刃︴na七 iO且 y

Cyberε eε Ⅱr二 七 OPera七 二°na一 SeCuri七 ydo＿
§ocⅡ rih◤ pr° Pertieε εOnε 兮pts εapah是 litiε s maⅡ ns
#Preventive 舍Confidentia王 ity #Proteε t #A§ set＿ management 拜Pr0七 eε t三 On
#In守 egrity #工 nf0rmat五 on一 proteε t主 o拉
#AΥ aⅡ ab且 it乎
如
鰳 黫 鑰 抪航 $蜥 寧 竹

PWP。 Se目 的
下o protec七 ηationagainst
info「 【 ther:sks introducedbyusing
緇帶鐒盟 ≠

useΓ endpointdeVices.
保護 資訊 ,免 受使 用者端點裝 置之使 用 導致 的風 險 。
鏺 磁器玲跡 巨 鎀 轉
幼師

◎ TC︳ C
2ㄛ 三S︳ ide鬥 6ㄥ
 A＿ 8TechnO︳ og︳ ca︳ contrO︳ s技 術韹〨帝║

齡雞鑰熪 鐋 塕籛盼饑
ˋ╮ A＿ 8.2P山 Ⅵ㎏gedaccesS山 ghts特 殊 存 取 權 限

C○ ntro︳ ㄐ
陸希︳
┤際施
下hea｜ ｜ocatiOnanduseofpriVi︳ egedaccesSrightSSha︳ ｜be

$僯
灘銵 吽
restr:ctedand【 Ⅵanaged.

鐒黫螂
應 限 制 並 管 理 特殊存 取 權 限之 配 置及使 用 。

甄無齡籛鑰腳幾覯 學橡學毉鶢辮 筋鈁跨聊 宙谽艸

C♁ 雄芝
才♁︴控 鋒寸
︴著施
oc爸 ti♁ nandu$eo苦 p川 V:吝 色$e$Sha!︳ 再ere$在 ξ
了㏑ea｜ ︳ :C七 ea級 n妞

c♁ n七 ξ
O︳ ︳
兮d︳

應 限璋 與控 希ll具 將殊符 取權 限之 配 置及 使 用 。
l〡

翰卅
◎ 下C︳ C 2｝ 2S︳ ideη 65

( ::》

A.8下echno︳ og︳ ca︳ contro︳ S技 術 韹巨帝︳

好戤 慶
—
— —

egedaccessHghts特 殊存 取 權 限
A.8.2PHV︳ ︳ 錀籛 鏹鍛 璐 踘

ε●五 王七yP兮 玉n鉆 rⅡ 止比:● n CytersecⅡ r且 ty Θper安七王

o五 a一 Capa一 §eε 法r:﹏ ◤dGⅡ a王 nS
。 ypr0p.r出 eε
Secur王 七 ε 且Cep七 S 班 i甘 e§
一 。
華Pr兮 Vent丘 Ve #Con及 dent:且 王
比ˊ #Protect #王 dent珃一呂nd＿a← #Protec〔 主
O拉
一
#子 n七 egr女 y Ce∫ ∫＿竹ana各 gme且 七
芅〝 a主 abiI北 y
王
宙
鎙纋鐱碎城礎聖聚 擺帶饈麓蘜 磁鋒嬐趶 守 妢帕

PurPoSe目 的
下OenSureon｜ yauthorizeduseΓ S,so加arecomponentsand
seⅣ icesareprovidedW比 hpΓ :vi︳ egedaccess r︳ 9hts.
艮務 提 供 特殊 存 取權 限 。
確 保 僅 對 經 授 權 之 使 用者 、軟 體 組 件 及月
鍛帥

◎ 下C︳ C de︻ 66
牙2S︳ ︳
 A.8下echno︳ ogica︳ contro︳ S技 術 韹生帝︳

眑纖 鑯皒 鑼 齡籛 鍛鑰 ︴

、︴
A.8.3lnfoΓ rna小 onaccessΓ est比 uon資 訊 存 取限制

′
ContΓ o︳ 寸
腔希︳
H階 施

at｜ onandothe「 asSOciatedassetsSha︳ ︳

Access to:nforrΥ ╮ be

鑰籲 錛 汾
estrictedinaccordanceWiththeeStab︳ ishedtop︳ c＿ spec︳ fic
「

鈐雞 螂
po︳ icyonacceSscontro︳ .

鈜小
廱 已建 立之 關於 存取控制的 主題特定政 策 ,限 制對 資訊及 其

拂黤 螉師籃齠 擊籀 苓錶璣 鎀 篩券錢沖 吝 谽坤

他相 關聯 資產 之存取 。

Contr0︳ 控 備好
ㄐ著施
AcceSS士 O︳ n了0rξηat子 onandapp︳ ica士 ionSyStem了 unc走 ︳
°nSSha〡 ︳
bere$tricte心 i我 aCCordance、 Ⅳ〡h︴ heaccesscon崔 rO｜ po︳ ︳
七 cy﹏

應 根據 存 取 控 制 政 策 ,限 帶ll對 資訊 與 癮 用 系統 功 能之才
子取 。

幼踤
◎ TC︳ C
2-2S︳ ideη 6了

A.8下echno︳ ogica︳ cont「 o︳ s 技羽子韹生帝︳

鏺黰 鑈嬐 越
A.8.3ln了 ormauonaccessΓ est山 c小 on資 訊 存取 ㄗ
艮帝︳

COn七 rOⅡ 毛ype 王n出 rm斑 五銀 Cytersecur出 y OPera垃.且a1 Becuri” aomains

β兮εⅡr王 tyPr● PeΥ hε s C° nε ●p七 S Cap出 b王 t七 i｜ S
#Preventive #COn無 den七 iaIi打 #Protec七 #玉 血 nt近 y＿ and＿ aε - 考Proteε tion
#王 ntegri〔 y Cε SS一 nanageme▲ t
勞AVa主 王 比y
ab主 正
熪黤 姊
皺市鏺黫 錛電 旗︴翟 彈學窩鑮館

PWp。 Se目 的
下oenSuΓ eon︳ yauthori2edaccessandto pΓ even七
ηationandotheΓ assoc｜ ated
unauth0rizedaccess to infoΓ 【
可

assets.
\〦
鑰 臨莏玲掛 哥 砏坤

ㄏ、

對 資訊及 其他相 關聯 資產 ,確 保僅經授 權 之存取 並 預防未 經授

權 的存取 。
劬師

◎ TC︳ C
Modu︳ e2-2s!ide可 68
 A.8下echno︳ ogica︳ contro︳ S技 術 韹〨帝︳
靂瓶 靂
— — —

拗羰鈐螃 蠮 鑰籛錯鑰
A.8口 碎AcCeSscontro︳ to sourcecode
對原 始 碼 之存 取

措施
Con七 ro︳ 控 希║

$坳
籲鑱
ReadandWriteaccess to sourcecode,deve︳ opment too︳ Sand

#銹
ate｜ yrnanaged.

籓螂
Sof七Ware︳ ibrariesSha!︳ beappropΓ ︳

鈜外
應 適 切 管 理 對原 始 碼 、開發 工 具 及 軟 體 函 式庫 之 讀 寫存 取 。

坳議塕坤坡覯 寧籟犖錯犩 鑰 筋券趨挪 音 鍛螂

C♁ 找電
年♁〡推 臻心路路
也
ξ往Π╮SO║ 歹CeCOde$跳
A6ce$sto pFo§一一 嵌比 ber♁ $tr言 缺 ed.
應 限 制難程 式源碼 之 才
子取 。

幼帥
◎ 下C︳ C 2一 2S｜ ;de鬥 69

A.8下echno︳ og︳ ca｜ contro︳ S技 術韹〨帝︳

A.8.碎 AcceSScontro｜ tOSOuΓ cecode 鐖黮鑰劬 鑼 鍋黦♁

COⅡ 七rO王 睜 ｝ 工
且f° rⅢ 母t玉 OⅡ ε沖 ers㏄ ur丘 ˊ 6perauon斑 yd@mΞ 二玉S
SecⅡ r二 七
． S兮 ●ur:站 ㄏ｝rop兮rtieS Cσ 且Cep在 S εap主 t:玉 tieS
#PreVe且 毛iVε #Co正 主de且 七三
a王 比ˊ 勞Pr● 七ㄜc七 #王 den它 比妥 na一access＿ 學Protect三 0n
y
#工 n七 egr在 ㄜ mma多 me遮
#Ava止 ab注 比y #APp止 cat王 on一 Sec吐 r玉 ty
#Secure一 con狂 gura一
七iO且
航♁蜘 擊 攝 夥窪 舞 鑼 磁器跨帥 三 盼 螂

PHrPose目 的
To preVent theintroduction o了 unauthoΓ i2edfunct;ona︳ ity,
aVoidun:ntentiona︳ or rna︳ ︳c︳ ouSchangesandto〔 naintain

theconf心 entia︳ ︳
︳Vo了 Va︳ uab︳ einte︳ ︳
ectua︳ pΓ opeⅡy.

預防 引進未經授權之 功能性 、避免非蓄意或惡意的變更 ,並

鎀師

維持 有價值智慧財產 之機 密性 。
◎ TC︳ C 2一 2S︳ide︴ 70
 A.8下echno︳ og︳ ca︳ contro︳ s 手韹生帝︳
技羽
釐蟲溶
— — —

鐒黳齡鍛 錔 齡黤幼鑰 外

、
A.8.5SecuΓ eauthentication安 之
〧搜監另心

ˊ
ContΓ o｜ 際施
控 制┤
Secu「 eauthentication techno︳ ogieSandprocedu「 eSsha︳ ︳be

鑰黦鑰 外
汁np︳ ementedbasedon inforrΥ ╮ ationaccessΓ est「 ictionSandthe

鏺邏姊
topic一 specif︳ cpo︳ icyonaccesscont「 o｜ .

饖琳
安全鑑別技術 及 程序應依 資訊 存 取 限制 及 關於 存 取控 制 之 主題

塕龘鑰坤箋鍬 路城纓帑盟攀 鏺 蹴器路潞 含谽姊

特 定政 策實作 。

C° n#° ︳ 措方
空常寸
毒 包
Wheξ erequ:redby七 heacces$con左 rO〡 iCy,俄 eCe$S它 O
Sy$temsandapp〡 icat;ons sh爸 〡
｜beContrO︳ ︳edbya$ecuFe｜ og﹏
on pFoce硪 吐re﹏
當才 子取控 常ll政 策要 求時 ,應 由保 全 登入 程序 ,控 帶 對 系統 及 癮 用 l｜

劬師
之存 取 。 √
◎ 下C︳ C
2-2S｜ :de﹁ 7﹁

A.8下echno︳ ogica︳ contro︳ S技 ㄔ村 空帝︳ t守

十

r
r出 口
— —

鍋黮鑈嬐 鑼
A.8.5Secureauthenticat︳ on安 全僥蓋另︳

C● 無七r● 玉type Ⅱ几ΥⅢ a在 i° n

工 Cy出 ers． εⅡri七y OP． rat主 @一 al Seε Ⅱr二 七ydomΞ 主五S
seε Ⅱri︴ yprφ ert二 es ε°在Cep七 $ capat出 三
七i● S
一
#Prevent:ve #Con且 dentiality #Pr0七 eCt #Ident五 ty＿ and一 ac一 #Pr0七 εctiOn
#工 ntegri七 y ceSs一 management
#Ava:lab:Iity
ㄔ鍐蚱
觝描鑈黤彿抪磁啥聖鱀 擺琌攝通協 眛舉玲掛哥 谽螂

PWP。 Se目 的
下oenSuΓ eausero「 anent︳ ty︳ ssecure｜ yauthenticated,when
accessto systems,app︳ icationsandsen山 ceSiSgΓ anted.
一

於 授 予對 系 統 、應 用程 式 及 服 務 之 存 取 權 限 時 ,確 保 對使 用者
\.╯

或個 體 進行 安 全鑑 別 。
翰師

◎ 了C︳ C
2-2S︳ ︳
de︴ 72
 A.8下echno︳ og︳ ca︳ con七
「
o︳ S技 巧
好韹〨帝︳ 碅騶死騮鑗 好

靂瓶 靂

搦繩 錐齴 璐 鋒纖 鎀鑰 外
ent容 量 管理
A.8.6Capac:tyrnanagerΥ ╮

Contro︳ 腔帝︳ㄐ階施
TheuSeofresourcessha︳ ︳berΥ ╮
onitO「 edandadjustedin︳ ine

銹籛 銹 坊
一
W比 hcurrentandexpected田 paCityrequirernents.

鋊籛 螂
資 源 之 使 用應 受監視 及 調 整 ,以 符合 目前 容 量 要 求 及 預期 容 量

兟外
要求 。

狒黰 瞈螂鑽齷 寧豬 帑鏃踏 齡 航嬰跆掛 音 鎀螂

C♁ 維廷
ㄌ｜控 希ll措 拖
了h♁ u$e♁ 了ξ e$Ou「ce$$比 磁︳
｜beξ 有♁出比♁ξ ¢心,tu我 e哇 ,缺 我u
p蝴 @由 ♁再$m俄 deo了 ξu穵 u跨 C接 p缺 C︳ 圩 跨 憐磁〡remen把 崔0en$ure崔 隘

r♁ φ社｜
ξe4$ys毛¢作 ﹁pe睜♁ nanCe. r了

各 項 資源之使 用應 受監視 及 調 適 ,並 舞未 來容 量要求預作 擺 叡 ,

以確 保將 要求赶 系統效 能 。

翰帥
◎ 了C︳ C
2-2S︳ ide﹁ 73

A＿ 8下echno｜ ogica︳ contro︳ s技 術 龍〨帝︳ ﹏

靂颻 餒
— —

A.8.6CapacityrΥ ╮ ent容 量管理

anagerΥ ╮ 鐑繳 燐艙 齺 協

yre
C◆ 4仁r° 玉七 I五 拈 r血 在在主且 y
Cy↓ er§ ecⅡ r二 它 〔p七 f注五
｝ ona1 Se6吐 ri七 yd6ma二 Ⅱ§
．
seε ⅡrityJrDperti兮 S ε●且εep七 S εapab主 止七王εS
ve
#Prevenㄜ 二 #〔 n七egr亡 好 #王 dcn在 ≡
fy考 P了 0teCt #Cen它 i且 uity #Governancea玉 d
#De持 G毛 主
Ve #Ava止 女bi土 ty #Detect ECo§ yS它 e1且 #Pr° tec一
t工 O且
譾抪
兟 鑰 籛 螉 妳瓶雜妳 寧 饎 犩舞
命

PHrPose目 的
TOensure七 herequi「 edcapacityof:n了 oΓ rna七 ion pΓ ocess︳ ng
fac:︳ ieS,hurnanΓ esources,o帝iceSandother了 aci︳ it:es.
i七
路擺蛢鑰 竑務玲帥 官 鎀 螂

確 保 資訊 處 理 設 施 、人 力 資源 、辦 公 室及 其 他 設 施 所 要 求 之
容量 。
嬐師

◎ 下C︳ C
Modu︳ e2-2s∥ de可 了6
 A.8Techno︳ ogica︳ contro︳ S′ 支羽
之 盱韹生帝︳

鑰黤鑰幼 擺 攤雞紛鑰 外
a︳ Ware防 範 惡意軟 體
A.8.7PΓ otecHonagainst r了 ╮

ContΓ O︳ 寸
腔帝●
●際施
ma︳ WareSha︳ ︳beirnp︳ ementedand
P「 otectionagainst

錛靆鑈
Suppo礎 edbyappΓ op「 ︳
ateuseΓ awareness.

$錐
應 實作 防 範 惡 意軟 體 之 措 施 ,並 由 適 切 的使 用者 認 知 支援 之 。

黫螂
甄小狒籦錀坤描Φ聖鮤 縪苓餵舉 鍋 描器跨珅 音♁螂
COntrO︳ 寸
腔帝呼
ㄐ際施
on,prevent子 On,andrecoVeη ↗contro︳ s to protectaga︳ ns左
De七 e政子
Ware$托 a比 be｜ mp｜ emen之 ed,combinedWithappΓ opr:a之 e
m往 ︳
uSeraW爸 rene$s.
廳 實作 防範惡意軟 體 之偵測 、預防及 復原控制措 施 ,並 合併 適切
之使 再者 認知 。

硹帥
◎ TC︳ C
2-2S︳ ︳
de︴ 75

A.8下echno︳ ogica︳ contro︳ S技 羽子拒〨帝︳ ﹏

π我 π
— —

A＿ 8.7PΓ otec小 0nagainst ma︳ WaΓ e防 範 惡意軟 體 鑰黰錛劬

C。 且七
ro︳ typ兮 InforⅢ a七 iO且 Cybε ΓsecⅡ ri七y operat二 oⅡ a一 S● Curi七 yd.ma主 nS
§ecⅡ 心tyPrσ pε r在 ieS ε°Ⅱε●pt§ c工 pa↓ 二
1玉 七
二●S
#Preven七 :Ve #Con且 dentia王 放y #Pr0七 eε t#Detect #Sˊ S〔 em＿ and＿ netwo〤
一 #Pr0七
eCt亡 On
#Detect打e 辛王ntε grity ∫εεurity #De拓 nε e
#ε orrec在 打e #Availab且 ity #王 nfOrmat主 on＿protec︺
tiOn
讓坤
餓 碄 籛 鑈葚 建 菡 孟確拸窮蹯帥鏺 磁漿 萍 ︴ 妙郎

PWP。 Se目 的
丁oenSure:nfoΓrnationandotheraSsocia七 edaSSe七 Sa「e
pΓ otectedagainStr︳ ╮
a︳ WaΓ e.

確 保 資訊及 其 他相 關聯 資產 受保 護 ,免 遭 惡 意軟體 之 侵 害 。
♁外

◎ TC︳ C
Modu︳ e2-2s︳ ｜
deη 76
 A＿ 8下echno︳ Ogica︳ contro︳ S技 巧
好控 帝︳

山eS技 術 脆 弱 性 管 理

嗡幾鐒銹 琚 銹麰谽齺 餅
╭
8-8Management oftechn心 割 Vㄩ nera跡 ｜
╮ A．
Contro︳ 腔帝↓
寸階施
︳nforrΥ╮ationabou七 七 it︳ Sin
ation systerΥ ╮
echnica︳ vu︳ nerabi︳ eSOf｜ nforrΥ ┐
usesha︳一 ｜beobtained,theorganiza七 ion’ Sexposureto such

鑼籛鑼 巧
Vu｜ nerab︳ ｜:eSSha︳ ︳
i七 beeva｜ uatedandappropria七erneasuressha｜ ｜be

筠籦螂
taken.
訊

兟公
重
,

躋黤鑰鞭谹路班孥簃犖餒鑼韓
Co雄 在
冷｜控 制捨 施
｜nㄒ 0訐 路俄〔Θnab0埮 哥老
守 告心乩n工 c跩 ︳V4官 ηera如 ︳ ︳
n拖 rm爸 更♁nSyS︴ em$
:i老

=e$0f︳
be︳ 坤$uSed$抽 a乎 音be° 知道撥君 Red:紂 爸七 rne;yfa$hion,七 h♁ ♁ξ
〡 9嵌 n︳ 2at;onts

鐪 筋選玲珅 巨♁艸
e〤 po$$re之 ♁ Su● 乩 V吐 :ne百磁紐〡
比吝eSeV撥 ｜以往七edaη dappξ ♁p比 a七 e了 nea$$Fes
君
君
3Ke錐 音 edri$紅 ‘
°含建dFe$S崔 乩兮aS$Θ C:凄之
應 及 時取得 關於 使 用 中資 訊 系統 之 技術 繃 ;l生 資 訊 ,並 廲 詳 估 組 織對 此

艕外
l生 之 暴 露
等脆 弱 ． ,且 兣 採 取 適 當措 施 以 困應相 關嵐 險 。
◎ 下C︳ C 22S｜ ︳
de︴ 77

A.8下echno︳ ogica︳ contro｜ s技 巧好史巨帝︳ ﹏

躍甔【
彈
— —

鐖籛鑈鍛 蹯 鎙黫谽鑰 外
A＿ 8.8M卸 agemen七 oftechnica｜ Vu︳ ne「 abi︳ 比 ieS技 術 脆 弱性 管理

︳ at︳ onSystemsSha︳ ︳
nforrΥ ︳ be「 egu︳ ar︳ yreViewedforcornp｜ ianceW｜ th
theorgan:Za七 ︳ on’ Sinforrnation securityPo｜ ic｜ eSandstanda「 dS.
鎙雝銹 Λ

應 定 期審 查 資訊 系統對 組 織 之 資訊 安 全政 策及 標 準 的遵循 性 。
鎀竁姊
兟山

C● 站 ro︳ 呼pe 三nform出〔 i● n y

c坤啪 ㏄ur三 七 0per求 去
o且 a二 yd● 血丑:五 S
§㏄ ur主 七
鑈獵翰螂欺報 鱉無

seε Ⅱr宮 好 pr” e比 i鈴 G● n竹 pt§ εapa故 i三 七

三e$

#Preventi∼時 #C(〕 n出den七 :玉 ︳

甚七 y #Idenu打 #Threata且 d一 #G0吒 rnanCe一 a㏕ ＿Ecos｝ ˊ
∫-

#I站 egr竹 #P了 0teCt vulner主 b亡 l:班 tem

#AVa:1多 §亡
!比 ˊ m接 na齡 ment #Protection#De免 正Ce
路犖錯髒 錫 插麗鐸 音 啥螂

PurPoSe目 的
● TopΓ even七 echnica︳ vu｜ neΓ ab︳ ︳
eXp︳ o︳ tation o了 七 itieS.

防 範 對 技術 脆 弱 性 之 利 用 。
艙抔

◎ 下C︳ C 2… 2S︳ de-78

︳
 A.8Techno︳ og︳ ca｜ contro︳ S技 術 韹 ︳
=帝 β薽 好
— — —

鈐纖銬鍛 鑼 錛黰妢饑 外
氏8.9COnΠ gurauon management組 態管理

Con七 Γ
o︳ 寸
腔帝︳
┤際施

鐑籧鏺
tyconf;guΓ atiOnS,ofhaΓ dWare,
Configurations,inc︳ ud｜ ngsecuΓ ︳

$彿
SoflWa「 e,Se︹ ︺icesandnetwOrks sha︳ ︳beestab︳ ished,

驤螂
鉞釴
p︳ emented,rnonito「 edandreviewed.
docur!╮ ented,ir【 ╮

躌黫錛螂箕餵 擊跡
應 建 立 、書 面記 錄 、實作 、監視 並 審 查硬 體 、軟 體 、服 務 及 網
路之組態(包 括安全組態l。

嬸舉餓畢銹 紅華山跡 音 谽坤
谽師
◎ TC︳ C
u︳ de-79
e2-2s︳ ︳

A＿ 8Techno︳ ogica︳ con七 ro︳ S技 羽子能〨帝︳

銹籦錛艙 鑼 鑰鑫◇饑
A.8.9ConⅡ gura小 on rΥ anagement組 態管理
╮

C9且 竹°︳
站叩§ ㏑hrΠ 阻在o︳ 1 Cybε 路ε
εⅥ出好 operat:Dna王 Seε 沒r主
睜 d． 取 inS
SeG吋 Ⅵ pr9p研 七 去
es concepts cγpabⅢ i七 ieS
.鐒

#Preventive 券Con出 de碇 iality #Protec｜ #SGcure一 con我 gura吐 on #Pr6tect:on

羷銹 ︿

#Integri七 y
#Ava吝 1盆 bili打
鑰劉師
鏃¢

PⅢ P。 se目 的
鑼譊鑈妳藟玲聖鱉 舉夥靈轟錛城器冷釙哥 谽坤

下oenSurehardware,so加 are,ServicesandnehⅣ orksfunction

coΓ ect︳ ywithrequ汁 edSecuritysettings,andconf:gu「 ation is
「
ncorrectchanges.
nota｜ teredbyunauthoΓ izedoΓ ︳

確 保硬 體 、軟 體 、服務 及 網路 於 所 要 求安 全 設 定下 正 常 運行 ,

且 組 態未 遭 未 經 授 權 或不 正 確 變更 而 更 改 。
谽盯

◎ TC︳ C
2-2S︳ ide句 80
 A＿ 8下echno︳ ogica︳ contro︳ S技 術 韹〨帝寸 竹

鍵珮 靂珮
— —

眑籛銵翰 鑼 錐繳鐒蹦 氓
A＿ 8.9Con帝 guraHon management組 態管理
Gu:dance指 了︳｛
︳S。 2了 0● 2〕

Genera｜ 一 般
下heorganization shou｜ ddef:neandirnp｜ ernent p「 ocesseSand

銹纖彿 坊
tOO︳ StoenfoΓ cethedefinedconfigurations(inc︳ udingsecur︳ ty

鐒鼵瑯
configurat:ons)foΓ ha「 dware,So加 are,Senrices(e.g＿ c︳ ° ud
SeⅣ iceS)andne七 W。 rkS,for new｜ yinSta︳ ︳edsySterΥ ╮saSwe︳ ︳aS

鋮外鑰籩螉聊皺齠 擊羅移餵舞 鑰 齸器跆跡 手鏺螂

for opera七 ︳
ona︳ system§ oVe「 the︳ r︳ ifeti㏑ e.

組織 宜定義並實作過程及工具 ,以 於硬體 、軟體 、服務作寸:雲

端服務)及 網路 、新安裝之 系統 ,以 及運作 中系統的整個生命期
內 ,施 行所定義之組態(包 括安全組態l。
RO︳ es,responsibi｜ :tieSandp「 ocedureSshou︳ dbein p︳ aceto
ensureSat:sfactorycontro︳ ofa︳ ︳configurat︳ onchanges.
宜 備 要 角 色 、責任 及 程 序 ,以 確 保 所 有 組 態變 更 之控 制 皆符 合

盼阿
要求 。
◎ TC︳ C 2一 2S︳ ;de鬥 8鬥

A＿ 8下echno︳ og︳ ca︳ contro︳ s技 ㄔ持 空帝︳

:守
﹊

躍薽 露
—
—

鍋黮鑼鍛 鐖 錢籩黺蹦 ¢
A.8.9Con的 urauon managernent組 態管理

StandaΓ dternp︳ ates蘀 速墓ㄎ

放
銹黫瞈 升

Standa「 dter!╮ p︳ ateS了orthesecureconfiguΓ ation ofhardWaΓ e,

So帥 a「e,Se︹riceSandne㏑ orkSShOu︳ dbedefined:
佛黫螂

及 之 全 組 態 的標 準模 板
儈 定 義硬 體 、軟 體 、服 務 網路 安
兟巾

:
鑈纖鏺妳欺鶲 擊蘿路殟擺館

a)us:ngpub︳ 心︳
yaVai︳ ab｜ eguidance(e.g.pre一 definedtemp︳ ates
了Γ
omVendoΓsand了 rorn independent secuHtyorganiza甘 onS);
使 用公開可取得之指 引作︳:源 自廠商及獨立安全組織之預先定
義模板l。
皒 磁擊跨許宮 呦螂

(ㄟ
′
) b)c。 ns︳ dering七 he︳ eVe︳ ofprotection needed︳ n ordertO
deterrnineasu仟 :cient︳ eve︳ ofSecuri七 y;
考 量 所 需之 保 護 等級 ,以 判 定足夠 的安 全 等級 。
鎗阿

◎ TC︳ C 2-2S〡 ide可 82

 A.8Techno︳ og︳ ca︳ contro︳ s技術韹生帝︳
安碣
比錚
— — —

鐒纖蠮胡 嬏 鈐籛谽鑰 ︴
A.8.9ConhguraHon management組 態管理

Standardternp︳ ates準 蓓等
才反

錛黦鐖 路
c)supp。 rt︳ ngtheorgani2at︳ on’ s inforrnation security

鐒籩螂
po︳ icy,top︳ c＿ spec｜ ficpo︳ ic:eS,Standardsandother

籈外
securityrequirementS;

齡黫瞈碎致鏃 學姊擺舉能轝 螉 瞞令路許 吝谽螂

支援 組織之 資訊安全政 策 、主題特定政 策 、標準及其
他安全要求事項 。
d)consideringthefeaS︳ b︳ ︳
︳
tyandapp︳ icabi︳ ityof
secur:tyconfigurations︳ ntheorganizat:on’ Scon七 eXt＿
考 量 組 織 全 景 中之 安 全 組 態的 可 行 性 及 適 用性 。

呦帥
◎ 下C︳ C
22S︳ ide鬥 83

A.8下echno︳ og︳ ca︳ contro︳ s 技羽子把生帝!

A＿ 8.9ConⅡ guraⅢ Onmanagernen七 組 態管理 繗驤鑰谽 鑼 鑈黦谽饑 •

yand
The七 ernp︳ atesshou︳ dbereVieWedperiodica︳ ︳
updatedWhenneWth「 eats orVu︳ nerab︳ ︳
itieSneedtobe
銹鍐鐒 外

addressed,orWhenneWsORwaΓ eorhardwaΓ evers︳ ons

瞈籊轉

areintroduced.
皺∞

當 需 因應 新 的威 脅或脆 弱性 ,或 引入 新 版 本 軟 體 或硬 體 時
錀黫鑰師拓鵻墅崔 鑮瑙鋻畢錛 磁謻玲野哥 紛轉

宜定期審 查並 更新模 板 。
Thefo︳ ︳owingshou︳ dbecons︳ deΓ edfores七 ab｜ iShing
heSecurecon了 igurat:onOf
standardternp︳ ateSfoΓ 七
hardWare,So及 Ware,SeΓ v!ceSandnehⅣ orks:
建 立硬 體 、 軟 體 、服 務 及 網路 之 安 全 組 態的標 準模板 時 ,

宜考 量下 列事項 :
鎀師

◎ 下C︳ C
2-2s” deη 84
 A＿ 8下echno︳ og:ca︳ con七 rO︳ S技 巧好韹〨帝! 辦 竹

靂珮 靂牠

塕纖齡銵 齺 塕纖盼饑 外
A＿ 8.9ConⅡ gurauOnΓ l╮ anagement組 態管理
a) rl╮ inimizingthenumberOf︳ denu甘 eSWithpΓ ivi︳ e9edor
adrninistra七 or｜ eVe｜ access rights;

將 具特殊權 限 或 系統 管理 者 等級之 存 取權 限的 身 分數 目減 至

銹飄銵 ︴
最小 。

鐒纋螂
b) disab︳ ingunnecessa「 y,unuSedorinsecureidentities;

兟㏄翰籊狒豍輹齠 揫戳夥燄髒鑰 筋選瑙押 音 谽艸

停 用非必要 、未使 用或不安全之身分 。
ctingunnecessa呼 了
c) disab︳ ingo「 restΓ ｜ unct︳ OnSandseⅣ iceS;

停 用或限制非必要之功能及服務 。
d) reS七 山ctingacceSSto powe吋 u｜ uu︳ ityprog「 arnsandhoSt
paΓ ar了 ╮
eteΓ Sett︳ ngs;

限制對 強效 公 用程 式及 主機 參 數設 定 之 存 取權 限 。
e) synchΓ oni2ingc｜ ockS;

鎀師
將鐘訊 同步 。
◎ 下C︳ C 2-2S︳ ide︴ 85

A.8下echno︳ og︳ ca︳ contro︳ s技 ㄔ

◣
荷守空帝︳

氏8.9C。 nⅡ gura∥ on rΥ anagement組 態管理

╮ 鑼鑈鑱谽 鑼 錛黫緞鑰 ˙

f) chang︳ ngVendordefau︳ tauthentication inforrnat︳ on suchaS

defau｜ tpaSswords︳ Π╮ at︳ onand
rned︳ a七 e︳ yaRer insta︳ ︳
reVieWingother︳ mportantdefau︳ tsecu「 ity＿ re︳ ated
鈐黤搦 與

paΓ arΥ ╮
eteΓ s;
綹繳碎

安裝後 ,立 即變更廠商預設鑑別資訊 ),並

籤←

審 查其他重要預設安全相關參數 。
鑈黮銹妳毀銘 鞏簼移錯擺辦

g) tieSthatautomη tica︳ ︳
:nvok｜ ngt:rne一outfac︳ ︳
︳ y︳ ogo斤

cornputingdeV︳ cesaΠ erapredeterrninedperiodof

㏑ac甘 Vity;
於 預 先決 定 之 期 限無動 作 後 ,調 用 逾 時 設 施 ,自 動 登 出運 算
彿 旅券玲鉾含 呦螂

U 裝置 。
h) veri印 ing七 hat︳ 比encerequirernentshavebeen︳ net
查證 是否符合使 用授權之要求 。
盼師

◎ 下C︳ C 2︺ 2S︳ ide︴ 86

 A.8Techno︳ oㄩ ca︳ c。 n七 ro︳ S技 術 控 帝︳

辮纖鑰翰 鑼 螉攤谽鑰 ㏄
A.8.9COn兩 guΓ a小 0n rnanagernent組 態管理

Managingcon兩 gura山 onS管 理 組 態

坲飄鑈 ︴
●

巨Stab︳ ishedconfiguΓ at｜ ons ofhardWare,so帥 aΓ e,senricesand

銹羷郎
nehⅣ orks shou︳ dberecordedanda︳ ogshou︳ dbernaintained

籤〝
ofa︳ ︳conf︳ gurationchanges.下 heSe「 ecordsshou︳ dbesecure｜ y

鑯灘錛坤欺鏃 學陷
stored.下 hiScanbeach︳ eVed︳ nvariousWays,suchas
configu「 ationdatabasesoΓ configuΓ at︳ on terΥ ╮
p︳ ates.

體 、軟 體 、服務 及 網路 的 組 態 ,並 宜維護所

鋒苓盅躌鐑 航器羷掛甘 谽瑯
宜記 錄
有組 的 日誌 。宜安全儲 存 此 等紀錄 。此 能 以各種方 式達
成之 如 組 料庫 或 組 態模 板 。

鍛師
◎ 丁C｜ C
2-2S︳ ideη 87

A.8Techno︳ og︳ ca︳ contro︳ s 技 羽手韹生帝寸

r&r
十

— —

鑈飄鑱谽 鑼 銹黝♁鑰 一
犛
A.8.9Configuration r【 ╮ ent 紐L態 管 理
anager｜ ╮

Changes toconΠ guΓ ations shou︳ d了 o︳ ︳

owthechanger︳ ╮
anagement
process(seeA.8.32).
鏺讓翰 八

組態變更宜遵循變更管理過程(參 照8.32汁
鑈羻仲

Configu「 at｜ on recordscancontainasre｜ evant:

籤心

組 態紀錄 可 包含 下 列相 關內容 :
錀鼬鐒姊瓶強女黧 擺路盟鑮卹

a)up一 t° 一
dateOWner or point ofcontac七 info「 ma竹 0nfo「 theasset;
資產之 最新擁有者或聯 絡 窗 口的資訊 。
b)dateo了 the｜ astchangeofcon兩 guration;
前改組 態變更之 日期 。
鎙 就路冷許母 ♁坤

c)veΓ s︳ on ofconΠ guration temp︳ ate;

組 態模板 之版 本 。
d)Γ e︳ a七 ion toconⅡ gurations ofo七 he「 aSsets.
谽師

與其他資產 組 態之 關係 。
◎ 下C︳ C
2-2s“ de﹁ 88
 A.8下echno｜ og︳ ca︳ cont「 o︳ S技 術 韹〨帝! 嬤 竹

靂魕
瀛靂珮

齡黦銹鎀 齺 鋑灘谽鑰 外
A＿ 8.9ConⅡ guraHon management組 態 管 理
MOn比 oHngconⅡ gurajons監 視組態
COnfigurat︳ ons shou︳ dbe︳ nonitoredWithacomprehensivese七 0f

銹飄齡 坊
SyS七 em rl╮ anagemen七 七00︳ S(e.g.main七 enanceuti︳ eS,rerΥ ╮oteSuppo㏄
i小 ,

enterpΓ ise【 Ⅵanagemen七 七0o︳ S,backupandresto「 eSof〔 Ware)and

鐒籛螂
Shou︳ dbereVieWedonaΓ egu︳ arbasis toVeri gUration settings,
√Con了 ︳

鈜〝
eVa｜ uatepasswoΓ dStrengthsandassessactivitieSpe市0rrl╮ ed.Actua︳

鐑癈攤岰幾磥 犨撥夥燄躌 鐑 竑器埔跡 甘 谽螂

conΠ gurat｜ onscanbecompa「 edwiththede了 ined七 argettemp︳ ateS.
Anydev︳ ationsShou︳ dbeaddressed,eitherbyautomat｜ cen了orcemen七
anua｜ ana︳ ysis ofthe
of七 hedefinedtargetconfigu「 ation orbyrΥ ︳
OWedbycorrectiVeact｜ ons.
deVia七 ionfo｜ ｜

的系統管理工具(例 :維 護用公用程式 、遠端支援 、企

、備份及恢復軟體),監 視組態 ,並 宜定期審查以查證組 態
業管理工具 ．
設定值 、評估通行碼強度及評鑑所進行之活動 。可將實際組態與所定義
之標 的模板相 比較 。任何偏差皆宜藉 由自動執行所定義之標的組態 ,或
藉 由人工分析偏差並隨後採取矯正措施 ,以 因應之 。

幼師
◎ TC︳ C 2︺ 2S︳ ide︴ 89

A＿ 8下echno︳ ogica︳ contro︳ S技 羽子能生帝︳ ﹏

β颻Υ
靂
— —

A.8.9ConⅡ gura小 on managernent組 態管理 錢黮 鑈鍛 鑴 鑼黤 紛饑 命

o七 heΓ orma七 :on其 它 資訊

㏑Υ
Docurl╮ entationfor syStemso及 enΓ ecoΓ dsdetai︳ saboutthecon兩 gu「a七 ion of
bothhaΓ dWareandso伽 are.
鑈騶 鐒

系統 文件通 常記 錄 關於 辛 人硬 體 組 態之 細 節 。
SysterΥ ﹁haΓ deningisatyPica｜ Pa㏄ ofcon何 gura七 ion rΥ ╮
anagernen七
W齡

.
纖蝴

系統 強化係 組 態管 理之 與 型部 分 。
兟“鑰纖 瞈師皺鋁 爹蘿 鱀 披

Con何 guΓ ation rnana9ementcanbeintegratedwithasSetmanagernent

Processesandassociatedtoo｜ ing.
組 態 管 理 可 與 資產 管理 過 程 及 相 關聯 工 具 整合 。
ymoree化 ctiVeto mana9esecu一 tycon帝 guraⅡ on(e.9.
Au七 omajon isusua︳ ︳
uSinginfrast「 uc七 ureaScode).
〝
擺辦

自動 化 管理安全組 態 ,通 常係較有效 率!例 :使 用 以程式管控基礎設施

鏺 城勞跟好彥 蟠榔

(infras七 ruc七 ureaScode,｜ aC)〞 ︳ 。

一 Con┐ guration ternp︳ a七 e● andtargetscanbeconΠ dentia︳ inforrnationand
Shou︳ dbeprotectedfrornunauthori2edaccesSaccordin9︳ y.
紛師

組態設定模板及標的可能係機密資訊 ,因 此宜防範對其未經授權之存取 。
◎ 了C︳ C ide可 90
2-2§ ︳
 A.8下echno︳ og:ca︳ contro︳ s技 術拒巨希︳
安薽 釐
— — —

翰灘瞈鐪 鑼 鑰驤劬齺 外
A.8.η 0lnfoΓ ma小 0nde︳ e小 on資 訊刪 除

Contro︳ 控 制措 施
︳nfo「 rnation stoΓ edin infoΓ rnation systems,devicesoΓ inany

攤羻鑰 銹纋螂
otheΓ storagerΥ ╮ ed︳ aSha︳ ︳bede︳ etedwhen no︳ ongerΓequired.
轟
戔

T 當於,應資訊 系統 、裝置或所有其他儲存媒體 中之 資訊不再屬 必要

甄餅
時刪

鑰籗鑰拂篱齵 犖報
ㄅ

確路鑑芻 齡 貥器撥抴 含 ♁螂
鈔師
◎ TC︳ C
2-2S︳ ︳
de︴ 9η

A.8下echno︳ ogica︳ con七 ro︳ S技 術是生帝︳

鑰飄鑼紛 鑼 協黫谽鑯 ¢
A.8.可 0lnforr︳ ╮ ajon比 ︳
e小 on資 訊 刪 除

C0且 tr° 二七
yP§ Im拓 rma七 :On ε cⅥ Γy
”g∥ ε i︳ Opera七 iOna1 Seε ur:Wdo阻 三
且ε
s㏄ uri好 prcper〔 ies coⅡ cept§ 四 abi放u兮 S
銹麰鎀 〝

拜PreVe且 七
i∼℃ #Confi曲遮i斑 i守 #Protect #王 n拍 rmat㏑ 且＿pr° 一 #Protecti0n
它eCt站 n
#比 各a︴ 一an虹 comp1:∼
銹灘螂

a在 Ge
鋮一鑈籦鋪妳瓶謂 罕簼移簽舉辦

PWP。 Se目 的
下o preVentunnecessaryeXposu「 eofsensitivein了 orrΥ ╮ at︳ onand

tocomp︳ yw:th︳ ega︳ ,Statuto呼 ,regu︳ atoryandcontΓ actua｜

requiΓ ementsfor infOΓ mationde︳ et︳ on＿
鑰 銥華冷珅百 谽妳

防止敏感性 資訊之 非 必 要暴 露 ,並 遵循 資訊刪除 的法律 、法 令 、法規 〡

ˊ

及 契約要求 。
—
♁帥

◎ 下C︳ C
2… 2SⅢ de﹁ 92
 A.8下echno︳ og︳ ca︳ contro︳ S技 術 韹生帝︳
— —

搦籬 齡幼 鑼 塕皺 翰鐊 外
╮a∥ onde︳ ejOn資 訊刪除
A.8.﹁ 0︳ nfOΓ r︳

Gu:dance指 了︳｛ SO2了 0● 2〕

︳
Genera︳ 一 般

彿繼 鑱 〦
Sensitiveinf0r︳ nation shou｜ dnotbekeptfor︳ ongerthan itis required
to reduce七 heriSkofundesirab︳ edisc︳ oSu「 e.

鈐麤 螂
ation on sys七 emS,app︳ ica七 ionSandseⅣ iceS,七 he
VVhende︳ e七 inginfo「 ╮ rΥ

籤竹
oWingshou︳ dbeconSidered:
fo｜ ︳

齡籧 坳豍毿飆 毣 熪銹鐶躌 鑰 筋器珴跡 崔 谽挪

敏 感 性 資訊 之保存 ,不 宜超 過所 要 求時 間 ,以 降低 非所 欲 揭 露 的風 險 。
刪 除 系統 、應 用程 式 及服 務 上之 資訊 時 ,宜 考 量下 列事項 :

se︳ect:ngade︳ etion rne七 hod(e.g.e︳ ec七 roniCovenⅣ ritingOr

〞 c呼 ptogΓ aphiceraSure)inacc。 rdancewithbuSineSSrequirements
andtakingintoconS︳ deration re︳ evant︳ awsandregu︳ ations;
依 營運 要 求 ,並 考 量相 關 法律 及 法規 ,選 擇 冊 除 方法 (例 :電 子 履 寫
l︳

劬外
或密碼 式抹 除)。

◎ TC︳ C 2一 2S︳ ide▅ 93

A口 8下echno︳ og︳ ca︳ contro︳ s技 術 韹 ︳ ﹊

=帝 彈薽 露
— —

鐑簸 鍋紛 嬾 錀黦 紛鑯 茹
╮auonde｜ ejon資 訊刪除
A.8.︴ 0lnfoΓ rΥ

Gu︳ dance指 了︳ SO2了 002)

(︳
鑰鏵 鑰

Sofde︳ etionaseVidence;
b)recordingtheΓ esu｜ 七
將 冊!除 之結果記錄下來 ,作 為重盪 。
A鑰
黫坤

c)whenusingservicesupp︳ on,
兟¢

iers ofinfOrrnationde︳ et︳

鑰鑆 鑈瑯城錐妳寧蘀 帑擺擺辦

obtainingevidenceofinfoΓ ╮ationde︳ etionfrorΥ ╮them.

rΥ

使 用 資 訊 刪 除 之服矛 定供 應 者 時 ,向 其 取得 資訊冊ll除 的證 據 。
力
錀 航器玲趶 章 姼郎
鐵外

◎ 了C︳ C 2-2S︳ ide▋ 9ㄔ

 A.8下echno︳ ogica｜ con七 ro︳ S技 巧
忏韹 ︳
=帝

鑰黤齡幼 璐 辮簸鈖媯 “
A.8＿ a小 onde︳ ejon資 訊 刪 除
η0lnf0rr【 ╮

VVherethi「dpaⅡ ies storetheorganiZation’ s inforrnat︳ on on itsbeha︳ f,

theorgani2ation shou︳ dconsidertheinc︳ usion ofrequi「 ements on
inforrnationde︳ etion into thethird-pa㎡ yagreements toenfo「 ceit

獼灘鑈 描
duringandupon七 er︳ηination ofsuchsen山 ceS.
若 第三 方代 表 組 織儲存 組 織 資訊 ,則 紅 織 宜考 量將 資訊 刪 除 之 要 求事項

鏺黫螂
納 入 第 三 方協 議 ,以 於 此 等服 務 期 間及終止 時實 施 之 。

鈜外鐖黤鑰坤欺齵 罕蘿犖鑑牌 錛 鯨器撥珅 音谽螂

De︳ euon methods冊 余方 法
llㄗ

︳naccordanceWiththeorganization’ s七 oPi● 一 specificpo︳ icyondata

ΓetentionandtakingintoconsideΓ ation「 e︳ evant︳ egis︳ ationand
regu︳ ations,sens比 ｜
Veinfor︳ nation shou︳ dbede︳ etedWhen no︳ onger
equ︳ red,by:
「
依 組 織 關於 資料 留存 之 主題 特 定 政 策 ,並 考 量相 關 法律 及 法規 ,當 敏 感
性 資訊 不 再屬 必 要 時 ,宜 藉 由下 列 方法刪 除 之 :

媕擗
◎ TC︳ C
2-2S︳ ︳
de句 9S

A.8下echno︳ ogica︳ con七 ro︳ S技 ㄔ◣

捐守空帝︳

錀黮錀鍛 鑼 鑈攤♁虥 心
A.8.η 0lnfo「 ma小 onde︳ ehon資 訊 刪 除

a) c。 nf︳ guringsy§ temsto secu「 e︳ ydestΓ oyinfOΓ rnationwhen

no｜ ongeΓ equired(e.g.afte「 adefinedper｜ odsu● jectt。
錐黫鎀 本

「
thetop︳ c一 specificpo︳ ︳
cyondataretention o「 bysu● ject
錉黤嗨

accessΓequest);
觝一

設定系統組態 ,以 於 資訊不再屬必要時(例 :於 依 關於 資料
銹簸鐐 欺鎖 鞏簼雀環嬏妒

留存之主題特定政 策 ,或 由使用者存取請求所定義期限後),
安全銷毀之 。
b) de︳ etingobso︳ eteVersions,cop︳ eSandtemporaΓ y何 ︳
eS
wherevertheyaΓ e︳ 0cated;
鑈 旅彈餵

將 過 時之版 本 、複本 及 暫 時檔 案刪 除 ,不 論 其位 於 何處 。
r哥
妢螂
♁盯

◎ TC︳ C
2-2S︳ ide︴ 96
 A＿ 8下echno｜ og:ca︳ contro︳ S技 術 韹〨帝︳ 癡睏陷躝齷 竹

靂乳 靂栽

協繳齡鎀 鐋 鈐籛谽鑰 節
可0lnforma︴ onde陷 ∥On資 訊 冊 除
A.8＿
l｜

╮
c)usingapproved,secuΓede︳ et︳ on so㎞ are七 0perrnanent︳ y
nat｜ on tohe｜ p ensuΓ e︳ nforrnationcannotbe
de︳ eteinfoΓ 【

recoveredbyusingspecia︳ ist recove╮ /or forensictoo︳ s;

銹雞鑱 站
使 用經核 可之安 全冊ll除 軟 體 ,永 久刪 除 資訊 ,以 協助確保 資

鈐籛岰
訊 無 法 使 用 專 業 復原 或鑑 識 工 具復 原 。

兟餅
d)usingapproVed,cert︳ edproViderSOfsecured:sposa︳

媰繼狒螂斃磥 鱀 移緇餞犩鑰 筋姦跨跡 安鬱蝴

f｜

seⅣ ︳
ces;
使 用經 核 可 且 經 驗 證 之 安 全 棄 置月 艮務 提 供 者 。
e)usingd︳ sposa｜ ╮
rΥ echanisrΥ ╮ hetypeof
sapP「 opriatefo「 七
stoΓ agerned︳ abeingdisposedof(e.g＿ degaussinghard
diSkdriVeSandother rnagneticStoragerΥ ︳
edia).
使 用適合於遭汰除儲存媒體型式之棄置機制(例 :消 磁硬 式

紛帥
磁 碟機及其他磁性儲存媒體)。
◎ TC︳ C
2一 2S︳ ide可 97

A.8Techno︳ og︳ ca︳ contro︳ s技 術 控 帝︳ ﹏

好麤〔
靂
— —

A.8.ㄇ 0︳ nforma小 0nde︳ e小 on資 訊 刪 除 鐑鰒鑼紛 鐠 翰纖鬱幾 ∞

Wherec︳ oudSe︹ ︺:cesareused,theoΓ gani2ationShou｜ d

fthede｜ et:on rnethodProv︳ dedbythec｜ °udse︹吇
ver:打 ︳ iCe
瞈黫鐒 木

proVider:sacceptab︳ e,andifit is thecase,theorganization

鐫黦呦

hec︳ oudse口 山ceprov｜ der

Shou｜ duseit,or request tha七 七
籤“

de｜ e七 e七 heinforrΥ ╮
ation.
齡籦銹妳欽報 擊籮 夥鍰幾 鑼 航斄潀 當 翰螂

於 使 用 雲端服 務 之 情 況 下 ,組 織 宜 查 證 雲端服務 提 供 者 提 供 之
冊!除 方法 是 否 可接 受 ,若 是 ,組 織 宜使 用 之 ,或 是 請 求 雲端 服
務 提 供 者 刪 除 資訊 。

U
鍛師

◎ 了C︳ C
2-2S︳ ide︴ 98
 A.8下echno｜ ogica︳ contro︳ S技 術 韹 ｜
=帝

鏺黦螉幼 鑼 饑灘鋒鐖 小
A.8.﹁ 0︳ nforrnajonde︳ e小 0n資 訊冊︳除

Thesede︳ et︳ on proceSSesshou︳ dbeautomatedinaccoΓ dance

Withtop;c＿ specificpo︳ icies,whenayai︳ ab︳ eandapp︳ ︳
cab︳ e.

錀龘鑱 坊
Dependingon thesensitivityofinforrnationde｜ eted,︳ ogscan
track orVeΓ i打 thatthesede｜ e七 ion pΓ ocesseShaVehappened＿

鋒颻郎
且 適 用 時 ,宜 依 主題 特 定 政 策 自動 化 。依 所 刪 除 資訊 之 敏 感 性

艤永
,

鑰臃鑰娜舞黐 鞏露路簽舉錛 航器撥點 音谽螂

可 追蹤 或 查證 日誌 ,確 認 此 等刪 除 過程 已發 生 。

姼帥
◎ 下C︳ C
2-2S︳ ︳
de﹁ 99

A.8下echno︳ ogica︳ contro︳ S技 術韹 ︳

=希

錛齷媰鍛 磯 鑰籦紛鐱 →
A.8.可 0︳ nformaHonde︳ e小 on資 訊冊ll除

Toavo︳ dtheun:ntentiona︳ exposu「 eofsens:tivein了 0rrΥ ╮ation

whenequiprΥ ╮ ent:sbeingsentback tovendors,SenSitive
彿雞齡 Λ

infor｜ nation shou｜ dbeprotectedbyΓ ernovingauXi︳ iarystorages

鑰黰竹

(e.g.haΓ dd︳ skd山 VeS)andrnemo呼 be竹 eequipment︳ eaves

「
鐵心

theorgan:2ation’ spΓ er︳ ╮

iSeS.
鑈黫鏺妳跡離郎寧爾路器罐姊

為避免於設備送回廠 商時非蓄意暴露敏感性資訊 ,宜 於設備離

開組織場所前 ,移 除輔助儲存體(例 :硬碟)及 記憶體 ,以 保護敏
感性 資訊 。
銹站姿路帥再 妙轉
鬱阿

◎ 下C︳ C
2-2S︳ jde200
 A.8下echno︳ og︳ ca︳ con七 rO︳ S技 術 韹〨帝心

齡黮鈐蚡 齺 鑰雛鎀齺 外
╮ A.8.可 0lnforma小 0ndde小 0n資 訊刪除

ConS︳ deringthatthesecurede︳ etion ofsOrΥ ╮

edevices(e.g.
smaΓtphoneS)can on︳ ybeachievedthroughdeStruc七 ion or

攤籛鑈 ︴
us:ngthefunct;onSembeddedin theSedeVices(e.g.“ Γ estore
acto呼 se杜 ings” ),theoΓ gani2auon shou︳ dcho° Sethe

銹黫啷
了

甐水
appropriaternethodaccoΓ dingto thec｜ aSSification of

躌籛齡螂箋鵗 寧羅舉餵鷐 鐑 筋務磯黔 音鬱啪

ationhand︳ edbysuchdev︳
:nfo「 rΥ ╮ ceS.
考 量某些裝 置(例 :智 慧型手機)之 安全冊ll除 僅能透過銷
〞
毀或使用
嵌 入於比 等裝 置中的功能(例 :〝 恢復 出廠設定 )達 成 ,組 織
宜依 此 等裝 置所處理 資訊之分類分級選擇適切的方法 。

翰外
◎ 了C︳ C 2-2S｜ ide20η

A＿ 8Techno︳ og︳ ca︳ contro︳ S技 ㄔ持◣

守空帝!

╮ onde㎏ Hon資 訊刪 除 齺籛鑱谽 鑴 坳籬鈔鑯 ∞

A口 8.﹁ 0︳ nforrΥ a∥

ContΓ o︳ measuresdescΓ ibed︳ n7.︴ 年Shou｜ dbeapp｜ iedto

physica︳ ｜ydestroytheStoragede▼ iceandsirnu︳ taneous｜ y
銹籛銹 外

de︳ etethe︳ nfoΓ ╮

at︳ 0n比 conta:ns.
rΥ
鐑巍螂

碎中所描 述 之控 制措 施 ,實 體 銷 毀儲 存 裝 置 並 同時 冊ll除
宜採 用7＿ 可
兟¢

其 中 包含 的 資 訊 。
縐靆銹妳饑黐 擊露移籦舞銹 航犖礅竹守 鎀螂

Ano幵 ic:a︳ ecoΓ dofinfo「 rnat︳ onde｜ etion iSuSefu︳ when

「
ana︳ ysingthecauseofapossib︳ einfo「 rnation︳ eakageeVent.
於 分 析 可能之 資訊 洩露事件 的原 因時 ,正 式之 資訊冊ll除 紀錄 係
〩 屬有用。
劬師

◎ 下C︳ C 2-2S︳ ;de2。 2

 A.8下echno︳ ogica︳ contro︳ s技 巧
好韹生帝︳

塕籦鋒錯 躤 齡黮鐪艤 外
A.8.η 0︳ nfOΓ rnaHonde｜ e小 on資 訊 刪 除

nforma山 on其 它 資訊
OtheΓ ︳
︳nforrⅥ ation onuse「 datade︳ etion:nc︳ oudsen﹉ iceScanbe

攤籛鑼 打
了ound:n︳ S○ EC270η 7.︳ nfo「 rnation onde︳ et︳ on ofP｜ ︳canbe
/︳

銹黫轉
foundin︳ S○ EC27555.
/︳

鎡外
關於 雲端月 艮務 中使 用者 資料刪除之 資訊 ,可 參 照︳
S0用 巨C270η 7

躋龘塕輕箋餵 鞏姊
SO月 EC27555。
關於 P︳ ︳刪 除之 資訊 可參 照︳

躍舉釜舉鑰 筋器暡跡 音鏺螂

紛帥
◎ 下C︳ C
de203
22S︳ ︳

A.8Techno︳ ogica︳ contro︳ S技 術 韹生帝︳

π蟲了
β
—
— —

躌黮鑈嬐 鑼 鑈籧谽蠟 →
A.8.η ηDatarnasking資 料 遮 蔽

措施
Contro︳ 控 帝︳
鑈黫錀 本

Datarnaskingsha︳ ︳beuSedinacco「 dancew︳ththe

鋒灘姊

cyonaccesscontro︳
organizatiOn’ Stop︳ c一 spec︳ cpo︳ ︳
f︳
兟站

andotherre︳ atedtop︳ c一 specific,andbusiness

鑈黫鑈一數崩 掔簼夥騷姦彿 磁甚跨外音 盼怖

requ︳ rernents,takingaPp︳ icab︳ e︳ egis︳ at︳ On into

conS︳ derat︳ on.

ˊ
贗愛 尾
星茗籃
番主篷躄
每垔午
套安愛
鼛耄季
重篲子
蜃
並將 入 適 用法令納 考 量 。
紛師

◎ 下C︳ C
2-2S︳ ide2｛ 〕
ㄔ
 A.8下echno︳ ogica︳ contro︳ S;技 :ㄔ荷︴空帝! 嶰 竹

靂爪留
靂

鐒議錛谽 鐋 齡黦翰鐫 外
氏 8.可 ｛Datamas㎏ ng資 料 遮 蔽

C° h七 r° ype
七 工
n比 rmat:o土 班 er∫ ε錢出守 0pera〔 h發 出1 SeC社 r三 tydo︳ na亡 Π∫
ε
eε Ⅱri好 proper七 二
eε concepts capabi1出 ieS
一

鏞黮鍋 本
#PreventN七 #G6n在 dentia王 ｜
ty #Protect #I且 免rm乏 t打 比 pr0竹 饒i0且 #Protect:0n

鰳黮啷
Purpose目 ｜
幻

鎡本協踜錀仰箋黐 帶插鋒移餓璘 齡 航器跆珅 當谽螂

下o︳ irn︳ ttheexposureofsensitiVedata:nc︳ ud︳ ng
,andtocornp︳ y、 Ⅳ︳
P｜ ︳ th︳ ega︳ ,statutory,regu︳ atory
andcontractua︳ requ︳ rernents.
限 制 內 含 PⅡ 之 敏 感 性 資料 的暴 露 ,並 遵循 法 律 、
法 令 、法規 及 契 約 的要 求 。

紛帥
◎ 下C︳ C 2┤ 2S︳ :de205

A＿ 8Techno︳ ogica︳ contro︳ S技 ㄔ◣

荷守空帝︳ ﹏

β戤 露
— —

鎗黰銹紾 鑴 協鑨盼鑰 山
A.8＿ 可﹁Datarnasking資 料 遮 蔽

Gu︳ dance瓏 ;引 ︳
｛S。 2了 002｝
銹籩鎀 本

VVheretheprotect︳ on ofSenS︳ vedata(e.g.P︳ ︳ )︳ Sa t︳

齡獵坤

concern,theorgan︳ 2at:onShou︳ dcons︳ derh︳ d:ng

航本

suchdatabyus︳ ngtechn︳ quesSuchasdata

鐱纖佛拂饑齵 嗧磁

rnask︳ ng,pSeudonyrnization oranonyn╮ ization.

於 考 量敏 感 性 資料 (例 :P｜ ︳ )之 保護 的情 況 下 ,組 織 宜
路學環麶獼 描輋餵′︴ 谽螂

考 量使 用諸 如 資料 遮 蔣｛ da七 amas㏑ ng)、 哪

(Pseud° nym矻 aHon)或 匿多 化 (anonym′ aj。 n)等 技術
隱藏 此種 資料 。
紛師

◎ 下C︳ C 牙2S︳ ide206

 A.8下echno｜ ogica︳ contro｜ s技 術韹〨帝︳ 〡

π俄 露戤
— —

瞈鑫鑰劬 鑼 齡黮盼鐖 外
A.8.們 Datamas〣 ng資 料遮 蔽

Gu︳ dance指 了
︳｛︳
SO2了 002〕

錢纖鎙
Pseudonyn市 2ation oranonyn市 Zation techniqueScan

$鏺
黫螂
hideP︳ ︳,diSguiSethetrueident︳ tyofP︳ ︳pr︳ ncipa︳ s or

鋮併
othersensitiVe︳ nforrnation,andd︳ sconnectthe︳ ︳ nk

鐖籦齡姊激餵 擊籮夥餵麟鑰 航器撥跡 子谽螂

betWeenP｜ ︳andtheidentityoftheP︳ ︳princ︳ pa︳ or
nkbetween0七 herSens︳ Ve︳ n了 or了nation.
the︳ ︳ t︳

假名化 或 匿名化 技術 可隱藏 P｜ ︳,偽 裝 P︳ ︳當事

．′人之 真
實身 分 或其他敏感性 資訊 ,切 斷 P︳ ｜與 P｜ ︳當事 人 身
分 間的連 結 ,或 其他敏 感 性 資訊之 間的連結 。

谽師
◎ TC︳ C
牙2S︳ :de207

A.8Techno︳ ogica︳ con七 ro｜ S技 羽子拒〨帝! -

π出σ
好
— —

鐱簸鑼鍛 嬾 彿籬紛鐖 ¢
A.8.可 ηDatarnas㏑ ng資 料遮 蔽

VVhenuSingpseudonyr︳ ╮
ization oΓ anonyn╮ ization techniques,︳ t
Shou︳ dbeverifiedthatdatahasbeenadequate︳ y
錢黤銹 付

pseud0nyn市 2ed° anonyrΥ ╮ i2ed.Dataanonyn市 2ation shou︳ d

「
considera｜ ︳thee︳ erΥ ╮
ents ofthesens︳ tivein了 0rrΥ ╮
ation tobe
鐊鏺神

e帝 ectiVe.AsaneXamp︳ e,ifnotcons︳ de「 edpΓ opeΓ ︳ y,aperson

皺一

canbeidentifiedevenifthedatathatcandirect︳ yidenti印 that

鑈籦鐐輕瓶鬱聖翟 轉移餒雜姆

person isanonyn市 Sed,bythepresenceoffu㏄ herdatawhich

owsthepeΓ son tobe︳ dent:fiedind什 ect｜ y.
a︳ ︳

使 用假 名 化 或 匿名 化 技術 時 ,宜 查 證 資料 是 否 已充分假 名 化 或
匿名化 。資料 匿名 化 宜 考 量敏 感 性 資訊 之 所 有 元 素 皆屬 有 效 。
娥 抾器玲掛哥 妙螂

例 :若 考 量不周 ,即 使 可 直接 識 別 某 人 之 資料 已匿名 化 ,則 亦
可 藉 由 出現 之 容 許 間接 識 別 其 人 的進 一 步 資料 ,識 別 該 人 。
◇扦

◎ 下C︳ C
2-2S︳ :de208
 A＿ 8下echno︳ og:ca︳ con七 rO︳ S技 術 韹〨帝! 蠐 #
靂瓶 靂血

齡籩翰蚡 鐋 鑰雛鎀鑰 外
╮ A＿ 8＿ 鬥﹁Datarnas㏑ ng資 料遮 蔽

Additiona｜ techniquesfordatarΥ ╮
aSk｜ nginc︳ ude:

資料 遮 蔽 之 額 外技術 包括 :

銹黮鑰 外
a) enc呼 ption(requi「 ingauthori2eduSerStohaveakey);

銹邏螂
加密 (要 求僅經授權之使用者持有金鑰)

鈜岱
b) nu｜ ︳ingorde｜ e七 :ngcharacters(p「 event︳ ngunau七 horiZed

鐖黝齡師激齵 妴羅簃罷蹈鑰 航器踗帥 工谽螂

uSeΓ Sfrom seeingfu︳ ︳╮ eSsages);
rΥ

清空或刪除字元 (防 止未經授權之使用者看到完整訊息l。
c) vary｜ ngnumbersand由 teS;
變更數字及 日期 。

錯阿
◎ 下C︳ C 2-2S︳ :de209

A＿ 8Techno︳ ogica︳ contro︳ S技 術 拒〨帝︳ ﹏

露甔 彈
— —

A.8.可 可Datamasking資 料遮 蔽 縐籛鎞鍛 鑼 鐊繳紛鑯 由

d) substitu七ion(chang︳ ngoneva｜ ue了oΓ anotheΓ ohide

七
SenS比 ︳Vedata);
鐪驤鑰 外

替換 (將 一值變更為另一值以隱藏敏威性 資料)。
e) 「
ep︳ acingva︳ ueswiththe︳ Γhash＿
鐑黫轉

以雜湊值替換原值 。
餓府鑰籛鐒姊箴報 擊攝 夥鑑擺螂

owingshou｜ dbeconsideΓ edwhenimp︳ ernentingdata

Thefo︳ ︳
maskingtechniques:
實作 資料遮蔽技術時 ,宜 考量下列事項 :

a) notgrantinga｜ ︳usersaccess toa︳ ︳

data,therefore
銳 赫蕼跧鑇音 鍛螂

des｜ gningquer︳ aSks in orderto showon︳ ythe

esandr｜ ╮
rΥ inirnum「 equ:Γ eddatato theuser;
╮
不 對所 有使 用者授 予存取所 有 資料 之 權 限 ,因 此設 計 查詢 及
餘跡

遮 罩 ,以 便 僅 向使 用者 顯 示所 要 求的最 少 資料 。
◎ 下C︳ C 2-2S︳ ide2︴ 0
 A.8下echno｜ og︳ ca︳ contro︳ s技 術 龍〨帝! 中

蛋俄 釐
— —

蠮雝呦姼 鑼 齡籦銹饑 外
A.8.η 可Datamas㏑ ng資 料遮蔽
b) the「 earecaseSwheΓ esornedatashou︳ dnotbevisib︳ e七 o
theuserfo「 some「 ecordsoutofasetofdata;in th︳ scase,
deS︳ gningandimp｜ ement:ngarnechanismfo「 obfuScat︳ on

擁黫鱗 ︴
ofdata(e.g.ifapat︳ entdoes notwanthospita︳ sta汗 tobe
ab｜ etoseea︳ ︳ofthe｜ Γreco「 ds,even︳ ncaseofemeΓ gency,

彿黫螂
y
thenthehospita︳ sta斤 aΓ epΓ esentedw︳ thpa㏄ ia︳ ︳

瓶外
ObfuScateddataanddatacan on︳ ybeacceSsedbySta仟

鑰黦錀聊激餵 擊羅硌餵舞 鐑 描雀撥黔 百劬艸

W︳ thSpec︳ ficrO︳ eSifitcontainsusefu︳ inforrΥ ╮
ation了 or
appΓ opr︳ atetΓ eatment);
於 某些情況下 ,不 宜使 資料集之 某些紀錄的使用者看見某些

馫
協 ｝
裝鸚 齺 軋餮鸝翳黠髁簍
況 工 ,且
急情 下),貝 ︳醫院 員 將看到部 分遭模糊化之 資料 若
資料 包含對適切治療有 用的資訊 ,則 僅能由具特定角色之人

鈔師
員存取︳。
◎ TC︳ C
2-2S︳ ide2﹁ η

A︳ 8下echno｜ ogica︳ con七 o︳

「
S技 術 韹〨帝︳

︿.8.η 可DatarnaSking資 料遮 蔽 鑰簸鑰嬐 皭 鍋離谽鑰 心

c) whendataareobfuscated,givingtheP︳ ︳ principa︳ thepossibi︳ ityto

requirethatuseΓ scannot seeifthedataareob了 uScated
彿轝銹 冉

(obfuscation oftheobfuscation;this isuSedinhea｜ thfaci︳ itieS,for

eXamP｜ e︳ f七 hepatientdoes no七 Want peΓ sonne｜ to seethat
躌麶姊

sensitiVeinfOΓ rnation suchasPΓ egnancies orresu︳ ts ofb︳ Ood

織帝

examshasbeenobfuscated);
鑰黤鏺師欺錣 寧犧拶踞鐖辦

當資料遭模糊化 時 ,P︳ ︳當事人可要求使用者無法看 出資料是否遭模

糊化(模 糊化之模糊化 。例 :此 用於 醫療機構 ,已 先將患者不希望他
人看到之諸如懷孕或血液檢查結果等敏感性 資訊)模 糊化 。

d) any︳ ega︳ or regu︳ ato呼 requirements(e.g.Γ equiΓing七 herη askingof

銹 磁雀趕 哥 鈔忡

paymentcards． inforrna七 ionduΓ ingpΓ ocesSingor sto「 age〉

.

法律或法規之所有要求(例 :於 處理期間或儲存時 ,要 求遮蔽支付卡

資訊)。 畫
♁帥

◎ TC｜ C
2-2S︳ ide2η 2
 A.8丁echno︳ ogica︳ contro︳ S技 術 韹生帝︳ 竹

斖珮 靂
— —

鎀雛鈐鐪 錔 塕簸谽鐖 外
A.8.可 ηDatarnas㏑ ng資 料遮 蔽
下hefo︳ ｜owin9Shou｜ dbeconside「 edWhenusingdatarnasking,
pseudonyrni2ation oΓ anonyrnization:
使 用 資料遮 蔽 、假名化或匿名 化 時 ,宜 考 量下列事項 :

協皺鏺 玢
a) ︳eve︳ ofstreng七 h° fda七 arnaSking,pseudonyrnization o「
anonyn╮ izationaccordingto theusageoftheProcesseddata;

鎀籛螂
依經處 理之 資料的用途 ,要 求之 資料遮 蔽 、假 名化 或匿名化 的強度等

兟外齡籩齡師筋玲聊鞏籮鋒鐵舞 鑰 筋俳蹛跡 音艙螂

級 。

b) accesscontro︳ S七 otheproceSsedda七 a;
對經處理之 資料的存取控制措施 。
c) agΓ eemen七 SoΓ restrictionSonuSageofthepΓ oceSSeddata;
關於經處理之 資料 的用途之協議或限制 。
d) prohibitingco︳ ︳a七 ingthep「 oceSSeddatawithothe「 formation
ir︳ in o「 de「
to identifytheP｜ ｜ p「 incipa︳
;

禁止將經處理之 資料與其他 資訊對照 ,以 識別出P︳ ︳ 當事人 。

ack。 了proVidingandreceiVingthepΓ ocesSeddata.

鎀帥
e) keeping七 「
◎ 了C︳ C
追蹤提供及接收經處理 資料 、
2-2S｜ ide2﹁ 3

A＿ 8下echno︳ og︳ ca︳ contro︳ S技 ㄔ守

兩一空帝︳

A.8.﹁ ηDatamas㎏ ng資 料遮 蔽 鐑黤 齡谽 齵 錢黦繚鑯 ¢

ther:n竹 rmaⅡ on其 它 資訊

。
AnonyrΥ iZation irreVersib︳ ya︳ teΓ sP︳ ｜in suchaWay七 ha七
╮ heP︳ ︳
七
principa︳ can no︳ ongeΓ beidentifieddirec七 ︳
yor indirect︳ y.
銹黫 搦 斌

匿名化以不可逆方式變更 P︳ ︳,使 得不再能直接或間接識別 日｜當事人 。

辮繳 螂

Pseudonymizajon rep｜ aces七 he心 enH!inginformaⅡ onwi七 hana︳ ︳ as.

餓心

KnoW︳ edgeofthea｜ gorithr了 ╮ (Sornetimes「 eferred七 0aSthe“ additiona︳

鑰纖 鑰碑欽鷬 孥撬 夥鍰鑼師

inforrna竹 0n” )usedtoPe市 orrl╮ 七 hepseudonymiZajona︳ ︳ owSforat︳ eaSt

sornefoΓ mofidentif︳ cat︳ on oftheP︳ ︳ principa︳ .Such“ additiona︳
’
On’ Shou︳ d七 hereforebekept sePaΓateandpr0七 ected.
:nfor︳ na七 ｜

VVh:︳ epseudonyr︳ ╮ iZa七 i。 niSthe「 efo「 eweaker七 hananonyΠ 市 2ation,

銹 磁券跆帥 官 艙螂

pseudonyrniZeddatase七 Scanber!╮ oreusefu︳ in sta七 :S七 ica︳ resea「 ch.

訊 。用於 執行假名化之演算法知識 (有 時稱為
〝 〞 〝
額 外資訊 )容 許 至 少 以 某種形式識別 P︳ ︳當事 人 。因此 ,此 等 額
〞
外資訊 宜分開保存並受保護 。因此 ,雖 假名化 比匿名化 弱 ,然 假名化
皒跡

資料 集於統計研 究中可能較有用 。
◎ 下C︳ C 2-2SⅢ de2可 ㄥ
 A.8下echno︳ ogica︳ contro︳ s 技 羽睜韹〨帝︳ #
釐亂 β
— —

蚴黤 鏺幼 嬏 鑰黦 紛饑 外
A.8.︴ ηDatamashng資 料遮 蔽
therin竹 rma山 on其 它資訊
。
Datamask:ngisasetoftechniques toconcea︳,subs七 ituteo「 obfuScatesensi七 iVedataitems.
DatamaSk︳ ngcanbesta小 c(Whendataitemsa「 ernasked︳ ntheo“ gina︳ database),dynamic

縐飄 鑰 再
(usingautomat:onand「 esto secuΓ eda七 a︳ n「ea｜ -time)or。 n一 the一 y(withdatar了 ╮
u︳ f｜ aSkedinan
app︳ ica小 smemory).
n〕

鏺癱 瑯
資料遮蔽係隱藏 、替換或模糊化敏感性資料項目之技術集 。資料遮蔽可能係靜態(當 資料項 目係
於原始資料庫中遮蔽時)、 動態(使 用自動化及規則即時保全資料)或 即時(於 應用程式之記憶體中

瓶熱
遮蔽資料)。

鑰籛 錛師笑齵 寧羅 雀餵舞 眑 磁螢藍尸含 谽抑

HaShfunctionscanbeuSedin ordeΓ toanonyrni2eP︳ ︳ .︳ noΓ derto preVentenumerat︳ on

a仕 ackS】 theyshou︳ da︳ waysbecombinedw｜ thaSa︳ tfunct;on.

可使用雜湊函數將Pl︳ 匿名化 。為防止窮舉攻擊 ,其 宜恆與加鹽值函數(sa比 func小 on)合 併使用 。

P｜ ｜in「 eSourceidenti何 ersandtheirattr︳ butes〔 e.g.兩 ︳enames,unifoΓ mΓ eSOuΓ ce︳ ocators
(UR∟ s)︳ sh。 u︳ dbeeitheΓ avoidedorapproPΓ ︳ ate｜ yanonymized.

於 資源識別符及其屬性 中︳ 例 :檔 案名稱 、統一資源定位符(URL)︳ ,宜 避免出現 日︳或適切將其

匿名 化 。
Additiona︳ contro︳ sconcerningthePΓ otection ofP︳ ︳in pub︳ icc︳ oudSaΓ egiven︳ n︳ S0用 EC
270η 8.Additiona｜ :n了 Γ EC20889.
mation onde-ident︳ Πcation techniques isavai︳ ab︳ ein︳ SOˊ ｜
。
CNS270η 8中 提 供 有 關於 公 用 雲 中保 護 ︳之 額 外控 制措 施 。CNS20889中 提供 關於 去識 別

砏帥
P︳

技術 之 額 外 資 訊 。 ,
◎ 下C︳ C
2-2S︳ ide2η 5

A.8下echno︳ ogica︳ contro︳ S技 羽手控 帝!

齡飄鑈谽 鐖 鑼譊♁鐱
A.8.η 2n白 ｜ nh出日掉 pΓeVenuon資 料 洩露預 防

Contro︳ 寸
腔帝︳
ㄐ告施
Data︳ eakagep「 evention︳ ηeasuressha︳ ︳beapp︳ iedto
h齡
黳錛 ︿

SysterΥ ╮
s,nehⅣ oΓ ksandanyothe「 φ ev｜ cesthatp「 cess,store
鑰黝蜘

or transΠ 市tSenS︳ t:veinforrΥ ╮

ation. 。
餓寸鑈鏺鑈林欽崩 寧山

應將 資料洩露預防措 施 ,
理 、儲存 或傳 輸
之 系統 、網路及 所有 姴
輜絳跟舞 鍋 站哭齵一
章 妙師
劬師

◎ TC︳ C
2-2S︴ ide2﹁ 6
 A＿ 8下echno︳ og︳ ca︳ contrO︳ S技 術 控 帝︳ 躝幽 踘癓 齷 #
靂殲
甂靂

齡繳螉銹 璐 鑰難唦鶲
╮ A.8.可 2DataleakagepreVenHon資 料 洩露預 防
一
CCE七 rC王 type 玉&︴ iC址
I正 far玉 y
它ξ$erε eC在 r王 〔 @per在ho4崔 王 εεmr比 y曲 雄崔主
拉3
§兮ε
H政tyPraper以 gε ε●且ε ept∫ ε&pa$己 在
i七 王

$攤
e§

灘鏹 琇
考FreVe迋 ︴
t甘 V告 #C0nf宮 哇en在 舌hty #Protect華沙e七 §C︴ 勞工
且免r出 破:Ⅶ ＿抖 0- #至 ro忌 eC出 4n
#Dd路 nεe

鐒黟忡
茫銓§te〔 君打e te〔 t至 6且

籤外弗籊鐒卿疑齸 擊篠弩鑑髀 鑰 航淓珆邪 音綠艸

PurPose目 ｜
幻
下odetectandpreVent theunauthor:zeddiSc︳ osureand
extraction o了 inforrnationby:ndiVidua︳ SorSystems.
偵 測 並 防止個 人 或 系統未經授 權揭 露及擷 取 資訊 。

鐪帥
◎ 下C︳ C 2-2S︳ide2﹁ 了

A＿ 8下echno︳ ogica｜ cont「 o︳ S技 術韹〨帝︳

A＿ 8.︴ 2Data︳ eakagepreVen∥ On資 料 洩露預 防 鐑雡鐪餘 鑴 鏘麗艙饑 ∞

Gu︳ dance指 ︳ S。
了 (︳ 2了 ●02〕

oWingtoΓ educethe
下heoΓ gan｜ za七 ionShou︳ dconsiderthefo︳ ︳
鐒雛翁 休

sk ofdata︳ eakage:
r︳
鐑黤轉

組 織 宜考 量下列事項 以 時低 資料 洩露之風︳ 險 :
紙缸

a) identi印 ingandc︳ asSi!:ng｜ nformajon to protectagainst

銹黫鐒姊欺鸏 寧露夥坤

︳eakage(e＿ g.persona︳ inforrΥ ︳ ode︳ sand

ation,pΓ 心:ngrΥ ╮
pΓ oductdes︳ gns);

識別 資訊並 將其 分類分 級 ,以 防範 洩 露(例 :個 人 資 訊 、定 價模

型及 產 品設 計)。
路錯辦

b) monit。 ringchanne｜ so下 da七 a︳ eakage(e.g.emai｜ ,fi︳ e

坲 瞞曌娌好音 艙螂

tranSfeΓ S,mo日 ︳edeVicesandportab｜ eStoragedeV︳ ces);

監視 資料洩 漏管道 (例 :電 子郵件 、檔 案傳送 、行動裝 置及可攜 式
嬐師

儲存裝置)。
◎ 下C︳ C 2-2S︳ ide2﹁ 8
 A口 8下echno︳ og:ca︳ contro︳ s 技羽子韹〨帝︳

塕黝 塕鍛 鑼 坳雞 谽 饑
A.8.η 2Data︳ eakageprevenUon資 料洩露預防 k

c) actingto preVent informationfΓom︳ eaking(e.g.quaΓ antineemai︳ s

containingsens比 iVeinformajon).

外
齡黮 鐪 鎗 籦 螂
︳:隔 離包含敏 感性 資訊之電子郵件)。
採取措施 以防止 資訊 洩露 歹 (彳

玠
甄 鑱 鏵 鑰 坤筋峰姊 孥 羅 帑簽選 一
Da七 a︳ eakageprevention too︳ sshou︳ dbeuSedto:

求
資料 洩露預 防工 具 宜用 以 :

a) i比 n∥ 印 andrnon比 orSens㏄ ive︳ nfOrma小 onatHSkofunauthOHzed

diSc︳ oSure(e.g.;nunstΓ uctureddataonauser’ ssystem);

識別及 監視具未經授權揭露風險之敏感性 資訊(例 :使 用者之 系統上

齡 航堪跆黚 全 谽 坤
的非結構 化 資料)。

紗帥
◎ 下C︳ C
2-2S︳ ide2η 9

A.8下echno︳ og︳ ca︳ con七 o︳

「
S技 羽旴之空帝︳

拂雞錛錄 鑼 錛黦紛鋨 心
A.8.η 2Data︳ eakageprevenuon資 料 洩 露預 防

b) detectthedisc︳ osureofsensitiVeinfo「 ︳ nation(e.g.when

︳nfo「 rnat｜ On︳ Sup︳ oadedtountrus七 edthird一 paHyc｜ oudserViceSor
銵攤鑰 ︿

sentviaer!╮ ai︳ );

偵測敏感性 資訊之 洩露(例 傳 至未受信任 之 第三 方

鑰籛坤

訊 上 端
服務 ,或 經 由電子部件發
俄卡鋊黰鑈坤磁♁竺翟 鑼學強路姊

c) b︳ ockㄐ serac七 ionSor ne㎞ ork iSSionS七 hateXpose

transr了 ╮
sensitiveinforrΥ ︳
ation(e.g口 preventing七 hecopyingofdatabase
entries intoaSp「 eadsheet)口
封鎖暴 露敏感性 資訊之使用者動作或網路傳輸(例 :防 止將資料庫
銹 磁路冷拼辛 妙的

資料項複製至試 算表 中)。
嬐節

◎ TC︳ C
2一 2S!ide220
 A＿ 8Techno︳ ogica︳ contro︳ S技 術 韹 ︳ 涵雄配癥贓〃古

=帝 釐魘鈍勰蹴

塕黤瞈鍛 勝 鐑籩鐪鐊 外
╮ A.8.可 2Data︳ eakageprevenjon資 料 洩露預 防

Theorganization shou｜ ddeterrnineifit︳ SneceSSaryto restΓ ict

’
ause「 sabi︳ itytocopyandpas七 eorup︳ oaddatato seΓ vices,

瞵灦鑈 巧
deV:ceSandStO「 agernediaoutSide0了 theorgan︳ 2a七ion.︳ ftha七
｜SthecaSe,theorgan｜ za七 ionShou｜ dirnp︳ ementtechno︳ ogy

銹籩螂
suchasdata︳ eaka9eprevention too︳ s ortheconfigurat｜ on of

鎡
oWuSers toviewandrnanipu︳ atedata
exist︳ ngtoo︳ S七 ha七 a︳ ︳

$錉
躈呦聊箋飆 甥拓繙琌栽彈 鐑 磁移跆黚 三餓螂
ote︳ ybut preventcopyandpaSteoutsideofthe
he︳ d「 er︳ ╮
oΓ 9anizat:on’ scontro｜ .

組 織 宜判 定是 否有 必 要 限制 使 用者 將 資料複 製 貝 占上 或 上 傳 至 組
織 外 部 之服 務 、裝 置及 儲 存 媒 體 的能 力 。若 如 此 ,則 組 織 宜 實
作諸 如 資料洩露預防(由 ta︳ eakagepreven｝ On,D∟ P)工 具 ,或
是容許使 用者檢視及操縱遠端保存之 資料 ,但 防止複製貼上超
出組 織控制範圍的既有工 具組 態設定等技術 。

幼帥
◎ 下C｜ C 2-2S︳ ide22可

A.8下echno︳ og︳ ca︳ contro︳ S技 羽子韹〨帝︳ ﹏

β薽 穿
— —

A.8＿ 可2Data｜ eakagepΓ evenUOn資 料 洩 露預 防 鐖灘鐫鍛 鎞 狒黤鬱鑰 密

fdataeXpoㄤ
︳ ed,thedataownershou︳ dbea｜ ︳
is requ︳ Γ owedto
appΓ OvetheexpoΓ tandho︳ dusersaccountab︳ efoΓ thei「 act｜ ons
錫黮銹 本

若 資 料 匯 出係屬 必 要 ,則 宜容許 資料 擁 有 著 對 匯 出具核 可權 ,

銹籙齡

並 使 使 用者 對 其行 為 負全 責 。
戧符翰繌鎙神沒胡 擊露學鍰擺聊

Tak:ngscreenShots o「 ph0七 og「 aphsoftheSc「 eenshou︳ be

addressedthroughterrnsandcond︳ tionSofuse,tra︳ ningand
。
aud:ting.
練 及 稽 核 ,處 理 螢幕截 圖或螢
宜透 過使 用條款 及 條 件 、教 育韌〡
鑱 磁曌馨

幕列印 。
r車
艙帕
谽帥

◎ 了C︳ C 牙2S｜ ;de222

 A.8下echno︳ og︳ ca︳ contro︳ s技 術 韹生帝心 ㄘ

露舐 β
— —

鋒籬鈐幼 鑼 鐖驤緞饑 外
A＿ 8.η 2Data｜ eakagep「 evenuon資 料 洩露預防

VVheredataisbackedup,careshou｜ dbetaken toensuΓe

SenSitiVeinforrΥ ╮ation︳ sPΓ otecteduS︳ ngr了 ●eaSureSsuchaS

蠮灘鑼 琇
encΓ yption,accesscont「 o︳ andphysica︳ p「 otection ofthe
Sto「 agerned｜ aho︳ dingthebackup.

紼齷螂
於 備份 資料 時 ,宜 謹 慎確保敏 感 性 資訊 係 受保護 ,使 用諸如加

觝八琇籛鑰嗨籃齵 鞏羅路錶躌 鑰 蹜器路卸 音鎗螂

密 、存 取控 制 及 實 體保護保 存備 份 之 儲存 媒 體 等措 施 。

谽帥
◎ TC︳ C
2-2S︳ ide223

A.8下echno︳ Og:ca︳ con七 ro︳ S技 術 韹 ︳

=帝

A.8.可 2Data｜ eakagepreVen小 on資 料 洩 露 預 防 鑱黰縐艙 鑼 鎙籛谽饑 ¢

Data︳ eakagepreVention shou｜ da︳ sobeconsideredto p「 otectagainst

theinte︳ ｜
igenceactions ofanadversaryfror了 ╮obtainingconfidentia︳ o「
secret informajon(geopo︳ 比ica︳ ,human,竹 nancia｜ ,commercia︳ ,
鏺籮銹 本

scientificoranyother)Whichcanbeofinterestforespionageorcan
becΓ ca︳ forthecOΠ Wnunity＿ Theda七 a︳ eakagepΓeVentionactions
it︳
錛黫坤

’
shou︳ dbeO「 ien七 edtoconfusetheadve「 saη ◤sdecisionsfo「 eXamp︳ e
餓㎡

byrep︳ acingauthent;cinfor【 hationwithfa︳ se｜ nforrnation,eitheΓ asan

鑈黮擁姊貓鬱聖電 路夥盆轟 銹 城雀建好再 鋒郎

independentaction orasresponseto theadYe「 saη ◤’ igence

s inte︳ ︳
ac七 ionS.EXamp︳ esofthesekindsofactiOnsaΓ ereVersesocia︳
engineeringortheuSeofhoneypo七 S七 0a七 七
ractattacke「 S.
亦宜考量資料洩露預防 ,以 防範對手取得 (地 緣政治 、人力 、金融 、商
業 、科學或所有其他)機 密或秘密資訊之情報行動 ,此 等資訊可能引起
間諜關注或可能對專業社群 至 關重要 。 行動宜以混
淆對手之決策為導向 ,例 :將 真確資訊 替換為假 資訊 ,作 為獨 立行動或
作為對對手情報行動之回應 。此等行 為之例係逆向社交工程或使 用網
♁好

路誘捕系統(honeypot)以 ,及 引攻擊者 。
◎ TC︳ C
2-2S︳ ide22玲
 A.8下echno︳ ogica︳ con七 ro︳ S技 術 發生帝心

齴攤 筠鉿 琚 翰雞 錯鑰 齡黤 縐 縐邏 艸
A＿ 8.η 2Data︳ eaka9ep「 even小 on資 料洩露預防

on其 它資訊
o七 her︳ n竹 rma七 ︳

岱
Data︳ eakageprevention too︳ saredesignedto ident︳ 印 data,
mon︳ tordatausageandrnovement,andtakeacti0ns to

打
preventdatafrom︳ eak｜ ng(e.g.a︳ eΓtingusers to thei「 riSky

斷小
behav︳ ourandb︳ ockingthetransfero了 datato portab︳ e

鑰龘 攤坤激 鷫 秒願
storagedeV︳ ces).
資料洩露防護工具 旨在識別資料 、監視 資料之使用及移動 ,

並採取措施防止 資料洩露(例 :警 示使用者注意其危險行為 ,

舉韜簽攤 鑰 筋器路帥 食 艙 郴
並封鎖將資料傳送至可攜式儲存裝置l。

鎀阿
◎ TC︳ C 2-2S︳ ide225

A＿ 8下echno︳ o。 ︳
ca︳ contro︳ S技 巧
好韹〨
帝︳ ﹏

靂颻 舒
— —

A.8.η 2Data︳ eakagepΓeven小 on資 料 洩 露預 防 齡黤佛鍛 齺 鑈繳紛纖 Φ

ther︳ n了 ormat︳ on其 它 資 訊

。
Data︳ eakageprevent;on︳ nherent︳ yinvo︳ VesrΥ ╮ on︳ toring
’
銹籛鐒 無

perSonne︳ scornrnunicat︳ onsandon︳ ineactivities,andby

eXtens︳ onexterna︳ Par七 yr【 ╮eSSages,wh︳ chraises︳ ega︳
鐫鏺碑

concerns thatshou︳ dbeconsideredpr︳ o「 todep︳ oyingdata

兟心

︳eakagepreVent:on七 oo｜ S.Thereisavarie由 √of︳ egis︳ ation

擁麰銹砷欺齺 寧露路鏖芻鑱 械移跲掛音 妙卿

re︳ atingto priVacy,dataprotect:on,ernp︳ oymen七 ,intercePtion

ofdataandte︳ ecoΠ ╮ cab︳ eto

rⅥ unications thatiSapp︳ ︳

mon︳ toΓ ︳nganddataProcessingin theconteXtofda七 a｜ eakage

prevention.
,並 延 伸
V 資料 洩 露 防護 本 質 上 涉 及 監視 人 員之 通 訊 及 線 上 活 動
至 監 視 外部 人 員訊 息 ,此 引發 部 署 資料 洩 露預 防 工 具 前 ,宜 考
量 的 法律 問題 。有 多種 與 隱才 ㄙ 、資料 保 護 、聘 僱 、資料攔 截 及
盼師

電信 相 關之 法 律 ,適 用於 資料 洩 露 防護 全 景下 的監視 及 資料 處
◎ 了C!C理 。 2弓 工S︳ ide226
 A.8下echno｜ ogica︳ contro︳ s技 術 韹 ︳ 十

=帝 露出 β
— —

翰黤鑰蚡 皤 齡鏺幼齺 外
A.8.︴ 2Data｜ eakagepΓ evenjon資 料 洩露預防

Data︳ eakagepreventioncanbesuppoΓ ted． bystandard

Securitycontro︳ s,suchas topic＿ speci市 cpo︳ icieSOnaccess

翰黰鍋 功
con七 ro︳ andsecuredocument r!╮ anagernent(see5＿ 可
2and5.η 5)

幼蘿坤
標準安全控制措施可支援 資料洩露預防 ,諸 如 關於存取控制之

鈜︿
主題特定政策及安全文件管理(參 照5.︴ 2及 5.︴ 5汁

鑰黫鐑碎雙餵 鞏撥夥餓幾 呦 貓器跨邪 音谽坤

Φ帥
◎ 下C︳ C
2-2S︳ ;de227

A＿ 8Techno︳ og︳ ca︳ contro︳ s 技 羽手控 帝︳

錀籦 鑰谽 鑴 砩黰♁鏺 心
A.8.η 3lnfoΓ r【 a小 onbackup資 訊 備 份
╮
′
描方
COntro︳ 控 希︳ 也
Backupcopies0了 一 infor︳ ηation,So㎞ areandsysternSsha｜ ︳be
mainta:nedandΓ egu︳ ar︳ ytestedinaccoΓ dancewiththeagreed
銵黫 齡 泳

cyonbackup。
topic一 Specificpo︳ ︳
齡飄姌

應 依 議 定 之 關於 備 份 的 主題 特 定政 策 ,維 護 資訊 、軟 體 及 系 統
籤帝

之 備 份 複 本 ,並 定期 測試 之 。
鏺黤 嫋抪欺報 鞏臨

C° n者 ro︳ 陸常‵
擋施
擺移巖避鑈 城爽 蓱 哥 鈔妳

8ackupcopies0f=n知 rma報 On,So伽 areandsy$tem:rnase$

一
╯

sha〡 ︳ 一akenandtes推 dregu︳ ar︳ y︳ 再aCC° Υ

be在 dancewiththe
agreedbackupp0比 cy.
應依據所 議 定之備份 政 策 ,定 期取得 資訊 ,軟 體 及 系統 的影 像 備
份 複 本 ,並 測試 之 。
◇糽

◎ 了C︳ C
de228
2-2S︳ ︳
 A＿ 8下echno︳ ogica︳ contrO︳ S;歧 :ㄔ村︴空帝︳ 矽

靂咸〞
靂
— —

鎀幾銹熪 鑼 錉靆 紛鑰 外
A.8.﹁ 3lnfoΓ rΥ aHOnbackup資 訊 備份
╮

C6︳ 三
〔r§ 值tyu舌 Ⅲ扎r且佳在$且
≡ c坤 ers¢ c社 滾睜 6p娑 at是 61玉 道 §台拼 r止 V虛 §二
王出【
且§

∫各CuΓ i琦/pr6p兮 r在 是
念ε Cσ盟 εep才 § Ca′ 盆站ikt玉 e§

坲黮 銹 溶
〝迋
#它6了 reε 七 #王 nt§ gr三 tΥ 吾只〔ㄜoVer 帶C6n七 宮
二上
&近 V 舉P!o七 eCu♁ n
毒缸 爸交蕊 狂
=出

鐒雞 螂
PurPose目

鈚外
6幻

琇纖 齡碑皴鷬 擊撥 夥錄攤 齡 貓路跨珅 享 鉿螂

下oenab︳ erecOVeΓ yf「 Om︳ OsSofdataor systerΥ ╮
s
能 由 資料 遺 失或 系統 受損 中復原 。

幼帥
◎ 下C︳ C 2-2S∥ de229

A.8下echno︳ ogica︳ contro︳ s技 術 韹〨帝︳ ﹏

露戤 露
— —

A.8.η 碎RedundancyofinfOΓ ma七 ︳

on proceSs;ngfaci︳ itieS 鐖飄 鐑劬 鑴 聯黮 紛鑰 →

資訊 處 理設施 之 多備

措施
Contro︳ 控 希︳
鐒雞 鐱 本

︳nforrnation pΓ 0ceSSing了 aci︳ itiessha︳ ｜beir︳ ╮ entedw:th

p︳ erΥ ╮
鑰羷坤

r田 un由 ncysu什 ︳ cient七 omeetavai︳ ab:︳ i︶ equ︳ rerΥ ╮ ents.

「
鯤師

資訊 處理設施之實作應具充分多備(r田 undancy),以 符合可用性

鑰皺銹嗨欽報 學鞨 學瓂鶴卹

之 要求事項 。

C♁ 錐#° ｜腔常寸
︴ ︴告施
°俄pξ ♁ce$$吾
:n箏 0r︴╮a七 〡 fac;｜ ;中 兮$Sha含 e幻 en舌 ed、Ⅳ接孔
︳be言 m紅 ︳
銵 磁器玲拼 牽 黺螂

n多
r♁ 婊級nd接 nCy$u鋸 c｜ e雄 七七0me破 缺跪 隘 b︳ 乩竹 跨 哪 i給 men支 S.
工

應 聲 資訊 處理設施 實 作 充份 之 多 重備援 ,以 符 合可將性要求 。

谽帥

◎ TC｜ C 2-2S︳ ide230

 A.8丁echno︳ ogica｜ contΓ o︳ s技 術 龍〨帝︳

瞈攤翰嬐 蠗 鑰颻啥饑 餅
A.8.η 碎RedundancyofinfOrrnation pΓ ocessingfac︳ ︳
ities

資訊 處 理 設施之 多備

CoⅡ 子
rO王 typ恐 鈺 鈍 fⅢ 斑 i°Ⅱl C﹏ tBrs6cuF三 七 y Op§ r玉 u蝴 三 Be〔 ｛Υ且
tyd㊣ J出&i狙 J

錀黫鑰 玢
路 G迅 r三 呼 Pr叩 Br宙 幣 c.nc§ p︳ s εaPa在 王1比 玉
eS
#Pm歿 滋主
機 母AVa子 王
且右三
︳ity 著Pr@tε ε
t #C0出 位nu址 y 帶Pr6t手 ε有
玉o〦

鐒錘螂
敘 §S全 t熱 &n致 ︴
尹 出 §正〔 持R令 § 王
i王 e㏄ 子

籤本鑰黰錀坤籃鏍 寧羅寧鎧彈 螉 磁潘撥野ξ 餓外

PⅡ Γ
POSe目 的
下0enSurethecontinuous operation of︳ nforrnation proceSsing
fac︳ ︳
ities.

確 保 資 訊 處 理 設施 之 持 續 運作 。

砏昨
◎ 下C︳ C
Modu︳ e2-2s︳ ide23η

A.8下echno︳ ogica︳ cont「 o︳ s技 術控 帝︳

銹簸鑈鎗 鋪 鑈籩谽爞 ︴
A.8＿ η5Logg︳ ng 存 錄

℉
涊 ‵駻 手
十 :子 a:一 ::子exceptions,fau︳ tSandotherre︳ eVant
鍋簸佛 外

events sha︳ ︳beproduced,st0red,pro七 ectedandana︳ ysed.

鑰籛坤

記 錄 活 動 ‵異 常 、錯 誤及 其 他相 關事件 之 日誌 ,應 產 生 、儲存 、
繳∞

保 護 及 分析 之 。
鑰灘鏺師欺黐 學蘿移競雜蝌

C° n圭 rO｜ 控 常(;路 名
也
狂Ven在 ︳ ogsFecord=ngu$erac左
一 on$,了au:tSand
iV:t︳ eS,eXcep七 工

in了orma崔 子onSecu好 扎√even七 SSha;︳ beproducedandkep女 3nd

銹 描彈盟

Γegu︳ a外 yreV︳ ewed‘

應產 生 、保存並 定期籓 查記錄使 再者 活 動 、異 常 、錯 誤及 資訊

r—
鈔妳

安全 事件 之 事件 再誌 。
紛帥

◎ TC︳ C
2ㄛ 2S︳ ide232
 A.8Techno︳ ogica︳ contro︳ s技 術 控 帝寸

銹飄齡鎀 鑼 塕纖翰鑰 外
A.8.可 5∟°gg:ng再謀

C守 土tr破 盯 p想 吋 m斑 描出
I土 Ξ y
Cy打 ersec迂 r主 〔 6per崔任︳正乏土 §◆〔在r二 班 d° 盟 ai且 §
§兮C社 Γ主怎ypΥ 〔
§perti§ § Cσ 無〔ep出 哪 各玨是
〔三念ε

#D或 告Ct打 念 #CUn是 dent在 δ Ψ n銘 !Ⅲ玉t≡ ♁且 ∫e忍 社r三 - 努Prot召 ㄈt主0且

錀黮鐑 巧
1主 拇 怎故 饒 #玉

報 n托 每rl好 班 eve女 tma且 且娶 Ⅲ出 毛 鋒De佳 ncs

放y
#Am王 且a故 士

銹靆卹
鈚∥
Purpose日 芢
有

鐫騹琇榔鱉餵 犩籮 犖饈舞鑰 航器齡跡 吾谽螂

下orecordevents,generateev:dence,ensuretheinteg「 ityof︳ og
:nfOrma七 ion,preVentagainStunauthorizedaccess,identi∼
infOrr【︳ ajonSecu山 tyeVents thatcan︳ eadtoan︳ nfo「 ma∥ on
Securityincidentandto supportinvestigations.
記 錄 事件 、產 生 證 據 、確 保 日誌 資 訊 之 完 整 性 、防 範 未 經 授 權
的存 取 、識 別 可 能 造 成 資訊 安 全 事 故 之 資 訊 安 全 事 件 並 支援 調
查 。

幼帥
◎ 下C︳ C Modu︳ e2-2s︳ ide233

A＿ 8下echno｜ og︳ ca｜ contro︳ s技 術 控 帝︳

A.8.可 6｜ Ⅵonitoringact︳ vitieS監 視 活 動 攤羰齡妢 鑴 銹簸鬱鑞

措施
ContΓ o︳ 控 希心
NehⅣ oΓ ks,syStemsandapp︳ ︳ cations sha︳ ｜berΥ ╮
onitored了or
m銹
黫鈐 ︽

anoma｜ ousbehaViourandappropr︳ ateactions taken to

鐑黤螂

eva︳ uatepoten小 a︳ infoΓ mauon secuHtyincidents.

銳命

應 監 視 網路 、系統 及 應 用之 異 常行 為 ,並 採 取 適 切 措 施 ,以 評
銹籊瞈妳磁嬐妳寧簼移盤幾 銹 瓶雀理好守 妙螂

估 潛 在 資訊 安 全 事 故 。

V
♁師

◎ 了C︳ C de23ㄔ
2-2S︳ ︳
 A日 8TeChho︳ og︳ ca︳ contro︳ s技 ㄔ
商︴空帝︳

錛黤螉妢 皤 齡黤搿鑞 外
ngactiV:tieS監 視 活 動
A.8.η 6｜ ⅥonitoΓ ｜

CO斑 Γ
d︴ ypε rn拍 PmΞ甘6且 c坤 erε εεuΓ 比y 0Pε r且 狂DΠ a1 Sem立 呼 d9Ⅲ 且h§
Je〔 玉ri呼 pmP§ r唾 岱 ∞〦ε念#∫ 〔
且pa已 主
求在長
〔容
華Dε tect求q #EC且 我d§ 且寸且1女y #Deteε t華 ㎞ po且 社
庄 器王正長>=Ⅲmtiot小eC也 政╰ #Dε 兔收Ce

拂黮鰳 打
勞C° 了ΥeC吐 Ve 期戒招止W帶熱怎it主玩h呼 工又針 ent典 扭 母麥 出m七

鏺黤艸
PurPose目 的

鋮永狒雞錛嗨箕齵 學羅夥盟嬰鑰 筋舝超〞喜 谽螂

下odetectanorna︳ ousbehaViouΓ andpotentia︳ :nfor了 Ⅵati° n

securityincidents.
偵 測 異 常行 為 及 潛 在 資訊 安 全 事 故 。

鍛師
◎ 下C︳ C
de235
2-2S︳ ︳

A.8Techno︳ ogica︳ contro︳ s技 術 韹 ︳

=帝

eS監 視 活 動
A.8.η 6MOn比 O︻ ngac∥ v比 ︳ 鍋籛鍋鍛 鑼 錫灘紛鹼 ‘

Gu:dance指 弓︳｛
︳S。 2了 002〕
下herΥ ︳onitoringscoPeand｜ eVe︳ shou︳ dbedeterrninedinaccordance
鏘繳鐒 本

Withbusinessand｜ nformaⅡon secu山 tyΓ equ｜ remen七 Sandtakinginto

aWSandΓ egu︳ ations.MOnitoringrecords
consideΓ ation re｜ evan七 ︳
佛羻坤

shou︳ dbe︳ naintainedforde何 nedΓ eten七 ︳on peΓ iods.

簸↓

宜依 營運 及 資訊 安 全 要 求事項 ,並 考 量相 關 法 律 及 法規 ,判 定監視 範 圍
鏺雞鑼郎妳雜姊寧羅學鑑砪姊

及 等級 。宜於 所 定 義 留存 期 限 內 ,維 持 監視 紀 錄 。

oWingshou︳ dbeconsideredfo「
下he了 o︳ ︳ :nc︳ uSionw︳ thin thernonitoring
●yS七 ern:
銹 磁壁想′可 ♁師

宜考量將下 列事項納入 監視 系統 :

a)outboundand｜ nboundne╮ⅣOrk,systernandaPp︳ ica七 ion七 ra什 ic;

網路 、系統及應 用程 式之 出向與入 向訊務 。
♁師

◎ 下C︳ C
2-2S︳ :de236
 A.8TechnO︳ oσ ca︳ cont「 o｜ s技 術 韹〨帝︳

拗雛鋑谽 璐 躌籛鍛鐑 小
╭╮ A.8.η 6Mon比 oㄩ ng孔 jㄐ jeS監 視 活 動

b)accessto syster了 ╮ S,SeⅣ eΓ S,netWOrk｜ ngequipment,

monitor︳ ngsys七 eΠ 孔CΓ itica｜ app!:cati0ns,etc.;

銹籬銹 站
對 系統 、伺服 器 、網路設備 、監視 系統 、關鍵 應 用程 式等之

鎀羻瑯
存取 。

鈚小
c)critica︳ oradrΥ ╮
in｜ eVe︳ SysterΥ ╮andnetworkcon了 ︳
guratioη eS;

鑰議塕娣毀齦 絳籮 帑俄髒 鑰 航灨玲珅 彥谽瑯

fi︳

關鍵或管理(adrΥ ╮
in)等 級之 系統及網路組態檔案 。

幼師
◎ 下C︳ C
de237
2-2S︳ ︳

A.8下echno︳ ogica︳ contΓ o︳ s技 ㄔ

兩︴空帝︳ ﹏

露甄uπ
— —

A＿ 8.︴ 6Aˊ lonitor︳ ngactivitieS監 視 活 動 鐖黮銹餘 磷 鑼羻鈖鑰 ”

d)︳ OgS了 ror｜ ╮Secu山 tytoo︳ s︳ e.g.antv什 uS,｜ DS,intruSion

erS,兩 reWa｜ ︳
prevenjon system(︳ PS),web兩 比 s,data
銹鑈銹 本

︳
eakageprevention︳ ;

源 自安全工具︳ 例 :防 毒 、︳ DS、 入侵防禦系統φ

鈐繳輛

ntru由 on
Prevenjon system,︳ PS)、 網頁過濾器 、防火牆及 DLP︳ 之
瓾館鑈繩銹妳欺覯 擊落移嗧讓 銹 航勞嫂一巨 盼螂

日誌 。

e)event︳ 0gSre｜ a小 ngto systerΥ ┐andnetwOΓ kac七 :Vi七 y;

與 系統及網路 活動相關之事件 日誌 。
翰跡

◎ 了C︳ C
2-2S︳ ide238
 A.8Techno︳ ogica︳ contro︳ s一政切村一
守空帝︳

翰麗鐑幼 鑼 鑰飄谽饑 外
A.8.η 6MOn㏄ o〢 ngacuV比ieS監 視 活 動

flcheckingthatthecodebeingeXecutedisauthoΓ i2edto run

in thesysterΥ ╮andthat比 haSnotbeentarnperedw㏄ h(e.g.

鐖籮鑱
byrecompi︳ at;on toaddadditiona︳ unwantedcode);
核對執行之程式碼 ,是 否獲授權於 系統中運行 ,且 其未遭竄

$鐒
癱螂
改(例 :藉 由重新編譯 ,以 新增額外非所欲 的程式碼)。

鑯本鑰黤鑰妳騙玲墅費 躍苓駕奲 螉 筋畢跨黔 甘谽螂

g)useoftheΓ eSources(e.g.CPU,haΓ ddiskS,rΥ ╮
emory,
bandwidth)andtheir performance
資源(例 :CPU、 硬碟 、記憶體 、頻寬)之 使用及其效能 。

嬐帥
◎ 下C︳ C
2-2S︳ ide239

A.8下echno︳ ogica︳ contro︳ s 技羽于是 ︳

=帝

A.8.可 6｜ Ⅵon︳ toΓ ingactiVitieS監 視 活 動 鏺

黫
鑰
嬐
鑼
下heo「 gani2ation shou︳ destab︳ ishabase｜ ineofnoΓ rna︳ 鑈
鼥
behaViourandrnonitoragainst th︳ SbaSe︳ ineforanoma︳ :es. 谽
鐖
Whenestab︳ ishingabase︳ ｜ owingshou︳ dbe
ne,thefo︳ ︳ 銹
麜
cons︳ de「 ed: 鎀
鋒
組 織 宜建 立正 常行 為 之 基 準 ,並 依 此 基 準 監視 異 常 。於 建 立 基 籦
鈚
準時 ,宜 考 量下列事項 :
鑈
籦
a) Γ eview︳ ngut︳ ︳
ization ofsystemsat noΓ ╮
a︳ andpeakper:ods;
rΥ
鏻

肆
審查系統於正 常時期及尖峰 時期之使用率 。 鱀
舉
b) usua︳ rneofaccess,︳ ocation o了 acceSs,frequencyof
t︳ 舉
餓

accessfoΓ eachusero「 gΓ oupo了 uSeΓS. 麤

﹉‵ ˊ
!

‵一ˊ
$
各使 用者 或使 用者 群 組之 平 常存 取 時 問 、存 取位 置及存 取頻 辯
率。 ♁
巨

鍛
節
◎ TC︳ C
de2ㄔ 0
2-2S︳ ｜
 A＿ 8下echno︳ og︳ ca︳ contro︳ S技 巧抒韹〨帝︳ ﹏

靂舐 靂
— —

銹雛鐱鐪 硌 齡羻盼鴳 缽
╮ A.8.可 6Mon比 o山 ngactⅣ 山eS監 視 活 動

下he!nonitoringsyS七 ernShou︳ dbeconfiguredagainst the

eS七 ab｜ iShedbase︳ ineto identi √anoma︳ ousbehav:ou「 ,suchas:

鑼籛鑰 再
監視 系統 宜依所建 立之 基 準 進行 組 態設 定 ,以 識別 異 常行 為 ,

銹籩螂
諸如 :

鈜外
a) 山np︳ annedterrn︳ nation ofproceSSes orapp︳ icat︳ ons;

錀驐彿螂羧錣 鞏簼鋒鑑舞嗡 茲器玲跡 宮 谽螂

過程 或應 用程式之 非規劃終止 。
b)孔 tiV:tytypica︳ ︳
yasSOciatedwi七 hrna︳ wa「eortΓ a帝 ic
gina七 ingfrorn known rna︳ icious︳ PaddressesoΓ netWO「 k
o「 ︳

domains(e.。 .th。 seassociatedW㏄ hbotnetcornrΥ ╮ andand

contΓ o︳ SeⅣ erS);
與源 自已知惡意︳P位 址或網路網域之 惡意軟體或訊務相關聯
的典型活動(例 :與 殭屍網路之指揮控制伺服器相關聯的活

鉿帥
動)。
◎ 下C︳ C de2冷 鬥
2-2S︳ ︳

A＿ 8Techno︳ og︳ ●a︳ contro︳ S技 術 韹〨帝︳ 中

β瓶 露
— —

鐖雡銹餘 皤 鑼黦鬱鑰 ¢
A.8.可 6｜Ⅵ nitor︳ ngact︳ VitieS監 視 活 動
。

c) kn° wnattackchaΓ acte「 istics(e.g.denia︳ ofseⅣ 心eand

bumerove汗 ︳
彿雞鑰 ∥

OWs);
已知之攻擊特性(例 :阻 絕月 艮務及緩存 區溢位l。
鋒巍姊

d) unusua︳ systeⅣ﹁ behaviou「 (e＿ g.keyst「 oke︳ ogg︳ ng,proceSS

颻←彿籩鐱師筑黐 擊露夥豱鐺掰

︳rUectionanddeviationSinuseofstandardprotoco｜ S);
異常系統行為(例 :按 鍵存錄 、過程注入及標準協定之使用
偏差)。
e) bo仕 ︳enecksandOver︳ OadS(e.g.nehⅣ ork queu:ng,︳ atency
︳eve︳ sandnehⅣ oΓ kji世er);
彿 赫器玲帥當 翰郴

V 瓶頸及過載(例 :網 路排隊 、延遲等級及網路抖動l。

翰帥

◎ 下C︳ C 2-2S︳ ︳ de跎

 A.8Techno︳ og:ca︳ contro︳ s技 術 韹〨帝︳

翰黤紛紛 鑼 鏺灘谽鑯 外
A.8.η 6｜ Ⅵonitor︳ ngact︳ v︳ tieS監 視 活動
f) unauthoΓ ｜
2edaccesS(actua｜ ︳ ╮
ratter了 pted)to syster【 s or
info「 rnation; 。
對 系統 或 資訊 之 未 經授 權存 取 (真 實 或 企 圖)。

攤雞鑼
g) unauthorizedScanningofbusinessapp｜ ications,systems

$銹
andnehⅣ orks;

籮螂
颻八
未 經 授 權掃描 營運應 用程 式 、系統及 網路 。

躌躈鑰姊笑齦 鞏綠雀聚轝鐒 齸墨盟π三谽嗨

h) successfu︳ andunsuccesSfu︳ attempts toaccess protected
Γ
esources(e.g.DNSseⅣ eΓ s,webpo碇 a︳ SandⅡ ｜
esyStems);
對受保護資源(例 :DNS伺 服器 、人 口網站人口網站及檔案
系統)之 成功及未成功嘗試存取 。
i) unusua｜ userandsysternbehaviouΓ :nre︳ ation toexpected
behav｜ ouΓ ＿

鈔師
與 預期行 為相 關之 異 常使 用者及 系統行 為 。
◎ 下C︳ C
2-2S︳ ide2ㄥ 3

A.8下echno︳ og︳ ca︳ contro︳ s技 ㄔ

持一空帝︳
守 十

π俄▉
π
— —

A.8.η 6A/lon比 o山 ngacjviues監 視 活 動 躌黮錛谽 齵 彿羰♁鑞 時

Con七 inu。 us rnonitoΓ ingviaarnon︳ to「 ingtoo︳ shou︳ dbeused.

MOnitoΓ ingshou︳ dbedonein rea︳ rneoΓ in peΓ iodicinteⅣ a｜ s,
t︳
餓驆鎀 ︿

su● jectto o「 gani2at︳ ona︳ needandcapabi︳ eS.MOnito「 ing

it︳

too︳ SShou︳ d︳ nc︳ udetheabi︳itytohand｜ e︳ argeamounts0了 data,

鑰籛坤

adapt toaconstant｜ ychang︳ ngthreat︳ andscape,anda︳ ｜ owfoΓ

皴如鑈黦錛咘斑蛜聖鱉 雜琌覣舞 銹 磁愛齵一

rea︳ 一rnenotification.下 hetoO︳ sshou｜ da︳ sbbeab︳ eto

t︳

recogni2especif:cs︳ gnatuΓ esanddataoΓ ne㏑ ork or

app︳ icat︳ onbehaviourpatteΓ ns.

宜使 用經 由監視 工 具 進行 之 持 續 監視 。宜依 組 織 之 需要 及 能 力 ,

即 時 或定期 進行 監視 。監視 工 具 宜 包括 處 理 大 量 資料 之 能 力 、
適應 不 斷 變 更 之 威 脅環 境 的能 力及 允 許 即 時通 知 之 能 力 。此 等
工 具 亦 宜能 辨 識 特 定 特徵 ,以 及 資料 、網路 或應 用 程 式行 為 型
王 ♁坤
鈔阿

樣 。

◎ 了C︳ C
2-2S︳ ;de24ㄥ
 A＿ 8下echno︳ ogica︳ contro︳ S技 術韹〨希︳

鈐籛鈐谽 鐋 齡雛谽鑯 〝
╮ A.8.可 6MOn比 0山 ng孔 甘ㄐ小eS監 視 活 動

atedrnonitoringso帥 areShou︳ dbeconf︳ gu「 edto

AutorΥ ╮
anagerΥ ╮
generatea︳ erts(e.g.viar了 ╮ entconso︳ es,ernai︳

狒纖鏘 玢
messages orinstant r【 ╮
essagingsystemS)basedon
predefinedthresho︳ ds.下 hea︳ ertingsysterΥ ╮Shou︳ dbetuned

銹籛螂
andtrainedon theorgani2ation’ sbase︳ ineto rnini了 niZefa︳ se

鈜妳塕籛銹螂幾餵 罕獵翠饈鶢 鐫 筋羷蹐沖 哥谽螂

PoSi七 iVeS.
自動化監視軟體宜設定組態為依預先定義之臨限值產生警示
(例 :經 由管理控制台 、電子郵件訊息或即時傳訊 系統l。 警示
系統宜依組織之基準 ,進 行調整及訓練 ,以 極少化誤正判
(fa︳ seposⅢ Ve汁

鎀帥
◎ 下C︳ C 2一 2S︳ ide2碎 5

A＿ 8下echno︳ ogica︳ contro︳ S技 術控帝︳ ﹏

嫠甂 嫠
— —

A.8.︴ 6︳ ⅥonitoringactivitieS監 視 活 動 搦籛 搦谽 鎞 鍋籛銓鑯 必

y
PerSonne｜ shou︳ dbededicatedtoΓ espondtoa｜ e〢 SandShou︳ dbeprope「 ︳
trainedtoaccurate︳ yinteΓ p「 et potent｜ a｜ incidentS.
The「 eshou︳ dberedundant systernsandp「 ocessesin p｜ aceto receiVeand
銹驤 佛 本

eSpondtoa︳ e比 noti何 cations.

「
練 以 準確 解 譯 潛在 事 故 σ宜備 妥 多備
宜有 專 職 人 員 回應 警 示 ,並 宜接 受 適 切 教 育割〡
鐑騜師

系 統 及 過 程 ,以 接 收 及 回應 警 示 通 知 。
觝府鐱籛 鎙姊竊呰聖崔 鐺夥鑑擺帥

AbnoΓ rna︳ events shou｜ dbecorl█ ︳ ﹁unicatedtoΓ e︳ eVantPaΓ tiesin ordeΓ to irnp「 ove
thefo︳ ︳oWin9activi七 ie§ :auditing,secur｜ h√ eva｜ uation,vu｜ ne「 abi｜ yscanningand
i七

rΥ︳onitoring(see5.25).ProcedureSShou︳ dbein p｜ aceto respondto poSitiVe

indicato「 sf「orl╮ the〔 ⅥonitoΓ ingsystern inaHrne｜ yrnanner,in ordeΓ to rninin∩ izethe
e胎 ct° fadverseevents(see5.26)on inbrrnaⅡ on secuh打 .ProceduresShou︳ d
a〡 SobeeS七 ab︳ iShedto identi╮ ◤ andadd「 essfa｜ SepositiVeSinc︳ udingtunin9the
銹 瓶器跆挪 音 鐙的

monitorin9SOf帥 a了 et。 reducethenumbe「 offuturefa︳ sepositiVes.

宜將 異 常事件傳達子關注方 ,以 改善下列活動 :稽 核 、安全評估 、脆弱性掃描 及監
,以 極 少
視 (參 照5.25)。 宜備妥程序 ,以 及 時 方式 ,回 應源 自監視 系統之正向指標
化不 利 事件 (參 照5.26)對 資訊 安全的影響 。亦宜建 立程序 ,以 識另︳ !及 因應誤正 判 ,
錄帥

包括 調 整監視軟體 ,以 降低未來誤正 判之數 量 。

◎ 下C︳ C Z2S︳ ide2ㄥ 6
 A.8下echno︳ og︳ ca︳ contro︳ s技 術 韹〨帝︳

齡灘鐪蜙 皤 齡黝皤躌 分
A.8.η 6Mon比 o山 ngac小 V㏄ ieS監 視 活 動

七her︳ n了 orma小 on其 它資訊

。

銹飄 鏻 ︴
Secu山 tymon比 0山 ngcanbeenhancedby:

鏺黫螂
可 藉 由下 列 方 式增 強安全 監視 :

鐵水
a) LeveΓ agin9threat｜ nte｜ ︳
igencesystems(see5.7);

錛黤鑰妳甡餵 擊雄瑙餵婪鑰 鎡華餵π

善用威脅情資系統(參 照5.7汁
b) ︳
eveΓ ag︳ ngr︳ 〕
achine︳ earninganda「 tific︳ a︳ inte｜ gence
｜
︳
capabi︳ ︳eS;
t︳

善 用機 器學 習及 人 工 智 慧能 力 。
c) u由 ngb︳ ock︳ :stSora︳ ︳
ow︳ iStS;

使用黑名 單或 白名單 。

螂
妢師 ;谽
◎ 下C︳ C
2-2S︳ ide247

A.8下echno︳ ogica︳ contro︳ s 技 羽手龍生帝● ﹊

π找口
π
— —

鑰籦錛谽 璐 鍋黮谽嫩 “
A.8.︴ 6MOn比 0hngactiv比 ︳
eS監 視 活 動

d) undeλ akingarangeo了 technica︳ securityaSsessments(e.g.

vu︳ nerabi︳ ityaSsessrnents,penetration test｜ ng,cyber一 a一 ack
鑰齉鑈 本

Sirnu︳ ationsandcyberΓ esponseeXeΓc:ses),andusingthe

resu︳ tsoftheSeassessrnents tohe︳ pdeterrninebase︳ ines
錢黦妳

oracceptab｜ ebehav:ou「
兟↓

;
協黤鐒妳箴鎖 鱉露苓盪鶢錛 磁策其一

進行 多種技術式安全評鑑(例 :脆 弱性評鑑 、滲透測試 、網

宇攻擊模擬及網 宇回應演練),並 使用比等評鑑之結果 ,以
協助判定基準或可接受之行為 。
可 玅呻
鈖師

◎ 下C︳ C
2-2S︳ ide248
 A.8Techno︳ ogica︳ ︴
空常︳
contro︳ S;歧 :ㄔ持守 癥 豳 陷 蹓 醒 母

靂珮 虋乳

銹難鑰鎀 鑼 鑰籛鐪鏹 餅
‘
╮ A． ︴6Mon比 oHngac打 ⅢeS監 視 活動
8．

e) usingpe市 ormancernon比 0山 ngsyster!╮ s tohe︳ pestab｜ iSh

anddetectanorna︳ ousbehaViour;
使 用效 能監視 系統 ,以 協助建 立及 偵 測異 常行 為 。

鏘籊鎀 →
鈐颻螂
f) everaging｜ ogS︳ ncombinationWithrΥ ╮
︳ onitoringsystems

鈚外
結合監視 系統 ,善 用 日誌 。

拂麗錢郴籃解 擊崩
MOnitOΓ ingactivitiesareoftenconductedus︳ ngspecia︳ ist

鑼器餵舞 銹 航務希跡 音谽嗨

So伽are,Suchas intrus:Ondetect︳ on systerns.TheSecanbe
conf:guredtoabase︳ ineOfnorr︳ ╮ a︳ ,acceptab︳ eandexpec七 ed

systeΠ ╮andnehⅣ o「 kactiVit:eS.

監 視 活 動 通 常使 用 專 業軟 體 進行 ,諸 如 入 侵 偵 測 系統 。此 等軟
體 可 設 定 為 正 常 、可接 受 及 預期 之 系統 及 網路 活 動 的基 準 組 態 。

鎀師
◎ 下C︳ C 2… 2S︳ ide2ㄔ 9

A＿ 8下echno｜ og︳ ca︳ contro︳ S技 術 韹〨帝︳

ngactiVitieS監 視 活 動
A.8.可 6A/lonito「 ︳ 鐖籛鐱谽 鑼 鐪羷幼纖 站

A/lon｜ toΓ ingforanoma｜ ouScoΠ ╮︳ηuniCationshe︳ ps in the

ident︳ fication ofbotnets(︳ .e.seto了 deV:cesunderthe〔 ηa︳ iciouS
contro｜ ofthebotnetowner,usua︳ ︳ yuSedfor rnounting
銹玀銵 〦

distributeddenia︳ ofseⅣ iceattackSon othercorΥ ╮ puters of

other or9anizat:ons).︳ fthecomputer:sbeingcontro!︳ edbyan
蠮羻瑯

eXterna｜ deVice,theΓ eisacoΠ ╮╮ unicationbe︴ weentheinfected

籤→

r︳
鑱籩幼咑欺娣 學搖移鍛路辦

dev︳ ceandthecon七 Γ er.下 heorganization shou｜ dtherefore

o︳ ︳

ernp｜ oytechno︳ ogieSto rnon︳ toΓ o「 anorna︳ ouScornrnun:ca七 ionS

了
andtakesuchactionasnecessaΓ y.
監 視 異 常 通 訊 ,有 助 於 識 別 殭 屍 網路 (亦 即 ,於 殭 屍 網路 擁 有 著
惡 意控 制 下 之 一 組 裝 置 ,通 常 用於 在 其 他 組 織 之 其 他 電腦 上 安
螉 磁曌礅好哥 翰螂

裝 分散式阻絕月艮務 攻擊l。 若電腦由外部裝置控制 ,則 受感染裝

置與控制 器間存在通訊 。因此 ,組 織 宜採用技術 以監視異 常通
訊 ,並 於必要時採取 比行動 。
鎀師

◎ 下C︳ C 2-2S︳ ide250

 A.8下echno︳ ogica︳ contro︳ s技 術 改〨帝!

齡黤鑰姼 嬏 鑰籛磡鑞 兮
A.8.η 7C︳ ockSynchroniza小 on‘ 瞳吉
孔同步

戶
措方
Cont「o︳ 控 帝︳ 也
下hec︳ ocks ofinforrnation processingsyster了 ╮SuSedbythe

錛黤鑈 拼
o「 gan︳ zation sha︳ ︳besynchΓ oni2edtoappΓ oVedt︳ rnesou「 ceS.

鐒雞呦
組 織所使 用 資訊 處 理 系統之鐘 訊 ,應 與 經 認 可 的 時 間源 同 步 。

鈚小躌雞鑰碑斃餵 鞏羅夥餵饕錛 航含琀跡 豆谽啷

d控 制 措 施
Con發 ξ
ηat:on proceSs子 ngsy$tem$
了hec︳ OGk$ofa︳ ︳re︳ eva n崔 in了oξ ξ
W:th︳ nan organ:2at;OnoΓ secur:tydomain sha︳ ︳ be
synchr0几 ︳ Zed音 oaS;ng〡 eΓe拖 Γence走 irneS0吐 rCe.
組織或安全領域 內所有相 關資訊 處理 系統之鐘 訊 ,應 舞單 一參
考 時間來源 同步 。

砏師
◎ TC︳ C
2-2S︳ ︳
de25η

A.8下echno︳ ogica︳ contro︳ S技 術 韹〨帝︳ ﹏

π舐▌
β
— —

鑈黦錛錯 鑼 一
A.8.可 7C︳ ockSynchroni2a小 0n‘ 瞳訊 同步

ΓO一 打?e
COⅡ七 njom且tiD且
工 Cybe必 ε〔旺ri在y OPera甘 心Ⅱ且】 SεC注 r主 ㄝ◤dOma主 ns
S兮 CⅢ r址 ypropεr七 ieS ε°ⅡtFp七 $ εap已 :Ⅲli較 兮§
守D全它ec在 Ve 勞工
二三七
egr主 守 eε 毛#Detec七
#Pr° 七 年二
nf◆ r工 nat主 0niS§ c社 r｝ on
#PΥ 6tec七 王
班 event【 在缺且agement #D割 Fence
永
塕黤 轉
餓 鑈 颻 鑰 姊與 詳 寧 露 舉窩錯軒鑈 航鋒伶拼 音 鈔 外
市

PwP。 se目 的
下Oenab︳ ethecoΓ re︳ at︳ onandana｜ ysis ofsecurity一 re︳ ated
eventsandotherrecordeddata,andto suppo「 tinvestigations
into inforrna∥ on secuHty︳ nc心 entS.

啟 用對安 全 相 關事件 與 其他 所 記 錄 資料 之 關聯 及 分 析 ,並 支援
對 資訊 安 全 事 故 之 調 查 。
谽師

◎ 了C︳ C
2-2S︳ ide252
 A.8下echno︳ ogica︳ contro︳ S技 ㄔ
◣
村守空帝!

銹纖坳鬱 擺 鑰攤鐪鐖 燕
A口 8＿ η8USeofp〢 vi︳ egeduu︳ ityprog「arΥ ╮
s
具 特 殊 權 限公 用程 式 之 使 用

Con七 ro︳ 控 制;睹一

力也

鑱蘿鑼 功
下heuSeofuti｜ ︳ typrogramstha七 canbecapab｜ eofoVeΓ r:dingsyStem

銹黤瑯
oncon七 ro︳ SSha︳ ｜
andapp︳ ica七 ︳ ycon七 ro︳ ︳
bereStric七 edandtigh七 ︳ ed.

鈜然
應 限制並嚴 密控制可能篡越 系統及應 用程 式之控制措 施 的公用程式之使

鐑籛鑰珅癡餵 鞏羅舉錄罍 鑰 航鉹路跡 含谽姊

用 。

Co外 之 空希時描 琇
ro〡 表 也
Theuseofu七 〡
｜Vpr♁ qra錢 S它 烋a七 n╮ igh︴ dinσ $ys老 em
becapab〡 eO了 ΘVer℉ ︳
一
:︴

c斑 ;◆ 孔Con崔 r♁ ︴
盆我硪扶pp︳ 〡 $S抽 a｜ ︳beξeS老 r工 e之 eda&哇 是
｜ yco我 音
$&崔 ︳ 才°甘︴ed‘

應 限 制 與嚴 密控 制可 能纂越 系統與應 用控制措 施 之 公 用程 式的使 用 。

鐪外
◎ TC︳ C 2-2S︳ ide253

A.8下echno︳ ogica︳ contro︳ s技 術 韹〨帝︳

齡黦銹劬 鑴 銹饑
A.8.可 8USeofp一 vi︳ egedu小 ︳
itypr0gΓ ar!╮ s

具 特 殊 權 限公 用程 式 之 使 用
CD︴ 七r↓ 王七ype 王Ⅱ拍 出出接七且 ●且 y
竹 乙er比 εHr亡 毛 6P兮 ra〔 主
oⅡ a【 S兮 〔班 r三 七yd心 盥 法 是土 §

§εε追r投 yPr． per球 es C0且 tep七 S ε我p女bi址 七

ieg
Ve
華PreVeⅡ 七主 #C6n且 deI七 走
臣五乎 #protect #s子式 e雖 一a土d一 且et- 弟ProteCt主 O〔 :
遮 舍g且 睜
勞工 woI水 ＿secur主哲
#扯在主主ab斑 女y 學Secure〦onfigura﹏
tiGn
i◆ n小 台
勞App上 c在七 Cur止 y
黮 縐 坤城撥堅 愛 爾 夥鑑嗧姊鑱 城雀 懘 姅言 盼 螂

PuΓ Pose目 的
下oenSure七 heuSeofu七 ityprog「 arnsdoes notharrn system
i︳

andapp︳ 心ationcontro︳ s了or infOrrnation secur:ty.

確 保 公 用程 式 之 使 用 ,未 損 害 資 訊 安 全 的 系 統 及 應 用程 式 之 控
制措 施 。
餘跡

◎ 下C︳ C Modu︳ e2Eㄥ S︳ de25ㄥ

︳
 A.8下echno” gica︳ contro︳ s技 術 韹生帝︳

翰黤齡蛜 鑼 齡纖盼鐖 ︷
ation
A.8.η 9︳ nSta︳ ︳ ofso㎞ areon ope「 at︳ ona︳ systerns
運作 中系統 之 軟 體安 裝

ContΓ O｜ ;腔 希︳階施
ㄐ

攤籛鍋
P「 oceduΓ esandr【 ╮
eaSuressha︳ ︳beimp︳ ementedto secure︳ y
anageso㎞ ηreinsta︳ ︳

$銹
╮ ation on operat︳ ona︳ systems.

黫螂
r︳

城外
應 實作 各 項程 序 及 措 施 ,以 安 全 管 理 對 運 作 中系統安 裝 軟 體 。

齡黫錛螂甡磥 學姊
ContΥ O〡 陰常心
︴隆施

嬸移錄轟鑰 跡犖妞←甘 鍛螂
PΓ oceduressha｜卡be;mp〡 e俄 entedtocon︴ ro:︴ 接einSta︳ ︳
at︳ Ono了

s° 舢 areonOpera之
一 ︳ Systems.
On爸 ︳
應 實作 各 項 程 ㄏ 子 ’以控 希ll對 運作 中系統 之 軟 體安 裝 。

砏帥
◎ 了C︳ C
2-2S︳ ide255

A.8Techno︳ og︳ ca︳ contro︳ s技 術韹〨帝︳

r
π已▌
— — —

鏻麗鑰嬐 齺 鍋籧︽
A＿ 8.η 9｜ nSta︳ ation ofso㎞ areon ope「 ationa︳ systerns
︳
運作 中系統 之 軟 體 安 裝

〔●n社 o王 名
yp念 IA路 rm永 主
o且 cVterse〔 王ri在y Op兮 r在 以 致守 Sε ε王r主 竹 d° 一
谷BCⅡ r二在ˊ pr° p兮 r土 兮S C6Ⅱ Cε pts ε女pa七 二王．
ti兮 S
主 跟 且S
玉
一
掙Pr｛ 再℃1戈 主
Π玲 #Com五 丑 且t蟲li甘 #Pr@teε 七 帶Sec｛ r守二 o且 且gura在 on #Protectjh且
#Intog比 ty 鞠 p王 jcaum公 eCurity
#AVa三 王
無b且 主ty
命
銹 齻 翰 姊欺 餅 擊 碼 夥竅 讓 拂 插錚玲許 一 ◇ 螂

PⅢ P。 se目 的
下oenSurethe︳ ntegr︳ tyofopeΓ ationa︳ systemSandpΓ event
︳
eXp︳ oitat︳ on oftechnica｜ vu︳ nerab︳ ︳
tieS.
\﹀

確 保 運作 中系統 的 完整性 並 防止 技術 脆 弱 性 遭 利 用 。
′
劬好

◎ TC︳ C
2-2S︳ ;de2S6
 A＿ 8下echno︳ og︳ ca︳ contro︳ S技 巧好韹〨帝寸

鎀雞錛谽 皤 呦雞鎀鏹 外
╮ A.8.20NetWOΓ ksSecuH打 網路安全

Cont「 o｜ 控 帝!措施
Networksandne︴ WOrkdeVicesSha︳ ︳beSecuFed,rnanagedand

鐖雛銹 打
edto protect inforrnation inSyste【 nSandapp︳ :cat︳ ons.
contro︳ ︳

錫籛艸
應 受 保 全 、管 理 及 控 制 網路 與 網路 裝 置 ,以 保 護 系統 及 應 用程

籈〝
式 中 之 資訊 。

鑰羷羷螂磁路師鞏懋學谽髒鑰 航遇命掛 彥鐪螂

野
C♁ 批發♁｜控 毒甘
播施
玳♁執解0rk$Sh各 〡〡bern缺 雄a$e婊 綾ndC° 俄之
r♁ ︳
︴ed電 Φ紗r♁ 故步
｛文
Φ 女破比n｜ n$y$temsan吐 app比 c年 無♁nS一
i沸 了r子

應 管 璦 與 控 制 網 路 ,以 保 護 資訊 系統 及 廲 為 。

鐪帥
◎ 下C︳ C 2-2S｜ ide25了

A＿ 8下echno︳ og︳ ca︳ contro︳ S技 術 韹〨帝︳

鐖簸鎞鍛 蠮 拂
A.8.20NetWorks secu“ ty網 路 安 全

tC且 在ro二 ﹏ pe n拓 了matiO且

王 Cy已 兮rS｜ 〔汪r王竹 〔1p仁 rΞ 在主
6na玉 yd.斑 a王 五§
S兮 ε社r玉 它
Sε ε在r二 ｜yPr6pc了 吐eS εQⅡ 〔兮pts 〔aFab立 玉 正t主 e§

拜preVe王 七玉 Ve #Cδ 正n速 en〔 ia二 i〔 y #Prδ 七§ct半 De(ec七 半SˊS七 §雄一道1硾 ＿Ⅱ§七
- 李Pro守 eC七 王
0五
Ve
#De〔 eC七 老 #五 l〔 e各 r比 y 平▼or致 §ecur:竹
一
鞋熱 a二 ab三 !北 y
王
鼵的
籤守鑰籛鑈師欺鵡 翟露琌箋霹銹 磁轝餵

PHrPOse目 召
琦
下o protec七 infoΓ rnat:onin ne︴ worksand︳ 七SSupPoΓting
︳n了 orrnat︳ on proceSs︳ ngfaci︳ esfΓ oΠ╮comprorniseviathe
it︳

nehⅣ ork.
保 護 網路 及 其 支援 之 資 訊 處 理 設 施 中的 資 訊 ,免 遭 經 由網路 之
危害 。
r巨
姼螂
紛擗

◎ 了C︳ C ㄥ2s︳ ;de258

 A.8下echno︳ ogica︳ contro︳ S技 羽子韹竺帝︳

蠮黮齡鎖 鑼 離籛谽鎞 外
A.8.2︴ Secu山 tyofne㏑ oΓ kse「 viceS網 路服 務 之 安全

Contro︳ 控 制ㄐ 階施
eChan︳ sms,SeⅣ ice︳ eVe｜ sandservicerequirements of
Securityr了 ╮

鏻飄齡 巧
netWork se「vicessha︳ ︳ entedandrnonitored.
beidentified,irnp︳ er【 ╮
應識 別 、實作 及 監視 網路服務 之 安全機 制 、服務 等級及 服務 要 求事項 。

鎀黫螂
鱵外
ε方白h瑟兮蕠冷 可
°:工 6

鑰籦鑰郎笑齵 鞏撥犖餵肆 鑰 薪甚跨趶 宮 谽螂

COn之 ro〡 發生希寸
措施
Sec$山 竹 mechanjsms,seⅣ ice︳ eve︳ s,andma出 agemen七 requ:rements
o了 a〡 〡ne︴ workSe一︺
iceSS抽 a｜ ｜ 用edana;nc︳ udedjn一
be︳ den在 子 ne執一uΘ rk 一
serv:cesagreemen︴ s,whether︴ hesese坤 ↙ :CeSareprov〡 ded｜ n一 hΘ uSe
Θ rou︴ Sourced.
應識另 所有網路服務 之 安全機制 、服 務 等級及 管理 要求事項 ,並 應被納
l｜

入 網路服蓩協議 申 ,不 論是比 等服務 是係 由內部 或委 外提供 。

妢帥
◎ TC︳ C
u︳ e2… 2s︳ ide259

A.β 下
echno︳ ogica︳ contro︳ 槆◣
s技 ㄔ 空帝︳
寸 ﹏

好我 π
— —

攤黦鐒鍛 鑼 妳
A.8.2︴ Secu山 打 fne加 orkSeⅣ iceS網 路服 務 之安 全
。
r01tyPe
CO正在 【五打 rmatiσ 且 Cybersqε 改rity op． rationa一 S● ε社Γi打 domains
§兮ε求r放 ypr6pε r在 比§ EO無 C兮 Pt, εap久bⅡ i七 官
ε∫
李乎re踓n〝 念 考C6n在 de且t立 a王 i好 勞Pr0七 §C七 帶Sy§ tem＿ 爸nd一 Ⅱe﹏ #Pr° t兮 εt96Ⅱ
考王Ⅱ㏑gr︴ y wo〤一sε c｛r﹏ y
#AvaⅡ h拉 li圩
鑈郎
觝 鏺 黫 鏺 郎駐路堅 翟 幾學好舉姊鐒 球捧路許 可 谽 坤
︴

PuΓ Pose目 ｜
有
下0enSuresecurityin theuseofnehⅣ oΓ kseⅣ ices
確 保 使 用網路 服 務 時 之 安 全 性 。
谽師

◎ 了C︳ C
de260
2-2S︳ ｜
 A＿ 8Techno︳ ogica︳ con七 ro︳ S技 術 韹 ︳ 由

=帝 靂珮 籚珮
— —

鈐纖齡鈔 鑼 塕籛鈔鑯 奸
A.8.22Segregation︳ nnetWOrkS網 路 區 隔

ContΓ o｜ 寸 ㄐ
腔帝︳告施
at:on systems
GroupSofinforrnation se口 rices,usersand:nforrΥ ╮

鐖籛鑼 ︸
sha｜ ｜beSegregatedin theorgani2ation’ snetWorks口

銹鑼螂
應 區 隔 組 織 網路 中各群 組之 資訊服 務 、使 用者 及 資訊 系統 。

觝無狒籛翰螂箋覣 擊撥帑餒撥 翂 航器玲帥 昏谽姊

C♁ 雄發
ξ♁｜寸 措痑
腔帝↓ 色
Gr♁ ups o管 :n管 ♁Fr孔 級七︳♁我 $ep好 :Ce$,u$e野 $,撥 雄d｜ 踓哲oξ ξⅥ撥ㄤ言0n$¥ 簪七兮 m$
｜be$♁ $r@$ate妞 °n錐 ♁熱絆♁rk$.
$h紛 ｜
應 區 隔各群 組之 資訊服 務 、使 罵者 及 資訊 系統使 將帥網路 。

鎀擗
◎ TC︳ C 2-2S∥ de26｛

A.8下echno︳ Og︳ ca︳ contro︳ S技 術 韹 ︳ 中

=帝 彈舐〔
露
— —

翰黮鐫盼 鑼 鐖繳燄雉 ¢
A＿ 8.22SegΓ egation in netWOrks網 路 區 隔

ype
ε°n子r0七 七 正比rm千 七
名 王o在 c坤 er§ εmr:好 op兮 ra它 ioha上 εeC班 r比 ydom五 二
nS
se〔 Ⅱr工 ︳ 王 c年pab三 王
三ti6s
V卅 ¢per毛 es concε pε s
蠮籓齡 本

#Preven毛 Nq #怎 cIi垚 de且 t也t王 i在 y #Protec七 使m玉 雄 一

#野 ∫ 且e一 #Protection
出tegri睜 ∫
wcr文 一e〔 uri它 y
錢黤碑

#【

#Ava正在b且 i｛ y
餓㎡銹羷鐱的數報 鞏簼移鐵驟卹

Pu卬 se目 的
。
了oSp︳ it thene︴ work:nsecurityboundariesandtoc° ntro︳
cbetweenthernbasedonbusiness needs.
tra｜ ︳

於 安 全界 限 上 分 割網 路 ,並 依 營運 需要 控 制 其 間 之訊 務 。
錀 協器撥掛當 妙螂
谽師

◎ 下C︳ C 安2S“ de262

 A.8下echno︳ ogica︳ contro︳ s技 術卍〨帝︳

鏺黮錐谽 鑴 鈐雞綁饑 小
A.8.23Web兩 比eHng網 頁過濾

ContΓ 刮 控 制措 施
AcceSS七 0eXterna︳ Websitessha︳ ︳bernanagedtoΓeduce

攤黫鑼 ︴
eXposuΓ eto rna︳ ic︳ ouScontent.

鎀簸螂
應 管 理 對 外部 網 站 之 存 取 ,以 降低暴 露 於 惡 意 內容 。

餓外躌籛鑰碎毀磥 鞏撥琌錶舞 鑯 瞞器跲帥 音♁螂

谽外
◎ TC︳ C
2… 2S︳ ide263

A.8下ec-no︳ og心 a︳ contro心 技術控制

繗黮錛谽 鑼 錛黤劬鐖 ．
A.8.23VVeb何 比e“ ng網 頁過 濾

C$Ⅱ 七
r研 句竹e nfOrⅡ mt主 Bn
Υ 坤 er§ ecw竹
ε OV兮 rat㏑ 且aⅡ BeC社 r王 tydO跟 in∫
鑈罌鐱 八

#C0nf㎡ e且 ︴
ialitˊ 特Proteε t #SyS〔 e班 且nd‵ ne︴ - #Protectia1
勞I且 七
egri” 町Q主 k securi﹏
鰳雞怖
觬¢螉癥鐱啷數韻 寧璶夥鑯玀姆

Pu卬 °Se目 的
下o protectsystems了 oΠ╮beingcompΓ on╮ isedbyrⅥ a︳ WaΓ eand
「
to preventaccess tounauthorizedwebΓ esources.
保 護 系 統 免 受 惡 意軟 體 之 危 害 ,並 防止 存 取 未 經 授 權 的 網 頁 資
協 航器啥河︴ 琇螂

源 。
妢阿

◎ TC︳ C
2-2S︳ ide26ㄥ
 A.8下echno︳ og︳ ca︳ contro︳ s技 術 韹〨帝︳

妗灘 齡谽 錙 鈐靆 劬鑰 外
∩ A.8口 23webⅡ 比e山 ng網 頁過濾

Gu︳ dance指 了
︳｛︳
SO2了 002〕
下heorganization shou︳ dreducether｜ sks ofitSperSonne︳

鏘繳 鐑
access︳ ngwebsitesthatcontain︳ ︳ega︳ in了o「 【
︳ nation oΓ are
knowntOcontainviruSes orphiShingrΥ ╮ a七 eΓ ia︳ ＿A七 echnique

$銹
黫螂
forachievingthiSWorksbyb｜ ockingthe｜ Paddress ordorΥ ╮ a︳ n

瓶外齡麴 鑰聊笑黐 犨崩
ofthewebsite(S)conceΓ ned＿ Sornebrowsersandan∥ 一
yorcanbe
ma︳ waretechn0｜ ogieSdoth︳ Sautomatica︳ ︳
conf︳ guredtodo so.

鑷夥簽灘 塕 銥器跨跡 爭 谽螂
組 織 宜 降 低 其 人 員存 取含 有 非 法 資訊 或 已知 含 有病 毒 或網 路 釣
魚 資材 之 網 站 的風 險 。達 成 比 目的 之 技術 ,係 封鎖 所 關 注 網 站
之 ︳P位 址 或網域 。某些瀏 覽 器及 防 惡 意軟 體技術 ,自 動執 行
此 項操 作 或可 設 定 組 態 以 執行 此 項操 作 。吾

紗外
◎ 下C︳ C 2-2S!ide265

A.8下echno︳ og︳ ca︳ contro︳ S技 術 韹生帝︳

A.8.23WebΠ 比e〢 ng網 頁過 濾 鋤纖 縐劬 鑼 彿黦 紛餓 ㎡

G凹 ︳danCe指 了｜ S。 2了 0● 2〕
(︳

下he。 rganiza小 0nShou｜ d︳ denti〃 thetypesofWebSi七 eStoWhich

鍋飄 鑰 ︿

personne︳ shou︳ dor shou︳ dnothaveacceSs.Theo「 gani2ation

shou｜ dconsiderb︳ ockingaccesS七 othe了o︳ ︳oW︳ ngtypeSo了
鐖黤 蚱

websiteS:
籤‘鑱鑆 鑈師繳胡 罕竹

組 織 宜識 別 員工 宜 或不 宜存 取 之 網 站 型 式 。組 織 宜 考 量封鎖 存
取 下 列型 式 之 網 站 :

WebS比 eSthathaVean informa∥ onup︳ oadfunctionun︳ ess

埳帑盟驟師

a｝
perrni仕 ed了orVa︳ idbus:neSsΓ eaSons;
錛 磁炎 餫 莒 幼郎

具 資訊上 傳 功 能 之 網 站 ,除 非基 於 正 當的營運 理 由而允 許 。

鬱擗

◎ 了C︳ C de266
2-2S︳ ︳
 A＿ 8下echno︳ og︳ ca｜ contro︳ S技 巧
好韹〨帝j

齡鑭錛妢 磻 鏺籩蜙鏹 外
A口 8.23WebⅡ 比eHng網 頁過 濾

b) knownoΓ suspectedma｜ iciouSWebS比 eS(e.g.those

diSt山 buungrΥ ╮
a︳ WareoΓ ph︳ shingcontents);

錀籩彿
已知或可疑之惡意網站(例 :散 布惡意軟體或網路釣魚內容
的網站)。

$鑈
靆螂
籤八
c) c° ︳ mandandcont「 o︳ seⅣ ers;
rΥ

錀簸鑰姊舞鎖 寧爾路餵舉塕 航壁翌〃

指揮控制(C&C)伺 服器 。
gence(see
d) ma｜ ic:ouswebSiteacquiΓ edfrorn threat inte｜ ︳
︳
5.7);

由威脅情資中獲取之 惡意網站(參 照5.7)。

e) webs︳ tesshaΓ ingi｜ ︳
ega︳ content.

分享非法內容之網站 。

:谽
坤
♁阿
◎ TC︳ C
2┤ 2S︳ ︳ de267

A＿ 8下 echno● gica︳ contro︳ S技術龍〨帝︳ ﹏

r已尸
一

銹雞鑱鈔 鐪 錛籦♁纖 •
A.8.23Web∥ 比e“ ng網 頁過 濾

PrioΓ todep︳ oyingthiscontro︳ ,theorganization shou︳ d

shru︳ eSfor safeandappropriateuseo了 0n｜ ine
estab︳ ︳
鑈鼛齡

resources,inc︳ ud︳ nganyrestriction toundeSiΓ ab︳ eoΓ

inappropΓ iateWebsitesandweb一 basedapp︳ ications.下 heru︳ es
A鑰
雞︴

sh0u︳ dbekeptup-to一 date.

簸心協籛鏺帝貓♁聖鮤 鋒學窮選協 描壁避╭哥 砏一

於 部 署 此 控 制措 施 前 ,組 織 宜建 立 安 全及 適 切 使 用 線 上 資源 之
規 則 ,包 括 對 非所 欲 或不 適 切 之 網 站及 網 頁 式應 用程 式 的所 有
限制 。規 則 宜保 持 最新 。
燄外

◎ TC︳ C
2一 2S︳ de268
︳
 A.8Techno︳ ogica︳ cont「 o︳ S技 術 韹 ︳
=帝

攤繳鈐谽 鑼 錛雛翰魏 外
A.8.23、 狎ebⅡ 比e山 ng網 頁 過 濾

Trainingshou〡 dbegivento pe「 sonne︳ on七 heSecureandappropr:ate

uSeofon︳ ineresources inc︳ udingaccess to theweb.下 he七 raining
shou!dinc︳ udetheorganization’ sru︳ eS,contact pointfor rais︳ ng

絳驤銹 ︴
securityconcerns,andeXcept︳ On proceSswhenrestricted、 lveb
resourcesneedtobeacceSsedfoΓ ︳ egitirnatebusiness reasons.

銹羻螂
下ra;ningshou︳ da｜ SobegiVen to pe「 sonne︳ toenSuretha七 七 heydo not

城外
oVe「 u︳ eanybrowseradViSoΓ ythatrepoΓ ts thatawebsiteis n0七 Secure

銹黤鐱螂籃黐 擊露移鍛舞鑰 航發般好音鈔咘

「
OwstheuSerto pΓ Oceed﹋
buta︳ ｜
宜對 人 員提供教 育韌〡 練 ,關 於 安全及 適切使用線上 資源(包 含網站存取l。
教 育訓練 宜包括 組織之規則 、提報安 全 關注事項的聯 絡 窗 口 ,以 及基於
合法 營運理 由而 需存取受限網站 資源時之例外過程 。亦宜對 人 員提供教
育訓練 ,以 確保其不會否洪任 何報告網 站不安全但容許使 用者繼續進行
之 瀏 覽器建議 。

紛師
◎ TC｜ C de269
2-2S︳ ｜

A＿ 8Techno︳ og︳ ca︳ cont「 o︳ S技 術 韹 ︳

=帝

齡繌鑰谽 鑼 銹豳谽鑰 好
A.8.23Web何 比e一 ng網 頁過濾

七heΓ ︳ n竹 rmaⅢ on其 它 資訊

。
Webfi︳ teΓ ingcan inc︳ udearangeoftechㄇ ︳ ques inc｜ ud︳ ng
縐繳鐒 外

Signa七 ureS,heuΓ is七 :cS,︳ iStofaccePtab︳ eWebSites ordornains,

鋒餮螂

︳iStofprohib:tedWebSites ordomainsandbespoke
兟心

c:oussO㎞ areandotheΓ
c。 nf︳ gu「 at︳ on tohe︳ p preven七 ma｜ ︳
傷繳鱍姊欺鷬 孥露琌鑑虈 錀 械雀熤好莒 翰螂

r!╮ a｜ :ciousactiv:tyfrornattackingtheorgan:zation’ snehⅣ o「 kand

systems.
網 頁過濾 可 包括 多種 技術 (包 括 簽 章 、經驗 法 則 、可 接 受網 站 或
網 域 清單 、禁 止 網 站 或網域 清單 及 定 製 組 態),以 協 助 防 範 惡意
軟 體 及 其 他 惡 意 活 動攻擊 組 織 之 網路 及 系統 。
翰師

◎ 下C︳ C
2-2S︳ ide270
 A＿ 8下echno︳ ogica︳ contro︳ s技 ㄔ
好韹〨帝︳

鑰纖鑰幼 鑼 齡黤錯齺 外
A.8.2碎 USe。 fcryptogΓ aphy′畜碼 技術 之 使 用

Contro︳ 際施
控 制●
Ru︳ esforthee什 ectiVeuseofc呼 ptography,inc︳ udingcryptogΓ aph︳ c

錀黫鍋 才
keyrr︳ anagement,sha︳ ︳bedeπ nedandimp︳ emented.
應定義並實作有效使用密碼技術之規則(包 括密碼金錐 管理)。

餚籦螂
籤本躌黫鑰螂臸齠 鞏露幾盤舞錀 航器瀚跡 多 谽螂
Cont才 O｜ 毒
空帝‵
璃施
ApO比 cyon七 heuSeO了 cryp之 °graph〡 econ七 o︴ S了 O〔 pro之 ec走 ︳
on of
︳nf0rr了 ︴
at:° nsha︴ ︴bedeve︳ opedand工 mp︴ emen在ed.
一 一
應發展 及 實 作 政 策 〞關於 資訊保護 之 密碼式控希ll措 施 的使 用 。
Apo〡 icyon theuSe〕 protectionand:︳ fe︴ imeofcΨ p七 0graph;ckeyssha比
bedeVe:Opedand;約 ementedthrough主 he打 解hO｜ e比 乎
p︳ ecyc于 e.
、
應發展 及 實作 政 策 ,關 於 賞穿其整個 生命 遇期之 密碼金鑰 的使 用 、保護
及 生命期 。

妙師
◎ 了C︳ C
2-2S︳ ︳
de27﹁

A.8下echno︳ ogica︳ contro︳ s技 術 控 帝︳ ｜

r
β找【
— —

鑰驤鏺鍛 鑼 錍籦幼饑 →
A.8.2碎 USeofcΓ yptog「 印 hy密 碼 技 術 之 使 用
Cen打 o1哲 pe ㏑出rⅢ 斑hn Cyhers‘ cⅡ ri〡y opef旅Dna一 §㏄Ⅱ打 do︻
seε uriφ ◤proper七 ieS εo㏄ §p出 6ap出 :1北 二
es ma二 ns
#P了 〝走n七 〝守 #C6nfide丑 tia王 itγ #Protect #Seε ur兮 ＿C◆ 且fi各 社ra七 h且 #Pr° t兮 C心 o且
勞玉
ntegrity
鏺羷鐒 沐

#Avai抾 bi上 ty
鏺籗呻

P肝 pose目 的
觝而

下0enSurepropeΓ ande帝 ectiVeuSeofcryptographyto p「 otect

鑰鐉鑈姊欺報 學眾路靈讓鑱 描曌瑆ㄏ爭 妙郎

theconⅡ den∥ a︳ ity,auIhen甘 cityor integ山 tyof︳ nfoΓ ma山 0n

accord︳ ngtobuSinesSand︳ nforma市 OnSecu“ tyrequirements,
andtak︳ ngintoconsideration︳ ega︳ ,statutory,regu︳ atoryand
contΓactua︳ requirerΥ ╮
ents re︳ atedtocΓ yPtogΓ aPhy.

依 營運 及 資訊 安 全 要 求事項 ,並 考 量與 密碼 技術相 關之 法律 、
法 令 、法規及 契 約要 求事項 ,確 保 適 當及 有 效使 用密碼 技術 ,

以保護 資訊 之 機 密性 、真確 性 或完整性 。

♁帥

◎ 了C︳ C
2-2S︳ ide272
 A.8下echno︳ ogica︳ contro︳ s技 術 韹〨帝︳

齡籛瞈鍛 鑼 鈐籛谽鑱 蕊
fecyde安 全 開發 生命 週期
ent｜ ︳
A.8.25Securedeve︳ oprΥ ╮

措施
COntro︳ 控 希︳
Ru︳ esfor七 heSecuΓ edeve︳ oprnent ofsoftWareandsystems

鐖飄 鑱 ︴
sha︳ ︳ shedandapp︳ ied.
beestab︳ ︳

銹飋螂
應 建 立 並 施 行 安 全 開發 軟 體 及 系 統 之 規 則 。

鈜外鈐黦鏻姊盥餵 罕蘿器豬舉鑰 筋嗧跨外 宮谽螂

C♁ 找#♁ ｜
受 控 希心
瓏許珺
磁
R也 豆 @$著bF主 批edeVe︳ ♁紂幻en它 0管 $♁ 瓶 襏又〕a維 d$y$故 》 ξh$Sh俄 比b♁
e$崔 絨紐打 Shed缺 ndapp君 ;edtO心 @Ve︳ opm♁ n七 $W:th:n七 孔e
oξ $an︳ ㄥ稜t:° n.
應 建 立軟體及 系統開發 之規 則 ,並 應用至組織 內毛 開發 。

幼師
◎ 下C︳ C de273
22S︳ ︳

A＿ 8Techno︳ ogica︳ contro︳ S技 術 龍生帝︳ ﹏

躍薽 露
— —

A.8.25Secu「 e比 Ve︳ oprnent︳ ︳

fecyde安 全 開發 生命 週期 鑼籛鑼谽 鑴 鑈籛鬱饑 →

C° n十 c玉 打P念 IⅡ forⅢ a#On CJ路 eise〔 Ⅱri守 Opera主 6na︳ S守 C法 r丟 打 d0mains

Seε 社r工 typr0pε r各 ieS ε
ε且ε
ep七 ∫ ε在p,已 i七 路∫
鐒黰銹 Λ

i玉

#Prε Ⅵg:在 t在 ve 勞Co丘 丘在eⅡ 拉岔文ty #Pretec七 #茂 pp:ㄤ at工 6叔 ＿

SeCur:tˊ #Protec七 〔
o且

#比抩gr︴ 盱 an遠 」 e一
#SyS七 e斑 一
鐑攤螂

#AV多 正a打 ”
ii工 的 r女＿
secur打
籤年錀繳鐱帥幾報 鞏略

PHrPose目 ｜
有
aⅡ onSecuΓ :tyisdesignedandimp︳ ernented
下oenSuΓ einforrΥ ╮
Within theSecuΓ edeVe︳ oprnent︳ :fecyc︳ eofSO㎞ areand
確夥銹盟麤 航鏤轐′車 蚡啷

systemS.
U 確 保 於 軟 體 及 系 統之 安 全 開發 生 命 週 期 內 ,設 計 並 實作 資訊 安
全∴。
谽肺

◎ 下C︳ C 22S∥ de27碎

 A＿ 8Techno︳ og︳ ca︳ con七 ro︳ S技 術 韹 心 〡
=帝 π出口
β籤
— —

眑灘錀蚡 鑼 鑰攤鐪鑞 外
A＿ 8.26Appl℃ auon secuHtyΓ equ︳ rements應 用 系統安 全 要求事項

階施
COntΓ o︳ 控 制 ┤
╮
auon secu︻ tyΓ equirements sha︳ ︳beiden∥ ∥ed,sPec而 ed
ln了orrΥ

鑰雞鐪 ︴
andapProvedWhendeve︳ opingo「 acqu︳ Γ ingapp︳ ︳
cationS.
開發 或獲 取 應 用 系 統 時 ,應 識 別 、規 定並核 可 資訊 安 全 要 求 事項

縐黳螂
鉞外齡籦錛竹箋鍰 寧崩
Contro︳ 控 帝甘
‘躇方
包
｜nforξ Ⅵa走 ;Or︳ :nvo子 Vedinaη p比 c爸 ° nSepr:ce在 ran$ac甘 0nS$ha｜ ｜be
t工

protec芝 edto prevent;ncomp｜ ete︴ rans卅市SS子 on,卅 ╮ 子$一 rou︴ ;n9,

擺路餵嬰 翰 描器路黚 善谽螂

unau在 hoΓ i2edΓ nessa$ea｜ tera在 ｜ On,unau塞 托0r｜ 2edd︳ sc︳ ♁Sure,
unaut找 oΓ ｜ ZedFnessaged社 η︳ iCat子 0n orrep︳ ay.

應 保護 應 用秀 又務 交 易 中涉 及 之 資訊 ,以 防止 不 完整 的 傳 輸 、誤 選
路 仰 符 Ouu&g)、 未 經授 權 帥 訊 .惠 修 改 、未 經 授 權 之 揭 露 、未 經
授 權 之訊
一 息複 製 或 畫演 。

幼帥
◎ 下C｜ C
2-2S︳ :de275

A.8下echno｜ ogica︳ cont「 o︳ s技 術 韹生帝︳

A.8.26Ap糾 心aUonSecu山 tyΓequirerΥ ╮ 鑰靆鑈谽 鑼 鑈麗谽鑞 心

ents應 用 系統安 全 要求事項

℃ontro王 typ全 .王 n比 rm田 住oⅡ ur坤

c坊 ε必εε op研a!血 Ⅱ五 Se〔 Ⅱr玉” dom爸 imf
f｜㎝r妳 pmp召 哦h∫ ε
0-1!全 p七 S C我 pa右 Ⅱi︴ 主
e∫

一
錀銫銵 何

#Preventi頇 ◤
e #Con且 血 ntialiΨ 券Pro七 eCt #APplic3ti0且 公eturi七 y #P｝ otec㏑ n
#I就 egrlty #野 s怡m＿ and一 且e｜ #De拍 且Ce
勞Availabili守 y wor sec社 k七y
鑰雞姊
幾㎡

Pu卬 °Se目 的
鑰黫翰妳蔽啥聖絮 鐖學霧霹鑈 磁哭男一

下oenSuΓ ea︳ ︳inforrnat︳ on secur︳ tyrequirernentsareidentif︳ ed

andaddressedwhendeve｜ op:ngoracquiΓ ︳ ngaPp︳ icationS.
確 保 開發 或獲 取 應 用程 式 時 ,所 有 資訊 安 全 要 求 事項 皆 已識 別
並處理 。
耳 妙坤
谽師

◎ 丁C︳ C
2-2s︳ ide276
 A.8下echno︳ ogica︳ contro｜ S技 ㄔ好控 帝︳

銹籛銹幼 皤 鈐籛谽鐇 井
A.8.27Secu「 eSysternarch︳ tectureandengineeΓ ︳
n9pΓ incip︳ eS
安 全 系統 架構 及 工 程原 則

ContΓ o︳ 控 制┤
告施
Pr:nc︳ p︳ esforengineeringsecuresystemSSha︳︳beeStab︳ ished,

銹籛 鑼 琇
documented,rnaintainedandapp︳ iedtoanyinforrΥ ╮ation

銹雛螂
SysteF╮ deVe｜ opmentactiv︳ tieS.

颻“
應 建 立 、書 面記 錄 及 維護 工 程 化 安 全 系 統 之 原 則 ,並 套 用於 所

鏻籛錀姊薿驟 犖麟
有 資訊 系統開發 活動 。
t 瑢: 5
野｜控 制措 施
C◇ 找老
。

舉舉餵饕 鐑 薪務蹈跡 音鎗螂

$hed,
Pr子 我C;p︳ e$乎 oren$:出 eeξ i持 9SeC$ξ e$ys走 e路 $Sha︳ 音b兮 e$芝缺b在 吝

4◇ e故 路 @n七 e4,m爸 in老 a｜ 我e心 爸竹d爸 pp〡 ied七 ° 磁ny子 nf6年 Ⅵ接七〡
°n
Sy$茗 @俄 imp︳ ementa山 One猙 oF老 $.
一
保 全 系統 之 工 程 原則 ,應 子建 立 、文件化 、維持 及 應 將於 所 有
資 訊 系統 釣費作 工 作 。

玅拂
◎ TC︳ C
2-2Shde277

A＿ 8Techno︳ og︳ ca︳ cont「 o︳ S技 術 韹圭帝︳ ﹏

屢薽 β
— —

A＿ 8.27SecureSyster!╮ a「 chitectureandenginee「 ingprincip︳ eS 銹颻 擁紛 齺 鑼籛 鬱鑯 ¢

安 全 系統 架構 及 工 程 原 則
C6ntroI毛 ype 王nform丑 O且 t≡ Cy出 e了S念 ε
在rity orera毛 主
●五a1 §兮仁
社 dom丑 i且 ∫
=:打
∫
ecuria◤ pr0pe了 tieS 亡$nε epts εnpaㄙ 亡
︳ gs
:七 二
鈐玀 鈐 八

#PreV守且hVe #Con出 de且 七 i缸 北y #P!Otec〔 勞↙竹 ujc斑 主O且 SeC〦 r工 好

一
#Protec七 iOΠ
拜王此egn呼 #Systen上 〦nd一 ne一
#AVai︳ abi｜ 比y uor〔 sec迷 h七 y
齡繼 垹
觬¢鑰黫 銹坤欽黐 罕簼 鱀 繼 蝴

PHΓ P° Se日 怪
有
下oenSu「 e︳ nforrnation systemsaΓ esecure︳ ydesigned,
汁np︳ ernentedandopera七 edW｜ thin七 hedeVe︳ oprl╮ ent︳ :fecyc︳ e.
確 保 資訊 系統 於 開發 生命 週期 內係安全 的設 計 、實作 及 運作 。
錢 箍撰 齶 寺 妙啪
谽師

◎ 下C︳ C
Modu︳ e2-2s︳ ide27S
 A.8下echno︳ ogic到 cont「 o︳ s技 術 韹 !
=帝

蠮黤銹砏 鯔 鑰鼥谽嬾 餌
A.8.28SecuΓ ecoding安 全 程 式 設 計

ContΓ o︳控帝︳ 措施
Secu「 ecodingpΓ ︳
ncip︳ essha︳ ｜ edtoSo抑 are
beapp︳ ︳

攤羻鑰 ︴
deVe︳ oprl╮ ●nt.

紼籛螂
軟 體 開發 應 施 行 安 全 程 式 設 計 原 則 。

餓〝齡黫躌坤瓶玲晰罕露躍餵舉 蠮 航器跨郢 吝♁郎

餓帥
◎ 下C︳ C
2-2S︳ ide279

A.8下echno︳ og︳ ca︳ con七 ro︳ S技 術 控 帝︳

錀灘錢鍛 鑼 鍋黤紛饑
A＿ 8.28SecuΓecod︳ ng安 全 程 式 設 計

℃°出rO比 yㄗ ε 玉
n抽 r放 出㏑社 Cy打 ar§ ecu心 呼 Oper且 〔
:6且 a王 SeC社 r比 ydo＿
s§ 〔
Ⅱri社 Prφ erHg§ mⅢ錚 t§ ε出〕
ati王 琵h§ mB三Ⅱ〔

#Pm吒 放i珽 #C0且 垚d〔 n如h︳ i七 y #Pro竹 C七 #坤 pIiε 齬㎝一

s§ mri七 y #Pr6tet〔 ion
h錛

#I朮 睹破y
繳鎀 本

#SySte欣 and一 ne在 W° 瓜

＿

努
Av宜 ︳
一

a故 1﹏ 3eCu女呼
鑈麗師
颻¢

Pㄩ rPose目 ｜
圴
鏺躈錣抪故報 擊羅夥我播姊

ToensureSo帥 aΓ eiSWr︳ 七
七enSecure︳ ytherebyΓ educingthe
nUmberofpotentia︳ inforrnation secur︳ tyvu︳ nerabi︳ itieSin the
so㎞ are.
確 保軟 體係 安全 的撰 寫 ,從 而 降低 軟 體 中潛在 資訊 安全脆 弱性
鐪 磁曌餵好守 妙螂

之數 量 。
♁跡

◎ 下C︳ C
2-2S︳ ide230
 A＿ 8Techno︳ ogica︳ contro︳ S技 ㄔ好韹〨帝︳ #
靂兞好
靂
— —

鋤籛鑰鎀 鑼 琇鞔啥鐊 外
╮ A.8.28securecOding安 全 程 式設 計

GuidaΠ ce指 了
︳｛︳
SO2了 0● 2〕
Genera︳ 一般

鐖皺齡 打
下heorgani2at:on shOu︳ destab︳ ishoΓgani2a七 :on-Wide

筠黤螂
pr○ cesses to prov｜ degoodgoVe「 nancefor secuΓ ecod︳ ng.A

颻外
rninirㄇ urn securebaSe︳ ineshou︳ dbeeStab︳ ishedandapp!ied.

嗡籛齡碑笑餵 學羅璠錶躌 銬 筋路玲泖 音谽螂

Additiona︳ ｜y,suchproceSSesandgovernanceshou︳ dbe
extendedtocoveΓ so㎞ a「 ecorΥ ╮ ponentsfrom thirdparties
andopen sourceso㎞ aΓ e.
組 織 宜建 立 全 組 織 之 過 程 ,提 供 安 全 程 式 設 計 的 良好 治理 。宜
建 立 最 低 安全基 準 ,並 套 用之 。此 外 ,此 種 過 程 及 治理 宜延 伸
至 涵 蓋 源 自第 三 方之 軟 體 組 件 及 開放 原 始 碼 軟 體 。

谽帥
◎ 下C︳ C 2-2S︳ ide28﹁

A.8下echno︳ ogica｜ contro︳ S技 術 龍 ︳ 中

=帝 β觀 彈
— —

A＿ 8口 28SecuΓ ecoding安 全程 式設 計 鏹黮鑈谽 鑼 鑰繳鈔鑯 心

Gu:dance指 了︳｛
︳S。 2了 002〕
ea︳ wor︳ dth「 eatSandup一 to一
下heorgan︳ zation shou｜ drnon︳ toΓ Γ
錛黫銹 無

dateadviceandin了 Or【 ηation onSo帥 areVu︳ neΓ abi︳ ︳ tieSto

鈐籛娣

gu︳ detheorgan:2ation’ ssecurecodingpr:ncip︳ esthrough

颻館

continua︳ ︳ pΓ oVementand︳ earn:ng.下 h︳ Scanhe︳ pwith

irΥ
錀黫錀師欺鎖 罕露學瑵霹 钃 磁務跨掛音 鬱螂

ensur:nge帝bctiVeSecurecodingpracticesaΓ e:mp︳ e了 Υ ╮ented

tocornbatthefast-changingthreat︳ andscape.
組 織 宜監視 真實 世 界 之 威 脅及 關於 軟 體 脆 弱 性 的最新 建議 及 資
訊 ,以 透 過持 續 改 善 及 學 習 ,引 導 組 織 之 安 全 程 式 設 計原 則 。
比 可 能有 助 於 確 保 實 作 有 效 之 安 全程 式 設 計 實務 作 法 ,以 對抗
快 速 變 更 的威 脅形 勢 。
♁跡

◎ 下C︳ C 2-2S︳ ide282

 A.8下echno︳ ogica︳ contro︳ s技 ㄔ荷︴空帝︳ 〡

π強 π
— —

蠮黫鏺谽 鑼 鑰皺谽饑 外
A.8.28SecuΓ ecoding安 全 程 式設 計

P︳anninqandbeforecodin g規 劃及 程 式開發 前
Securecodingprincip︳ esshou｜ dbeusedbothfoΓ neWdeve︳ opments

鱗攤縐 功
and:nreusescenar｜ os.下 heSeprincip｜ eSShou︳ dbeapp︳ iedto
deve︳ opmentactiV︳ tiesbothWithintheorganizationandfOr products

鎀讓螂
andse︹ σicessupp︳ iedbytheorganization tOOthers.P︳ anningand

城外
prerequ｜ sitesbefoΓecodingshou︳ dinc｜ ude:

錛驅鑰姊笑齵 孥撥路錄躌 鏺 瓶母¢沖 宮 ♁蜘

新開發及 重新使 用之情境 中宜使用安全程式設 計原則 。此等原則 宜套
用於組織 內之開發 活動及組織提供子他 人 的產 品及服務 。程式開發前
之規 劃及 先決條件 宜包括下 列事項 :

a) oΓ gani2ation一 specificexPec七 ationsandapp「 ovedpΓ incip︳ esfo「

Securecodingtobeusedforboth︳ n-houseandoutsouΓ cedcode
deve︳ Oprnents;
組 織 特 定期 望及 經核 可之 原 則 ,用 於 組 織 內部及委 外程 式碼 開發 的
安 全程 式 設 計 。

幼外
◎ TC︳ C
2-2S︳ ide283

A.8下echno︳ og︳ ca︳ contro︳ s技 術 是〨帝︳

錛鑈 拂盼 躪 鏺攤魵鑞 心
A＿ 8.28SecuΓ ecoding安 全 程 式設 計

b) coΠwnonandh︳ storica︳ codingpracticesanddefects tha七 ︳

eadto
inf。 Γ╮
ation securityvu︳ nerabi︳
r了 i七 ieS;
銹龘鐒 八

導致 資訊 安全脆 弱性 之 常見及 歷 史程 式開發實務作 法及缺 陷 。

c) configuringdeve︳ oprnent too︳ s,Suchas integrateddeve︳ opmen七
錛雞珅

environmen七 S(︳ DE),tohe︳ penforcethecreation ofsecurecode;

籤¢

設定開發工具 ︳ 諸如整合開發環境 φnteg「 a七 ed由比︳

鑰鼛鏺 敳攝 翟輻鋒姦符妒

oPrnen七
enⅥ ronmen七 ,︳ DE)︳ 之組態 ,以 協助施行安全程式碼之產生 。
d) fo︳ ︳
owingguidanceissuedbytheProViders ofdeVe!opment too︳ s
andeXecutionenV｜ ronmentsasapp︳ icab︳ e;
適用時 ,遵 循 開發 工 具及 執行環境提供者所發布 之指 引 。
鉾 磁輋定好〡 妙螂

e) main七 enanceanduseofupdateddeVe︳ opment tOO︳ s(e.g.

compi︳ eΓs);

維護及使用更新之 開發 工具(6歹 ︳:編 譯 器)。

♁附

◎ 下C︳ C
牙 2S︳ ;de284
 A＿ 8Techno︳ og︳ ca︳ cont「 o︳ s技 巧
持韹〨帝︳

拗 纖 鈐 劬 鑼 鈐 麰 鐪 觴 鋒 筋啷
A.8.28Secu「 ecoding安 全 程 式 設 計

fl qua︳ ification ofdeVe︳ opers inwritingSecuΓ ecode;

開發者撰寫安全程式碼之 資格 。

餌
g) secu「 edes:9nanda「 chitec七 ure,inc︳ udingthreat

銹 銵飋 螂
拼
rΥ ode︳ ︳
╮ ing;

兟 芻 籛 獼 螂蟻路師 寧 顯 綌錄選 一
安全 設 計 及 架構 ,包 括 威 脅建模 。

〝
h) securecod︳ ngstandardSandWhe「 ere︳ evan七 mandating
theiΓ use;
安 全 程 式 設 計 標 準 ,並 於 相 關處 強制使 用 。
) use° fcontro︳ ︳
︳ edenVi「 onmentSfoΓ deve｜ opr!╮ ent.

鑰 拹器塕跡 音 谽 聊
使 用供開發用之 受控環境 。

紛師
◎ 下C︳ C 2-2S︳ ide285

A▄ 8下echno｜ ogica︳ contrO︳ s技 術 控 帝︳

鐖蘱 鑈鎗 鑴 鑼籓 鎗鑰 鏺 纋 錛 確 鼛 坤
A.8.28Securecoding安 全 程 式 設 計

Dur︳ nqcoding 程 式 開發 期 間

ConsideΓ at;onsdur︳ ngcodingshou｜ dinc︳ ude:

程 式 開發 期 間之 考 量事項 宜 包括 :

句諯 呂 ed兩 c㏑ ㏑
鯤 鐪 黫 銹輔欺報 孥妳

euogmm㏕ n9
鎦鸚慍檇澴 ngused; be︳

全 設
特 定於 所使 用之 程 式語 言 及 技術 的安 程式 計 實務作 法 。
路聯窈幾 鑼 磁鍵 潀 莒 鎗帕

● 出箭 謎出r莓 離 j㎝ s
搬對 奲t;

雖嫵 展驧璻昏
盞鞷盦
籬齡群 、 e叫
妥 :智
紛師

◎ 下C︳ C 2-2S︳ ide286

 A.8下echno︳ ogica︳ con七 ro︳ S技 術拒 ︳
=帝 釐色了
嫠
— — —

眑黤螉谽 鑼 鑰殿翰饑 外
A.8.28SecuΓ ecoding安 全 程 式設 計

c) usingstructuΓ edpΓ ogΓamr!╮ ingtechniques;

使 用結構化程式設計技術 。

鑰黤鏺 市
d) documenHΠ gcodeandΓ ernov;ngpΓ ogΓ amrΥ ╮
ingdefects,

鐒籛螂
Whichcana︳ ︳
OWinfoΓ ma∥ on secu山 tyvu︳ nerabi︳ ㏄ies tobe

籈︿
eXp︳ oited;

鑰黤錛坤筋玲琳罕羅舉盤譏 鑰 航發跨卸 善♁珅

書 面記 錄 程 式碼 ,並 移 除 可能使 資訊 安 全脆 弱性 遭利 用 之 程
式設 計 缺 陷 。

q:茻
持

r黯除豔整
笨

::鞥報糊茁i掛 己
禁止使 用不安全之設 計 技術
w° d汁 〒
「 手經核 戰 奸里捕
頁服務 F?窅

鎀師
◎ 下C︳ C
:de287
2-2§ ︳

A.8Techno︳ ogica︳ con七 ro︳ S技 羽子韹 ︳

=帝

錀繳鎙娥 鑼 鑈籦鈖纖 ¢

罫 含器 膗 丐掤 卡甡 繃 押
!驟 s㏄
銹黫齡 〝

測試宜於開發期間及之後進行(參 照8.29汁 靜態應用程式安全測

試(SAS下 )過 程可識別軟體中之安全脆弱性 。
齡籛坤
籤㏄

ar乩 madeoper㎝ on刉 ,the竹 HO㏕ ngShouⅡ be

t觀 拌
親守呂
拂籛翰︴欽鍰 罕羅學鑑雜帥

在 使 軟 體運行 之 前 ,宜 評 估 以 下 內容 :

a) attacksu｛ aceandthepΓ incip︳ eo了 ︳

eaStpΓ ivi｜ ege;
攻擊面及最小特殊權 限原則 。
鑈 描華撥許牽 砂螂

b) conductinganana︳ ys︳ so了 th艮

e「 rorsanddocumentingtha 是
是｝
是森糮 尸
科駐｛
｝gUng :η

見 之 程 式 設 計 錯 誤 連行 分 析 ,並 書 面記 錄 此 等 錯 誤 已
劬阿

義鞷 零
◎ 了C︳ C

一
2-2S︳ ide288
 A＿ 8Techno︳ ogica︳ contro︳ S技 羽子韹生帝! #
靂珮 靂
— —

塕箋銹紗 鑼 鑰攤紛鐋 ︴
A＿ 8.28Securecoding安 全 程 式設 計

ReV:eWandmaintenance寋 查及 維 護

A及 ercodehasbeenmadeope「 ationa︳

銹籛銹 弟
於 程 式碼 上 線後 :

鈐錘啷
a) updatesshou｜ dbesecure︳ ypackagedanddep︳ oyed;

兟外
宜安全包裝及部署更新套件 。

佛羅鐖神笑黐 寧協
b) rePo比 edinforrna七 ionSecurityvu︳ nerabi︳ itiesshou｜ dbehand｜ ed(see8.8);
宜處理所報告之 資訊安全脆弱性(參 照8.8汁
比 loggedandlogsregu㏑ y 〢
。 老
稚 吊
呂 δ
瀧 思確吊
羇 ,並ξ
七嘿
thecodeasnecessaη
:一 ◤

舉鋒簽牌 銹 插鍵 璐 冒谽啷
;

日誌
宜存錄 各項錯 誤 及 可疑 攻擊,以 於必 定期審 查 要 時對程 式碼 進

的 笛 行調整 。

話子｜
幸點出〧
荃 百
假$巿埋避墨搡器由使用組態管｜
工
理具
｜
的 .

奪菫餐篷奪愛攮鑫等
曼 簿麚孟霸愛衾囊籦留
莒羼
,

ㄌ育
匕

紛外
)。

◎ 下C︳ C 2-2S︳ ide289

A.8Techno｜ ogica︳ contro︳ S技 羽一韹〨帝︳

A＿ 8.28Securecoding安 全 程 式設 計 鐖黦 銹艙 鑴 鑈繳 紛鑰 鎮 黰 銹 銹籛 唧

toOlSand∥ braH嗎 the。 rgan由 uonShouⅢ

燦 糙 Fxtern卸
若使 用外部工 具及 函 式庫 ,則 組織 宜考 量 :

句 °
本

y
︴╒ #早 鵲 ｜崙黏Ξ 騮 昌 守
升 】atedwithre︳easecyc︳
J襱
籤 鏺黰 銹輕欺齵 罕輛

是逮拙 :老
i°
→

eS;

事 所 使用 之函式 庫 清 冊及
蕓簽豪
尹 蠁楚
藭蔓 箏
緇銻鎧將蝷鏹 城舉撥努 宮 艙螂

b) se｜ ection,au七 hor:Zat︳ onandreuseo了 We︳ ︳

一Vetted
components,Part:cu︳ ar︳ yauthenticationandcryptograph;c
cornponents;
用經嚴 格 審 查 之 組 件 ,尤 其是 鑑 別 組 件
爰 麡 璃 擾 薅 盈 纛 挐舞
谽師

◎ 了C︳ C 2-2S︳ ide290

 A.8下echno︳ ogica︳ contro︳ s技 術 韹生帝︳

篛雞齡唦 擺 鑯鑨啥鵝 外
A.8.28Secu「ecoding安 全 程 式設 計

c) the︳ icence,Securityandh︳ sto呼 ofeXterna︳ components;

外部組件之使用授權 、安全性及歷程 。

鏻灘鐪 ︴
d) ensuringthatso㎞ aΓ eis rΥ ╮
a︳ ntainab︳ e,tΓ ackedand

餩麴帥
or:9inatesf「 oⅣ╮proVen,rePutab︳ esources;

颻再
確 保 軟 體係 可 維護 、可 追蹤 且 源 自經證 明 且 有信 譽冬 來 源 。

錉黳鑰呦欺齠 鞏撥蹤餵譁 錢 筋器齡黚安 谽啷

e)
呂
肯°
︴ξ
昆︴姜
〕
︴ g︳ g?g
teΓ rnavai︳ abi︳ ityofdeVe︳ Oprnent resouΓ ceS

開發 資源及 產 出物 之足 夠 的長期 可 用性 。

砏帥
◎ 下C︳ C
2-2S∥ de29η

A.8下echno︳ og︳ ca︳ con七 ro︳ S技 術 韹〨帝︳

鐖籛鑱餓 鑼 鑈黤紛蟣 站
A.8.28Securecodi四 安 全 程 式 設 計

g縰 u㏄ ㎞ 比m㏕ …
田㏑e紖 b㏕ ㎎
疀 品:3腮毛
:昇
,則
銹驒鋤 外

若 需修 改軟體套件 宜考量下列事項 :
鋒灘姊

a) theΓ ︳sk0了 bu︳ ｜ t-incontΓ o︳ sandintegΓ ︳

typroceSSesbeing
銀打

cornp「 oΓ Υ
╮iSed;
鑈黤餓坤城離啦寧羅學豬鋒帥

內建 控 制措 施 及 完整性 過程 遭 破 解 之 風 險 。

b) whetherto obtain theconsent oftheVendoΓ ;

是否取得廠商之 同意 。
縐 航錚跧野︴ φ坤
◇外

◎ 了C︳ C
2-2S｜ ide292
 A.8Techno︳ og︳ ca︳ con七 ro︳ S技 術 韹 ︳ 蠐 竹

=帝 麜珮 醒乳

鈐籛塕錯 鐇 鑰籛盼鐖 外
╮ A.8.28secuΓ ecoding安 全 程 式設 計

c) thepossibi︳ ityo了 obtainingtherequiredchangesfroΓ the l╮

vendo「 as standardprogΓ arΥ ︳updateS;

當標 準 程 式 更新 時 ,由 廠 商取得 必 要 變更 之 可能性 。

錛皺鐋 才
鐒攤艸
d) 七heirnpac七 ︳ ftheorganizat｜ onbecornesΓ esponsib︳ eforthe

鈚妳
fu七 urerη aintenanceofthesO帥 a「 eaSaresu︳ tofchanges;

齡攤鐱妳籃餵 寧撥玲餓攤 錀 蓻器跨帥 含谽螂

因修 改軟 體 套件 ,組 織 變成 需 負責軟 體 之 未 來維護 時的衝
擊。

tywithotherSo帥 a「 einuse
e) cornpaⅡ bi｜ ｜
與其他使 用中軟體之相容性 。

谽師
◎ 下C︳ C de293
2-2S︳ ｜

A＿ 8下echno︳ og︳ ca︳ cont「 o︳ s技 術 韹〨帝︳

A.8.28Secu「 ecoding安 全 程 式設 計 錢籛鑈劬 鑼 彿纖谽鐖 心

七her㏑ 竹Γ
︳了a可 n其 它資訊
︳
。 。
銹籛鐒 永

ngP「 inc｜ p︳ eis七 0enSureSecu「 ity一 e︳ evantcodeis inVokedWhen

Aguid｜

necesSaryand:stamper一 esistant.ProgramSinSta︳ ︳ edfrorncomp:︳ ed

「

「
binaη ◤codea︳ SOhave七 heSeproPe比 ieSbuton｜ yfo「 da七 ahe︳ dwi七h:n
鐑籛顆

theapp｜ ication.FOr interpreted︳ anguages,theconcep七 0n︳ yWOrks

颻↓

whenthecodeiSeXecu七 edonaseⅣerthatis othenⅣ iseinacceSSib︳ e

瞈颻鐱妳鐑報 擊餾

by七 heuSerSandprocessesthatuse:t,and七 ha七 itSda七 aiShe︳ d:na

sirni︳ ar︳ yp「 otectedda七 abaSe.FOreXamp｜ e,七 heinterpΓ e七 edcodecan

berun onac｜ oudservicewhereaccess t0七 hecodeitSe︳ 了requires

鑼聯鎖罐辦

adΠ╮ in｜ strator p「 ivi︳ egeS.Suchadn╮ inistratoraccess shou!dbe

p「 o七 ec七 edbysecu“ 七 eChanisms suchaSjuS七 ㄐn一 jmeadmin︳ s七 raHon

yr了 ︳
銹 瓶燙齵一

princip︳ esandstrongauthentication.︳ ftheapp︳ icationOwnercan

acceSSscrip七 Sbydi「 ec七 rem0七 eaccess to theSeⅣ eΓ ,so︳ n princ｜ p︳ e
手 ♁姊

canana七 七 acke「 .
給跡

◎ 下C︳ C
2-2S︳ :de29ㄔ
 A.8下echno︳ ogic封 contro︳ s技 術 韹 心
=帝

鎀黤齡蛜 鑼 辮靆鍛鑯
A.8.28SecuΓ ecoding安 全 程 式設 計

o七 her:n了 ormajon其 它資訊

指 引原則係確保於必要時調用安全相 關程式碼 且其係防竄改 。

$鏺
繳銹 府
由已編譯之二進程式碼安裝之程式亦具此 等性 質 ,但 僅針對應
用程 式中所持有的資料 。對於解譯式 語 言 ,此 概念之效 用

鏺齉螂
,

僅於 當程式碼於伺服 器上執行時 ,使 用該伺服 器之使 用者及過

鈜燕鑰黫鑰砷毀餵 拶師
程無法存取該程式碼 ,且 其資料係保存於 類似之 受保護 資料庫
中 。例 :經 解譯程式碼可於 雲端服務上運行 ,其 中存取程式碼
本身須有系統管理者之特殊權 限 。此 等系統 管理者之存取 宜以
安全機制保護 ,諸 如 剛好即時Uus一 in一 小me)管 理原則及 強鑑別 。

擺學選鑫 鐪 蓻器撥黚 喜谽坤

若應用程 式之擁 有者 可藉 由直接 遠端存取伺服 器 ,以 存取指令
檔 (sc山 pts),則 攻擊者理論上 亦可 。

幼師
◎ tC︳ C
22S︳ :de295

A.8下echno︳ ogica︳ contro︳ s技 術韹〨帝︳ …

β出 β
— —

鑰簸錀谽 鑼 錛颻♁鑞 心
A.8.28SecuΓ ecoding安 全 程 式設 計

WebseⅣ eΓsshou︳ dbeconfigu「 edto pΓ eventdirectO╮ ◤bΓ OWSingin

suchcaSeS.
於 此 等情 況下 ,宜 設 定網 頁伺服 器組 態 ,以 防 範 目錄 瀏 覽 。
鑈黫銹 式

°
挺硢鞝甜╮ 七
砧出 品鵠 法｜
銹龘螂

鷜 ｜ 是職 :攤 比
籤心

°︳eran七 0finterna〡!七 ts.FO「 fau｜

x割 go耐 hmcan比 checked㏑
鑼黰鐱妳描 $聖 翟 鍋夥鋸齡帥

呂
舌忌
稚私女長
Fg跚t繳 努翠特!sbefore七 heda七aiSuSed;nan
㏕e
繳 吧騵 常胎 掤 黜
與 點 時 嫌 躍
最佳設計 之應用程式碼係假設其． 豆受經由錯誤 或惡意行為的攻擊 。此
｝
錛 瓶器玲跡哥 艙妳

外 ,關 鍵應用程式可設 計為能容忍內部故 障 。例 :於 資料用於 諸如安

全或財務 關鍵應用程式等應 用程式前 ,可 核 對複雜演算法之輸 出 ,以
確保其處於安全界限內 。進行 邊界核對之程式碼很 簡單 ,因 此很容 易
證 明其正確性 碟
劬帥

◎ 丁C︳ C
2一 2S｜ de296
︳
 A＿ 8下echno︳ ogica︳ con七 rO︳ S技 羽子韹〨帝!

塕籛鐪谽 鑼 翰籛鐪觴
╮ A.8＿ 28securecoding安 全程 式設 計

話黯躡 將挺早
iBg。 濕澀 :ε

赽钀 ,花 呂 照 驟

$僯
篱錀 玢
Webse「 verfunct｜ Ona︳ ︳ ty.

紛躈螂
某些 網 頁應 用程 式 易 受 由不 良設 計 及 不 良程 式 開發 所 引入 各種

鍼小
鰡 幾 鷤獸 性.,
珃綠蘛 祥呂

躌籩狒螂焚黐 癹豬纙竄躌錛 鋮縈姓╭安紛螂

以
馬濫 用網 頁伺服 器功 能 。

MOreinfoΓ mauon on︳ cTsecu〢 tyeVa︳ uauoncanbefoundin

the︳ SO/｜ ECη 5碎 08Seriesj
關於 ｜ C下 安 全 評 估 之 更 多 資訊 ,可 參 照 CNSㄇ 5碎 08系 列標 準 。

苭帥
◎ 下C︳ C de297
22S︳ ｜

A＿ 8下echno︳ og︳ ca︳ contro︳ s技 ㄔ好 空帝︳

t寸
…

嫠舐r嫠
— —

tyteS七 ing︳ ndeVe︳ opmentandacceptance

A.8.29SecuΓ ｜ 錢貉縐紛 蹦 鐖纕谽蹳 ¢

開發 及驗 收 中之 安 全 測試

Contr刮 控 制措 施
銹雛鑰 木

ngprocessessha︳ ｜bedef｜ nedandirΥ︳

Securitytes七 ︳ p︳ ernentedin the

deve︳ oPrnent｜ ifecyc︳ e.

鑰攤輕

應 於 開發 生命 週期 中定 義 並 實作 安全 測試過程 。
兟再鑈黰錀姊繳鎖 鞏籮學銘麓摒 磁鉹跨掛官 鬱螂

Co附 崔
ξ°｜毒 著施
空制 寸
了e每 愛§e管 道艮e$ec磁 r;老 yf班 nC報 0n磁 ｜V$乩 甚站$eG俄 rr〡 edo$td社 ξ g
i︴

=孔
de箤 ♁!Opmen毛 .

於 開 發 中 ,應 實施 安 全 功 能性 之 測 試 。
Accep七盆出Ce七 e$毛 ≡ 再$pΥ ogr磁 路$爸 n吐 re｜ 俄︴ Shed
e哇 cri名 er工 我$乩 a比 beeS七 ab︳ 君
手0r錐 兮W︳ n6or子 我爸崔ionSy$七 e幻 S!up9ξ a吐 eS按 ndneⅥ ╭versjonS‘

應建 立新資訊 系統 、系統 牽級及 新版本之驗 收測試許畫及 準期 。

谽師

◎ ΥC︳ C 2-2S︳ ide298

 A.8Techno︳ ogica︳ contro︳ s 技羽子能〨帝︳

眑黮齡谽 齺 鑰黫紛蹦 小
A.8.29SecuΓ yteSung︳ ndeve︳ opmentandacceptance
i七

開發 及驗 收 中之 安 全 測試

仍ntr破 好pe 工
njOrm久 七
iOn q9ber§ eε uri七 y Opera七 i° na1 含eε ur且 好 d° m斑 ns
secⅡ r抑 prDper在 i兮 S conε ePts capa打 丘ies

鐖靆鏺 →
i︳

#Prevε ntive #Con∴de就 i爸 li竹 #王 deⅡ tify #Applica七 iO且 ＿

Seε urity #Pr0七 eε tion
#Integri七 y #In拓 rm甜 i0且 ∫
eCuri-

鑈黫邱
揪 Va:︳ abili七 y ty＿ assur3nce
#Syste㎎ and＿ ne一

鋮小
work§ ecur1毛 y

狒靆鑰碑欺齰 擊姊
PurPose目 的

鍛夥簽霹 鐑 航鏤路掛
下oVa︳ idater infoΓ rna∥ on secuㄩ tyrequirernentsaremetwhen
app｜ ications oΓ codearedep︳ oyedto thepΓ oduction
enViΓ onr【 ︳
ent.
驗 核 將應 用程 式 或程 式碼 部 署 至 生產 環 境 時 ,資 訊 安 全 要 求 事

:谽
項 是 否符合 。

坤
谽阿
◎ 下C︳ C
2-2S!ide299

A.8下echno︳ og︳ ca︳ contro︳ s 技 羽千韹〨帝︳ ﹏

′已 π
— —

鑈簸鑈鎗 麟 齡龘紛饑 ¢
A.8.300utSourceddeVe｜ oPrnent委 外 開發

ContΓ o︳ 寸
腔帝︳
ㄐ階施
下he° rganizat︳ on sha︳ ︳di「 ect,monitorandrev︳ ewtheactiv:ties
錀繳鐒 外

Γe︳ atedto outsouΓ cedsysterΥ ╮ deVe｜ oprnent.

鑰黤姊

組 織應 指 引 、監視 及 審 查與委 外 系統 開發 相 關之 活 動 。
籤↓鑈纖鏺姊隘琀聖黧 幾學盟盟鑈 城銎懘好巨 ψ妳

Con之 Fo｜ ㄐ
腔常寸
→昔施
下我eorSaniza圭 ;onSha君 ︳Sφ pe︷ r官 Se俄 ndrn° n︳ 在
ort打 eac︴ 工
v︳ 為 °f

°utS0松 rCedSys走 eF︴ deVe｜ Opment＿

一
組織應 監督及 監視 委外系統開發 活動 。
谽師

◎ 下C︳ C
2-2S︳ ide300
 A.8下echno︳ og︳ ca︳ contro︳ s技 術 韹生帶︳ 蠐 竹

靂瓶 靂

鈐镼暡盼 豂 齡雞銹鑯
A.8.300utsourceddeVdoprnent委 外 開發

°I七 ype
ε°n七 Υ ≡
n拓 rma七 iOn Cybe“ ㏄ur:睜 0pe〔求子
oha: ∫§CuΓ :七 yd6n女 a≡ 且S
兮CⅡ r主 圩 proper在 必
§ ConCep七 J ε
安pab:!走 :ε s
哈
#PreVe且 t︴ Ⅳ #Con出 dentia!i七 y 樹del︴ti牡 #Protect a且 芭Ⅱetu◤ or文
#Sy∫ te路 ＿ #G0Ve了 nanCe＿ nd一

$銬
tem

羷鑈
#Detε C守 竹e #Integr竹 #De〔 eC七 Securlty Ecogy§
#Av缸 !ah︳ ity 莒 ecuri在 y
軸 plic就 i0n＿ ∫ #Protection
#Supu始 〦

h鈐
rel館 i0n∫ hips＿

黫螂
securi好

蚳外鐖羷翰坳欸齠 罕襏笭盤犩 塕 航器蹐帥 宮谽螂

PurPose目 的
下0enSureinforrl╮ a小 onSecu∥ tymeaSuresrequ:redbythe
organizationa「 e｜ ╮ p︳ ementedin ou七 Sou「 cedsyster︳ ╮
r了

deve︳ opment.
確 保 於 委 外 系 統 開發 中 ,實 作 組 織 所 要 求 之 資 訊 安 全 措 施 。

谽師
◎ TC︳ C 2-2S︳ ;de30﹁

A.8下echno︳ og:ca︳ cont「 o︳ s技 ㄔ村一

守空帝︳ ﹊

彈颻rβ
— —

on 銹籛鐖幼 鑼 錛黝紛鑯 •
A＿ Separation ofdeve︳ opment,testandprOduc七 ︳
8.3可
enⅥ ronments開 發 、測 試 與 運 作 環 境 之 區 隔

ContΓ o︳ 寸
陸帝︳
ㄐ昔施
鏺黤齡

Deve︳ oprnent,teStingandproductionenvironments sha︳ ︳be

$鐑

separatedandSecured.
騹怖
嫩→

應 區 隔 開發 環 境 、測 試 環 境與 生產 環 境 ,並 保 全 之 。
鎙纖銹師欺餅 寧羅學雄鑼師

ξ
C6井 老0毒 控 常 兄
義爭兡 〞 既冷工ㄔ二︴
寸
Deve〡 Op幻 en毛 ,七 e$七 i&9andoper俄 七
︳ ｜be。
♁na舌 enV竹 onme作 t$S乩 篠吝
Sep爸 Υ在電ed七 0re4uce電 heriSK$o了 un盆 Ⅵ琶 一一一
我0riZedacce$soξ 一
鑈 蹜華蛪好音 砏師

heOper放 工
chanσ e$七 ♁寺 On爸 ︳
Sy$之 em︴

應 區 隔 開簽 、測 試 及 邊 作 之 環 鼾 以 降 低 辮 違作 環 境 未 經 授 權
存 無 或 變 更 將鼠 險 。
谽師

◎ TC︳ C 2-2S︳ ide302

 A.8下echno︳ ogica︳ contro｜ s技 術 韹 ︳
=希

眑雛鑰盼 鑼 齡鼬盼鐖 外
A.8.3η SepaΓ at:0nofdeVe︳ opment,testandpΓ oduction
ents開 發 、測 試 與 運作 環 境 之 區 隔
enⅥ ronrΥ ╮

CD五 trO王 typ全 InfOrⅢ七iOn ε

”e必 eCⅡ 出ty opera〔 iona王 SeCⅡ ri七 ydo︳ ⅡainS
s㏄ #妁◤ pmper拉 e§ concePts caPa斑1王 tiε §

齡黮錛 外
串Pr研en注 ℃ #Con生心entia︳ ity #Pr〔 )竹 εt #App︳ iε at子 on＿ gecurity #Proteε tion
、
報睡 醉竹 #靪 s七 m一 五
㏕＿net-

瞈黫螂
揪 va社 a㏑ ｜
打 wo虹 se.ur竹

甄水鑰籗錛姊械玲晰翟一
Pu叩 °Se目 的
下OprotecttheproductionenVironrnentanddatafrom
pro日市Sebydeve︳ opmentandtestactiv︳ tieS.
corΥ ╮

罐苓盟幾 躌 瞞器跨游
保 護 生產 環 境 及 資料 ,免 遭 開發 活 動 及 測試 活 動 之 危 害 。

;錐
呻
妙外
◎ 下C︳ C
2-2S︳ ide303

A.8下echno︳ ogica︳ contro︳ s技 術龍〨帝︳ 十

π我 π
— —

攠黦錛嬐 鑴 銹黮紛鐖 ∞
anagement變 更 管理
A.8.32Changer了╮

Contro︳ 控 制措 施
ChangeSto infoΓ rnation processingfaci｜ ieSandinforrna七 ionSys七 emS
i七
鏺露錐 〝

sha︳ ︳
besu● ject tochange了 nanagement procedu了 eS.
資訊處理設施及 資訊 系統之 變更 ,應 遵循變更管理程序 。
撥籛坤
籤“鑈黫銹︴欺鎖 學露移簽雜 w銵航聲餵◤哥 ♁抪

Con在 m〡 控 制措 施
Chanqes七 oO了 gani2a七 ion,bu$:ness proceSse$,:n了 orma在 ion process° ng
了ac｜ ︳ieSand$ys走 emS走 ha︴ a年 4c七 ︳
i七 出了ouⅥ a崔 :° nSecur工 出√sha︴ 甘be
C° n老 ｜
ed.
=o｜
應控希ll射 影 響資訊 安 全之組 織 、營運遇軒 資訊 處 理 設施及 系統的變更
Chan9e$七 oSys走 e出 SW工 之h;n走 hedeVe︳opmen七 ︳ :fecyc︳ esha︳ 〡be
edby它 heuSeof下 OFma︳ changecΘ ntro｜ proc台 du了 eS.
contΓ O〡 〡

應藉 由使 用正 式的變更控希ll程 序控希ll,以 控 報 閼發 生命 週期 內之 系統變

♁帥

更。
◎ TC︳ C
2-2S∥ de30碎
 A＿ 8下echno︳ ogica︳ c。 n七 Γ
o︳ S技 術 控 帝︳

鈐纖 齡鎀 璐 齡靆 錯鏺 無
A.8.32C-anger!╮ anagernent變 更管理
︳
VV跆 enΘ uer級 電&$紂 子
爸錚♁F了$$宙 FeCh崔 n9ed,$$$君 出e$$e比 ︴工
G俄 子爸p針 舌
〡c爸 音0nS
工
$比 缺雖 beF每 V工 e醃 4撥 Π吐 走e$考 ed君 ee出 $磁 ξ兮 君乩eξ @工 $n♁ 雀碪¥er忠 e:甜 p磁 C毛 ♁n
♁r$撥 n° Z撥 之
子◇n盆 ︳♁pe「 雄︳
0n$or$ecur〡 對 好ㄨ

鐑黮 鐫 玲
當運作平 台變疑時 ,應 馨 查與測試 營運 之 關鍵應 用 ,以 確保對組織運作
或安 全無不利衝 擊 。

彿黮 螂
雖♁d君 玉c依 七:♁ nS七 ♁$0投 蹤are紗 接Ck接 9eSS乩 撥︳描e碟 ｜
｜ n兮 e4to
$c0也 r撥 9ea,君 工 :七

籤外
n兮 CeSS爸 的√ch爸 雄ge$襏 雄d往 ｜ 〡Ch我 nge$$乩 接比 b舍 $電 r比 雜ycon老 0比 ed.

翰黫 齡坤貓路堅留 鑼夥駕鷬 瞈 筋器爩黔 含 谽螂

應 不鼓勵修 玫軟體套知 五僅 限於 必要 變更 ,並 應嚴格 管制所有變 一 更。
C6n〔 ro︳ 竹pe 王
njo了 ma七 ie且 c坤 ehec狂 rㄉ opera七 i° n安 上 Sㄜ cⅡ ri” doⅢ 茁Ⅱ∫
yproper它 主
secur三 七 eε C° 亞Cep七 S c可pah且 i〔 :兮 S

#Preven七 iVe #C0nfidεntia︴ itˊ #Pr〔 〕

tect 比Gur竹 #ProtechOn
#App!ic駐 io且 一
#比 egr≡ ty #∫yS七 em承 ㎡ ＿
ne一
#扭 aⅡ 山心竹 $o放 比田r:ty
一

PurPoSe目 的
下● p「eSeⅣ einforrna七 ionSecuritywhenexecu七 ingchanges.

盼帥
於 執 行 變 更 時 ,保 護 資 訊 安 全 。
◎ 下C︳ C 2-2S︳ :de305

A口 8Techno︳ og︳ ca︳ contrO︳ S技 術韹〨帝 ll

﹏

躍鑯〞
躍
— —

錢黤 攤谽 鑼 鑈黝 紛饑 ¢
A＿ 8＿ 33下 eSt infoΓ ma∥ on測 試 資訊

措施
Cont「 o︳ 控 帝︳
Test inforrΥ ╮
at︳ on sha｜ ｜beappΓ opr︳ ate︳ yse︳ ected,p「 otectedand
銹籛 筠 本

managed.
筠攤 坤

應 適 切 選擇 、保 護 及 管 理 測試 資 訊 。
籤心銹黰鋪妳攤鷬 擊罨 夥壁聶鍋 瞞華蹬對 當 鎀螂

d控 制措 施
C錐 電ξ
ㄒe$走 後$孔 毯︳
d撥 之 君豁e$e︳ e♁在 y,pξ ♁發
e心 G往 re了 功｜
含 ed
♁c愛ed往 ndCon七 r0善 ︳
應 小 心 選 擇 、保 護 及 控 制 測 試 資料 。
紛師

◎ TC︳ C 釳 S︳ ide306
 A.8下echno︳ og:ca︳ contro︳ s技 術 韹〨帝︳

鐒黤鑰蛜 鑼 翰黮銵鷂 外
A.8.33下 eSt infomauon測 試 資訊

contrd竹 pe h葯 Fma求 ㎝ Cybersgcuri七 y 0peΥ 女

tiona1 Secw拙 ◤
d° majn§
yproperⅡ es
secu加 主 concepts 〔
apah1北 ies
勞PreVentiVe #Con鈺 血ntial批 y #Protect #In拓 rm破 iO且 ＿
prOtecho且 #Protection

鏘飄鏺 再
#In竹 gri中

鐒靂嗨
PurPose目 ｜

餓本
玓

鑰黫齡娣繳餵 路臨驟學簽舞 鑈 臨移玲郢 音谽螂

ToenSureΓe︳ evanceoftestingandprotection ofoperationa︳
︳
nfo「 ╮
ationuSedfoΓ testing.
rΥ

確 保 測試 之 關聯 性 並保 護 用於 測試 的運作 資訊 。

砏師
◎ 下C︳ C
de307
2-2S︳ ︳

A.8下echno︳ ogica｜ contro︳ S技 術 韹〨帝● ﹊

好蟲口
π
— —

鑰驤銹嬐 齺 鍋驤妢鑞 “
A.8.3η P「 otection ofinfoΓ rnation syster【 ╮
SduΓ ︳
ngaudit teSting
稽核 測試 期 間資訊 系統 之 保護

ContΓ ol控 制措 施
鑈雝鐒 永

Audit testsandotheraSsuranceac七 iVitieSinVo｜ vingassessment of

bep︳ annedandagreedbe七 WeentheteSter
鑰讓帕

operationa︳ systemSSha︳ ︳
andappropriate!﹁ anagement.
鱵如鑈纖鐱師銥各姊寧露學竅蕛銹磁彈姓ㄏ— ♁姊

涉及 運作 中系統 之 評 鑑 的稽核 測試 及 其 他保證 活 動 ,應 於 測試者與 適切

管理 階層 問規 劃 並 議 定 。

Con︴ ro〡 控 制措施

一 一

Aud子 trequ:remen︴ sandac｜ ;vi︳ ;es子 nVO｜ V;ngver︳ 有cation ofoperationa︳

yp︴ 級nnedanda9reedtoΥ n︳ n｜ rn:zed:srup任 0nS
systemss比 a比 b9car6了 u卡 ｜
tobuS｜ neSs processes︴
應仔 細規劃並議定 ,涉 及查證運作 中系統之稽核要求事項及 活動 ,以 使
篎帥

營運過程 中斷降至最低 。
◎ 下C︳ C
2-2S︳ ide308
 一
A.8Techno︳ ogica︳ S技 羽 韹〨帝!
contr● ︳ 旗齺用齺齖 #
靂兙罈

蠮灘 翰鬱 蠮 鎀薙皤饑 才
A.8.3碎 P「 otection sduringaud︳ tteStin9
ofiΠ fo「 rη ation systerΥ ╮

稽 核 測 試 期 間資訊 系統 之 保護

C° m七 r● I功 e :n拓 rm斑 :° n 班 er∫ emr印 oper出 七

主§且安
I 比C社 垀d° 扭ain§
r宮

狒飋 坲 巧
比mr妳 p四 peA拍 s CO且 Cepts capa打 社:ues

#Pre碑 雄打e #Con出 de婊 i安 lit｝/ #Protec七 #野 st出 比a㏕ ＿ ne七 的 k #Governance＿ 爸nd一

銹黤 螂
#l1︴ tegr打 ∫㏄ur坤 EGosysteⅢ #PrOte←
$出 y
#A確 法 #In拓 rm浪 iOnprOt㏄ tiOn 往On

鈜竹
i︳ i七

錉灘 瞈坤幾齠 寧撥夥簽髒 鑰 嶄磁翁跡 宮 鬱螂

PurpoSe日 亡
琦
inirnizethe︳ rnpactofauditandotheΓ
TorΥ ╮ asSuranceact︳ vitieS
onOperat︳ ona︳ Sandbusiness
syster了 ╮ procesSes.
極 小 化 稽 核 及 其 他 保 證 活 動 對 運作 中 系 統 及 營 運 過程 之 衝 擊 。

紛帥
◎ 下C︳ C de309
2-2S︳ ︳

β戤 露
— —

鋪籮 鋪緞 鎞 鑼黮 ♁鐖 府

Anyques七 :OnS?
銹齷 鈐 外
鍋麰 姊
瓶市鑰籛銹砵航$聖 敢 囉移鍜選協 瞞踄玲外 音 翰郴

Thankyou ●
Ⅲ erc︳
紛師

◎ TC︳ C 2一 2S｜ ide3﹁ o

 呼

靂颻 躍
— —

錛籛 鐑鎗 衊 彿麶 鎗鐖 小
′′ ‵
$╮
ˊ
ˊ
﹉

鐒難拗 〝
Modu︳ e-3

銹鍵 師
皴〝
資安標 準-Add一 On

鋒籛 媰啷插各醉移缽錯嗧鍛確解
銹 缽器路野 甘 谽螂
谽師
◎ by了 C︳ C Modu︳ e3S︳ ide一

一
)

鏺羻鑰餩 嬾 齡霞 錯鐖 ︷
銹齉 鐑 出

SMS
鋒羻 姆

特 定領域 之 ︳
籤心鍋籦 翰帥欺餒 奪礒 夥窮霹 齡 磁蹈玲野 子 ◇師

實施 與驗證 方 案

U
琺外

◎ 町 丁C︳ C Modu｜ e3s︳ ide2

 田°du︳ e3s︳ ide3

Modu︳ e3s︳ ideㄥ

蟻
齶瓠 籚
嫵躌比觶驟 〡

錐罷 佛鉹 囀 彿靆 鐒幾 依
鰳錢 聯 打 籤㏄
鐑黦 郎 鍋雛 烿螂欺錤 移城熪驚簌囉φ鈐 落第路玲 多 妢郴
鎊師 銬幾鎀鎀 鐪 嫋籛 鯓齡 外
鏘靆 呦 本 觬妳
鐒籛 榔 佛籛 銬仰磁路蜥罕露弩窔舞銵 蹴獼聹好
╮

轉
▓▊▌▊▊
躎齺礉鑼蹳龘
特 定領域 (如 個 資保護)的 資訊 安 全 管理 系統
■■▆Ξ鑯我飂▊▋■
飋離飋癱龘 麤鑼蹤覷飋躕
颱颱颱口
颱颱夒▋
▊▆▅▓

麤龘麤飌豳鑯
麤鑼驤澱颱 龘龘龘驤 龘龘
飋齺

瀰鑼殿鑼
一般 企 業/組 織 的 資訊 安 全 管理 系統

麤飋濺鑼
麤麤躖颱龘
魕龘飀躥
攤齺
颱颱懼 麤 鼆 龘躝
颶颶

▋琿

◎ byTC︳ C

◎所 了C｜ C
 SMS實 作 方 案
一般 與特 定領域 可 選擇 的 ︳ 儕 出

晝乳 靂

′
一‵ˋ 錫

、 坌了90名 ′
盆了$♁ 之｝
霧癢度
一皺 企 /組 織

\
\
\

\
ˋ

ㄟ
\

ˋ
\
ˋ
ˋ
\
ˋ

◎ byTC︳ C de5
‵ Modu︳ e3S︳ ︳

山
ˊ

S0組 織發展 中的特定領 域 資訊 安 全驗證 一η

︳ 靂
靂瓶子
﹏

— —

銹籛 聯齴 聯 搦籛 鎀籛 坊
▆︳ EC2了 00可 十 ︳
SO′ ︳ EC2了 009(Sector一 Spec而 c
SO′ ︳
RequirementS特 定
aPp︳ icat︳ on of︳ SO/｜ 巨C2700﹁ 一
SO月 EC2了 00﹁ 的要求)十 ︳
領域應用｜ S。 2了 SSS(如 :

雲安全保護︳SO2了 “了.‥ )
呦雞 佛 研

區C盆 了6爸 $二 愛♁︴$麡

彿靉 螂

巷♁′
技 在
Se蟲 卜§pec:ficapp｜ 〡 用巨C坌 700︴
教密

:時♁於╮接才
君o再 teC乩 no︳ o9y… S守 兮uAty七 ee乩 n:吼 Ⅱ爸S— ◆a再 °Rㄑ好 ︳
Sㄈ 》 —
—
—
鐑黮 協艸欽覤 學姊

re路 en抵
Req旺 念

H煔 r你aU° n
色 ne6λ ︳了
路鵿箜舞齡 筋瑟凎許 多 ◇姊

\︶ /
鬱外

◎ by了 C｜ C Modu｜ e3S︳ ide6

 lSO組 織發展 中的特定領域 資訊安全驗證 -3

鐒雞佛銹 孋 鏘雞劮鐖 沐
紉

鎀鐱齺 小
鑰巍姊
帥 竹 女﹍ 鞋舍無輯在找 琦憋各雖:撥 井鞋 命將 扣群發無 雄 好′簽確名甚
眾要 棘 賺 奄崩挫

籤咚螉羰鑰艸疑錣 翠竑緇犖選確螂
一

﹉
紉
一一
嗯
麚
聲聲
薰
聲餮
馨巖
麔
麛鼾 :

狒 駥器路許發 鐒螂
一 一
一
﹏ 錶︴ 扑蠍
邵 報鞋神 發 岑群 單 份鞥 森安本常↑宙ψ印 串睪年 婁燕年齡 毒
撥岑離#啥

鬱帥
一
◎ by下 C｜ C
Source:︳ SO27009 de7
Modu︳ e3s︳ ｜

︳ SMS延 伸 驗證
SO組 織發展 的｜ 十

spec市
特定領域｛ S ec蜜 倚〕
嫋
妙
鑗 銵攤谽鑰 扣
佛玀鱗 ︿
鐑籬姊
兟“呦籛蠮師繳鏢

S● ●︴
●r＿s° ●●
27@° ︴
﹂
一

◎ by了 C︳ C
Modu︳ e3§ ︳
:de8
 lSO組 織發 展 中的特定領 域 資訊 安 全驗證 口2

▋︳
S。 ′
︳EC27000:20可 8〔 2° η
8-02J 鈴

它7岱 6$

之96∮ δ 乏?$♁ ㄢ

它7◆ $么 全步0妙 甘 老爭¢哇博 母率

名7｛ ｝ 去?〔 9$孚 TR27令 ◆ll

它ˊQ住 各 27∮ 芒瑋
幽 ㄠ了 之〦
l》

ㄥ〡母在寸 之子$在 它 崔安◆俠9 它ˊ@王 $ ㄊ9¢ ︴箏

一

ㄠγe參 ㄨ 29$║ X

劬
扭

◎ by 下C｜ C
Source:︳ SO Modu︳ e3s︳ ide9

SO國 際標 準 架構 的 P｜ MS驗 證
︳ ﹏

靂籈 靂
— —

銹盤甥 砂 餾 奶邏 劫鑰
SMS
●︳ ◆ 加代
I〔S十 P｛ AΛ S 俄
$塕
雞佛 ㏄
鑞簃 撥 外
銹簸 銵鄉筑課 鞏籮 孝谽簜 齡 竑麥琀許 多 ◇姊

\一′/
、
翰帥

◎ by下 C︳ C
Sowce=︳ SO及 TC︳ C描羔整 ModV︳ e3s︳ ide-0
 G︳ oba︳ Con七 e〤 七′other︳ SStandards
其 它 資安標 準

鱗激鐱紛 蟣 鐒黤♁鎩 ︴
SO/︳ EC27000,2700碎
▅︳

SO/︳ EC270η 7,2了 0﹁ 8

▊︳

媰籛鑈 竹
鑰簸林
▅︳ EC29η 00,29η 3碎 ,29η
SO′ ︳ ,2770η

餓本
5η

錛議縐艸玫齵 犚露學饒離 鏺 描發韹好子 谽輕

下S巨 C/CornmonC山 七
▅︳ e山 a(CC)/︳ SOη 5408

艙帥
◎ by下 C｜ C
Modu︳ e3s︳ ideㄇ η

Systema║ cs分 布表

銹簸齺♁ 鑼 鑰籛盼籤 節

Systern re︳ ated

SO2700X
︳
SO29η 00
︳
佛龘鍋 ︴
銹黰咘

SO270﹁ η
︳
錄研縐靆協卹欽餒 幾拼擺路餓舞 齡 磁發憩好— 鉹︴

So270﹁ 7
︳
SO270η 8
︳

SO﹁ 5碎 08
︳
PΓ oductre︳ ated

technica︳ NOntechn︳ ca︳

盼阿

◎ by了C︳ C
M° du｜ e3SHde﹁ 2
 SO月 巨C27000標 準 簡介
︳ 籚舐 靈
出

— —

鐫驤佛銹 鑼 鑰靆妙鐖 竹
╮ ▅Preparedby︳ SO/︳ 巨CJTC﹁ /SC27

▓下比︳e一 ︳nforrna山 0ntechno︳ ogy——SecuHty

techn:ques——lnforr!╮ aⅡ on secu向 tyrnanagement

銹籛協 小
systernS— — 《DVeⅣ ie執 ′緻ndV♁ C缺 紐以｜爸印

筠黮妳
籤必
Shedon the20﹁ 8-02

鐑籛鎀姊戔錣 琌臹擺學餞鑼魽
▓ Fou㏄ hed︳ on pub︳ ︳
t︳

▅ Purposeofth︳ s︳ nternationa︳ Standard一 de$cF︳ be$

遼雄eoVerviewandthevocabu芒 a$一 of︳ nformahon

銹 瓶雀婬〃才 鉿郴
secuⅡ tymanagernent$ys在 emS一 Wh比 hform七 he
he︳ SMS掐 m:｜ yo了 $七 andaFds,andde﹏ ne$
S吐 切ec追 O了 七
ed七 er了 ╮
re︳ 接七 $andde了 in︳ 之｜
onS刀

姼師
◎ by下C︳ C Modu︳ e3S︳ ide可 3

SMSFam:︳ yofStandards
︳
Re︳ at︳ onSh︳ ps

云ˊ♁¢♁

岔′°$才 2′ ♁$各 玄7$@σ

多9φ 路含 多安砂$$ 玄〞甘6璋 工9$兮 各 :註

9雉 ◇γ 供 工9@° $

2ˊ $王 往 盆7$主 存
瞴 ㄠ
=a多
有

之7$在 ° ㄠ︴$主 名 乞7¢ 求9 27在 名$ 老弦¢║今

安9¢ 3久 才 $磁

鎀
外

◎ 町 了C︳ C M° du︳ e3s｜ ︳

de｛ ㄥ
 SO270阿 標 準簡介
︳

呦籛鈐谽 罐 銹龘鈔饑 ︴
▊PreParedby︳ SO/︳ ECJ下 Cη /SC27WGη :︳ SMS工 作 組
■下 e一 ︳ it︳ y
nfor︳﹁at︳ on七 echno︳ ogy— ＿ S● cur︳ 七
七echn︳ ques— ︳
— onSecu出 ︺ 竹anag6ment
nfor▌ Ⅵa七 ︳

銹黤鑰 小
一 Ⅲ°几︳ 七or︳ ng,m6asur3men扎 ana︳ ys子 Sand

鏘銦林
eValua伍 on資 訊 安 全 管選 系 統 ▅監 督 ,量 測 ,分 析 及 評

餓琳
估

鏺龘銹螂玫餵 路缽鑼幾熅緇帥
▊Secondedit︳ Onpub︳ ishedon the20可 6一 η2一 η5

▓ PurpoSeofthis｜ nternationa︳ Standard一 Provides

guide︳ ines intendedtoassist organizations︳ neVa｜ uat:ngthe

鑰 城雀翌﹃︴ 妢轉
nfor︳nat︳ on secur:m◤ pe好or︳nanceandthee竹 ec║ Veness of
︳
ty了 ηanagem6nt
an in〡or︳Ⅵat｜ on socu「 ︳ sys七 em in order to了 u｜ ︳
f︳

entSof︳ SO/︳ EC2700η :20η 3

the「equirer了 ╮

姶師
◎ 盯 TC︳ C
Modu︳ e3s︳ ︳
de﹁ 5

SO/︳ EC2700碎 一ContentS

︳
ForewoΓ d
鑰籛鎀妙 鑼 鱗灘螃鑈 小
0.︳ ntroducHon簡 介
可.Scope適 用 範 圍
2.NormauVeΓ e了eΓ ences引用標 準
3.孔 rrnSanddeⅡ nⅢ onS用 語 及 定 義
姆籛鏑 林

碎.StructuΓ eandoveⅣ iew結 構 和 概 述

鑈激啷

5. Rat子 ona｜ e理 論 基礎
觝﹌

6.Char孔 te〢 S小 cS特 點

佛羷鍋轉欺餒 寧希奪雀霹齡 拓路玲珅多 幼︴

7.下 ypeSofr!╮ easures量 測類 型

8. Processes過 程

AnneXA(inforrΥ ╮
auve)An infoΓ maUOnsecuhtyrneaSurernent mode︳
資訊安全量測模型
AnneXB← nfoΓ mative)Measure了 nentConstructexamp｜ eS
量測構造實例
AnneXC(:n了 ormauve)Anexamp｜ eo了 free一 textform measurement
妙外

construcjon 自由文字形式量測構造實例
◎ byTC︳ C M° du｜ e3S︳ ;de鬥 6
 SO/︳ 巨C2700碎
︳ 躪 鰗 翔 齺 齷 韓

Monitor︳ ng,rneasurernent,ana︳ ySiSandeva︳ ua七 ion 靂珮 靂珮

彿籛 銹谽 躤 彿籛 谽籛 ㄍ
鎀籛 銬 小
銹雛 郴
鈚站搦籛 錫奶戔覣 簃航器擺幾簽妒
銹 筋灪跨鄉 香 縍坤
谽師
才9g扶 牙一 幼巷,臉 #發 守俄r兮 雖 令班t〕 我佐發尹
肚 份找i6台才方 李 #球 d告V磁 u各 守子
.砪 ︳ 令球 p∵ σ兮犖串芋令今
=辛

◎ byTC︳ C
Source:︳ SO2700碎 :20η 6 Modu︳ e3S︳ ide﹁ 7

SO/︳ EC2700碎
︳ 中

Key e︳ ationSh︳ pS︳ ntherneasurernent︳ nforrnat︳ on 靂氖r釐

「
﹁

︸ — —
手
訂︴ 吝

銬籛蠮盼 鐋 鈞籛鎊籤 跡
!
﹁

竹 中
子至 手

古
抽驟辮機器 聽
竹 如“銘 ㄜ∞ 辛 6h妨

燕嶺帥 喜子
華
筠雞僯 然

#蚣
銹難奶

π啦 好4無 辦 “銘幣
魏泓

班 色甚β社r台 確 母無竹
佛羻鐋螂籃齷 竿籮犖簽發 鋒 筋蛋玲珅呂 鬱郴

血 心且批筵ri廷 每
啷
屾
恥卅

69γ m了 〔
l#k》 無 “ 本
┤9無 舛才必﹏甘 斤求︴
“#︴ 砍
一
一
Source: 加 … $W竹 竹 ﹏ 才 ﹏ 巾
╮
翰外

F
｜SO2了 00碎 :20η 6 ︳
博就兮
:牡 — —
｜
︳ 爭

◎ byTC｜ C Modu︳ e3s︳ ｜

de鬥 8
F〔 琴 瞭 冬 斑 .苗 釦睜 兮擸 鉒沁 Ⅲ㎡ Ⅲ u甘 t扭 曲 千 郎 亡丑吝爸V〔 j砍藍6t｛ 壯又 降 路 燕出触 出 妞心寸︳
一
 SO用 巨C270﹁ 孔20鬥 5標 準 簡介
︳

銹黰鑰鬱 鑼 鐒讓盼鏹 ︻
SC27
▊Preparedby︳ SO/｜ ECJ下 Cη ˊ

▅丁 e一 ︳ nformauontechno︳ ogy— —Secur︳ ty

it︳

銹籛鍋 ㏑
techniques— —Codeo了 prac七 ︳ce了Or in了oF子╮atiOn
EC27002了 Or
secur︳ tycontro︳ sbasedon︴ SO′ ︳

鏻黤林
籤〝
c︳ oudServ｜ ces

鑰黤銹螂欺餵 帑鎡擺犖盟姆螂
雲服 務 擴 增 的 資 訊 安 全 控 制 措 施

▅PurpoSe° fthis︳ n七 ernat︳ ona︳ Standard一 p「 ovideS

neSsupport:ngthe:rnp｜ ementa士 ｜
gu｜ de｜ ︳ on o了

鑰 就冷路羚— 鉹姊
OnSecu川 tycontrolS拓 rc｜ oudserv比e
:n了 Orrna出

customersandc︳ oudseⅣ iceprov︳ ders.

谽外
◎ byTC︳ C
Source:︳ S° 2了 0｛ 了:20η 5
Modu︳ e3§ Ⅲ
de月 9

SO/︳ EC270η 7:20η 5目 錄

︳ 中

π出 π
— —

鰳雞鑰翰 鎦 壣麰盼鑰
FoΓ eWOrd前 言
0.︳ ntΓ oduct︳ on‘ 什紹
η.Scope適 用 範 圍
2.Norrna小 VeΓefeΓ ences引 用標 準
3.DeⅡ nㄦ ｜ onsandabbΓ evia小 onS定 義與縮 寫
$蠮
羻銹 ︿

碎.C︳ oudsector-specificconcepts雲 服 務 安 全 概 念
鋒籛郎

5＿ ㏑forrnauon secu山 tyPo︳ ℃︳ eS資 訊 安全政 策

瓶烋

6.OΓ ganiZajon ofin了 0Γ rnaHon secu山 ty資 訊 安全 的組 織

鍋黮 鱗螂鱉黐 寧羅路雖讓鐑 城苓跟╭吝 鈔眸

了.HurnanΓ esourc● 比 Cu” ty人 力資源安全

8.ASSetmanagernent資 產 管理
9.A㏄ esscontr引 存 取控 制
η 0.CΓ yptog「 aphy密 碼 學
可 可.Phy由 c到 andenⅥ ronrnentalsecuHty實 體與環境安全
η 2.○ peΓ aHOns secu︻ ty作 業安全
妙盯

◎ by了 C｜ C
Modu︳ e3s︳ ide20
 SO/︳ EC270可 7:20η 5目 錄
︳ 孻蹓朔躎解 ﹏

靂舐 靂

彿雞鈐鎀 樼 鐒黮 妙鑯 ㏄
︴3.Cornrnunicauons security主 昱萿 孔嶺 ｛釘
η碎.SysteΠ ╮acquiSition,deVe｜ opmentandr了 ╮ ain七 enance
系統獲 取 、發展 與 維護 一
︴5.Supp︳ ie「 re︳ auonships供 應 商 關係
ent資 訊 安 全 事 故
aⅡ onSecuHtyinc心 ent rnanagerΥ ╮
可6.︳ nforr︳ ╮

齡鑼鎀 符
管理
η7.lnfOFrΥ ╮a竹 onSecu∥ tyaSpects o下 buSineSsconⅡ nuity

鑰籩鰶
man ag ernent營 運持續管理 的資訊 安全方面

鈚林
︴8.Corn p︳ ance遵 循性

縐黮鋒螂鈗掇 鞏鑫鋒鍰舞 銹 磁勞礅′女 鉹螂

i

AnneXA(normajve)C︳ oudServ:ce巨 XtendedContro︳ Set

雲服 務 擴 增 控 制 措 施
AnneXB(normaHve)References on:nforma市 onSecu山 ty“ sk
put︳ ng
atedtoc︳ oudcorΥ ╮
re︳

關於 雲運 算 資 訊 安 全風 險 的參 考 資料

鈖粹
◎ by下 C︳ C Modu︳ e3S︳ ︳
de2鬥

S○ 27002:20可 3
︳ So270︴ 7:20η 5
︳
條 款

名稱 擴增指 引或增 新增控 新 增控

卡
加 其 它 資訊 制 目標 制措施

5 lnfoΓ majon secu市 typol℃ 心S資 訊 安全政 策 η

6 y資 訊安全之 組 織
organi2aHOnofinforrna甘 nSecu市 七 2 ︴ η
。
7 HumanΓ esouΓ cesecuHty人 力 資源安全 η

8 AS比 tmana9ement資 產 管理 3* ﹁

9 AcceSscontΓ d存 取控 制 7 ║ 2
可0 CryPtogΓ aphy密 碼 學 2
Physica︳ andenviΓ onrnenta〡 securityj寄 攤助史瑏之
︴竟唼 6釘 ︴

可2 OPe「a小 0nSSecu︻ ty運 作 安 全 一 了 2

可3 Corn〔 Ⅵunications secu「 ityi且 訊 安 全 可 η

︴ㄔ SyS七 emacqu︳ s比 ion,deve!opmentandmain七 enance系 統獲取 、開發 3平

及 維護
S咪 ㄗ ︳ e︳ a七 i。 nShiPs供 應 者 關係
｛5 ︳
e「 Γ 3
﹁6 nfoΓ rnajon secuHtyinddent mana9ernent資 訊安全 事 故 管理
︳ 3
｛7 n竹 rna小 onSecuΓ ityaSPectSo了
︳ buS:neSScon“ Πuitymanagement 0
「
營運 持 續 管理之 資訊 安全層 面
﹁8 Comp︳ iance遵 循 性 6﹏
十
8.︴ .2,﹁ 4.2.9&η 8.η .ㄥ 僅增加 其它 資訊
#0 2 了
 SO刀 EC270﹁ 8:20η 9標 準簡介
︳ β出 β出
十

— —

銹籓銹鈔 鑼 鐒籬♁鑯 ︴
巨CJ下 Cη /SC27
█PreParedby︳ SO′ ︳

nforrnaHontechno︳ ogy— — Secu〢 ty

▓下iHe一 ︳
techniques— —CodeO了 prac在 ︳
ce了 or protecㄤ :onO了

銹難蠮 〝
peFsona｜ ︳
y;denti戈 ab︳ e:nfΘ rrⅥ at:On(P｜ ｜
)｜ r︳ pub比 c

螉黫姊
oudsact｜ ngasP︳ ︳proceSSors
c︳

籤咑
雲端 運 算 之 公 用 雲擴 增 的 資 訊 安 全控 帝ll措 施

錛鼞鐒姊欺鍰 學磁擺苓塞轟鏻 隘發理好〡 φ螂

▋PurPoseO了 thiS︳ nternat:Ona︳ Standard一 eS七 ab︳ ;Shes
cornrnon︳ yacceptedcontro︳ o°jec七 iVeS,con造 ro;Sand
gu:de︳ ︳nesfOΓ imP︳ ernentin9了 ⅥeaSureS在 o protect
Persona〡 ｜
y︳ den︴ ︳ab︳ e｜ n了or｜ ﹁
f︳ ation(P｜ ｜
)︳ n
accordancew︳ ththeprivacyPrinc︳ p︳ es︳ n︳ SO/︳ EC

鎗擗
ngenv;Fonment.
cc︳ OVdcornpu七 ︳
29﹁ 00了Or在 hepub︳ ｜
◎所 TC︳ C
Modu︳ e3§ ︳
;de23

SO/︳ 巨C270﹁ 8:20η 9目 錄

︳
ForewoΓd前 言 銹籛錛♁ 鑼 鍋雞翰饑 竹

0.｜ ntΓ oduction一 介紹

η.Scope適 用 範 圍
2.NoΓ ma小 VeΓ efeΓ ences引 用標 準
翰黤鍋 ㄍ

3.孔 rmSanddeΠ n比 ionS用 語及 定 義

碎.OVeΓ view布 旡述
錛鑼師

5.㏑ fo「 ma小 onSecu一 typo︳ 心心S資 訊 安 全政 策

瓶“銻黤蝴啷數鑑 寧羅移塞畢錛 拼磴超好士 錐眸

6.OΓ gan︳ 2a小 0n0了 ︳ aHonSecu山 ty資 訊 安全 的 組 織

nfOrr︳ ╮

7.HumanresourceSecuHty人 力 資源安 全
8.AS比 trΥ︳ anagement資 產 管理
9.AcceSScontro︳ 才 子取控 帝｜
可0.CΓ yptogΓ aphy密 碼 學
ηη.Phy由 ca︳ andenⅥ Γ onmenta︳ secu〢 ty實 體與環 境安 全
η2.operajons比 Cu山 ty作 業安 全
盼盯

◎ byTC︳ C
Modu｜ e3S｜ ide2ㄥ
 SO/︳ 巨C270η 8:20﹁ 9目 錄
｜ 躪 鑭 翻 齺 齷

靂瓶 纓
啦

齡簸錀鈔 躤 鈐籛鬱鐖 ︴
╮ 可3.COrΥ ╮rnun怡 a小 0nSSecu山 ty通 訊 安 全
可碎＿SysteΠ ╮acquisit︳ on,deVe︳ oprnentand【 Ⅵaintenance
系 統 獲 取 、發展與 維 護
可5.Supp︳ ier「 e｜ aHonships供 應 商 關係

銹雛蠮 幻
可6.ln了O「 rnajon secu山 tyinddent rΥ ╮ ent資 訊 安全 事 故 管理
anagerΥ ╮
可7.︳ nforma竹 onSecu山 tyaSpec七 SofbuS︳ neSScon小 nuity

銹皺協
management營 運持 續 管理 的資訊 安全 方 面

鈚永
︴8.COr!╮ p︳ iance遵 循 性

鐒麰鎀啷甄鐉 鬱插磯路鑨鑼帥
AnneXA(norrnajve)Pub︳ icc｜ oudP︳ ︳proceSSoreXtendedcontro｜
setforP｜ ︳ protec∥ on公 用雲P︳ ︳處 理者針對
P︳ ︳
保護 的擴增控制措 施

鎗 磁鈐跨外安 鎕蝷
鎀外
◎ by下 C︳ C Modu︳ e3S“ de25

SO27002:20﹁ 3
︳ So270｛ 8:20η 9
︳

條款 名稱 擴增指 引

5 lnfoΓ mauon secu∥ tyPo｜ 心心S資 訊 安全政 策 ▋

6 Organ弦 a小 on onSecuㄇ ty資

of︳ nfo「 ma七 ｜ 訊 安全 之 組 織 ︴

7 HumanresovrceSecu︻ ty人 力 資源安 全 ︴

8 ASSetr了 ﹁anagement資 產 管 理 0
9 Accesscontrol才子取控帝心 3
η0 CΓ yPtography密 碼學 η

PhyS竹 a︳ andenⅥ ronmentalsecuHty實 體及環境安全 η

︴2 ○Pem∥ ons security運 作安全 碎

｛3 y並 監常
Comrnunicat｜ ons secu∥ 七 瓶安 全 ︴

︴碎 Systemacqu:s比 i。 n,deve︳ op「 nentandma:ntenance系 統獲 取 、開發 及 維護 0

η5 SuPpⅢ eΓ re︳ a甘 onShips 作守9憊 者 關係 0
︴6 nfoΓ mation secu山 ty:nddent management資 訊安全 事 故 管理
︳ 2
｛7 n掐 rma伍 0nSeCuHtyaspects ofbuSineSsconHnuitymanagement
︳ 0
營 運持 續 管理 之 資訊 安全層 面
可8 c。 mu｜ ance遵 循性 η

◎
可6
M︹ ┤ I
 SO270η 8:20η 9依 ︳
︳ SO29可 00之 pr｜ VacypΓ inc︳ es新 增 控 制 措 施
p︳

條款 名稱 新增控 制措 施

A.2 Consentandchoice〡 司斥
款及 選擇 η

A.3 圴適 法 〕
PuΓ pose︳ egitimacyandspecification 目｜ l生 及 規 定 2
A.ㄥ Co｜ ︳
ec市 on︳ im比 a小 on蒐 集 限制 0
A.5 Datamin︳ miZaHOn資 料極 小化 η

Use,reten小 0nandd心 doSu「 引 而 ㏄ajon 利 用 、持 有與揭 露 限 2

A.6
制
A.7 Accuracyandqua︳ ity準 確 性及 品 質 0
A.8 o昨 nneSS,tΓ ansparencyandnotice↗ 公〢開 、透 明及 告 知 ︴

A.9 c︳ pationandaccess個 人 參 與 及 存 取
ndividua︳ pa㏄ ︳
︳ 0
A.η 0 Accounta研 ︳
｜
ty可 歸責性 3
A.η auon secuHty資 訊 安全
｛ ㏑foΓ ╮rΥ η3

A.η 2 Phvacycomp︳ 治nce隱 私遵循 2

25
◎” 下C︳ C Modu︳ e3s︳ ide27

SO/︳ 巨C29﹁ 00標 準 簡介

｜ ′蟲 β
中

— —

▊Preparedby︳ SO/︳ 巨CJ下 Cη /SC27 鐒

籛
鑰
姼
鑼
▅TiHe一 ｜
n了 orrnaHon techno︳ ogy—
— Security 鍋
雞
techniques-P山 Vacyfrarnework隱 私權 框 架 鎀
鑱
齡
黰
銹
■Firstedition pub︳ iShed● nthe20﹁ 可一
可2一 η5 銹
籛

國家標 準 CNS29﹁ 00於 民 國 ︴03年 6月 碎日公 布 瓶

坲
黫
鱗

︳ Purposeofthis｜ nternationa︳ Standard一 Providesa 雄

high一 ︳ y
eVe︳ frarneworkfortheprotection ofpersona｜ ︳ 發
擺

㏕enuΠ ab︳ einfOΓ rnaⅡ on(P︳ ︳

苓

,個 人可識別資訊)W比 h:n
盟
轟
:nformaⅡ onandcornmunica山 on techno︳ Ogy(︳ C下 )Sys七 erΥ ╮
S.︳ 七
鐒

is9enera︳ in natureandp︳ aceso「 gani2ationa︳ ,technica︳ , 肆

andpΓ ocedura︳ aspects inanoVera︳ ｜pΓ ivacyfΓ arnework.
;

鬱
翰
帥

◎ by了 C︳ C
Modu︳ e3s“ de28
 SO/︳ 巨C29可 00一 ContentS
｜

銹餮狒姶 嬏 銹黤盼饑 公
FOreWOrd
0.︳ ntroduc甘 0n簡 介
可＿ Sc。 pe適 用範 圍
2.了ermSanddehnMons用 語及 定義

鋪雛鐒 ”
3.Symbo｜ sandabbreviatedterms符 號及 縮 寫
碎. BaS︳ ce｜ erΥ ╮
ents ofthepriVacyfrarnework

钃籬螂
隱私權 框 架 之 基本 元件

兟
5. 了hepΠ vacypmncip︳ eS0了 ︳ 巨C29η 00隱 私權原 貝吋
So′ ︳

A錉
龘銹姆篾餵 擊簼嗧餓鑼帥
AnneXA ndencebe師 een︳ SC)/︳ EC
29可 0 ∫
噁 珥沒落｜
菇R皂C27000concepts

銹 磁雀韹好且 鉿挪
谽外
◎ 盯 下C︳ C Modu︳ e3S︳ ide29

SO/｜ 巨C29η 00一

｜ C︳ ause碎
Basice｜ ements of七 hep“ vacyframeWork隱 私權 框 架 之 基本 元件

銹籛蠮嬐 鑗 銹籛鎗鐱
█下hefo︳ ｜owingcornponents re︳ ateto privacyand
theprocessingofP︳ ︳ (Persona︳ ︳
y︳ dent︳ fiab︳ e

lnforrnaⅡ On個 人可識別資訊)︳ n︳ C下 Systemsand

,鑼
籛鏘 小

rnakeupthepr︳ vacy了rarneworkdescr︳ bed︳ nth︳ s

錛籬螂

nte「 nat︳ ona︳ Standard:

︳
羝

一 actorsand「 o︳ eS;行 為者 及 角 色
#蠮
雞 辮螂欽鍰 鞏希

一 inte「 actions;互 動
一 recogn︳ z︳ ngP︳ ︳ 我P︳ ︳
;夢 洋當
確離鞋讓鱗 騙姦啥沖各 鎗拂

一 Pr︳ vacysafeguard:ngrequ︳ rernents;

U 隱私保 全 要 求 事項
一 p山 Vacypo︳ ic心 S;and隱 私權 政 策
鎗外

一 uivacycontro︳ s.隱 私韹生帝●

措施
◎ by下 C︳ C M° du︳ e3S｜ ide30
 SO/︳ 巨C29﹁ 00一
︳ C︳ ause5 十

β出 r
下hepriVacypr︳ ncip︳ esof︳ SO/︳ EC29η 00 —
—

銹讓鑰熪 鑼 銹黮姼鎩 溶
/

項次 名稱

η COnSen七 andchoice同 意及 選擇 一
2 PurP㏄ e︳ egㄦ imacyandsPeciⅡ cajon目 的 適 法 性 及 規 定

齺黤鐪 妳
3 ecHon︳ im㏄ a小 0n蒐 集 限制
Co｜ ︳

鋪黤妳
碎 Datamin㏑ 眨auon資 料極小化

敘︴
Use,retenuonanddisdoSur田 im比 a小 0n利 用 、持 有與揭 露 限

鋒鏵齡蚱爽覣 擊羅路娥碫卹
5
制
6 Accuracyandqua︳ ity準 確性 及 品 質
7 o昨 nneSS,t「ansparencyandno七 ice/ㄙㄟ子
琄 、透 明及 告知
8 ndiVidua︳ pa㏄ icipationandacceSs個 人 參 與 及 存 取
｜

鑰 貓器路終求 盼蟀
9 Accounta研 ︳
ity可 歸責性
︹0 ︳
nformauon secu山 ty資 訊 安全
P一 Vacycomu治 nce隱 私遵循

鉹外
◎ by下 C︳ C
Modu｜ e3S︳ ︳
de3﹁

︳
SO/︳ 巨C29﹁ 00一 AnnexA(informative) 中

CorΓ espondencebehⅣ een︳ SO/｜ EC29η 00concePtsand︳ S○ˊ

︳EC27000concepts r
r〦“
— —

鏺
璐

t球 #〡 色來
一一— 外交¢
｛革→
色lSφ ′
!。 牟
6一?。 ｜
﹍ ↑﹉ ●﹏→
φ● 兮出︳
食安¢!#° 工
〡三$2了 §母
β●¢ 千
李 守
扮在 :｜

｜S° 才
lㄥ ¢′
路竹●$↓o沁 心σ
$女 o ●心亡
由守●心好心ㄜH小 甘﹏工
︴︽〡
甘●︳
｜ 兮心$心 心持¢∞︳
心
=6:才 一
#站 昨 呼 令盜堆 竹 舒 一 :球 王
眾攤 h● :¢ 色r

#乎
— 淇
一﹏竹 ↑子F革 岑
?︴
:φ

Fr汁 a→ y一 H玄 ¢
aC無 h君 °
︴ n︴蔑出o十 ;6兮爸牡r比 y:無 ●
就李n之

γ●q↑ 受
Pi;V← ︳ 才¢｜ —
e● 外守
坤r
一 —
P一 打出時 俄念好 R子 故
一
kⅥ ﹏
叩色兮 ︴
!卸
ㄚ
●呼 #旅 琦﹏再
g¢ m年 球 :嵙 食 φ兮﹏
。
螂 推ψ
﹏押︳ 啦→
晦於出 姊竹 ●啦〡
ψ碑 寸
。 坤中
一
一
塞 轟 齡 描發 娌 好

一
一
)
師
盼外 :♁

◎ byTC︳ C
de32
Modu︳ e3s︳ ︳
 S0用 巨C29可 3碎 :20可 了標 準 簡 介
︳ 紀

畫乩嶭
霪
再

銬簽 鈐銬 嫋 彿籛 妽鍛 休
︵ ︳
s° 29η 3再 是 全 球 首個 適 用於 一毇 鱋纖 的隱私衝 華評 鑑 的 國際標準

█ P「 eparedby︳ SO/︳ ECJ下 Cη /SC27

一
下iHe一 a∥ ontechno｜ o9y一
lnforr了╮ secu山 tytechniques一 Guide｜ ines

鈶籛聯 何
VacyimpactasseSSment
for pΓ ︳

銬籩 螂
鈜扒
▇ Stage:60.60

銵籛 銹抑輓黐 移航餞移餓熪魽
豳 加 拿 大 的 P︳ A為 重要參 考 文獻 之 一 :

了eaSu╮◤BOardo了 CanadaSecΓ etariatDirectiveonPΓ ivacy

鎗 瓶鼙殄跡 食 鉿榔
「
rnpactAsseSSrnents
｜
抽故β:〃 蛾 V$館 .七 bS$破 .qc.c緻 ′p♁ 〡
′〡nc。 雄$紗 子c燄 °Ⅵ$?｜ d可 ︴830$

鎀帥
一

◎ by 下C︳ C
SouΓce:︳ SO
Modu︳ e3s︳ ide33

Gu︳ danceon七 heprocess了 orconduct︳ ngaP︳ A-2可 膷 ﹏

S七 epS關 於 進行 P︳ A過 程 之指 了︳-2一 個 步 驟 籚氖驫 颻

鐒籛 眑鈔 鑼 瑚籛 銹鐊 小
竮篛 佛 ㄍ
銹籛 師
兟跡佛籛 佛螂疑採 寧蓩 移戰略卿
蠮何聯
器鬱珅 子 鬱拂
鬱竹

◎ by下 C｜ C
Source:︳ SO29η 3s︳ de3玲
︳
 Gu︳ danceon七heProcessforconduc市 ngaP︳ A-2η
ePS關 於 進行 PlA過 程 之站 引 -2η 個 步 驟
↓

S七 β監 β
— —

銹羻 錐谽 皤 鐱難 站鐖 〝
A鑈
籛 銹轉欽顏 幹鎡鑼帑盟鑼姆鑰靆 鑰 節
銹籛 仍
籤
鑰 城潑跨游 子 妢妳
鉹外
◎ by下 C︳ C
SoHrce:︳ SO29η 3S｜ :de35

S。 用EC29η 3#:2● 可了標 準 簡 介

︳ β&了β
中

— —

鐒籛 銵翰 擺 眑黫 唅鐖 砵

心S令 r
娃♁ll@出 ㄗ工
f :Co上
:密 t生 P玉 王 P┤∥好d§
媰籮 鑈 ㄨ

P且 !
§的好
各抽坤
鍋籲 哪

令︴
了
籤

PI任
S兮 Pu故 £
USe
*呦

C¢ 無§廿強e Υ!ε 尹Γ
oε e$含
羷 鏘螂欺餵 夥羅 器餓轟 鍋 械雀超行— φ抑

井︴
女

℉雄 n§ 掐r ℉假耳谷
來了 笭嘟 胡陋了 P干 1
只兮怜 i碑

｝
引時
$兮 ︴ Dda盜 D兮土
館e
盼外

Pl︳ 處 理 的工作 流在 ｛
w。 rkf︳ °w〕 範例
◎ byTC︳ C SoU「 ce:︳ S° 29η 3#
Modu｜ e3S︳ ide36
 S0用 巨C29︴ 3再 :20可 了標 準 簡 介
︳

鐒簼 錐鬱 躤 鏘籩 軂鐖 小
七亡Ve君 ♁t
:!女 p全 Ct

睡!芭 uㄤ h° Υ比ed
出心C心 甘§
路←如
呼 再6#
&X吝 芷 抽
=放

鈐錢協 ︴
錼攤 螂
各.吝 ig↓ 主
出εa比 t

埶ㄍ銹攤 鎗螂斃擺 孝筋皤路聚舞 鏘 貓華跨掛 玄 鉿姊

p於 eg每 年｛
︳g
︳
本泓岱u心 HoFIㄠ od φ °u七
盛.L主 涂在
王各合d 、
心︴°d意 色伍 七掐乩
:七 l︴

又丘a｜ lε 心寧β
°ξPll 、一
¢r6ohgonㄝ

1.N§ 薛王
舒hle

Li妳 〕
王ikood
Ne呂 妳舒bl兮 〞︴Li通 主
竹爸 爸(S炫 $主 且兮詠ht 在.阿 且k工 故〝m

姼外
1．

p∥ vacyHsk map)的 朮例
應私風險地田｛
◎ by下 C︳ C Source:︳ S。 29▅ 3ㄥ Modu︳ e3S︳ ide37

SO用 EC2770η 標 準 簡介
︳ 靂颻 露
中

— —

聯籛 聯餩 蹓 鐒雞 銹鑰 坤
S。 用EC2了 了0可 國際標 準
︳
︳nforrnat︳ on七echno｜ ogy＿ —SecuritytechniqueS— —巨XtenSion to
So/｜ 巨C2700可 and︳ SO/︳ EC27002for pHVacyin了 orrl╮ auon
｜
managemen七 一Requiremen七 Sandguide︳ ines
鐑難 鍋 妳

ˊ︳ SO/︳ EC27552心 aP山 Vacy｜ nforrna甘 0nManagementSystem

鎗籛 師

ⅥS)︳ ntroducedbyFrenchDPA(CN︳ ∟)=WP29=EDPB

(P︳ ｜

(GDPR)
範才拂黮 銬螂數謠 筆功

SO/︳ 巨C2了 552:Sc乩 anged七 o｜ SO2了 了0在 0n20在 9-0了 一

ˊ︳ ｛9

ethingoΓ gan︳ 2ationSa︳ readyknowhoWtodo

ˊBasedon sorΥ ╮
鋒器鞋轟鑰 鞍務啥聊 善 幼師

口 PlMSiSanewr【 ╮ anagernent systerne油 ending2700可

W比 hpHVacyrequirements(new)aswe︳ ︳ aScontro｜ s(︳ SO
270可 8十 )
口Cert︳ fication s七 andard,︳ :ke︳ SO2700可 ,WiththeSarne
ecosySteΠ╮ofaudito╮ accreditationbodiesandceΓ 七 :ficates
皊帥

◎ 町 了C︳ C Modu︳ e3s︳ ide38

 SO2770︴
︳ 目錄 中

r戰 β
— —

鑰籛 鑰幼 鑼 餓驤 劮錢 ‵
C︳ ause5:擴 充｜SO2了 00︴ 的要求
C︳ ause6:擴 充︳SO27002的 實作指 引
Clause7:新 增 P︳ Ⅱ
llS中 P︳ ︳
控制者 的實作指 引
C︳ au比 8:新 增 P︳ Ⅱ
llS中 Pl｜ 處 理者 的實作指 引

鋊雞鍋 中
AnneXA(強 制性 ):日 MS的 控制 目標與控制措施 (P︳ ︳控制者 )
AnneXB(強 制性):日 MS的 控制 目標與控制措施 (P︳ ︳處理 者

錀籛 林
AnneXC(參 考性):與 EUGDPR控 制的對照表

餓水鑰雞 銹碑欺餒 學跡擺學鐵確帥

AnneXD(參 考性):與 ︳ SO29可 00的 對 照
AnnexE(參 考 性 ):與 ︳
SO270可 8及 ︳SO29η 目 的對 照
AnnexF(參 考 性 ):專 用名詞及 替代 名詞
AnnexG(參 考性):如 何將︳ SO2770η 應用於︳ SO2700可 與

鑰 城發超╭
︳SO27002
SMS十 Pl氏llS)即 已 包含 ︳
SO2了 了0可 SO2700︴ SMS),

#妢
驗證 ︳ (︳

晦
(︳

銹外
並 包含個 資保護(P︳ MS).｜ n在 心gΓ a出 onbyDe出 gn!
◎ by了 C︳ C
odu!e3s︳ ide39
山Π

Content of︳ SO2770η

ˊ︳
SO2了 了0﹁ 對︳
SO2了 00η (要 求)的 擴 充 :6項 鐋霧鐪翰 鑗 錛黫 劬饑 帝

ˊ︳
SO27了 0﹁ 對 ︳
SO2了 002(實 作指引/其 它資軸 的 擴 充 :32項
ˊ︳
SO2了 70﹁ 的新增P刪 S實 作指引與控制措施(要 求)
媰鑼 鑰 ︿

▅P︳ ︳
控制者 :3｛ 項 SO2770η 附錄A) (︳

▓P︳ ｜
處理者 :η 8項 SO2770η 附錄 B)
鑈籬 師

(︳
鏃“鏘灘 蝴螂欺餵 罕斑

SO27了 0可
驗證｜ (︳ SMS+P朋 S)即 已 包含
SO2700可 SMS),並 包含個 資保護(P朋 S).
︳ (︳

ˊ︳SO2700仇 扛文(C︳ ause碎 〃︴

鍛移奪轟 齺 兢器玲黔

0)
ˊ｜SO2700︴ 附 錄 A
ˊ︳ So2了 00〡 (要 求)的 擴 充 :6項
SO2了 了0︴ 幹︳
ˊ︳
S0坌 了了0︴ 的新增P湖 S實 作指引與控制措施(要 求>
■日︳
:妙

控希者 :3｛ 項 SO2了 70︴ 附錄A)

l｜
(︳
碑
♁外

▋日︳處理者 :η 8項 SO27了 0︴ 附錄 B)
(︳

◎ byTC︳ C
Modu︳ e3s︳ ide替 0
 SO伍 ●0可
︳ A︳ MS簡 介 中

靂舐 靂
— —

銹齉鎀鎀 鑴 鎗雛鈔鐖
0.︳ n七 Oducjon簡 介
「
﹁.Scope適 用範 圍
2＿Normat;Vere怡 ences引 用標 準
「
3.下 errnSandde∥ n山 on用 語及 定義
P︳ an一 DO一 Check

A蠮
heΘ Fgan:2a報 on組 織 全 景

皺蠮 ”
雄βG♁ n七 eX在 o了 七
eadersh〡 p領 導作 為

銹難姊
5︳ ∟ 紵
一

瓶ㄨ
6.P︳ ann;ng力 私 畫寸

銹攤鎀師攤韻 鉹磁館雀端確卹
了.S印 ” 支援 r七

8一 0紂 e絡牧 On運 作 銓
9.P研拓rrnance° Va︳ uaho∩ 績 效 評 估 C
η0.︳ rnProVemen七 改 進 月

銹 跡璱路黔宮 鎀螂
An俄 鋅X茂 φnformauve)A/lSSforA｜ Contro︳ S
A俄 m會 X8(︳ nforr!╮ atiVe)Poss︳ b︳ eA︳ 一re︳ atedorganizaⅡ ona︳

鬱妳
oㄐ ect︳ veswhen rnanaging〢 sks
◎ by下 C︳ C M° du｜ e3SⅢ deㄥ ﹁

)
S。 再2● ●｛ A︳ MSAnne〤
︳ A
一
ⅢSS竹 ΓA︳ Con七 Γ
o︳ S 銹鍵銹砏 蠮 齡籛鉿鑰

C｜ ause COn七
「
O︳ DOrna㏑

A.2 PO︳ icieSfOrA︳

$坳
雞銹 ︿

A.3 ︳
nterna｜ o「gan︳ zation
鑰籮姊

A.猝 Resou「cesforA︳
籤本

A.5 Assessingirnpacts ofA︳ SystemS

鐑籮鑰榔絮餒 寧轟硌毯芻鑱 瞞器啥押番 ♁坤

A.6 A︳ systeⅣ╮deve︳ oprnent︳ ifecyc︳ e

A.7 DataforA︳ systerns
A.8 nforrnat︳ OnfOruserSofA︳ systems
｜
A.9 UseofA︳ systemS
A.﹁ 0 Th︳ dparty「 e︳ ationships
「
A口 ｛︴ nfO「 rna七 ionSecur比 y
︳
鬱打

了C:C整 理
◎ bytC︳ C deㄔ2
Modu︳ e3S｜ ︳
 SO42● ●可 A︳ MSAnn● 〤 B
︳

錛讓鑰紗 鑼 鋊籛φ鏺 ︴
re︳ atedorganizat:ona︳ oㄐ ectiveswhen了 nanag︳ ng
PoSSib︳ eA︳ ．
risks
C︳ ause or9ani2a小 ona︳ oㄐ echVes

B.2 ness

鎙雝協 心
Fa︳
「
B.3 Secu一 寸

銹黫帝
B.碎 Safe︶

戲‵錐蘿銹坤紫餵 Ψ露苓簽磚輕
B巧 Privacy
B.6 Robustness
B.7 TransparencyandeXp︳ ainabi︳ ity
B.8 Accountabi｜ ity

B.9 AVai｜ abi︳ ity

$≡ 彿
B.﹁ 0 Maintainabi︳ i打

霪╓法 鎗郎
B.可 η Avai︳ abi︳ ityandqua︳ i︶ oftrainingdata

φ╟
B.η 2 A︳ eXpe斑 iSe

◎ byTC︳ C TC｜ C整 理
de可 3
Modu︳ e3S︳ ︳

AI風 險 管理 與管理 系統
ˊ A︳ 風險管理 SO2389碎 Λ,基 於 ︳
S0田 000的 A︳ 增項風險管理標 準＿
:︳ 銹麰錐妙 鑼 姆踐盼餓 ︴
ˊ Al管 理 系統 S0碎 200η 化基於MSS(管 理 系統標準)的 A︳ 管理 系統
:︳

(A︳ HS)標 準 .

▼A︳ MS §
兮§6
SkmaΠ ag● mentPΓ ocess:
姆黰躌 ︿

R︳

S。
︳ 3▋ 00● 用So2389再
Λ
銹籬螂

︳
MS§ 6§ 8
瓶“坲飄 昲姊毀餵

MS§ 了
S§ 9
孽 羅 夥瑤疊 搦 站華冷野 吝 φ 朽

MS§ 6§ 8 ex A ′

╯
代
A｜ llS§ 7
盼阿

◎ by下 C︳ C
Modu︳ e3S!︳ de冷 ㄔ
 Cy比 rSecuHtyMatuⅡ tyMo由 ︳
Cer山 何caHon(CMMC)ProgΓ am
中

釐颻 露
— —

鋪簸銹谽 鐖 鎀黮♁鐖 公
DoDin比 ;a小 VetOVe一 fydefensecon七 ractors’ cybersecu︻ 七
y
p「 epa「 ednessande帝 ectiVeneSs.
Program七 0S七andardiZecybersecuri七 yi了 np｜ er【 ╮
entationacross the
D｜ B.

齡籛鋒 師
Providesassurancetha七 七 heD︳ Bcan protec七 on
SenSit︳ ve︳ nforrna七 ︳
Wi七 hinacomp心 XsupP︳ ychain查

銹黤妳
餓竹鏺皺嗡抪欺鎖 鞏羅琌強選撥 林箜理η— 鎗坤
CⅣⅣ ICPro6乏 mKh㎞ f CMMCModel20 DoD㏑ 咖
心l㏑cludeaC、 mE
All new● on仁aCtS” Ⅳ
released ㏎ cs
冷quiβ ment

CMMCMode1l0 D° DR以lemak㏒ &

released P怕 sed㏑ p比 如eⅡ伍thn

盼抔
◎ by下 C︳ C
Modu︳ e3S︳ ︳
de碎 5

Sens︳ t:ve｜ nformat︳ on

銹籛銹妙 鑴 銹籛谽鑱 一
Sens︳ t:Ve︳ nfoΓ ︳
Υ︳at:on:
｜n…orrΥ ╮ationWherethe︳ osS,misuse,orunauthoΓ izedacceSsoF
nterest or七 he
rnod｜ ficat｜ oncou︳ dadverse｜ ya帝 ectthenationa︳ ︳
conductoffedera︳ prograrns,or七 hepr:vacytowhichindiV:dua｜ s
areent比 ︳ edunder5U.S.C.Sect︳ on552a(thePrivacyAct).
鐑鏺鑰 再
銹籮螂
瓶︴鋒雞錀姊欽磥 罕霉聚簽舞 銹 出發輊π子 鈐娣

S0tlrce:CMMCG1Oss研 翎dACr叫 Ⅲ R卹 STSP800巧 3Rev碎

¢外

(adaPted))

◎ by下 C︳ C
de46
Modu︳ e3s︳ ︳
 FC︳ VS▓ CU︳
靂颻 彈甈
—
— —

皒邏彿鎊 蜷 彿灘熪鑨 林
●

Non-pub｜ iccontract infor◤ nation. EXamp︳ es:

CⅡ llMC∟ eVe︳ s︴ .
De｜ ︳
Ve呼 dates.

De兩 nedbyFARC︳ ause52.204-2︴ 一 Schedu︳ eS.

鎀籛鐒 ㏑
.

鏘撥郴
餓
●
CU︳

A銹
籲鎀阿幾餵 罕露輍釜舉 瞈 城發霉╭安 鎗郎
Sensitivecatego╮ √ofdatathatdea︳swith p｜ eS:
ExarΥ ╮
designS,pe祥 0rrnance,r了 ｜
anVfacturingor / B︳
′ nts/schemat心 S.
uep「 ｜
othe「 oretechnica︳
r﹁ detai︳ sofcoVered /
︴ lVateΓ assessments.
systerns. 、
γ Hea比 hin了o「 maHon.
CM〝 /lC∟ eVe︳ s2and3. / PeΓ Sonne｜ eco「 ds.
︳
「
DefinedbyExecutiveOΓ deΓ η3556, Basec︳ vi︳ en9ineer｜ ngmaps.
32CFRPa比 2002,andDoD｜ nstruction 一
5200.碎 8.

鎀師
◎ by下 C︳ C
╮
田odu︳ e3s︳ ide今 了

eW
CMMC2＿ 00veⅣ ︳ 中

β瓶 舜
— —

︳ΠⅢoVember2● 2▊ ,七 heDePaHment o了 De了enSeannounced 齡籛齺鬱

CⅢ ⅢC2▓ 0

｜心 !l臼 .︳

妳6在 ε
〔 A$e$Π εn七

妢
阿
◎ by下 C︳ C
Modu︳ e3s︳ ;de冷 8
 下SEC/CC/︳ So﹁ 5碎 08
︳ 靂颻 靈
于

— —

瞈黰 鑇鈔 辮 鑰雞 鉿鐖 本
on rnode︳ for︳ ┐ productsand
▊ deScr︳ beSeva︳ ua七 ︳
「
systernS︳ nregardto secur:tycharacter︳ sticS

▓ d︳ rectedat rnanufacturers of︳ ┐ cornPonentsand

銹籛 錛 扑
「
SySter!╮ sWhop︳ anuSage︳ nsecu山 tysenS比 iVe

塕籛 拂
areas

瓶你鐪鑼 銹師爽餵 鋒跡擺犖襞黐銵 銥雀題﹃密 鎊坤

▄ asS︳ gneXarnination partSto secur︳ typrof:︳ eSto
ensurecompa「ab︳ ︳ ︳
ty

▓ ∟eve︳ so了 七叫 StWo㏄ hineSS

CC EALη EAL2 EAL3 巨AL碎 EAL5 巨AL6 巨AL7

下S巨 C
︳ Eη 巨2 E3 E碎 E5 E6

劬打
◎ byTC︳ C Modu︳ e3s︳ ideㄔ 9

β甀r餒
—
—
—

鐒籮銹鎀 囓 錫籩 妢鐱

°hS?
AnyqUes七 ︳
h銹
黮銹 ∞
錐黮 妳
瓶 $縐
簸 鐖螂欺韜 牟蟊 彈盤轟鑰 磁勞憩好吝 谽路

下hankyou ●
Merc︳
皊打

◎ by了C︳ C de50
Modu︳ e3s︳ ︳
 ﹏

靂舐纋
— —

塕籛狒艙 鐋 塕黫紛鐖 必
╮

錛籛銹 ︴
Modu︳ e一 碎

鐒繳螂
籤岱鑰簸鏺坤籃黐 翠妳
管理 系統稽核

r工
妙郎
幼帥 路硌盬鐒鏺 航空琺
◎ by下 C｜ C Modu︳ e冷 S“ de｛

)
大綱
﹏

β我rβ
— —

ˊ稽核 要 素 錢 黮 錐♁ 鑼 鏺 簸 盼 鑯 銹 黫 塕 鑰 雞 姊

ˊ稽核原 則
、

ˊ 管理 稽 核 方 案
ˊ 稽 核 員之 適任 性 與評 估
瓶 塕 籛 筠 巾竑♁輛 寧 羅 蹈堪 轟 鐒 描華。野 工 幼 師
一

ˊ 管理 系統驗 證 機 構 認證 規 範

V
♁抔

◎ byTC︳ C 和▋du｜ e碎 S“ de2

。
 ﹏

′出 β
— —

︴
ˊ
鎗黦艙鑞 鑼 鑰鏺紼¢鑰黤 螂
籤∞鋒簸鑈姊激韻 朁露苓餒路妒
錀磁壁超ㄏ可 盼娣
盼阿
◎ by了 C︳ C
Modu︳ eㄥ s︳ de3
︳
\

稽核 的定 義 ㄏ找 π
﹏

DeⅡ n︳ Hon一 Aud比 — —

彿籛縐♁ 鑴 鑰讓♁餓 一
稽核 為

有 系統 、獨 立及 文 件 化
systemat︳ c,independenta nd
documen七 edp「ocess
齡黮眑 外
躌籦坤
甐、

獲 取得 客觀 證 據
鑰籛銵一鐑鍰 舉爾路簽器鑰 插再冷野任 紛一

for obtaining
VeeV︳ dence
o切 ec七 ︳

並客觀評估 以決定
稽核準則滿足程度的過程
ande︶ a︳ uatingit o●ject︳ ve︳ yto
deter了 ninetheextent toWhich
theauditcriteΓ iaa「 efu︳ ︳
fi︳ ed
◇帥

資料來源 :︳ Soη 90可 ｛:20η 8,CNS︴ 6809:2020

◎” 了C︳ C
Modu︳ e6§ 山de碎
 稽 核 方 案/稽 核 計 畫
Aud︳ tPrograrnr!╮e/Audit p︳ an

齡雞攠鎀 磻 塕黫谽鎞 妳
╮ ˊ檔 核 方 案(aud比 Programme〕
一針對特 定 時程 內並具有特 定 目的 ,所 規
劃一個 或 多個稽核 之組合安排 。
arrangementsforaSetofoneoΓ more

鎀攤鐪 球
au山 tSplannog絲
雄#′ 單

眑雞螂
frameanddir c而 c

颻外
purpose

錀黫鏺坤筋路嗨寧筋熪學餵擺帥
ˊ 棺 核 計 畫｛
aud比 p︳ an〕

一稽 核 的 活 動 安排 與 描 述 。

鋒 就學翌好工 幼姊
descr︳ pt︳ on oftheact｜ vitieSand
aΓ rangements了 oranaudit

鍛帥
◎ by了C︳ C 資料 來源 :︳ So︴ 90η 可之0η 8,CNS﹁ 碎809:2020 de5
Modu︳ e4s︳ ︳

稽 核 準則
Auditcriter︳ a

鑰籩 鏺鎀 鑼 錀籩谽钀 一
ˊ 用 以 與 客觀 證 據 作 比 對 的參考 基 準 之 η組 要 求 事 項
setofrequ︳ rernentsusedaSarefe「enceagainSt
Whichoㄐ ec山 VeeV︳ dence心 cornpared
鎀黤 鐒 小

一 備 考 可.若 稽核 準則 (包 括法令或法規)要 求 ,則 稽
“
或 娜 之 。
鑰麰 妳

ftheaudi七 criteΓ :a are eg a︳ ◆

︳ nc︳ ud㏑ gStatutoryor
籤再

Γ
egu︳ ato呼 )requirer!╮ ents,theW0Γ ds“ cor!╮ p︳ :ance” oΓ
銵籩 鐒抑欺鍰 聲 路閣簽璣 銹 瓶夥跨野 君 鎗坤

“ ’
non一 comp︳ iance’ a「 eo及enuSed:nanauditfinding

/ζ 堪望 士 要 求可 以 色括 政 策 、程 序 、工 作 指 導 、法律 要 求事
項 、合 約 義務 等 。
Requirements may:nc︳ udepo︳ :c︳ es,pΓ ocedures,wo「 k
equ:rernen七 S,con七 ractua︳ ob︳ ︳
nstructions,︳ ega︳ Γ
︳ gations,
etc.
♁師

◎ by下C︳ C 資料 來源 :︳ So｛ 90︴ ﹁:20︴ 8,CNS︴ 碎809:2020 de6

M° du︳ e6s︳ ︳
 客觀 證 據 β我 r
中

oㄐ ect︳ veevidence — —

攤籛 鑰紛 鑴 躌雞 鋒鑯 ︴
ˊ 支 持 某 事 物 存 在 或 真 實 性 之 資料
datasuPportingtheeX︳ stenceorver︳ tyof
something
口客觀證據可經由觀 察 、量測 、試驗 或其它方式而取

鑰鏺 鏺 法
ㄔ箏γ

齡羷 坤
鏃小
＿
屭瘴V騩現謊鸀 平通常色緻稽 核
準

鏺錘 鐱抪玫鎖 寧崩
則相 關且 可查證之紀錄 、事實陳述與其它資訊 。
︳
出:避毛 :撒,縱丮::想 苓早 基準3躍
y geneΓ a︳

播苓錶選鑈 磁壁蛪︴‘ 劬姊
ationWhi● haΓeΓe︳ eVantto
inforrΥ ╮ teriaand
theaud︳ tcΓ ︳
Veri了 iab︳ e.

一 一

谽外
◎ byTC︳ C 資料來源 :︳ SO︴ 90η η:20｛ 8,CNS可 碎809:2020 Modu︳ e6s︳ ide7

稽核 證 據 π也.β
﹏

Aud︳ teV｜ dence — —

瞈驪鋪妙 鑼 鏺黫盼鏺 一
ˊ 與 稽 核 準 則相 關且 可 查證 之 紀 錄 ,事 實 陳
述 或 其 它 資訊 。
recoΓ ds,statements offact or otheΓ
縐黮鐒 外

inforr了 lation,wh︳ chaΓere︳ eVantto the

錛麗師

aud︳ tcr︳ teriaandverifiab︳ e

娥︴鏺籛幼︻珫命聖窯 將幼錶舞 鍋 城鋒冷許仁 玅坤
φ帥

◎ by了 C︳ C 資料來源 :︳ So﹁ 90η η:20可 8,CNS一 碎809:2020 ide8

Modu︳ eㄔ §︳
 稽核發現
Auditfind:ngs

彿黮 塕盼 鑴 鎀羷繚鑯 鏺 雛 錐
∩ ˊ 將 所 收 集之 稽 核 證 據 對 照稽 核 準則 之 評
估結果
ectedaud｜ tevidence
theeVa︳ uat︳ on oftheco︳ ︳
resu︳ ts o了
againstauditcr︳ teria
一 備考 ﹁.稽 核發現指 出符合或不符合 。

$鑰
攤螂
Aud比 兩ndingSindicateconforrΥ ︳yor nonconfoΓ rnity.
i七

皺各
一 備考2.稽 核發現可引導鑑 別風險,改 進機 會或記錄 良好

塕籦 銹窩 崖沖譭 攝犖鍰舉 塕 磁舞 萍 手 幼柄
實踐 。
nofrisks,oppor七 unities
Audit了 indingscan︳ eadto theidentifica七 i°

forimproVement oΓ recordinggoodpractices.

備考3.若 稽核準則是法 法 )要 求 ,

則稽核發 現 中經 常使用
ftheauditcriteriaaΓ ese︳ ectedfrornStatutoΨ
︳ eq ments or
「
regu︳ atoΓ yrequirements,theaud比 findingis te「 rnedcomp︳ ianceor
non一 comp︳ iance.

幼外
◎ byTC︳ C 資料 來源 :｜ SO︴ 90︴ 可:20︴ 8,CNS可 猝809:2020 Modu︳ eㄔ S∥ de9

稽 核 結論
Aud︳ tconc︳ us:On

鏺籛 鋒鬱 鑗 鑰籧鐒鑰 ︴

ˊ 由稽核小組考 量稽核 目標與所有稽核發

現後 ,所 提 出之稽核 結 果 。
Outcomeofanaudit,afterconSideration
鎀灘 齡 外

oftheaud:to° jectivesanda︳ ︳
audit
塕籦 撫
巍打

findings
錐繳錀師欺鍰 寧簼 夥淼發 鑰 筋雀蛪╓莒 紛啷

U
鎗粹

◎ by了 C︳ C 資料 來源 :︳ SO︴ 90｛ ｛:20︴ 8,CNS︴ 碎809:2020 Modu︳ e6s︳ Ⅱe﹁ °

 公正 性 impa山 刉λ
y

攤纖鑰紛 鑴 鑰讖錼鐑 趴
存在客觀性
Presenceofo切 ect︳ v:ty
備註 可 :

鎀黤 鍋
一客親性(O切 ecu切 打)意 謂著利益衝突(con刊 ic七 So了
interes七 )並 不存在或 已予以解決 ,因 此不會對驗證機構

$蹸
灘垹
之後續活動產生不利影響 。

鏚小齡黫鏺聊故鎖 路磁繙嗧箠雄鑰 球壆理一百 妢林

備註 2:
一 其 他 有助 益於 表 達 公 正 性 要 素 之 名 詞 有 :獨 立 性
(independence)、 免於利益衝突(了 reedornfrorncon刊 心t
o引 n七 eΓ eSts)、 沒有成見(了 reedom什 ornbias)、 無偏見
acko了 p向 ud︳ ce)、 中立(neutra︳ hy)、 公平(fairness)、
(︳

開放(。 pen一 rn︳ ndedness)、 不偏不倚(even＿

handedness)、 超然(由 tachrnent)、 平衡(比 ︳ ance汁

鈖帥
◎ byTC︳ C
資料 來源 :︳ SO︴ 702仁 ︴:20η 5 M。 du︳ e兮 S︳ ideη ︴
\

稽 核 分類 Aud忙 VpeS
鐕籛鑈妙 皤 鏺籦谽鑈 才

.稽 核 Aud︳ ts
銹靉銹 小
鑈雞妳
巍十

聚焦在 管理 系統 面 聚焦在程序 面 聚焦在產 品 面

媰鍐鐒一故覝 孥竊幾簽盞鐒 描發餵π‘ 谽怖

Management system p「 oceduΓ efocused productfocuSed

focused

評 估 管理 系統 中 審 查特定的程序 守由樣 分析部 份產 品 ,

所有 的條款 與操作 是否符合 ,

以檢核 此產 品 是否符
適 當 以及 有效 合其描述 的特性
♁粹

◎ by
M。 du｜ e碎 S︳ deη 2
︳
 內 部 稽 核 與 外部稽 核 靂允好
籚
#

N下 ERNA∟ /巨 X下 巨RNA∟ Aud︳ tS

︳ — —

鑱簸狒啥 璐 瞈錢鎖鑯 筑
疋 疋

la)第 一方稽核 b｝ 第二 方稽核

展
現
． 內部稽核 ．供應商稽核

錀籛銹 ﹌
． 客戶,上 級單位

據
依
●｝ 第三方稽核

狒黤螂
．驗 證 稽 核

航“
p 包

鑰劉鏺師激黐 路筋瑙犖錶罐姆
︳S° 9● 0｛ ︳So900η
︳So▋ 再00｛ ︳S。 ｛#00｛
︳S。 2了00｛ ︳ 2了 00研 2了 °0了
S。 2了 00▋ ′
EC62留 3-2一 η
︳ EC62留 3-2日
︳
︳S。 ▋90▋ ｛ ︳S。 ｛9。 ｛｛
仙 θ

躋 城器雄野工 妙姊
╭ 莒 兩個 管理 系統合併 驗
證 時 ,例 如 :品 質管理
系統 SO900｛ )及 資訊
(｜

安全管理 系統 So

鎗外
(︳

2700一 )一 起驗證 」
◎ byTC︳ C
《合併稽核｛ 〕》
c° mb:nedaud︳ 七
M。 du︳ e碎 SΠ de﹁ 3

內 部稽 核與 外部稽 核 餫曦▼
露
中

N下 ERNA∟ /EX下 巨RNA∟ Aud社 S

︳ — —

ˊ 內部稽核 有 時被稱為第一 方稽核 (兩 rSt一 銹黮鑈妙 鑼 鑈籛鎗鑰 打

pa㏄ yaud比 S),是 由組織本身 或具代表

者為內部 目的所執行 ,並 可作為組織 的
鐑簸鎀 外

自我符合聲明之基礎 。
ˊ 外部稽核 包含 第二 方(Second一 pa㏄y)稽
鑈籦抑
颻琳

核 以及 第三 方(third一 pa㏄y)稽 核
齡簸協坳跡爸聖崔 播夥錄瑋 鋒 插器玲帥 常谽坤

/第 二方稽核指的是與組織有相 關利益的
單位(如 :供 應商 、客戶 、上級 單位)所
丸行 的稽核 活 動
幸
U ˊ 第三 方(th:rd一 pa比 y)稽 核 為 由一個 獨 立於
客戶與使 用者 之 外的稽 核機 構 進行 的稽
核 ,以 驗證 客戶的管理 系統 為 目的
盼將

◎ by下 C︳ C Moduleㄥ s∥ de︴ 碎

 驗證 稽核
ceΓ tif︳ cationaudit

係管
關的

鋊驊鑰幼 鐖 齡靆谽饑 “
ˊ稽 核 由一個 獨 立於 客戶與依賴驗 證 的
人之 外的稽核機構 進行 ,以 驗證 客戶
理 系統 為 目的
備 註 η 「稽核 」一詞被用於 簡稱第三 方驗證稽核 。
:

彿黮鋪 〝
備 註 2: 驗證稽核 包括初次(CAl、 追查(suⅣ ei︳ ︳
ance,
SA)與 重新驗證稽核 e一 ceλ 而cauonaud比 S,

鐑雞艸
(Γ

RA),也 可包括特別稽核 (speda︳ aud比 Sl。

籤︿銵簸錛娣故鍛 瑤磁路學鉻蓊鏺 描母嗖′仁 谽姊

備 註 3: 驗證稽核通常由提供符合管理 系統標準要求
之驗證機構稽核小組執行 。
備 註 碎 聯 合 稽 核 Uo︳ ntaud比 )為 兩個或兩個以上的稽核
:

稽 核 同一 客 戶 。
備註 5 同時依據兩 個或
以上 嬲 琴女 鞏鞶齒 核 同 一 客戶 。
爭
備 註 6:
騖宿葔望努理菩蟞輩盅 甯 華望輩蕮 廚說 磊羿 二
的 管 系統 ,並 根據 個 以上 的標

紛外
個 單一 一 準
接 受稽 核 。 η
◎ byTC︳ C 資料來源:SO可 702﹁ 一:20︴ 5 deη 5
Modu︳ e6s︳ ︳

錛籦谽鑯 鑼 鏺黤齡沐鑰黫師
餓蹄鑰黫鐱咘欺餵 學就擺路離矮妳
餟 出路玲黔子 鈔妳
紛昨

◎ 打 下C︳ C
Modu︳ eㄔ S︳ ideη 6
 霿核原則 /2) (可

Princip｜ eSOfauditin

鏺籛鐑繚 鑼 錛羷谽鑯
SO﹁ 90η 可
依據︳ 稽核有7項 重要原則
a)正 直 ntegHty):
(｜

專業素養 的基礎 thefounda小 onOfprofeSSiona︳ iSrΥ ╮

b)/ㄙㄟ

A鎙
籛鐒 本
平陳述(FairPresentat︳ on):

齡簸嗨
交
真實 且正 確 地 報 告 之 義矛
力

籤外
heOb︳ iga七 ︳
七 on to repoΓ 七七 yandaccurate︳ y
ru七 hfu︳ ｜

鐖籛鑰聊欺磁 嗧筋舉笒嗧路聊
c)盡 心履行專業關注(Dueprofes山 Ona︳ care):
在稽核 時善用敬 業精神與判斷力
genceandjudgement︳ nauditing
theapp︳ ica七 ion ofdi｜ ︳

錀 筋牽聚彳工 鈔妳
d)保 密性Confiden山 a︳ ity:
資訊 安 全 維護 secuHtyof︳ nformaUon

幼師
資料來 源 :︳ SO︴ 90η ︴:20可 8,CNS︴ 碎809:2020
◎ byTC︳ C Modu︳ eㄔ S︳ de鬥 7
︳

稽核原則(2/2)
PΓ ︳
ncip｜ eSofauditing
鈐羻 鋊♁ 鑴 鏺繳 鈔鑰 打
e)獨 立性 ndependence):
(︳

稽核 公正性與稽核結論客觀性之基礎
thebasisfo「 the︳ rnpa比 ia︳ ityoftheaud比 andoㄐ ec打 ityof
縐纖 筠 兮

theauditconc︳ uSiOnS
銹籛 竹

● 證 據 為 憑 之 方 式 (Evidence＿ 比 SedapPro孔 h):

籤︴

在 有 系統 的過程 中 ,達 成 可信賴 與 可再 現 的稽核 結論 之合

彿麰 拗坤放銘 鱉撬 舉錄邊 鋒 筋移玲許 ︴ 谽師

理方法
the「ationa｜ rnethodforreachingre︳ :ab︳ eandrepΓ oduc:b︳ e
auditconc︳ uSions inasysternaticaudit pΓocesS

g)基 於 風 險 的 方 法 (R心 k一 比 SedaPpro孔 h):

考 量 風 險 與機 會 的稽 核 方 法
anauditapproachthatconsiders r︳ sksandopportunities
♁師

資料來源 :｜ SO︴ 90｛ η:20｛ 8,CNS︴ 碎809:2020

◎ by了 C︳ C ide鬥 8
Modu︳ eㄔ §︳
 中

β蟲 β
— —

鎀籬鍛鎩 鑼 鍋蠿鑈好錛黦 螂
餓“鑱殷鍋轉文餒 寧羅學生舞 錛 磁發理〃音 幼︴
艙盯
◎ by下 C︳ C
Modu︳ eㄥ s︳ ideπ 9

稽核 方 案 J也.r
﹏

Aud︳ t prograrnrne — —

ˊ 檔核 方 案｛ aud比 P了°gramme,︳ S。 η9田 可〕 鏺黮鑰鎀 鑼 鑈籧妙鑯 才

︳ 針 對特 定 時程 內並 具有特 定 目的 ,所 規 劃 一 個
或 多個 稽 核 之 組合 安排 。
▅ 稽核 方 案 包含 規 劃 、編 組及 執行稽核 所 有 的 必
紛黮躌 “

要 活動 。
▆ 不 一 定 需要提 供 給 受稽核 的 組 織 。
鏺簸曲
籤市

▓ 稽 核 方 案範例
紼黫餓咘激環 雀邱

汁 包含 當年度 全 組 織 的 資
霸 奎 銎 窨崟 寥 黎
汁 關鍵 產 品 的潛在供 應者在 六個 月 內執行 第
報聚餘發 鐒 插策男 — 幼姊

二 方 管理 系統 稽核
洪 由 第 三 方驗證 機構在 與 客戶 問的協 定期 間
內 ,執 行 對 資訊 安全 管理 系統 的驗 證 與 追
查稽核
紛好

◎ by下 C︳ C
M。 du︳ e冷 S∥ de20
 稽核方案之管理流程 (η /2)
Processf︳ oW了0rthernanagement ofanaudit prOgr?Π ╮
︳Ⅵe

塕皺銹谽 鑴 齡籛繚鑯 研
PLΛ N ｝0
王 tHtCK ΛC↑
╮
S.之 有$各 球 #g
$田 $在 安
出ud;七 伊← ◆每出除m●
φ 於心t:收 甘
1步

銹黫彿 〝
銹鸆 抑
$.3→ e6¢ !<h︳ ｜
法｜m專

令肚心e唸 lu$t子 ng ’k兮 V子 ε炳!ng

§′

籤外
出udit● !埡 母憾m推 e a向 〔
︳;mp︴ bv6n$
一

鐊籩銹抑幾齵 緇鎡勝犖窈姆帥
!:∮ k令 爸出心 令t!d店 t︳ ｝
F¢思｜
n｛ Ⅱ
︳:“ 恐

φpu↓ t依 ︳出了在6g

S.#ε 甘mt︳ ｜S出 !!↑ 客

在ud:t
)r° g路 mWe
︳

齡 航舝餵←毒 銹妳
本!冬 子
磁9!e出 φⅡ伍珴普 5‘ 6比 ¢Ⅱim◤ ;碑
么㏕ ｜ 仁 δΥ寸i守
p外 6r改 m出 ︳
6 ｝附日治︳↓↓ md

幼鄉
◎ byTC︳ C 資料來源 :︳ Soη 90︴ ﹁
一η:20可 8 Modu︳ e6S︳ :do2鬥

D
稽核方案之管理流程(2/2) 露蟲↙
β
十

anagement ofanaudit prOgrarΥ ╮

Processf︳ oWfoΓ therΥ ╮ 了ne
一 — —

鏺雞鋒鎗 鑼 鑼蜀紛鑰 、
蹸黤齡 小

在.Σ !缸 i七 出球m答 ㄊㄝ
工 ︳心t

一
鏺籩師
兟︴

＿ 各
＿
╮
銹攤鐒眸茹侈型翟 嗧瑚崔霸鏺 磁雄玲押言 谽的

6‘ 呂F:斡余r;n吝 ε存C。 十d社 C女 燕g 心.9Cond｛ c七 i份 留

#球 d亡 亡在C出V≡ 小e君 a在 di亡 爸6Ⅱ V:仁 工
εS o、 φ
aud;t出 在 ﹋
在P
┬

)︳
︴

∟ 」

各.S令 εp丘 6亡 mg在 nd q心 Ce#p比 ∥出告

V
心;各 甘i莊 u在 ing法 以球竹
一 舌 (甘 〔
t︳

伸〞γ﹏
盼抔

牙班 好 多o CkECK 燈

◎ byTC︳ C 資料 來源 :︳ SO︴ 90η ｛

一｛:20η 8 Modu︳ eㄥ s∥ de22
 稽核 方 案
Audit prograrnrne

鑈驆鐖紼 鑴 鑰羻紒饑 杏
ˊ針對 完整 的驗證 週期 之 稽 核 方 案應被
發展 ,目 的是 清楚 地 鑑 別所 需要稽 核
活 動 ,以 展 現 客戶 管理 系統 符 合 所選

鈖繖鋊 泳
擇 的標 準 或其他規 範 性 文 件 要求 。

鐒錘螂
ˊ驗證 週期 的稽 核 方 案應 涵 蓋完整 的 管

餓妳鑈籛鑰姊爽鎖 舉航播 $鎧瑙 鑰 拼聚漭 ξ 妙林

理 系統 要 求 。

紛外
◎ 盯 下C︳ C
資料 來源 :︳ Soη 702仁 ︴:20可 5 Modu︳ eㄥ S︳ ide23

稽核 方 案
Audit prOgrarnrne

ˊ初 次 驗證 的稽 核 方 案應 包括 兩 階段 的 鐱黦 錛鎀 鑼 鑈籧盼鑯 打

初 次 稽 核 、驗證 決 定 之 後 第 一 年與 第
二 年 之 追 查稽 核 ,以 及 第三 年 之 驗證
協簸 狒 外

有 效 期 限 到期 前 的 重新 驗 證 稽 核 。
鑰羷 轉

ˊ首 次 三 年 驗證 週期 始於 作 成 驗證 決 定
籤功鐒犩 協師欺齵 寧簼 帤聚轝 鈐 城翜 解 ︴ 幼師

之 時 。後 續週期 始於 重新 驗證 決 定 。
ˊ稽 核 方 案之 決 定及 任 何後 續 之 調 整 ,

應 考慮 客戶 的規模 ,其 管理 系統 、產
品與過程 的範 圍與複 雜性 ,以 及 所展
現 管理 系統 有 效性 的水 準與 任 何 先 前
妙外

稽 核 的結 果 。
◎ by了C︳ C
資料 來源 :︳ So｛ 702仁 可:20可 5 Modu｜ eㄥ s︳ ide2ㄥ
 稽核與驗證過程的典型流程圖 (η /3)

初坎驗證決定/
驗 證 多l!難
重新驗證法定 三 年驗 證避期

持缺的進重行動
驗證 前的活 筋

客戶 與驗證 選擇並捲 派具
撫構 交換 資 能力的第 一階
訊 、級

提 與初 次驗證 客戶與驗證機構間資訊交換〔 例如範圈變更〕 ;

審 查驗 第一階段 及 核發驗讚 文 如 果必須 變更稽核方奔 ,子 以決定 ．

證 申請 件
擋核計建

確認 關 切 的範圈 重新驗 證
執行 第一
並要求額 外資料 稽核 計 畫
階段稽核
若適 用｝
〔

◎ by下 C︳ C 資料 來源 :︳ SOη 702仁 ︴:20︴ 5 Modu︳ eㄔ s︳ ide25

稽核與驗證過程的典型流程圖(2/3) 鍕觝◤
嫠
﹏

— —

確認 關 坊的範 罶 重新驗證
執行 第一 擋核許畫
並要求頭 外資料 階段確 楌
落適用 〕
〔

典 第一 瞭段 確認擋核方案並知 會客戶
發 康擋 出現 的疑
核 方案 路 適用｝

驗證 提 笨
牡確 認稽 確認/指 派具能力的稽核小組
核 方

客戶和驗 釜 機構五 式 第二 階段擋 追 查構 重-Y「 驗證

核許 畫 孩詩 畫 糟孩才 畫
參與驗竷 準備 工作

執行 第 二 階 執行邁 執行 畫新
段 糟核 查糟 核 驗證 稽核

◎ byTC︳ C 資料 來源 :︳ SO︴ 702仁 ｛:20︴ 5 Modu︳ eㄥ S“ de26

 稽核與驗證過程的典型流程圖(3/3) r出π找
◆

— —

執行 第二 階 執行 追 執行 重新
段稽核 查發核 驗證特 核

解 決 第二 階段 解 決追查稽核 解決重新驗證
稽核 出現 的疑 出現的疑慮處 稽核 出現 的最
慮處 〔若 適用〕 若適用〕
〔 慮處 傍 適 用〕

初 次驗 證 道 直稽 重新驗證
豬核 結論 核結論 稽核 結論

重新驗 證 決 定
獨 立驗 證 客
如需要｝
查〔
核 准蜜新驗 證
與核發 驗證 文
件

確認 或調整稽核方案 ,以 及 適當的稽核跟催和追查活動 ,包 括頻 率和持鎮時

核也必 以考慮 ．
帥

◎ by下 C︳ C
資料 來源:︳ SOη 702η 一
η之0︴ 5 Modu︳ eㄥ s︳ de2了
︳

稽核 方 案
Audit prograrnrne
鋊籬鐒妙 鑼 鐒讓妙鑞 外
備 註 可:割 〣e25-27提 供 稽 核 與 驗證 過程 的
典 型 流程 圖 。
備 註 2:以 下表 列 包含發展 或修 訂 稽 核 方 案
時可納 入 考 量 的增 列項 目 ,在 確 定
佛雞鎀 外

稽 核 範 圍及 擬 定稽 核 計 畫時也可能
鑰籛姊
餓 鎀鑫齡蜘蓻命聖緊 聯路簽蕼 縐 磁母跨抑︴ 紛螂

需要 加 以考 量 :

一 驗證 機構 收 到 關於 客戶 的抱 怨 ;

一 合 併 、整合 或聯 合 稽 核 ;

一 驗證 要 求 之 變更 ;

一 法 規 之 變更 ;

一 認證 要 求之 變更 ;
◇外

◎ by下C︳ C
資料 來源 :︳ So︴ 了02η -η :20η 5 Modu︳ eㄔ s︳ ide28
 稽核 方案
Aud:t prograrnrne

銹籛躌繚 鐋 鐖麰谽羻 ㏄
一 組織 的績效數據 (例 如缺 失程度 ,關 鍵性
績效指標數據);
一 相 關利 害關係者之顧 慮 。

鑈籦鰳
備 註 3:如 果特定產業的驗證 方 案有規定 ,

驗證 週期 可能不 同於 三 年 。

$鐒
籛螂
瓶外瞈黰塕鄉欽鍛 期赫絡移谽基鶈 插銘路珅告 幼瑯
錯帥
◎ by下C︳ C 資料 來源 :︳ SOη 702ㄔ 一
η:20可 5 ide29
M。 du︳ e碎 §︳

稽 核 方案
Aud︳ t prograrnrne

ˊ 重新驗 證 的 年 度除 外 ,至 少每 個 日曆 鋒籛彿鬱 鑼 鏺黤妢纖

年應 進行 一 次 追 查稽 核 。初 次驗證 之
後 第一 次 追 查稽 核 的 日期 ,自 驗證 洪
$瞈

定 當 日起 不應超過 可2個 月 。
黮銹 心
鐱靉轉
瓶坊鐊鍐鰳坤喪錣 學擺璐鍰讓鑰 林謻冷許言 鎗的

備 註 :可 能 需要調 整追查稽核 的次數 以 因

應 季節或在 限定 的期 r艮 竹︳如 臨 時興建的場
區)驗 證 管理 系統 等 因素 。
砂帥

◎ by下 C︳ C 資料 來源 :︳ Soη 702牛 ｛:20可 5 Modu︳ eㄥ s︳ ide30

 稽核 方案 錚俄了
β
ㄝ

Audit pr。 grarnrne — —

齡靆攤鍛 鐖 鑰議谽鑯
ˊ驗證 機構在 考慮 客戶 已經 由另 一驗證 機構
執行 稽核 以及 授與驗 證 時 ,應 針對任 何不
符合項 目取得 並保存 充分的證 據 ,例 如 矯
正措 施 的報告 及 書 面證 明 。書 面證 明應佐

A紛
籛鑰 永
證 履行 此部 分之 ︳SO川 ECη 702η 。驗證 機

鐒黤姊
構應根據取得 的 資料 ,證 明現 有 的稽核 方

餓無齡籮鑰妳箴鑑 路描絡緇鐘璘鏻 描營鏗╭每 紛郎

案有其正 當性 ,記 錄 任 何調整 並 追蹤 先 前
不符合項 目的矯 正措 施之 實施 。
ˊ 客戶若採 輪班制 ,在 擬 定稽 核 方 案與稽核
計畫時應 考慮 換班 工作 當 中發 生 的活動 。

鐒帥
◎ byTC︳ C
資料 來源 :︳ Soη 了02牛 ﹁:20︴ 5 Modu︳ eㄥ s︳ ide3鬥

稽核 方案
Audit prograrnrne

ˊ驗證 機構 的程 序不應預設 執行 ︳ 鐱黮鑰妙 鐖 鏺黫鈔鑯

SA/lS的 特
定方 式 ,或 文件 及記錄 的特定格 式 。驗證
程序 的重點應 在 於證 實 客戶 的 ︳ SMS是 否
符合 ︳SO川 EC2了 00可 或幽 出 選 求 ,與 客戶
$鐒
灘銹 ︴

的政 策及 目的 。
塕邇坤
娥、銹黳齡師欺餒 朁︴
鍋瑙簽盞 鑰 描雀餵π工 鋒坤
妙擗

◎ 盯 TC︳ C 資粌 月 巨C27006:20｛ 5AMDη :2020

〔源:︳ SOˊ ︳ M° du︳ e碎 S∥ de32

一
 稽核 方案 蠐

靈舐 靂
AuditPrograrnrne
一

鐫籛銹給 媰 鑰雞谽鑯 扒
ˊ 初 次稽 核 的一般 準備 事 項
▅ 驗證 機構應要求客戶 為存取 內部稽核報告和 資
訊 安全獨 立審 查報告做好 必 要安排 。
▓ 客戶 在 驗證 稽 核 的 第 一 階段期 間 ,至 少應提供

鐱籛 鏵 水
以下 資訊 :

鎀雞螂
a)有 關 ｜ SMS及 其活動所涵蓋的一般資訊

兟無
;

SMS文 件影本 ,及 必要的

b)︳ S0月 EC2700η 所要求的 ｜

鎙藙鐱螂筑餵 璐筋路犖穿鋆獼 航聲姓ㄏ工 盼納

相 關文件 。
ˊ 審 查期 間
█ 除 非 已進行 至 少 一 次 管理 審 查和 一 次涵 蓋驗 證
範 圍的 內部 ︳SMS稽 核 ,否 則驗證 機構 不得驗
證其 ︳SMS。

幼帥
◎ by下 C｜ C
資料來源 :︳ S0用 巨C27006:20｛ 5AMD︴ :2020 Modu!eㄥ S︳ ide33

確 定稽 核 時間

銹籛銹紛 齺 鐪譊紛鑰 站
ˊ 驗證 機構 應 有 決 定稽 核 時 間之 書 面化 過程 。
驗證 機構 應確 定每個 客戶 所 需的稽核 時 間 ,

以便 規 劃與 完成 客戶 的 管理 系統 完整與 有
效 的稽 核 。
鐊簸銹 年

ˊ 決 定稽 核 時 間 時 ,驗 證 機構在 其他 各種 事
齡雞蜂

物 中 ,應 格 外考慮 下 列事項
鈚︴

:
鐒議鐒師激齠 單簼珞鎧驥 鏺 赫蓊玲帥守 蟧師

a)相 關管理系統標準之要求 ;

b)客 戶及其管理 系統的複雜性 ;

c)技 術上與法規性之情況 ;

d)包 括在管理系統範圍內之任何活動的任何外包 ;

e)任 何先前稽核之結果 ;
餩阿

◎ by丁 C!C
資料來源 :｜ So︴ 702可 一
︴:20｛ 5 M° du︳ e碎 S︳ de3ㄔ
︳
 確 定稽 核 時間

躌靆鏺鐒 鐖 翂黤鎗鑼 公
f)場 區的規模與數量 ,其 地理位置及 多場 區之考
慮 ;

g)組 織中產品 、過程或活動相關的風險 ;

h)是 否為合併 、聯合或整合稽核 。

鑰雞鎙 ︻
齡驅林
備 註 可:在 計算管理 系統稽核 天數 時不 包括往返稽核 的場 區

颻外鏺黫彿師毀餵 帑磁擺硌箠發鈐
所花 費的時間 。
備 註 2:驗 證機構在 記 載 這些程序 時可使 用 !SO用 ECTS
η7023建 立 的指 導方針 決定 管理 系統的稽核 時程 。

ˊ 凡 針 對特 定驗證 方 案 已經 建 立 的特 定規 範 ,

M蜜
例 如 :︳ SO/TS22003或 ︳
SO/︳ 巨C27006,

韹一辛 紛摔
皆應 適 用 。

谽外
◎ byTC︳ C 資料 來源 :︳ SO︴ 702η 一
η:20η 5 Modu︳ e↑ S∥ de35

確 定稽 核 時間 尸我▼
π
﹏

— —

ˊ 稽 核 管理 系統 的 時程 及 其 正 當性 應 加 以 記 鎙籲鐒鋒 鑼 鑰黤妙鐖 打

錄 。
ˊ非被指派為稽核 員的任何小組成 員 (即 技
眑飄 鎀 小

術專家 、翻譯 員 、口譯 員 、觀察 員與受訓

中的稽核 員)所 使 用的時間 ,不 計算在 上
塕癱妳
皺︻

述訂定管理 系統稽核 之 時程 。
鑰籛縐咘欺鍰 皆撬珃聚舉 齡 站盟憩一在幼一
妙抔

◎ byTC︳ C
資料來源 :｜ Soη 702牛 ｛:20︴ 5 M。 du︳ e碎 S︳ ide36
 確 定稽核 時 間

翰籛鐱鍛 琚 鑰鍐艕鐋 出
╮ ˊ 驗證 機構應 允許稽核 員有 充分的 時間進行
所 有與初 次稽核 、追查稽核 或重新驗證 稽
核相 關的所有 活動 。整體稽核 時間 的計 算

鋊繳鏺
應 包括 充份 的稽核報告時間 。
SO27006附 件 B來 決 定
ˊ 驗證 機構應使 用 ︳

$齡
雞瑯
釚︴
稽核 時 間 。

鑰纙銹螂箋搖 嗧鎡舉苓鑑舞 拗 鎡發娌 工 劬坤

註 :附 件 C提 供 有 關稽核 時間計算 的更 多指 引和
範例 。

谽帥
◎ by了 C︳ C EC27006:20可 5AMD可 :2020
資捫切包源 :︳ SOˊ ︳ ide37
M° du︳ e碎 §｜

稽核 時間
Aud比 T｜ me
鈐籦銹鎀 鑴 鏺黫鈔鑞 打
驗證 機構應鑑別每 一位客戶及被驗證 ︳ SMS的 初次
驗證 、追查和重新驗證 的稽核時間量 。在稽核規劃
階段使用本附件達到 決定適當的稽核時間的一致性
鐒簸銹 外

方法 。此外 ,也 可根據稽核期間 ,特 別是在 第 ﹁階

鋨雞媰

SMS範 圍複雜性 ,或 在範圍

段期 間的發現 (例 如 ︳
颻〦

內追加場 區的不同評鑑 )加 以調整稽核 時間 。

媰簸拗珅欺鍰 擊籀瑤窺殲 錉 插器玲黔守 錯螂

V
紛外

◎ 町 了C︳ C 資料來源 :｜ S0用 巨C27006:20η 5AMD︴ :2020附 件 B Modu｜ eㄔ s“ de38

 稽核 時 間 中

β也rr
Aud比 下ime — —

姆難 鏺繚 耀 拂籦 餘鑯 本
組織控 制下 的工作 人數
ˊ 確 定驗 證 範 圍 內組織控制下所 有 班別 的總 工作 人
數是確 定稽核 時間的起 點 。
註 :「 在 組 織控制下的工作 人 員」一詞 請 參 照如

鑰攤 鋒
︳SO月 巨Cη 702η 一
η的人 員 。
ˊ 在 組 織控 制下 兼職 工作 人 員對 組 織控制下 工作 人

$坲
簸妳
航外
數 的計算 ,係 依 與在 組織控 制下 全 職 工作 人 員相

鏺龘 坳姊毀飆 聯缸路嗧谽譏 塕 城麥理〃在 ♁螂

較 之 比例 。這項決定應取 決於 與 全職 員工相較 之
下的工作 時數 而定 。

稽核 員天數
ˊ 「稽 核 時 間 」是根據稽核所 花 費的 「稽 核 員天數 」
說 明之 。附件 B的 計算 基礎 是 以 一 日工作 8小 時

維帥
為準 。
◎盯taC 資料來源:︳ So/︳ EC27006:20η 5AMDη :2020附 件 B M° du︳ e碎 S︳ ide39

稽核 時 間 ﹏

′已◤
π
Aud比 Ti!了 le
— —

臨 時場 區 鎗鑨 鋊紛 礤 鑰籲 紛餓 密

ˊ 臨 時 場 區係指 驗證 文 件所 載 明的場 區/位 置 以 外 的

活 動處所 ,驗 證 範 圍 內的 活 動 於 特 定期 問在 該 處
所執行 。
鋒驤 鐒 “

ˊ 這些 場 區 的 範 圍可從 大 型 專 案管理 場 區至 小型服

鑰簸 妳

務 /安 裝場 區 。
籤︴

ˊ 訪 查該 等場 區 的 需要 ,以 及 抽樣 程 度 ,應 依 據 臨
鐒黳協如欺餵 寧”

時場 區所 產 生 的不符合 事 項 導 致 不符合 資訊 安 全
目的 之 風 險 評 估 。
砪毢簽瑋 鐒 薪登餵◤住 妢外

ˊ 所選樣 本場 區須 當代 表 組 織 能 力 需求及 不 同月 艮務
的範 圍 ,並 已考慮 活 動 大 小 及 種 類 ,以 及 專 案 進
展 中各 階 段 。
谽打

◎ by丁C︳ C 資料來源:︳ S0用 EC27006:20η 5AMD﹁ :2020附 件 B Modu︳ e4S︳ ;deㄥ o

 稽核 時間 竹

靂兙罈
Aud比 下ime — —

媕難 鏻谽 錔 鐱籛 鎗麟 ㏄
遠 距 稽核
ˊ 若係使 用諸 如互 動 式網路協作 ,網 路 會議 ,電 訊
會議 及/或 電子式查證 組織作 業等遠距 稽 核技術做
為與 組織 之 介 面 時 ,這 些 活動應 該在稽 核 計 畫 中

鎙麴 銹 跡
子 以鑑 別 並可被視 為 「現 場稽核 時間 」總 時數 的

塕籩 螂
一部分 。

鐬外
ˊ 若驗 證 機構發展 的稽核 計 畫 ,其 中遠距 稽核 活動

齡讓 坲抑笑黐 琌鈕移聬籛轟拗 城筆韹η含 劬神

佔 已規 劃 現 場稽 核 時 間的 30o/0以 上 時 ,驗 證 機構
應合 理化該 稽 核 計 畫 ,並 在 實施 前先取得 認證 機
構 明確 的核 可 。

註 :現 場稽核 時間係指 分 配給 各個 場 區的現場稽核 時間 。

即使 電子式稽核實際上 是在 組織 的場所 進行 ,遠 端場
區的電子式稽核被視 為遠距稽核 。

幼外
◎ byTC︳ C 資料來源 :︳ S0用 巨C27006:20︴ 5AMDη :2020附 件 B Modu︳ eㄥ s︳ ideㄥ η

稽核 時間
Aud比 下｜
rne
遠 距 稽核 嫋 灘 鎗鬱 璐 鑈 纖 鎀 鑰 鬱 黦 瞈 鑰 雞 坤
ˊ 若 係使 用諸 如 互 動 式 網路 協作 ,網 路 會議 ,電 訊
會議 及 /或 電子 式 查證 組 織作 業等遠 距 稽 核 技術 做
為與 組 織 之 介 面 時 ,這 些 活 動應 該 在 稽 核 計 畫 中
本

子 以鑑 別 並 可被 視 為 「現 場稽 核 時 間 」總 時數 的
外

一部 分 。
甈 齴 籛 銵 坤竑韻聖 翟 鵝夥窪 磊 銻 描券玲許 官 ♁ 帥

ˊ 若 驗證 機構 發展 的稽 核 計 畫 ,其 中遠 距 稽核 活 動
︴

占已規 劃 現 場稽 核 時 間的 30o/。 以上 時 ,驗 證 機構
應 合 理 化 該 稽 核 計 畫 ,並 在 實施 前 先取 得 認證 機
一 明確 的核 可 。
構

註 :現 場稽核 時間係指分 配給 各個場 區的現場稽核 時間 。

即使 電子式稽核實際上 是在 組織的場所 進行 ,遠 端場
區 的電子式稽核被視 為遠距稽核 。
妙衶

◎ by了 C︳ C 資料來源 :｜ SO用 EC27006:20︴ 5AMD｛ :2020附 件 B Modu︳ eㄥ s｜ ｜

deㄔ 2
 稽核 時間計 算
Audit下 imeCa｜ cu︳ ation

錛黫鑰紛 鐇 塕毅鍛鏺 休
ˊ 稽 核 時間表 列 出初 次稽 核 平均 天數 (此 處 及 下述 的
這個數 字 包含初 次稽核 (第 ﹁階段 和 第2階 段 )的 天數 )
為起 點 ,根 據 經驗 顯 示 ,它 對 於 所 定在 組 織控 制
SMS範 圍是適 當的 。經驗也證 實對

鑈颻鐒 妳
下 工 作 人數 的 ︳
於 類似 規模 的︳ SMS範 圍 ,有 些 需要較 多時間 ,有

鑰黤蚱
些 則較 少 。

織外錛籮錛郎欺飆 學鎡路簃每轟鎗 磁舝理好在 φ坤

ˊ 下 面稽 核 時間表提供稽核規劃框 架 ,應 鑑 別 組 織
控制下 所有班別 工作 總 人數 為起 點規 劃稽 核 ,及
依 據 適 用於被 稽核 的 ︳SMS範 圍之 重要 因素 而加
以調整 ,並 依各 因素所增減加 權 以修 正 基數 。在
考慮影 響 因素和 最 大偏 差 限制 之 下 ,應 使 用 此稽
核 時 間表 。附件 C提 供 如 何 進行 規 劃範例 。

幼師
◎ by下 C︳ C
資料 來源 :︳ SO月 EC27006:20︴ 5AMDη :2020附 件 B M。 du︳ e碎 S︳ deㄥ 3
︳

稽 核 時間計 算 ﹏

ㄏ出 ′
Aud比 下irneC a｜ cu︳ ation 一

鋊黦鐒妙 鑼 鑰纖妢鑰 一
嫵 宙崩議辯捱 “$和 或礉堪 站
〔 ︳越含勒 攻撐撠
令
報錢扭制下鞋 特 加希茂 丑曲 舉
之撐棋時週 簼樓時獨 埔 報時問 鐐 撥#殘 撽 時用
安作 ㄦ數 卡
〦
普撥 負天鼓 ! 鐐 扭 受故故︳ 描 長天錢!

l“ !● 色.§ 一三 §∴呂
Ξ‵ 5 寮照 出.B‘ 碎
S
鑈纖鐒 燕

王1卸 上S 土.§ 喜占 泰照 再兮.4

土●、#再 子 再.5 了 簽敢 B<3無

塕籩碑

工針 必 路 5.B gj 麥照 B.呂 .再

$ B 呵
甐軒

→” 路 的 娶鼰 B.每 、
鎀籛鰳瑯欺餵 寧簼奪鍛藕 鍋 描曌覝π在 鐒師

6φ 路 年 了 仁1 發敢 B‘ 3.再

86一 i全 呂 9 B 玉Ξ 簽照 β三於
一
〡名印 車9單 各 9 # 發蟭 瞴
女76︸ 三7S p m 玉再 各無 色.B.碎
Ξ了6” 再王6 m 玉生 鉻 喜6
安雜 出‘
姆 ε之S 主守 ︳〞 生§.$ 各雖 B∴ 再
q伊 W多 王工 玉3 J女 田 簽照 B.§ ‘
碎
舒 舒生 艿 岱 在S B
在出亡 發照 B且 ﹏
︴!了6〢 守再乎° 外 玉石 9
玉爭→ 各騄 B一 δ,﹏
♁外

久爭｝五 丑●玉百 玉手 〞 〞且 每舉 4
B念 ′
一

◎ by下 C︳ C
迢 7006:。 0︴ 5AMDη :2020附 件 B
資料來源 :｜ SO用 巨ㄈ Modu︳ eㄔ s︳ ︳
deㄥ ㄔ
 稽 核 時 間調 整 因素

銹籛獼鐪 鑩 鐖籛鎗鐖 式
ˊ 稽核時間表不廲 單獨使用 。時間分配也應考慮 到
下列與 ｜ SMS複 雜度相 關因素 ,且 需稽核 ︳ SMS
的成果 :

a)︳ SMS複 雜度 作｜ 如 資訊 的重要性 ,｜ SMS的

搦籛鎗 林
風險情況等);
b)︳ SMS範 圍內所執行的業務 類型

齺黲皺 岱
;

c)先 前所展 現的 ︳ SMS績 效

銹殿鏺鄉筑舞 朝鎡路移餘蝨擁 騙壁避﹃

;

d)實 做 ︳ SⅡ /lS項 目時採 用技術 之範圍和 多樣性

(例 如不同的 ︳
下平台數 ,區 隔的網路數);
圍內 ,外 包的範圍和第三方協議
e)︳ S爪 llS範 ;

f)資 訊系統發展程度 ;

g)場 區數和災難復原(DR)之 場 區數 ;

h)針 對追查或重新驗證稽核 ;有 關 ︳ SMS變 動

:唦
坤
谽帥
量和程度依據 ︳ SO川 EC﹁ 702牛 可
規定
◎byTC盻 資料 來源 :︳ S0用 EC27006:20︴ 5AMDη :2020附 件 B Modu︳ eㄥ S“ deㄥ 5

稽 核 時 間調 整 因素
﹏

β覾 彈
— —

十 一→
鋒籛 鋒鎀 鑴 鏺籛谽鑯
紅
-—

一
大 而 簡單 大 而在 雜

多場 區 多場 區
◆— 十組織分佈 ㄒ上▼

$齡
簸齡 外

程序少 程序 多
鑰籛 坤

小範 圍 大範 圍
鬾→

重複 性程 序 獨 特程序
鐒籛 銹螂欺鑑 孥籀眵璀轟鐪 城鉹玲許 ︴ 蟧扣

｜社 ﹂ 高風 險產 品/程 序
稽核 時間
表 的起 點
程序少 程序 多
v

小範 圍 大範 圍
重複 性程 序 獨 特程序
高風 險產 品/程 序
妙阿

◎ by
、而簡單 小 而在 雜 Modu︳ eㄥ S︳ ideㄥ 6
 稽 核 時 間調 整 因素 β已 ㄏ坻
— — —

鑰雞 鑰幼 鑼 錛纖幼鑼 必
ˊ 附件 C提 供 如 何將這些不 同 因素列入 考 量 ,以 計
算稽核 時間的範例 。

ˊ 下列例外 因素 ,需 要額外的稽核 時間

鏺簼 鏺 淋
:

一 涉及 ︳SMS範 圍內一棟 以上建築物或場所的複

坲黫 螂
颻外
雜後勤作 業 ;

拂雞 鐒螂欺黐 罕撥 移箠甚鍋 航空理ㄏ單 ◇坤

一 工作 人 員說 一種 以上語言(需 要 口頭翻譯或有
礙個別稽核 員獨 立作業),或 以一種 以上語文
提供文件 ;

一 需要訪查臨時場 區活動 以確認被驗證 管理 系統

的永久場 區活動 (請 參照下段列表);
一︳SMS適 用大量的標 準和 法規 。

幼帥
◎ by下 C︳ C 資料 來源:︳ SO用 EC27006:20｛ 5AMD︴ :2020附 件 B Modu︳ e冷 S︳ ide碎 了

稽 核 時 間調 整 因素
彿黤鏺♁ 鐖 鏺籛紛鑯 ︴
ˊ 允 許縮 減稽核 時 間之 因素有 以 下範例 :

一 無 或低風 險 的產 品 或 流 程 ;

一 流 程 涉及 單 一 的 一般 性 活 動 竹︳如 只 有 服 務 );
銵黮鑰 無

一 在 組 織 控 制 下有 高 比例 工 作 人 員執行相 同工 作 ;

一 對該組織先前的瞭解 (例 如 ,組 織 已經由相 同
娥黫姊

驗證機構 以另一標準驗證);
籤、媰錘鎀︴蜁鍰 擊簼聯簽邊鑰 磁母冷并在 谽坤

一 客戶對驗證做好充分準備(例 如 ,已 由其他 第
三方的方案驗證 或認可);
一 管理 系統已具高成熟度 。
谽抑

◎ byTC︳ C 資料 來源:︳ S0月 EC27006:20可 5AMD︴ :2020附 件 B deㄔ 8

Modu｜ e4s︳ ︳
 稽 核 時 間調整 因素
乎

靂舐 嫠舐
— —

躌黮 鑰谽 齺 鐱麰谽鐖 氓
ˊ 在 驗證 客戶 或被 驗證 組 織在 臨 時場 區提供 其產 品
或服 務 情 況 下 ,將 這些廠 區 的評估 納 入 驗證 稽 核
和 追 查計 畫 內極 為 重 要 。

鍋幾 鋒 ︿
ˊ 應 考 量 以上 因素 ,並 針對這 些 因素調 節增 減稽核

塕黤 螂
時 間 ,以 達到有 效 稽 核 。增 加 時間的 因素 可 以被

颻岱塕纖 銹螂描琇聯翠航熪拶簽轟鈐 磁學饉η宮 幼瑯

縮 減 時間的 因素所 抵 銷 。依 稽核 時間表 而有所調
整 之 案件 ,均 應保存 充分證 據 和 記錄 以證 明其變
動 之正 當性 。

鐪帥
◎ by下 C︳ C 資料來源 :︳ S0用 巨C2了 006:20︴ 5AMD｛ :2020附 件 B Modu︳ eㄥ S︳ ide69

稽 核 時 間差 異 限 制

ˊ 為 了確保執行 有 效 稽核 及確 保 可 靠 與可 比 銹羻銹鈔 鑼 鐒雞鎀鑰 本

較 結 果 ,稽 核 時 間表 上 所提供 的稽核 時間
不應 減少超過 300/o。
銵黦協 外
佛纖郎

ˊ 時 間差異之正 當理 由應做 成 書 面紀錄 。

籤打銵籛鍋郴數錯 寧協
確珞簽瓏 鑈 端器玲掛君鐒的
盼外

◎ by下 C︳ C
資料來源 :︳ So” EC27006:20｛ 5AMDη :2020附 件 B M。 du︳ e碎 S︳ ide50
 稽 核 時間差 異 限制

鑼籬 鑰鎗 鑼 塕羷 谽鑯
ˊ 為 了確保幸
丸行 有 效 稽 核 及 確 保 可 靠與 可 比
較 結 果 ,稽 核 時間表 上 所提 供 的稽核 時 間
不應 減少超過 300/o。

A鰳
黫鏺 〝
瞈黤 瑯
ˊ 時間差 異之 正 當理 由應 做 成 書 面紀錄 。

籤外齡簸 錛妳蔑鑑 舉鎡路犖鐵猋鐱 貓多避〃子 盼林

幼押
◎ by下 C︳ C 資料 來源 :︳ S0用 EC27006:20η 5AMDη :2020附 件 B Modu︳ e↑ s︳ :de5﹁

-
現 場稽 核 時 間 r
r已▌
— —

齡羻 彿♁ 鑼 錛黫紛鐖 →

ˊ 原則 上計算 規 劃和報 告撰 寫合 計 時間 ,基
本 上 ,不 應將現場總 「稽核 時 間」縮減 至
少於 稽 核 時 間表 上 所 示 時 間的 700/o。 凡 為
轔黦 銹 外

規 劃 及/或 報告撰 寫所 需外加 時 間 , 這不應

鑰羷 姊

作 為減少 現 場稽 核 時 間的正 當理 由 。稽 核
h鐒
甀

員差旅 時 間不 包括在 這項 計 算 中 ,而 是 外
籛鐒郴欺餵 寧簼路崟聶鐒 掰登嫂╭甘 幼︴

加 入 表 中所 述稽核 時 間 。

SMS稽 核 經驗 之 因素 。
註 :70o/o是 根據 ︳
谽師

◎ by下 C︳ C 資料來源 :｜ SO用 EC2了 006:20η 5AMD︴ :2020附 件 B Modu︳ eㄥ S︳ :de52

 追 查稽 核 之 稽 核 時 間
中

靂甄 靂
— —

銹籛塕鐪 鐪 錫籛谽鑰 研
稽 核 週期 中 ,對 某 組 織 的追 查 時
問須與其初 次 稽 核 所 需時間成 比例 ,每 年

鉾籛鏺 臥
追 查所 需全部 時間約為初 次稽 核所 需時間

銹黮螂
的η /3。 所 規 劃 的追查稽核 時間須隨時審 查

籤公銹黫銹睥毿擺 寧籮筘餛轟錀 竑發理好— 鐒幼

以 因應影 響稽 核 時間的變動 。為 了稽核
SMS的 變動(諸 如稽核新增或變更控制項)
︳
應允許增加追查稽核 時間 。

谽帥
◎ by下C︳ C 資料 來源 :︳ S0用 EC2了 006:20｛ 5AMDη :2020附 件 B Modu｜ e碎 S︳ ;de53

重蘛 籃 證 稽 核 之 稽 核 時 間
﹏

彈籤〔
嫠
— —

鋒繼 鏺鬱 鑼 銹籛 谽鑰 井
ˊ 執行 重新驗 證 稽 核所 需總 時 間應 依任 何 先
前稽核 結 果 而 定 。重新驗證 稽 核 所 需時 間
翂簸 鑰 外

量應 與 同一 組 織 初 次驗證 稽 核 所 用 時 間成
比例 ,且 至 少須 為 同一 組 織 初 次驗證 稽 核
銹籮 抑
兟封

所 需時間的 2/3。
r宮
鐒妳
艙帥 鐒籩銹抪欺鍰 帶箍鑼夥簽舞 銹 插發婬

◎ by了 C｜ C
資料來源:︳ SO用 EC27006:20η 5AⅡllD﹁ :2020附 件 B Modu｜ eㄔ s︳ ide5ㄥ
 多場 區 的稽 核 時間

錛齉 錛谽 旛 齡灘谽齺 站
ˊ 按 照程序計 算 出驗 證 範 圍的現場稽核總 人
ˊ

天數 ,應 根據各場 區與 管理 系統 的關聯性
及 已鑑 別 出的風 險 ,將 人 天數 分 配 到不 同

鑰籛 鐒 ㄨ
場 區 。驗證 機構應 記錄 分 配人天數 的理 由 。

齡齻 螂
皺岱錛靉 鑰坤毀齰 緇械路夥鎧璘鏻 臨麥赳好子 盼軸
ˊ 初 次 稽 核與 追查稽 核 所 花 費的總 時間是每
一場 區加上 總 部所 需的時間總和 ,並 且 ,

時間總和 不得低 於 以相 同營運規模 與複雜

度 的單 一場 區所計 算 出來 的 時 間 。

谽帥
◎ byTC︳ C 資料 來源:︳ S0用 EC27006:20η 5AMDη :2020附 件 B M。 du︳ e碎 S︳ de55
︳

稽核時間計算方法(參 考用) r
β蟲〔
︳

Methods拖 raud社 Hmeca︳ cu︳ ajonS(informa山 Ve)

— —

ˊ 以 下範 例 說 明驗 證 機 構 如 何 運 用 B.3中 所 述 因 素 鑼黮 銹紗 鑼 鐪黫谽鏺 打

以 計 算稽 核 時 間 。以 下 範例 的稽 核 時 間計 算 方 式
作 業如 下 :

步驟 η:確 定與 業務 和 組織有 關的 因素 下除外):鑑 別

眑灘 齡 外

(︳

C.2表 中所列各類 因素等級並 總計 結 果 。

鑰雞 妳

步驟 2:確 定與 ︳ 下環境有 關 因素 :鑑 別 C.3表 中所列

皴︴

各類 因素適 用 等級並 總計 結 果 。
齡籛 翰師癡錣 寧羅帑簽聶 鑰 球壁超π— 紟師

步驟 3:根 據 上 述 步驟 ﹁和步驟 2的 結 果 ,選 擇表
C.碎 中適當項 目以鑑 別影響稽核 時間的 因素 。
步驟 碎:最 後 計算 :運 用稽核 時間表所定之天數乘 以
步驟 3產 生的係數 。若使 用 多場 區抽樣 ,則
根據執行 多場 區抽樣 計畫所 需工作量加總 已計
算的稽稽核 天數 。
ˊ 這項 結 果 即是 最 定 案 的 稽 核 天 數 。
谽師

◎ 盯 下C︳ C 資料 來源 :｜ S0用 巨C2了 006:20︴ 5AMDη :2020附 件C odu︳ eㄔ

山︳ s｜ ide56
 表C.2-與 業務和組織有關的因素 下除外)
躝 鼩 媯 齺 齷 竹
(︳
塞弛 麡

佛雖徬年 嬸 彿雛 掰繲 依
﹉

紛期 鈐 ㄙ
準及琶複 性 的標 準 ;在 組 織控制 下 工
的大量 人 員從 事相 同的平作 ;少 數產 品 或服務

鎀鞍 艸
?:標 準但非 重複性流程 ﹉

鈚本
3:複 雜流程 大量產 品 和服務 ﹉ 許:多 業務 單6立 包含

佛雞 翰梆銘覯 聬笏鐋笱簽繆辦
在驗證範圍內 一HSΨ S滑 蓋高度複雜﹉ 的流程或相當大
一

佛 筋筆韹 言 觔坤
劬抑
◎ by下 C︳ C 資料 來源 :｜ SO/︳ 巨C27006:20︴ 5AMDη :2020附 件C odu︳ e碎
山竹 S︳ ide67

與︳
下環 境有 關的 因素
﹏

表 C█ 3一 靂舐 靈
— —

鈶籛 鐒紛 琚 鈶籛 鬱銹 斗
搦雞 齴 密
鑈皺 奶
魏功彬皺搦的欺搦 鱀 將郛環髏 銬 一

﹉
︴j很 少或本仰 賴 外 包或供﹉ 應商﹉ ﹉﹉ ﹉
﹉﹉
一
2一 有些 仰賴 外 包或供應 商
,部 分有 關但 非 金是 重要
業務 活一
動
磁翁冷鈃 言 翰師
鈖師

◎ by下 C｜ C 資料 來源 :︳ S0月 巨C27006:20可 5AMD︴ :2020附 件C Modu︳ eㄥ s!ide58

 表 C︳ 碎一
影 響稽 核 時 間的 因素

佛
$螂
鈖餘
鎞 鑰 造 錄 鐖 錛 驤 鋊 翰灘 螂
㏄ 沐
城 塕 繳 錛 跡琳 $蜘 蹋城錫瑙鑑豬盼鐱 紘肇 赻 〃宮 妙 坤
然
鍛外
◎ by了 C︳ C 資料來源:︳ SO用 EC27006:20η AMD｛ :2020附 件 C Modu〡 e｛ ide59
°
S︳

哦
稽核時間計算方法( 考用) 靂珮 靂
﹏

MethodSforaud比 tir而 eCa｜ ︳

auons(informa山 Ve) —
—

範例 可 :欲 稽 核 之 組 織 員工 ,因 此根 據 銹籛 匆♁ 齺 銬繳紛娥 ㄞ

表 B.﹁ ,初 次 稽 核 需要 7.5 。組織 並 非從 事 重

要 業務 別 ,擁 有 高度標 準 化及 重複作 業並 未建 立

勞趯 獸 鑢 箋
奢靠簳努
帤鷤
鎀騶 齡 妳

一
鑰貔 轉

料庫 但 廣 泛使 用外 包 。組 織 沒 有 內部 或外 包開發 。
甄打

C＿ 3, 得 知 與 ︳
下環 境 有 關的 因素為
鐒攤 聯郎軟摫 肇裼 糑錄軬 鎙 鎡錫玲釙 官 鎀帥

｜ 十 十﹁=5。 用表 C.碎 ,得 知 無 需調 整 稽核 時 間 。

範例 2:同 上 範例 的 組 織 ,除 了若 干 管理 系統 已經 建
立且 ︳ SMS也 完善建 置 。依 據 表 C.2的 計 算 變成
﹁+η 十仁 3。 依 據 表 C.碎 ,得 知 可 縮 減稽核 時 間 5o/。
至 η0°/o,亦 即 ,稽 核 時 間會減 少 ﹁至 可.5日 ,總
鎀師

計 未9η 6至 ﹁6.5日 。
◎byTC陀 資料來源 S0月 巨C27006:20η 5AMD︴ :2020附 件 C
:︳
Modu︳ eㄥ s︳ de60
︳
 多場 區抽樣
瀰豳比豳齷

靂珮 靂 一

銹籛鐱錯 璐 鐱籛鐪鐖 再
╮
一 ˊ 多場 區
客戶 管理 系統 之 稽 核 包含在 不 同地理 位
置 之 相 同活 動 時 ,如 果使 用 多場 區之 抽
一

鑈黦鎊 溶
樣 ,驗 證 機構應制 定抽樣 方 案 ,以 確保

拗籛螂
管理 系統 之 適 當稽 核 。驗證 機構應針對

颻外
每 個 客戶將抽樣 計 畫之 合 理 性 予 以 書 面

彿鑼鎙螂筋奄聊學林擺緇簽轟鋨 赫華廷η言 ♁姊
化 。某些 特 定的驗證 方 案不 允 許 抽樣 ,

且 若 已針對特 定驗 證 方 案建 立 特 定的規
範 ,例 如 ︳SO/下 S22003,應 一併 適 用 。

備 註 :非 涵 蓋於 相 同活動的 多場 區 ,抽 樣

鎀外
並 不恰當 。
◎ byTC︳ C 資料 來源 :︳ So︴ 了02η -﹁ :20可 5 mΠ odu︳ e4s︳ ︳
de6∥

多場 區抽樣

銹雞 錐鎀 鑴 鑈繳幼鑞 掛

ˊ 多場 區(︳ S9■ η＿
5)
▇ 若客戶有符合下列 a)至 c)項 的數個場 區
搦籛 銵 “

時 ,驗 證機構 可 以考慮採 用抽樣 法進行

鑞籩 郎

多場 區驗證稽核 :
籤功

′a)所
有場 區老汗 在 中央管理及稽核 的相 同
鐒雞 協的欺鍰 帶描緇幾鍰軬 銹 赫舉玲帥 守 鎗的

SMS下 運作 ,並 由 中央管理審 查
︳ ;

b)所 有場 區都 納入 客戶的 內部 ︳SMS稽

核方案內 ;

c)所 有場 區都 納入 客戶的 ︳SMS管 理審

查方案內 。
妢粹

◎ by了 C︳ C 資試來 源 :︳ S0用 EC27006:20︴ 5AMD︴ :2020 Modu︳ eㄔ sⅢ de62

 多場 區抽樣
中

r色′
— —

鑗雞 錛鍛 鑼 鑰纖 谽鏹 代
█ 希望採 用抽樣 法之驗證機構 ,應 備 有確 )

保下列事項之程序 :

a)初 步合約審查中 ,竭 盡所能辨識 出各

鋊蘿 鐒 本
場 區間的差異 ,以 決定適當的抽樣水 準

銹邏 坤
b)驗 證機構採樣場 區代表樣本數 時 ,應

鏚外鏺籦 錛郎毀鎖 孥羅 李餓璣 鏺 描蜜理行蛋 盼竹

考慮到 :

η)總 部及各場區的內部稽核結果 ;

2)管 理審查之結果 ;

3)場 區大小之差異 ;

4)場 區業務 目的之差異 ;

5)不 同場區資訊 系統的複雜性 ;

6)工 作實務之差異

幼帥
;

◎ by下 C︳ C EC2了 006:20η 5AMDη :2020

資料來源 :︳ Soˊ ︳ M。 du︳ e可 S︳ de63
｜

多場 區抽樣
十

〃已 ㄏ
— —

7)所 從 事活動之差異 ;
鉚靆 錛妙 鑼 鑈雞♁饑 、

8)控 制項設計和操作 的差異 ;

9)關 鍵 資訊 系統或處理敏感 資訊之 資訊 系統

的潛在互動性
銹黮 齡 兮

η0)任 何不同的法律規定 ;
鐱雞 姊

﹁﹁)地 理和文化 的觀點

皺ㄞ

η2)場 區的風險處境
餓鏺錛︴鱉餵 寧碼幾簽盞 鍋 磁聲娞好— 砏坤

﹁3)特 定場 區的資訊安全事故 。
c)從 客戶的 ︳SMS範 圍內所有場 區選 出
代表樣本 ;這 項挑選應是基於足 以反
映上述 b)項 所述要素 以及 隨機 元素之
判斷所為 。
妙妳

◎ by下C︳ C
資料來源 :｜ S0用 巨C27006:20｛ 5AMDη :2020 Modu｜ e↑ S∥ de6｛
 多場 區抽樣
”

靂齟 靂颻
— —

銹麶燐谽 璐 鑰籛鎗鑯 ㏄
d)︳ SMS範 圍內每個面臨重大風險的場
區 ,均 要在發證 前加 以稽核 。
e)麗
暨重蠱是 寄吾
鼞惿焉
ξ讓鏧
靈齒蚤

錀簼鏺 琳
坳黝姊
代表樣本 。

鈚〝
f)不 論是在 總部 或單 一場 區發 現不符合

鏺黫鈐螂筋玲帥舉竊播笒箍器鏺 贆犩建好在 盼鄉
事項 ,矯 正措 施 程序適 用於 總部和 證
書所 涵 蓋的所有場 區 。
■ 稽核應針對客戶的總 部 活動 ,以 確保 單
一︳SMS適 用於 所有場 區 ,並 在作 業層
面實施 中央管理 。稽核應針對 上 述所有

谽外
議題 。
◎ byTC︳ C (源 :︳ S0月 EC27006:20﹁ 5A〝 llD｛ :2020
資料 多 Modu︳ e冷 S︳ :de65

多 重管理 系統 露
躍俄了
Mu︳ tip｜ ernanagement systemsStandardS — — —

彿麶鋒♁ 鑼 鏺黫妢鑰 ︴
▅ 驗證 機構提 供 多 重管理 系統之驗 證 時 ,

稽 核 的規 劃 應確保 適 當的實 地 稽核 ,以
提供 驗證信 心 。
鎀簸銹 心
鐱雞師
籤才鐒黫協坤欺覝 擊羅聯接翟銹 描器玲鉾— 幼邶

U
谽抑

◎ by下 C︳ C 資料 來源 :︳ SO︴ 了02﹁ -｛ :20η 5 Modu︳ e4S︳ ide66

 多 重 管理 系統
Mu｜ tip｜ e了 ηanagernent systemSStandards

彿讖鑰紛 鑼 錛灘紛鐖 ㏄
ˊ ︳SMS文 件 及 其 它 管理 系統 文 件 的整合
只要是 ｜SMS可 以清楚鑑別 ,且 與其他系統具適當
的介面 ,驗 證機構即可接受合併文件 (例 如有關資

錛纖鐒 ︴
訊安全 、品質 、健康與安全以及環境 )。

鑰黫睥
餓再
ˊ 結 合 管理 系統 稽 核

塕籛鏺郎數鎖 路熊撥緇鞍舞銹 姑蜜理╭工 盼抪

若可展 現稽核 符 合 ︳SMS驗 證 的所 有要求 ,則
SMS稽 核 可結合 其 它 管理 系統的稽 核 。在稽核報
︳
SMS的 所有 重要要項 ,並 且很
告 中 ,應 清楚 呈現 ︳
容 易識別 。稽 核 品 質不應 該 因結合 稽 核 而受到 負面
影響 。

幼外
◎ by下 C︳ C
資料來源 :︳ So/︳ EC27006:20η 5AMD︴ :2020 Modu｜ eㄥ S︳ ide67

確 認 稽 核 目標 、範 圍與規 範 ﹊

π出 ㄏ
— —

ˊ 稽 核 目標 應 由驗 證 機 構 決 定 。稽 核 範 圍與 鏺鑨銹♁ 鑼 鎔籩紛鑞 ︴

規 範 ,包 括 任 何 變 更 ,驗 證 機 構 應 與 客戶
討 論 後確 定 。
ˊ 稽 核 目標 應 說 明稽 核 完成 的項 目 ,並 應 包
銹黤翰 外
錛羷師

括 以 下 內容 :
籤一

a)決 定客戶管理 系統或其部份內容與稽核規範之

鐕籛縐師欺齵 寧的

符合性 ;

b)確 定管理 系統的能力 ,以 確保客戶符合適用法

將璣錯舞 鏺 貓震齵 ︴ 鎗妳

律 、法規及合約要求 ;

備 註 :管 理 系統驗證 稽核不是 一個法律 遵循 的稽核 。

c)確 定管理 系統的有效性 ,以 確保客戶可以合理期
一

待達成其訂定的 目標 ;及
d)如 果適當 ,鑑 別管理 系統潛在 改善的領域 。
妙帥

｜
◎ by下 C｜ C
M。 du︳ eㄔ s｜ de68
︳
 確 認 稽 核 目標 、範 圍與 規 範

鏺麵擁谽 嬸 鐫麰谽鐖 然
ˊ 稽 核 範 圍應 說 明稽核 的範 圍與界 限 ,例 如
場 區 、組織單位 、受稽 核 的 活動 及流程 。
如 初 次 或重新 驗證過程 包含 多個 稽 核 (例

齡籛銹 恥
如 包含不 同場 區 ),個 別 的稽核範 圍可能

塕雞鐵 無
未 包括 全部驗證 範 圍 ,但 整體稽核應符 合

鑰雥鋪螂輹鵡 犩鱷
驗證 文件 中的範 圍 。
ˊ 稽 核規 範應做 為確 認 符合性 的參 照 ,且 應

鐊笒鐶選齏 插繫 涔 車 鈔拂
包含 :

一 管理 系統規定的規 範性 文件 之 要求 ;

一 客戶發展 的管理 系統所規定過程與 文件 。

谽帥
◎ by下 C︳ C M。 du︳ e碎 S︳ ide69

拂鑼黺鐖 鑼 螉黤齡水鐖籛略
饖→鋪黫紛坤欽餵 窣露移琺餒抑

稽核 評估
鋒 滋路跆黔甘 谽姊
艙帥

◎ by下 C︳ C ide70
Modu︳ e玲 §︳
 稽 核 師 ;稽 核 團隊
Auditor;Aud︳ tteam

繗籛鑰緗 鑼 躌鼵 盼鑯 研
ˊ檔核 員 或 檔核 師｛aud比 or〕
一有能力(competence)執 行稽核的人 員
ˊ稽核小組｛ aud比 七
eam〕

鏺籲 鐒 琳
一 個 或一個 以上稽核 師執行稽核 。

齡驤 螂
—
．註﹁.稽 核小組通 常任命 其 中一位稽核 師 ,為

兟外鑰黫 鑰螂毀黐 帤磁鑼路莓轟狒 妹肇建ㄔ子 妙姊

稽核小組小組長 。
．註 2.稽 核 小 組 可 包括 訓 練 中 的 稽 核 師
(aud比 orSㄐ n一 training)及 當 需要 時 由技 術 專
家 echn︳ ca︳ eXpeR)協 助之 ,技 術專家不得
(七

擔任稽核小組 中的稽核 員 。
．註3.觀 察 員(obseⅣ er)可 陪同稽核小組 ,但

錯帥
不可視為其稽核成 員之 一 。
◎ byTC｜ C
Modu︳ eㄔ s︳ ide了 ︹

稽 核 小 組 的選 擇 與任務

ˊ 驗證 機構 考 量其達成稽核 目標所 需 的能力 鐒齷鑰♁ 鑼 鏺籛♁鑞 一

及 公正 性 之 要 求 ,應 有 一 套 流 程遴選 及 指
派稽 核 小 組 ,其 中包括稽核 小 組 長及 所 需
佛黤銹 知

的技術 專 家在 內 。若僅 有 一 名 稽 核 員 ,其
鑰簸螂

應具備 該 稽 核 之 稽 核 小 組 長所 需執行職 責
城市

的能力 。稽 核 小 組應 具備 認 定的整體 能力 。
師
φ舯 #幼 銹籛銹師欺鍰 擊竹
鑮率簽舞 鐒 筋孝取π

◎ by下C︳ C 資料 來源 :︳ SO︳ 702牛 ｛:20η 5 Modu︳ eㄔ S∥ de72

 稽 核 小 組 的選 擇 與 任 務

錢攤鐖鎀 蠮 鐫雛谽織 ㏄
╮ ˊ 在 決 定稽 核 小 組 的規模與 組 成 時 ,應 考 量
以 下 幾點 :

a)稽 核 目標 、範圍 、規範與預估的稽核時間 ;

鋒籛銹 水
b)該 稽核是否為合併 、聯合或整合稽核 ;

c)達 成稽核 目標的稽核小組之整體能力

佛黫螂
;

d)驗 證要求 (包 括任何適用的法律 、法規或合約

蝕外鑰鑼鐒螂繳錣 寧械路苓嗧捲幹
要求);
e)語 言及文化 。

備 註 :合 併 或整 合 稽 核 的小 組 長 至 少對 於 其 中一種

齡 械鞏鎪好子 盼跡
標 準要 有深 入 的認 識 並知 曉 該 項特 定稽 核使
用的 其 他標 準 。

谽師
◎ by了 C︳ C 資料 來源:︳ SO︴ 702仁 ︴:20︴ 5 de73
Modu︳ e4s︳ ︳

稽 核 小 組 的選 擇 與任務 靂籈 慶
﹏

— —

ˊ 稽 核 小 組 組 長與稽 核 員的 必 要 知 識 與 技 能 , 鏺籮鋒鎀 鑴 鑼黤劬饑 外

可 由在稽 核 員指 示 下運作 之 技術 專 家 、翻
譯 員及 口譯 員 ,予 以補 足 。凡 使 用翻 譯 員
塕籬齡 外

或 口譯 員時 ,其 挑 選原 則應 不 會對稽 核 造
銹靉坤

成 不 當影 響 。
籤再錫攤協師繳群 擊籀路鍛麗坲 貓器玲帥莒劬師

備註 :技 術專家的選擇規範 ,依 據稽核小組與稽核
範圍的需要 ,依 個案處理予以決定 。

ˊ 只 要有 一名 稽 核 員被 指 派 為評 估 員 ,受 訓
中的稽核 員便 能 參與稽 核 小 組 。評 估 員應
有 能力接 管職 責 ,並 對 受訓 中稽核 員的活
◇抔

動與稽核發 現 ,負 有最 終 的 責任 。
◎ by下 C︳ C 資料 來源 :｜ Soη 702︴ 一
︴:20｛ 5 Modu︳ eㄔ S︳ ide了ㄥ
 稽 核 小 組 的選 擇 與 任 務

鑰黤鑰劬 鑼 鑰籧餘鑯 〝
ˊ 稽核 小 組 長須與稽核小 組商討 ,並 應分 配
每位 小 組成 員稽核特定 流程 、功能 、場 址 、
區域 或活動 的 責任 。該任 務指 派應 考 量能

鑰籮鐱 球
力的 需求 、有效 且 有效 率地 運 用稽 核 小 組 ,

齡雞聊
以及 稽 核 員 、受訓 中稽核 員與技術 專 家 的

鏃如
不 同角色及 責任 。在稽 核 流程 中 ,可 以 改

鐱籦錀林毀飆 寧攕鋒雀轟鐱 好壁避〞澋盼林

變指 派 的任務 ,以 確保 實 現稽核 目標 。

谽外
◎ byTC︳ C 資料來源 :︳ Soη 702仁 ︴:20︴ 5 °du｜ e今
和︳ S︳ ide了 5

陪檢 員,觀 察 員 J出 β
﹏

Gu︳ de,ObSeⅣ er —
—

ˊ陪檢 員｛ gu㏕ e〕 鋊雞鐒♁ 鑼 錛黦盼驗 外

一 客戶指 派協助稽核小組之人 員
perSOnappointedbythec︳ ient to
銹灘齡 兮

aSsiSttheaudit team
鑰黫姊
甐︴

ˊ 觀察員｛
obseⅣ eΓ 〕
鰳籧齡 城命竺翟 鵝聯鎖譐 銹 掰崔蛪好崔 ♁抪

一陪同稽核小組但 不執行稽核之人 員
personwhoaccom° anieStheaud︳ t
teambutdoes notaudit
φ好

◎ byTC︳ C 資料 來源 :︳ SO﹁ 702η 一

可:20η 5 :de了 6
M° du︳ e冷 §︳
 技術 專家,促 進 員
下echn︳ ca︳ expert,faci︳ itator

鑰籛鑰谽 鑴 鑰籛谽矲 ㏄
∩ ˊ技術專家,促 進員
techn:ca︳ e〤 pe∥ ,fac:︳ :tator｝
｛
一提 供 特 定 知 識 與 專 門技術 子稽 核 小 組之

鑰黮鏺 阿
人員 。

鐊灘螂
．註η.特 定知識或專門技術 包括在 組織 、被

飢外
稽核的過程或活動 ,抑 或是語言或文化有

鐖簸鏺的繳黐 嗧跡熪彿錯選協 航雀理η— 妢郴

關者 。
．註2.技 術專家不ㄒ視為其稽核成員之一 。

鐒帥
◎ by了 C︳ C M° du︳ e再 S︳ ide7了

管理 系統顧 問 β找〔
β
﹏

— —

ˊ 管理 系統顧 問 鏺繖鋒妢 鑼 鏺籛紛鑯

一參與建立 、實施 或維持 一項管理 系統 。

．範例 ﹁ 編擬 或製作 手冊 或程序 ,
$眑
黮銹 外

．範例 2對 於 制 定與 實施 某管理 系統 給 予具
鑰籩瑯

體 之 建議 、指 導或解 決方 案 。
簸才鐒籩蚴坤磁帶堅翟 擺舉鍛轟 鏻 薪發餵

備 註 η:如 果與 管 理 系統 或稽核 相 關的訓練課

程 ,僅 限於 一 般 資訊 的提供 ,則 安排 白〡 練與參
與擔 任 訓練 員 ,不 視 為顧 問 ;也 就 是 說 ,訓 練
者 不 可 對特 定 客戶提供 解 決方 案 。
u甘
鐒竹
妙外

C
◎ by孔 ︳ 資料 來源 :︳ SO｛ 702仁 什20可 5 Modu︳ eㄔ s︳ ;de78
 管理 系統顧 問

攤灘 佛谽 鑩 錛籦 餘鐖 武
備 註 2:提 供 一般 資訊 ,但 不 是 針對 流 程 或 系
統之 改 善為特 定客戶提供 解 決 方 案 ,不 視 為顧
問 。這類 資訊 得 包括 :

一 解釋 驗證 規 範 之 意義及 意 圖

鐱驤 鈖 ︴
;

一 鑑 別 改 善機 會 ;

齡簸 瑯
一 解釋相 關理 論 、方法論 、技術 或工 具

瓶〝
;

銹簸 錢蜘欺辯 報較輝豁竅璘鐱 描華理

一 對 於 相 關的最佳 實務 分 享非機 密性 資訊 ;

一 被 稽 核 的管理 系統 未 涵 蓋 的其他 管理 層 面 。

r子
蟧林
紛鄉
◎ byTC︳ C
資料 來源 :｜ Soη 702η -η :20η 5 Modu︳ eㄥ s︳ ide79

觀察員 ﹊

r
π出◤
— —

ˊ 稽 核 活動 當 中出現觀 察 員及 其 正 當性應 在 鋊颻 鏺♁ 鑼 鏺繳♁鑞 ︴

進行稽 核 前得 到驗證 機構 及 客戶 的 同意 。
稽 核 小 組應確保觀 察 員不會無 故 影 響或干
齡貗 鏻 小

擾稽核 過程 或稽核 的結 果 。
錛籛 師
瓾一

備 註 :觀 察 員可 以 是 客戶 組 織 的 成 員 ,顧 問 ,見 證
齡鏺 拗中欺餒 罕竹

的 認 證 機構 人 員 ,主 管機 關或其他 具 正 當 理
由之 人 士 。
用印姦瑋 銹 站今冷掛 — 鎗︴
ψ打

◎ 町 下C︳ C
資料 來源 :︳ So｛ 702可 -η :20｛ 5 Modu︳ eㄥ S︳ ide80
 技術 專 家

銹籛 翰谽 鑴 翂鏈 谽鐪 么
‵
↗
ˊ
、
＿

—
)
ˊ 稽 核 活動當 中技術 專家的 角色應 在 進行稽
核 前得到驗證 機構 及 客戶的同意 。技術 專
家不得擔任稽核 小 組 中的稽核 員 。技術 專

聯黫 銹 溶
家應 由稽核 員陪 同 。

眑籛 螂
兟外銹籛 鏺抑籃齲 瑤缽聬移駕擺帥
備 註 :技 術 專 家可就 準備 、規 劃 或稽核 向稽 核 小 組
提供 建 言 。

資料來源 :︳ SOη 702牛 ﹁:20η

螉 航犖婬好吝 鬱姊
錯帥
◎ byTC｜ C Modu︳eㄥ s｜ ︳
de8鬥

陪檢 員 ﹏

嫠觀 釐
— —

鐒犩銹幼 鐖 銹籛黺鑰
ˊ 除 非稽 核 小 組 長 及 客戶 另外協議 ,每 位 稽
核 員應 由陪檢 員陪 同 。陪檢 員被 派 往 稽 核
小 組 協助稽核 。稽 核 小 組 應確 保 陪檢 員不
$銹
黤銵 外

會影 響 或干預稽 核 過 程 或稽核 的 結 果 。
狒鑊坤

備註 η:陪 檢 員的責任可包括
籤本

:
鐒籛鐒姊欺餒 聲 攜路鍰舉銹 筋路玲帥宮 鍛碎

a)面 談的接洽及約定時間 ;

b)安 排訪查場 區或組織的特定部分 ;

c)確 保稽核小組成員知道並遵守廠 區安全及保

安程序的規定 ;

d)代 表客戶見證稽核 ;

e)依 稽核員之要求 ,提 供釐清或資料 。

備註 2:在 適當情況下 ,被 稽核者也可以擔任陪檢
妙帥

員 。

◎ by下C︳ C 資料 來源 :｜ SO︴ 702η -︴ :20︴ 5 Modu︳ e6S︳ :de82

 稽 核 師 的 資質
QUA∟ ︳ ONCR︳ 下ER｜ AFORAUD｜ 下ORS
F︳ CA下 ︳

坲羷 鑰紛 鑼 鐱讓鎗鑯 ㏄
︳ on
nfor「 na七 ︳ Qua︳ ity
共通 性
Secu山 ty 品 質管理 系統
知 識與技能
資訊 安 全 管理 系統 KnoW︳ ed9e 稽核 師特定的

錛雞 鐒 添
稽 核 師特 定 的 and 知識與技能
capabi︳ jtieSof
知 識 與技 能 Qua︳ ity
a9ene「 a︳

齡龘 坤
lnfoΓ maⅡ on secuhty specifjc
natu「 e knOW!ed9eand
Spec｜ 何c

籤︴
knoW︳ edgeand capabi︳ itieS

錀雞 彿郎欺報 夥隘路路箠轟鑰 跤壁理好在 ♁姊

capabi∥ tieS

學歷 工作 經驗 稽 核 師訓 練 稽核 經驗
Educa七 i° n VVorkp︳ ace AVditor Audit
eXper︳ ence training ence
eXpe「 ︳

個 人特 質
PeΓsona︳ attΓ ibutes

劬帥
SOη 90可 η,CNS何
︳ 809一 能 力 之 概 念 (C。 ncept。 fqu割 而cau。 n)
◎ by下 C︳ C
M° du︳ e可 S︳ ide83

期 望 的個 人行 為 ﹏

(個 人特質Persona｜ att〢 buteS) r已J

— —

下 列為參與任何 管理 系統類型 的驗證 活動 人 員 錀繼 鐒♁ 皤 錛籧♁饑 ︴

之 重要個 人行 為範例 :

a)道 德 ,即 公平 、坦率 、誠懇 、誠實與謹慎

b)包 容性 ,即 願意考慮其他的想法或看法
齡籦 齡 外

c)靈 活變通 ,即 圓融地與人相處

鐱雞 坤

d)合 作 ,即 有效地與人互動
h銵
鈱
籦 錛市紮鍰 罕竊帤鎧舉 鐒 描年玲野 — 錯坤

e)善 於觀察 ,即 積極地察覺現場環境與活動

●有洞察力 ,即 本能地意識到並能夠了解情況
g)靈 活 ,即 對不同情況隨時調整
h)執 著 ,即 堅持與專注於實現 目標
)果 斷 ,即 依據邏輯推理與分析適時地做 出結
︳
論
谽妳

◎ byTC︳ C
Modu︳ eㄥ s∥ de8ㄥ
 期 望 的個 人行 為
(個 人 特 質 比 rSOn到 a杜 Hbutes)

銹雞 娥谽 錔 鐒籛 谽饑 ㏄
╮ j)自 信 ,即 獨立地行動與執行工作
k)曇 、誠實及符合工作場
馫一是痵愛津犀 尹
)道 德 勇氣 ,即 願意負責任與符合道德性行動
︳

鐱驤 鑈 妳
即使這些行動可能並 不是 常見且 有時可能

鈐黤 螂
導致分歧或對立

航外銹籛 齡坤箋擺 器振錙幾簽鐖 坳 栭姦玲卸 — 盼姊

m)璸 ’ 出有 效 的 時 間 管 理 、確 定
執箋廷葶 f頸踅羅等效 率
性得 不
的 明利

行 為 的 決 定是 情 境 ,而 缺 點 可 能 只 在 特
定 的 背 景下 才 會 變 顯 。驗 證 機 構 須 針 對
任 何 對 驗 證 活動 有 影 響 的 已鑑 別 缺 點 ,

採取 適 當的行動 。

紛帥
◎ byTC︳ C ide85
M。 du｜ e玲 §︳ ‵

訓 練 ,現 場 工 作 經驗 ,稽 核 訓 練與稽 核 經驗
下 台ining,workp︳ aceexperience,aud｜ tor tra｜ ningandauditexperience
「

鎀籛 銹谽 鑼 鏺飄 翰鑯 打
考 核 師 lAud比 or〕
▅ 須 完成 足 夠 的教 育 以 取 得 稽 核 師 必 要 的 知 識 與 技 能 。
▆ 須 具備 相 關技術 的 或 管 理 的 工 作 經驗 ,部 分 工 作 經
驗 須 是在 職 位 上 從 事 活 動 以 增 進下 述 知 識 與 技 能 之
銹黦 鎀 小

發展 :
鋊簸 坤

一 針對品質管理 系統稽核師的品質管理領域
餓、

一 針對環境管理 系統稽核師的環境管理領域
協籛嫋坤竑帶聖聲 路翠鎧雜 鋪 插鉹冷帥 工 綸的

。 針對資訊安全管理 系統稽核師的資訊安全管理領域
▓ 須 完成 稽 核 師訓 練 ,此 訓 練 可 以 是 由稽 核 師隸 屬 的
組 織 所 提 供 的 內部 訓 練 或 外部 訓 練 ．
須 有相 關稽 核 經驗 ,這 些 經驗 須 受到在 相 同領 域 下
具 主 導稽 核 師 能 力者 的 帶領 與 引 導 下所 獲 得 。
一
紛粹

◎ by了 C!C odu︳ e4s︳ :de86

山η
 訓 練 ,現 場 工 作 經 驗 ,稽 核 訓 練與稽核 經驗 ”

′俄躍
Training,wOrkp︳ aceeXpe「 ience,audi七 0Γ trainingandauditeXperience — —

轔麶 攠劬 礔 鏺籧 餘鑯 林
主 專豬 核 師仁eadAud比 or｝
▋ 主 導稽 核 師須取得 更 多 的稽 核 經驗 以發展
所 需 的知識與技能 ,這 種 更 多的經驗 須透

縐攤 鋊 冰
過 在 另 一位 有 主 導稽 核 師 能力之 稽核 師 的

齡難 螂
斂外
帶領與 引導下練 習扮 演 主 導稽核 師 的 角 色

佛籦 紛師欺錣 瀚隘鍋苓鉉轟擁 貓多理╭守 盼郎

幼帥
◎ by了 C︳ C
Modu︳ eㄥ s︳ :de87

評 估 階段 ﹏

π出 r
PhaSeSOfeVa︳ uation
— —

紛黫 鏺◇ 鑼 鑈繳 鈖鑰 ︴

持續發展

不符合 準則
啟 始評估
銹黮 佛 岱

效之持續
鐖籛 坤

符合 準 貝!
符合 準則
鈚︴拗蘺鑈︴臨鏤聖翟 用閣辯華 鏺 描登餵〃在 ψ師

稽核 師 需進 一 步發展

能 力之 維持 與 改 進

串色選稽核 小組
♁打

稽核
◎ by丁C︳ C
Modu︳ eㄔ s︳ ;de88
 主 導稽核 師 的知識與能 力 古

籚瓶 靂
Genera︳ knOW︳ edgeandcapabi︳ itiesof︳ eadaud︳ torS — —

鐋籛錛盼 擺 嫋雞谽鐑 批
主 導稽 核 師在稽 核領 導上 ,須 具有額 外的知
識 與技 能 以促 成 有 效 率與有 效 果 的稽核 之 執
行 ,主 導稽 核 師 須 能 :

鈶雞銹 ﹌
丸行稽核計畫安排 ,並 在稽核時有效運用資源
▓章

齡雛瑯
▊代 表稽 核 小 組和稽核委 託 者與 受稽 核者 溝通

瓾外鑰籲鏦姊籃齺 夥鎡路嗧嗧選協 缽舝理万君 盼嬸

▓組 織與指 導稽核 小 組成 員
▅對 培訓 中的稽核 師提供指 導與 引導
▅領 導稽 核 小 組達成稽核 結論
■防 範與解 決衝 突
▊準備 與 完成 稽 核報 告

谽帥
◎ by下 C︳ C
”Π
odu｜ eㄥ S︳ de89
︳

訓 練 ,現 場 工作 經驗 ,稽 核 訓練與稽 核 經驗 之 指標
aceeXpeΓ ience,audi七 0Γ trainingandauditeXper｜ ence
Training,work° ︳

鐒雞鑈鎀 鑼 鐪雛鬱鑱 才

高中(職 ) 同稽核 師 同稽核 師

5年 同稽核 師 同稽核 師
拗籛銹 外

5年 中至 少有 2年 2年 於 第二個領域 同稽 核 師
鎀簸仰
繳︴

碎0小 時稽 核訓練 第二個領域 2碎 小 同稽 核 師

銹籛鐪珅欺鑑 寧罷夥鍰雜 鏺 描華娞〃守幼的

時韌〡
練

在 具 有 主 導稽核 師 在 具 有 第 二 個領 在 具有 主 導稽核
能力 的稽 核 師 帶領 域 主 導稽核 師 能 師 能力的稽核 師
與指 導下 ,培 訓 中 力 的稽核 師 帶領 帶領 與指 導下 ,

稽核 師 完成 四坎 完 與指 導下 ,完 成 扮 演 主 導稽核 師
整 的稽 核 ,且 不得 三次 完整 的稽核 ,
完成 三次 完整的
少於 20天 稽 核 經 且 不得 少 於 η5天 ,且
稽核-5天 不得 少
驗 稽核 經驗 於 稽核 經驗
上 述稽 核 應在 連 續 上 述稽核 應在 連 上 述稽核應在連
紛師

3年 內 完成 續 2年 內完成 續2年 內完成

◎町了
C℃ SMS稽 核 員之 要求請參考後 面的講 義
資料 來源 :︳ SO可 90● ｛,lSO27006對 ︳ Modu︳ eㄥ S“ de90
訓練,現場 工 作 經驗 ,稽 核 訓 練與稽 核 經驗之 指標
T「 aining,wOrkp︳ aceeXperience,auditor tΓ ain︳ ngandauditeXpeΓ ience ′瓶 ㄏ
— — —

錛籛塕鋒 蠮 錛黤 谽鑯 ㄨ
▊倘若 已完成適當的高中(職 )畢 業後之教 育 ,

該教育得減少工作經驗 年數 η年 。第二領域
的工作經驗得與第一領域的工作經驗 同時取

鈐飄 鋊 休
得第 法 完階

齡灘 坤
。

二領 域 的訓 練是指 獲得 該 領 域 的相 關標 準 、

瓶小鑰籦 鏺妳故餵 聯琳路苓蛋將帥

律 、法規 、原則 、方法與技 能的知 識 。
整 的稽 核 是 涵 蓋執行 第 一 階段 稽 核 、第二
段 稽 核 到撰 寫稽核報告所 有步 驟 的稽 核 ,

塕 貼舝製〞單 盼郎
全 部 的稽 核 經驗 須 涵 蓋整個 管理 系統標 準 。

繚帥
◎ by丁 C︳ C
M。 du｜ e可 S︳ ide9鬥

SMS稽 核 員必備之教育程度 、工作經驗 、

︳ -

ㄏ
π已口
稽核 員訓練及稽核經驗 SO2了 006汁 η (｜
— —

鍋黮 鐒紛 鐖 鏺黰♁餓 ︴
>︳ SMS稽 核 員遴選時,應 確保各稽核 員
a)具 備專業教育或與大學教育同等之訓練 ;

b)在 資訊技術方 面至少具有四年 的全職實務職場經驗 ,

齡灘 錛 外

其中至少有 兩年擔任 資訊安全相 關的角色或職位 ;

c)已 成功完成至少五天的訓練 ,其 範 圍包含 ︳ SMS稽

塕雞 坤

核及稽核 管理
織︴

SMS稽 核之經驗 。
銹繳 拂師瞞命聯翠黐帑鍰舞鏺 協營超好在 紗坤

d)在 履行稽核 員職務前 ,已 經有 ︳

這些經驗 包括過去 5年 內執行 至少 ﹁ SMS
0天 的 ︳
現場稽核 ,並 且其 中應 以實習稽核 員身份在 ︳ SMS
評估 員的監督下 ,至 少執行 一次 ︳ SMS初 次驗證稽
核 (包 括 第 η階段與第2階 段)或 重新驗證稽核 以及
至少一次追查稽核 。參與 的稽核 活動應 包括文件與
風險評估之審查 、執行稽核及稽核報告撰 寫 。(見
紗師

”Tqc次 頁備註)
◎ Modu︳ eㄥ s︳ ide92
 SMS稽 核 員必備之教育程度 、工作經驗 、
︳
稽核 員訓練及稽核 經驗 SO27006汁 2 (︳

躌黰鐫鎀 琚 銹攤錼籛 出
╮ e)具 備合 宜且及時的經驗 ;

f) 透過持續專業的提 昇 ,保 持在資訊安全及稽核 方
面的最新知識與技能 。
9)具 備依據 ｜ SMS稽 核的能力 。
SO月 EC2700η 執行 ︳

鑈纖銹 淋
鎀齉螂
技術 專家應符合 a汁 b汁 及 e)的 規範 。

颻小銹驤拸榔夾擺 路城播夥餘躌 銹 鎡箜殂﹃君 劬螂

備 註 :針 對 沒有稽核經驗 的人 員,下 C︳ C仍 遵循 ︳
SO27006:20︴ 5以
下要求
d)在 履行稽核 員職 責前 ,已 獲得評估 資訊 安全 完整過程的經驗 。
比經驗之獲得係 經 由參與 至 少四次 的 ︳ SMS驗 證 稽核 ,包 括 重
新 驗證和追查稽核 ,總 計 至 少 20天 ,其 中至 多 5天 可 以來 自
追 查稽核 ,此 之 參與應 包括審查文件和風險評鑑 ,執 行評鑑和
稽 核報告

皤帥
;

◎ by下 C︳ C Modu︳ eㄥ S︳ ide93

SAˊ lS稽 核 員必備之教育程度 、

︳ 工作 經驗 、 ﹏

釐籈 罈
稽核 員訓練及稽核 經驗 SO2了 006汁 3 (｜
— —

鏺騶 鑈♁ 鑼 鋒黦盼鐊 才
洪 除 了稽 核 員的要 求外 ,遴 選稽 核 小 組 長 之規 範 應確
保 該稽 核 員 :

SMS稽 核 。此之 參與
a)積 極 參與 至 少 3件 完整的 ︳
翰黮 鎀 分

應 包括初 步 的範 圍界 定和規 劃 ,審 查文件和風險評

鑰颻 抑

鑑 ,執 行評 鑑和 正 式的稽 核報告 。
兟“鐊龘搦螂軟鍰 擊籀 夥鑑轟 鏺 械券冷抑 宮 緲師
鬱粹

◎ by下 C︳ C
odu︳ eㄥ
山心 s︳ id。 94
 稽核小組的能力 SO27006)一 η
(︳

π舐口
β
一般 要求 — — —

鑰簸錛鍛 鑼 鑰黤綁鐖 妳
汁 稽核 小 組成 員背景經驗 、特定訓練 或簡介 之 規 範 ,

至 少確保 :

a)對 資訊安全的知識 ;

b)對 受稽核活動的技術知識

鏺黤鑼 〝
;

c)對 管理 系統的知識

塕黤輕
;

d)稽 核原則的知識

颻小
;

坲籛鑰轉欺鍛 罕羅苓錯鑨 鑰 蟻壁饉ㄏ各 劬榔

註 :有 關稽核原則詳細資訊請參照 ︳ SOη 90﹁ η。
SMS監 督 、評量 、分析和評估的知識 。
e)對 ︳

>上 述 a)至 e)項 要求適用於稽核小組之所有稽核 員 ,

．
l任 b)項 除外
,它 可由稽核小組稽核 員共同分擔之 。
汁 稽核小組應有能力從 客戶 ︳ SMS資 訊安全事故指標
回溯至適當的 ︳ SMS項 目 。

幼外
◎ by下 C︳ C
M° du︳ e可 S︳ de95
︳

稽核小組的能力 SO27006)-2
(｜

一般 要求
彿籛鎀妙 饑 鑰黤盼鑰 本
汁 稽核小組應具上 列各項的適當工作 經驗及其實務應
用 (這 不表 示稽核 員要有資訊安全各領域之 完整經
SMS稽 核範圍
驗 ,．l隹 整個稽核小組 ,應 具備 涵 蓋 ︳
鑰簸齡 岱

的充分瞭解及經驗 )。 .
h鐒
鑈雞坤
籤
黫鑰︴竑♁聖黧 攤舉餵霹 鐒 赫猙玲許在 幼瑯
幼帥

◎ by下C︳ C
Modu︳ e↑ S田 de96
 稽核小組的能力 SO2了 006汁 3 (︳

訊 安 全 管理 技能 、原則 、實務 和技術

銹籛塕移 鑴 鐱籛鉿鑯 研
稽核小組全體成員均應具備下列知識 :

SMS特 定文件結構 、層級和相互關係

a) ｜ ;

b) 資訊安全 管理相關工具 、方法 ,技 術及其應用

鑼攤鈐
c) 資訊管理風險評估和風險管理 ;

SMS之 程序
d) 適用於 ︳

#齺
鷻螂
;

鈜外
e) 可能與 資訊安全相關之現有技術或議題 。

鎗籛鏺坤鍍齵 寧崩
每一位稽核員都應滿足 a),c)和 d)項

繙移碳舞鑰 鎡器路黔≡ 谽攤
翰帥
◎ byTC︳ C Modu︳ eㄥ s∥ de97

稽核小組的能力 SO27006)一 猝 (︳
β舐uβ
﹏

資 訊 安 全 管理 系統 之 標 準和 規 範 文件 — —

鐒繳鑈妙 鑼 鏺籙銹鑨 、
參與 ︳ SAllS稽 核之稽核 員應具備下列知識 :

a)︳ SO月 EC2700η 之所有要求 。

稽核小組全體成員均應具備下列知識 :

b)︳ SO用 EC27002所 有控制項 (若 有必要 ,也 可

鎀雞鎀 ︴

增加特定標準之部分)以 及其實務 ,包 含
鑰羻鄉

η)資 訊安全政 策
籤市

;
協籛齡坤瞞雜聖崔擺寧簽轟 鑈 筋弊玲紳工 黺卹

2)資 訊安全組織 ;

3)人 力資源安全 ;

碎)資 產管理 ;

5)存 取控制 ,包 括授權 ;

6)密 碼學 ;

註 :︳ 控制項I為 了AF︳ SO27006對 contro︳ 之 中文用

妙帥

◎
byⅢ 語 ,等 同CNS2700┤ 之︳ 控制措施︳ Modu︳eㄔ sⅢ de98
 稽核小組的能力 SO27006汁 5 (︳

簽瓶了
π
資訊 安全 管理 系統之標 準和規 範 文件 — — —

鑰黤鑰鍛 鑴 鏻雞鍛鑯 ㏄
7)實 體和環境安全 ;

8)作 業安全 ,包 括 ︳
下一服務 ;

9)通 信安全 ,包 括網路安全管理和 資訊傳輸 ;

η0)系 統取得 、開發和維護

錛籦鏺 沐
;

η
η )供 應商關係 ,包 括外包服務

鈐羻轉
;

2)資 訊安全事故管理
﹁

繳外
;

鐒黫錛郎箋鑑 鞏露笭鈺瑙錛 磁舝理 車 餩妳

3)與 營運持續管理相關之資訊安全層 面 ,包 括
η
重複者 ;

們)符 合性 ,包 括 資訊安全審查 。

幼外
◎ by了 C︳ C
MOdu︳ eㄔ S∥ de99

稽核小組的能力 SO270。 6)-6 (︳

業務 管理 實務
彿籛銹眕 鑼 鑰黰紗鐖 一

參與 ︳SMS稽 核的稽核 員應具備下列知識 :

a)資 訊安全 業界優 良實務及 資訊安全程序 ;

b)資 訊安全之政 策和營運要求 ;

齡灘紼 外

c)一 般 營運管理理念 ,實 務和政 策以及政 策 、目

鐱激郎

的和結果問之相互 關係 ;
鉞︴

d)管 理流程和相關術語 。
銵籛鐒師站路聖絮 攤路簽瑋 鑈 筋貴鐸 崔 ψ坤

註 這些流程也 包括 人 力 資源 管理 ,內 部和 外部 溝
通 以及 其他 相 關支援 流程 。
¢師

◎ by了C︳ C
M° du︳ e可 S田 deη 00
 稽核小組的能力 SO2了 006)-7
(｜ 碅瞴〞孋解 ﹏

靂甄留
靂
客戶 之 業務

齡籛鑰谽 璐 鑰鏈谽鐖 研
參與 ︳SMS稽 核之稽核 員應該具備下列知識 :

a)特 定資訊安全領域 、地域和管轄權之法律和 法

規要求 ;

鑰繳銹 打
註 :法 律和法規要求知識並不 意味 需要深厚的法

鎀灘瑯
律背景 。
b)與 業務相 關的資訊安全風險

颻‘
;

錀簸鐖螂插路啦移瓶錫移箠舞齡 城鼙理好‘ 幼郎
c)與 客戶業務相 關之通用術語 、流程和技術 ;

d)相 關業務 的實務 。

a)項 之規範可由稽核小組共同分擔之 。

鍛帥
◎ by下 C︳ C M° du︳ e碎 S｜ ide﹁ 0︻

稽核小組的能力 SO27006汁 8(︳

客戶 產 品 、流程和 組 織
鋒黦鎙♁ 鑼 鏺黰谽鑯 井

SMS稽 核 之 稽 核 員全體均應具備 下 列知識

參與 ︳ :

SMS
a)組 織型式 、規模 、治理 、架構 、功能與 ︳
鐪雞銹 外

發展和實做及驗證活動問關係之影響 ,包 括外包 ;
塕邏攤

b)宏 觀地觀察複雜的作業 ;
颻“

c)產 品或服務所適用之法律和法規要求 。
銹籧協抪竑鍛聖翟 鑼翠鍛幾 鑼 跡棗蹈 言 谽帕
谽師

◎ by下 C｜ C Modu︳ e｛ S︳ de﹁ 02

︳
 稽核小組的能力 SO2了 006汁 9 (︳

SMS稽 核 小 組 長 之 能力要 求
︳

蹐雞 坳錯 孋 錀鍐 鎗饑
汁 除 了 上 述 要 求 外 ,稽 核 小 組 長應 符 合 下 列要 求
這些 要 求應 在 指 導與督 導 下所 做 稽 核 中加 以證
明

A鈐
:

黮鑰 淋
a)管 理驗證稽核流程和稽核小組之知識和技能

狒雞 螂
;

b)證 明在 口頭和書面兩方面具有效溝通之能力 。

籤︿鑈錘 拂坤玫鑑 玿銘彈苓簽華狒 鉣箜熤ㄉ— ♁一

紛外
◎ by下 C︳ C
deㄇ 03
Modu︳ e4S︳ ︳

π&口 ㄏ
一

齡黫妢鑯 鑼 鑰匙塕小錛籦 螂

管理 系 證 規範
餓→鈐黫 鏻嫵欺胡 寧罨 夥餒路坤

及
Mandato 呼
｛ en七 S〕
拂 球分冷外 可 ♁球
♁好

◎ byTC︳ C
Modu︳ eη s㏄ de鬥 0碎
 ★︳SOη 702可 一 可ConfoΓ mityaSSeSsrnent— —Requirer【╮ entsfo「 bodieS
en七 Systems-Par七
anagerΥ ╮
provid｜ ngauditandcertification ofr︳ ╮
﹏

靂舐 靂
︴:RequiΓ ements符 合 性 評 鑑 一 管 理 系統驗 證 機 構 認 證 規 範 — —

撥
╮
臣態薳歹$窆 垂﹏
′怪 優基乏撥選盔
曲 我批 rm6野 &$$爸 $$路 e破 一 毆eq磁 甚確 無 e九 撫 範 ξ紐$由 佳$
封ca球 ♁出6ξ 維在n在 g兮 m守路七
在旗n建 它e踐 ≡
pr♁v≡ d:m各 a↓ 益子
Ⅶ 哦 兮路 〦 一 Pa雄 交:艮 兮件球:雖 m兮 外在$ 管理 系統驗證 璣構
認 證 規 範
(｜ s。 ′
｜ °
Ec︴ 了2︴ -竹 2° ︴
S〉

緞
A呂S了 又AC了 P剛 助

EC生 7621-上 :26仁 5ε σnta子 n∫

S0↙ 〡
〡 pr︳ p!eε
n〔 ｜ and跨 qu｜ 付 的 ent§ 竹 rtheco｜ ↑petence,

hp各 比;爸 〔
ε Ⅱε;每 在enεy母 nd｜ ｜ ≡ n各 在ud;七 守﹏dCe茂 j再 εa︴ ︴
tyoξ bod｜ eSp↙ oγ 心︴ oΠ oΓ a︳ ︳七
y伊 es
。

女 人
鈇年

李毋
蘿
邁
蜜
盆祥
法 氏

兮
鉣 中

人
°了mε 舟守喜emε n七 Sys掐 的 S.

。
才
一

一
◎byTC｜ C Source:&奇 毛p$ :〃絲內Ψ四｜
子$o.eFa′ Modu︳ e#S山 de鬥 05

D ★
︳So2了 006｜ n了or︳ Ⅵation techno︳ ogy— —SecuΓ ity七 echn子 queS— —
entsfoΓ bodieSproVid︳ ngauditandcertifica七 ion o了 inforrΥ ╮
Requi「 er︳ ╮ a七 ion

ymanagement systemS
Se● u︻ 七

鑈
職

盆$撬 多′
$♁ ′距缸且t$@番 工
丑 透♁乏♁
茂雄毌塵工
e〔 r｜ t兮 Chn｜ queg一
!n路 r出 $t｜ ° mt兮 ε ㄦ 碓 ♁ 紐
一
〦 狂
針 竹

又兮竹伍子 teme銘 tSfbrㄙ 岱硅去 兮$umΥ :d｜ nga出 d｜ 在an在

ε兮皮 球 仁放 :° 雄 °f子 竹拓 rm斑 :♁ 雄 脫 出 r｜ 竹 跟 在銘 #效 兮無t
q出
$t兮 路 § A缸 在 m兮 出 在 上
一
印
螂

資訊安全管理 森銃
邱

故證機構認證規範
睞

【
兮
幣

ㄑ｛ !日 C27°
S。 了 6:2° ｛ SAMD十 2。 2° )
。
﹍

GEHE球 L︳ 雄℃ R鰍了16與 $
﹉

PRⅢ 班

V 承tuS: ° Pub︳ 子
∫在

εd社 :。 n:〕
§︴ed
十 9ut七 :‘本妳o且 速在逸 :20全 6一 o?

ⅣtmjerofP色 各εε:2

谽
谽
粹

◎ byTC︳ C Source:m鞋 ps:/鮞 iS♁ .or¢ ′ Modu︳ e6s︳ ;de可 06

 驗 證 程 序 Gertif:cationProcedu「 e

第 一 階段 稽 核 工作 重點 一η
Stage一 η lVOrk︳ ngiternS
、
鋒籛 嫋谽 鑼 鑈黮谽鑰 本
ˊ 初 次驗證 稽 核
▓ 管理 系統 之 初 次驗 證 稽 核 應 以 兩 階段 執
行 :第 一階段 與 第二 階段 。
鐑簸 搦 外

▄ 第一階段
鐱羧 鄉

汁 規 劃應確保 可 以 符 合 第一階段 的 目標
城市鋤籦 錫姊欺鋸 寧窈

且 應 在 第一階段 期 間告 知 客戶任 何
「現 場 」活動 。
鵝驚簽璅 鎀 貓第遰彳音 銹的
妙抔

◎ byTC︳ C
資料 來源 :︳ Soη 702仁 η:20︴ 5 M。 du︳ e碎 S︳ ;de↑ 08
 第 一 階段 稽 核 工作 重點 一可 躝睏比齲醒

靂弛躩
#

s
ⅣorkingiteⅣ ︳
Stage一 η札

鑮灘佛紛 鐋 齡黫 鎀鵝 “
ˊ 第一 階段 稽核應幸 丸行
a)審 查客戶之管理 系統文件化 資訊 ;

b)評 估 客戶之地點與特定現場狀況 ,並 與客戶

鐒攤 鏺 跡
人 員討論 ,以 決定第二階段稽核的準備事項
c)審 查客戶之狀況及對標準相關要求之 了解

瞈羻 姊
,

籤妳
特別是關於 管理 系統的關鍵績效或重大事項

鐊籛 銹螂數鍰 翠露 夥鐋嬸帥
過程 、目標與運作之鑑別 ;

d)取 得管理 系統範圍內之必要資訊 ,包 括 ;

一 客戶 的場 區 ;

彿 缽舝饉〃君 嬐榔
一 使 用 的流程 及 設 備 ;

一 建立的控管程度(尤 其是多場 區客戶);

一 適用的法令規章之要求 ;

鍛帥
◎ by下 C︳ C 資料 來源 :︳ SO︴ 了02仁 ︴:20可 5 Modu︳ eㄥ s︳ ide可 09

第一 階段 稽 核 工作 重點 -2
Stage一 可$Ⅳ ork︳ ng｜ tems

銹黰 銹鎀 鑼 銹黫盼鑱
e)審 查第二階段稽核 資源之配置 ,並 與客
戶協定第二階段稽核之細節 ;

f)結 合可能的重要事項 ,獲 得 充分了解客戶

$搦
黝鎀“

管理 系統及現場運作情形 ,以 便為規劃第
鑰邇 坤

二 階段 稽 核 提 供 重點
魏市

g)評 估客戶是否 已規劃與執行 內部稽核及 管

鐒齉 銹珅欺餵 翠撬 夥離鶢 鐪 蹴鉹玲帥 ︴ 谽妳

理審查 ,以 及 管理 系統實施 水準能否證明

客戶 已為接受第二 階段稽核做好準備 。

備註 :如 果 至 少部分第一 階段 是在 客戶 的現
丸行 ,比 舉 有 助於 達成 上 述 目標 。
場章
♁帥

◎所了
C℃ 資料 來源 :︳ SOη 702︴ 一
｛之0｛ 5 Modu!eㄔ S“ de︴ ︴0
 第一 階段 稽 核 工 作 重點 -3
Stage一 η\Ⅳ orkingiterns

鐑黫繗鎗 蠮 錛籛縩鐖 八
ˊ 關於 達成第一階段 目標及 第二 階段就緒狀態的
書面結論 應傳達 給 客戶 ,包 括鑑別在 第二 階段
期 間可能被 歸類 為不符合項 目的任何相 關領域 。

鑈繳 鐒 熟
ˊ 決定 第一階段 與 第二 階段 稽核 間隔之 時間時 ,

蹸黮 忡
應 考慮 客戶解 決 第一階段稽核 時 ,所 鑑 別 引起

籤↑
關注領域 之 問題 的 需要 。驗證 機構 也可能 需要

鑰黫鑈坤欺虣 弩鎡鑼移簽譏鑰 貼鋒理︴— 鎗砵

修 正 其第二 階段 之安排 。若 有任何 重大 改變會
對管理 系統發 生影響 ,驗 證機構應 考慮 是否需
要重複執行 全部 或部分的第一 階段稽核 。客戶
應被告知 第一階段 的結果可能 導致 第二 階段延
後 或取消 。

谽帥
◎ byTC︳ C 資料 來源 :︳ SOη 702｛ 一
｛:20﹁ 5 Modu︳ e4s︳ ide﹁ Hη

第二 階段 稽 核 工 作 重點 一可 十

β也.β
Stage-2∼ Ⅳork:ngitems — —

鏺齬鑈炒 鑼 鏺讓盼鏺 、
ˊ 第二 階段之 目的 ,在 評 估 客戶 管理 系統之 實
施 情形 (包 括 有效性 )。 第二 階段應在 客戶
的現場 進行 。其 至 少應 包括 稽 核下 列事項 :
翰簸蹸 外

a)符 合適用的管理 系統標準或其他規範性

鏻攤郎

文件之所有要求的資訊與證據
颻寸

b)針 對關鍵績效 目標與標的 (與 適用的管

鋒籛錫郴歡覣 瞿電路鋐舉 鑈 插華餵←ε妢坤

理 系統標準或其他規範性文件之期望一
致 ),執 行監督 、量測 、報告及審查 ;

c)客 戶的管理 系統對於符合適用法令規章

及合約要求之能力與績效 ;

d)客 戶過程之作業管制 ;
鎗擗

◎ byTC︳ C 資料 來源 :｜ SOη 702η -η :20η 5 M。 du｜ e兮 S︳ ︳

de﹁ η2
 第二 階段 稽 核 工作 重點 一可 靂颻 靂
﹏

Stage-2札Ⅳork｜ ngitemS — —

鑇黮塕谽 鑴 鎀雛谽鑨 公
e)內 部稽核及管理審 查 ;

f)客 戶政 策之管理職責 。

鎀黤鐒 村
鈐攤螂
皺妳鐖蘿塕的箋鑑 穻霧犖鍜餾帥
鏺 插犩蛪﹁子 鈖妳
紛仲
◎ by了 C︳ C 資料來源:︳ SO┐ 702牛 η:20η 5 Ⅳlodu︳ eㄥ s∥ de鬥 可3

追 查稽 核 工 作 重點 中

彈舐u鍕
SuⅣ ei︳ ｜
anceaudit札 ⅣOrk:ngiterns — —

ˊ 重新 驗證 的 年 度除外 ,至 少每 個 日曆 年應 鏺籩 鏺翁 鑼 鐒黤鈖鑰 一

進行 一 次 追 查稽 核 。初 次驗證之 後 第 一 次
追查稽核 的 日期 ;自 驗證 決定 當 日起 不應
銹鑼 眑 ︴

超過 η2個 月 。
銹籦 珅

ˊ 追 查稽 核 是 現 場稽 核 ,但 未 必 然是 完整 的
甐︴

系統 稽 核 ,其 應與其 他 追 查 活動 一併 規 劃
鐒繳 齡坤竑鋡聖霍 播路聚轟 鑈 城騴冷許 宵 緲師

以便 驗證 機構 能夠 對 客戶 已驗證 管理 系統 ,

於 再 次驗證 期 間持續達成要 求維持信 心 。

盼粹

◎ by下 C︳ C 資料 來源 :︳ SO｛ 702η 一

｛:20可 5 Modu︳ eㄔ S叮 de｛ η
ㄥ
 追 查稽 核 工 作 重點
簽亂 好
anceauditWOrkingitemS
SuⅣ ei︳ ｜ — — —

鐫籦鑰鐒 鑼 錛激鍛鑯 〝
ˊ 針對相 關的管理 系統標準每 次 追查 時應 包
括
a)內 部稽核及 管理審 杏 ;

鑰邏鐒 本
b)對 於先前稽核時 已鑑別之不符合事項所採

齡簸螂
行措施 的審查 ;

航 鑰羷攤林欺磝 聯筋絡路箋傘鐱 鎡墅建ㄏ茶盼螂

c)抱 怨之處理 ;

d)關 於 管理 系統達成 已驗證 客戶 目標之有效

性以及各管理 系統預期的結果 ;

e)針 對 已規劃之持續改善活動的進展 ;

f)持 續的作業管制 ;

g)任 何變更之審查 ;

h)標 誌之使用及′ 或任何其他對驗證之 引用 。

鍛外
◎ by下C︳ C 資料 來源 :︳ SO可 702︴ -︴ :20︴ 5 Modu︳ e→ S｜ ide鬥 η5

重新 驗證 稽 核 之 規 畫︳ 十

′我▌
好
— —

鑼靆鏺鎗 鑼 鐱雞♁饑 必
ˊ 重新驗證稽核 之 目的在於確 認 客戶管理 系統整
體的持續符合性與有效性 ,以 及 其驗證 範 圍的
持續相 關性 與適切性 。重新驗證 稽核應 予 以規
劃及 執行 ,以 評估 客戶持續達成相 關管理 系統
銹麗瞈 何

標 準 或其他規 範性文件 之所有要求 。重新驗證

鑰籧妳

稽核應規劃並 適時舉行 ,使 證 書截 止 日期前及

嬓︴鑈雥鑰螂欺錣 擊轟報餵肆 鑈 拓毋婬胖︴ 紛林

｜ 時更新 。
〡
ˊ 重新驗證活動應 包括審查過去的追查稽核報告 ,

｝
並考慮管理 系統在最近的驗證 週期 內之 績效 。
ˊ 當管理 系統 、組織或管理 系統運作 之環境有重
大 變更 (例 如法律 上 的變更 )的 情形 時 ,重 新
驗證 稽核 活動可能 需要有第一 階段 。
谽帥

◎ ” TC︳ C 資料 來源 :︳ SOη 702仁 η:20η 5 M。 du︳ e碎 S∥ de﹁ ﹁6

 重新 驗 證 稽 核 工 作 重點
ReceΓ tificationauditWorkingitemS

錛籛 鏻翰 鑼 鑰麶 谽鞿 研
╮ ˊ 重新 驗 證 稽 核應 包括 說 明下 列事項 之現 場
稽核 :

a)以 內部及 外部變更觀 點 ,其 整體 管理

銹黤 鎀 然
系統之有效性 ,以 及 其驗證 範圍的持

鐒灘 螂
續相 關性與適切性 ;

籤外
b)展 現 維持 管理 系統之 有效性與 改善

坲籛 鐑姊箋錣 移抾谽緇駕鑼齡
,

以提升 整體績效的承諾 ;

c)管 理 系統達成 已驗證 客戶 的 目標 ,以 及

各管理 系統預期的結 果之 成效 。

塕 航輩理好子 紛抪
ˊ 至於任 何 主要不符合 事項 ,驗 證機構應訂
定 改正 與矯正措施 期 r艮 。改正 與矯正措 施

鎗外
應於驗證 到期前實施並經確 認 。
◎byTac 5 η:20｛
資料 來源 :︳ SOη 702η 一 Modu︳ e4§ ︳
ideη ﹁7

D
重新 驗 證 稽 核
Recertificat｜ on
現動 期 後 如

有 的驗證 截 止 日期 之 前若順利 完成重新驗證 活 錢籛 鋊紗 鑼 銹幾幼鑱

ˊ
,新 的驗證 截 止 日期 可根 據 現 有驗證 的截 止 日
。新證 書的核發 日期應在 重新驗證 當 日或之
$搦
羷鎀 外

ˊ 果 驗 證 機構 尚未 完成 重新驗 證 稽 核 ,或 驗 證 機
鑰雞 坤

構 在 驗 證 截 止 日期 前 無 法 查證 任 何 主 要不符 合 項
籤〦蚴籩 搦師欺銘 擊露 翠建雀 鎙 筋甚砱鉾 — 谽師

目是 否 實 施 改 正 或矯 正 措 施 ,則 不應建議 重新 驗
證 ,且 不應延 長 驗證 的 效 期 。應 告 知 客戶 並 解 釋
其後 果 。
ˊ 驗 證 到期後 ,驗 證 機構 可 在 6個 月 內恢復驗 證 ,

惟汗艮定 已完 成 重要 的 重新 驗 證 活 動 ,否 則 至 少應
進行 第 二 階段 稽 核 。證 書 的有 效 日期應在 重新 驗
證 決 定 當 日或 之 後 ,截 止 日期 應 以 上 一 次驗 證 週
鎗外

◎
”下ClC期 為 依 據 。 資料 來源 S0可 702η 一
:︳ ｛:20█ 5 ︹
田odu｜ eㄥ S︳ ide鬥 ︻8
 特別稽 核 一增 列驗證 範 圍
Specia｜ audits一 EXtensions tOscope

鑰羷攤紛 礔 錀黫給鑯 依
ˊ 驗證 機構 應 對 已授 與 驗證 範 圍之 增 列
申請 ,作 出回應 並 進行 申請審 查 ,以
及 決 定任 何 必 要 之 稽 核 活 動 ,以 決 定

鑈靆鑰 熬
齺黤螂
是 否可授 與 增 列 。此項作 業可 與 追查

欸“
稽 核 一併 執行 。

林
幼外 =盼 鏺黫鑰忡饑鏃 學斷路學箠錙鋨 鎡璻礅′
◎ byTC︳ C
資料 來源 :｜ So︴ 702仁 η:20η 5 M。 du︳ e再 S∥ deη η9

特別稽 核 一臨 時通 知 稽 核 ﹊

π蟲｜
β
Spec︳ a｜ audits一 Short一 noticeaudits — —

鏺鑼鏺紗 鑼 鑰黰鈔鑞 ︴
ˊ 驗證 機構 為調 查抱 怨 或對 變更採取 回
應 或跟催 暫 時終 止 的客戶 ,臨 時通 知
或不 經 通 知 對 已驗證 客戶執 行 稽 核 可
銹難鎀 外

能 是 必 要 的 。在 比 情 形 時
鑰簸抑
瓶

a)驗 證機構應說明及預先讓 已驗證

#鐒
籛鍋師城翁聖聚 播甲簽肆 鑈 拓畢玲黔甘 鐒螂

客戶知 悉 ,執 行稽核訪視之條件 ;

b)因 為客戶缺 少對稽核小組成員提

出異議之機會 ,驗 證機構應特別
注 意稽核 小 組 的指 派 。
♁擗

◎ by了 C︳ C
資料 來源 :︳ So︴ 702﹁ 一
η:20η 5 Modu︳ e6s︳ ︳
deη 20
 暫 時 終 止 、終 止 或減 列驗 證 範 圍 靂颻 靂
﹏

Suspending,withdraWing0r「 educingthescopeofcertification
— —

餩簸 錀劬 鑼 鏺雞谽鑯 衣
ˊ 驗證 機構應有暫時終 止 、終 止 或減列驗證
範 圍之政 策及 書 面化 程序 ,而 且應規定後
續 的措 施 。

縐雞 瞈 ㄙ
ˊ 當有下列狀 況 時 ,驗 證 機構應暫時終 止驗

銹羻 師
證 ,例 如 :

谹妳鎙蠿 齡︴激黐 寧簼 學猣諾攤 械舝製η彥 翰垹

一 客戶 之 已驗證 管理 系統 持 續 地 或嚴 重地 不符
合驗 證 要 求 ,包 括 管理 系統 有 效性 之 要 求 ;

一 已驗證 客戶不 允 許 依 要 求的頻 率 下執行 追 查

或 重新驗 證 稽 核 ;

一 已驗證 客戶 自願 請 求暫 時 終 止 。
ˊ 在 驗證 暫時終 止期 間 ,客 戶 之 管理 系統驗
證 暫時無效 。

掰帥
◎ by下 C︳ C
資料來源:︳ S0可 702仁 η:20-5 M° du︳ e冷 S︳ ide鬥 2﹁

暫 時 終 止 、終 止 或減 列驗證 範 圍
SusPending,WithdraWingorΓ educ︳ ngthesc0peofcertificati。
。

ˊ 若 導致 暫 時 終 止 的問題 已經 解 決 ,驗 證 機 鑼雞 鏺鈖 鑼 鐑籦 鎀鑰 叭

構 應恢復 暫 時 終 止之驗證 。客戶不能在 驗

證 機構 規 定 之 時 間 內解 決 導致 暫時終 止之
鐒鼥 銹 外

問題 時 ,驗 證 範 圍應 予 以 終 止 或減列 。
鋪籦 姊

備註 :在 大多數情況下 ,暫 時終止不可超過六個
籤琦

月 。
鐒籛銹坤插鏤聖幫 璐駂殲騿 鑰 插器玲抔 常 鐒的

ˊ 當 已驗證 的客戶 之 部 分驗證 範 圍持續 地 或

嚴 重地 無 法 符 合驗 證 要 求時 ,驗 證 機構 應
減 列驗證 範 圍 ,以 排 除不符 合要求的部 分 。
任 何 減列驗證 範 圍應與所 使 用驗 證 標 準 之
翰舯

要 求 一致 。
◎by丁 C厄 資料 來源 :︳ SO︴ 702可 -︴ :20可 5 ╮
田odu︳ eㄔ S︳ ide可 22
 AFDocuments一 Mandato呼
︳ Documents #
強制 文 件 靈薽口
嬋
— —

鑰黮 錛盼 鑴 鑰雞餘鑯 休
AF︳ⅥD可 :20可 8︳ AFMandato呼 D° cument了ortheAud㏄ andCer七 i扎 aHon of
︳ ˊ
a〝 llanagementSyst㎝ opeΓ a七 edbyaMuⅢ -SiteOΓ gan矻 a小 on國 際 認 證 論
壇 對 執行 多場 區組 織 管理 系統 稽 核 與 驗 證 之 強制 性 文 件
︳AFⅢ D2:20η 了︳ AFMandat0呼 DOcumentfortheTransferof

鰳籲 鐒 淋
Accred㏄ edCert︳ Ⅱcajon ofManagementSystems國 際 認繃 痯 對 已
認 證 驗 證 之 管 理 系 統 的移 轉 之 強制 性 文 件

翂驗 拂
︳AFⅢ D再 :2022︳ AFMandato呼 D。 cumentfoΓ theUseoflnfoΓ mauon

鍼小
andCorΥ ╮municauon下 echnO︳ Ogy(︳ C下 )forAud㏄ ing/Assessment

塕籛 鑰郎毀黐 聯竑路嗧簽攤帥
PurposeS國 際認證論壇對應用資訊及 通訊科技 C下 )於 稽核評鑑 (︳

用途之強制文件
AFⅢ D們 :20可 3︳ AFMandatoΓ yDocumentforApp｜ icauon of
︳
SO/︳ ECη 702﹁ 了
︳ ntegratedManagernentSystemS
0Γ Aud㏄ So了 ︳

MS)國 際認證論壇對︳

錀 妳蜜蛪ㄏ— ♁妳
(｜ SO.｜ 巨C可 702可 應用於 整合性管理 系統稽
核之強制性文件
AFⅢ D26:2● 22TRANS｜ 下︳
︳ ONR巨 QU︳ REM巨 N下 SFOR
SO/｜ EC2700η :2022國 際 認 繃 S○ EC2700可 :2022轉

谽外
｜ 瘧對︳ /︳

版 要 求 之 強制 文 件
◎byTC︳ C S° urce:#tps:〃｜
a了 .nu′ M。 du︳ e可 S︳ de﹁ 23
︳

AFⅢ D可 :2● 可8國 際認證 論壇 對執行 多場

｜ ﹏

′&π
區組 理 統 核 驗 證 之 強 性 文件 — —

ˊ 多場 區紅 錢驗 證之 資格 銹黵錛妙 皤 鑰籦紛鑰

▅ 組 織應 具備 單 一 管理 系統 。
▆ 組 織應 定 義其核 心 功能 。核 心 功能 為 組 織 的一
部 份 ,不 得轉 包給 外部 組織 。
#銹
難佛 外

▅ 核 心功能應 有 定義 、建 立和 維護 單 一 管理 系統
鋤雞坤

之組織權 限 。
鉞、

▋ 組織單 一 管理 系統應 為集 中化 管理 審 查 。
壣譊錛螂欺鍰 鞏簼學鍰幾 鏺 描登餵好甘 幼師

▋ 所有場 區應按 照組織 的內告r稽 核 計 畫辦 理 。

♁師

◎ byTC︳ C
Source:h故 p$:〃 ｜
a了 .n田 Modu︳ eㄔ s｜ ;deη 2ㄥ
 AFMD▋ :2● 可8國 際認證 論壇 對執行 多場
︳
區組 核 與驗證 之 性文

齡皺狒谽 鑴 銹籩艕撥 外
ˊ 多場 區組織驗證之 資格
▆ 核 心功能應 負責確保來 自於所有場 區數據 資料
的收集和分析 ,並 應能夠展現必要時有權 限和
能力啟 動組織變更 ,但 不 r艮 於

銹籛鐒 林
:

◆)系 統文件化和 系統變更

鈐齷 叫
;

φ→管理審查

鋮小
;

錢麶銹坤欸鑗 犁嵹苭箍磯鑰 貓犩理

φiψ 抱怨 ;

(什 )矯 正措施評估 ;

(v)內 部稽核規 劃和 結果評估 ;及

(Ⅵ )適 用標 準之法令和 法規 要求 。
▊ 注 意 :核 心功能來 自組織 的最高管理階層 ,其
營運管制與權 力遍及每 一場 區 。核心功能不一

r子
銹姊
定必須設於 單一場 區 。

幼帥
◎ by下 C︳ C
Source:h投 pS:〃 亡
接手.nu′ 山︳
odu︳ e玲 S︳ de可 25
︳

-8國
AFMD可 :2●
︳ 際認證 論壇 對執行 多場
區組 理 統 核 與 驗證 之 強 性 文
ˊ 取樣 鑰籛 鏺鬱 鐖 鑰籛幼鑰 、

▋ 樣 本應根據 下 列 因素部 份取樣 及 部 份 隨機選 取

,並 應從 不 同場 區選取 以達 到具代表性 的範 圍
,確 保 驗證 範 圍 內的所 有 流 程都 經過稽 核 。
銹議 拗 妳

■ 樣 本 中至 少應 25 °
銹籮 坤

█ 考 量 以 下 的選取 外 ,其 餘 樣本 的選取應
皺︴

以在 證 書有 效 的期 間內 ,對 所 選 取廠 區 的差異
鐕雝 齡師鎡鬱堅鯬 錦郛硪讓 鏺 描第跆帥 章 鍛姊

性 是儘 可能 愈 大 愈 好 。
▆ 場 區選 取應 考慮 以下 幾個 方 面 :

>對 場 區之 內部稽 核 與 管理 審 查 或過 去驗證 稽 核 之結

果 ;

洪 有 關抱 怨及 其他相 關矯 正及 預 防措施 事項 之 紀 錄 ;
鎀帥

◎ 盯 下C｜ C
Sou「 ce:h︴ 七
p$:〃 :嶺 了
.&吐 r M° du︳ eㄥ S山 de｛ 26
 AFMD仇 2● 化 國際認證 論壇 對執行 多場
︳
餒瓶 靈鬾
才

區組 理 統 驗 證 之 強制 性 文 — —

鐖黤瞈谽 鑴 鐱黤鋒鑯 站
洪 場 區規模有顯著變更 ;

汁 輪班型式及作 業程序 變更 ;

洪 在場 區進行 的管理 系統及流程 之複雜性 ;

>自 前次驗證 稽核後之變更 ;

>管 理 系統的成熟度及組織 的知識

錛激銹 小
;

洪 環境管理 系統所環境考量 面及相 關環境衝擊 之環境

瞈雞螂
議題及相 關範 圍

颻外
;

洪 文化 、語 言及法規的差異

鑰黫鏺琶 途卹聯磁播雀箠蓊鐱 磁鑽弊 音 妢姊

;

>地 理 分佈 ;以 及
洪 場 區是否為永久性 、臨 時性或虛擬 的 。
▋ 樣 本選 取 工 作 不 必於 執行 稽 核 過程 開始 時完成
,亦 可在 完 成 核 心 功能 之 稽核 後 完成 。在 任 何
情 況 下 ,均 應將選取作 為樣 本 之 場 區告 知 核 心
功 能 。告 知之 方 式得採 臨 時 通 知 ,但 仍應 為稽

鉻師
核 準備 預 留之 充分 時 間 。
◎ byTC︳ C
Source:h社 ps:〃 ｜
a了 .n$′ 山︳
odu｜ eㄥ S︳ :de︹ 2了

-8國
AFMD可
︳ :2● 際 認證 論 壇 對執行 多場 ﹏

β找口
π
區組 理 統 驗 證 之 強制 性 文 — —

ˊ 樣本 規模 鑈黦鰳妙 鑼 鑰邏紛鑯 ㄞ

▅ 每 次 申請每 多場 區 的取樣 時 ,驗 證 機構 應 子
以 記 錄 ,並 證 一
明該 組 織確 實根 據 本 文 件運作 。
▅ 每 次 稽 核 之 場 區 最 少數 目如 下
鐊灘鑰 外

汁 初 次 稽核 :樣 本規模應等於場區數 目之平方根
鑰籧坤

(y=依 ),且 無條件向上進位成至整數 ,其 中 ,y=要

餓本

被取樣 的場區數 目 ,X工 場 區總數 。

鎀籛銹抪瞄玲聖翟 將帑覝舉 鑰 筋崔餵

汁 追 查 稽 核 :年 度追查之樣本規模應等於場 區數 目
之平 方根乘以 0.6(y=0.6弦 ),且 無條件向上進位 成
至 整數 。
汁 重 新 驗 證 稽 核 :樣 本規模應與初 次稽核相 同 。但
若 管理 系統在驗證 週期內證 實 已發揮其效果 ,則 樣
本規模可減為 :y=0︳ 8依 ,且 無條件向上進位 成至整
u毒
幼坤

數 。
紛師

◎ by下C︳ C
Source:h投 ps:〃 工
a了 .n﹏ ′ M° du︳ e可 S︳ ideη 28
 AFMD一
︳ 可8國 際認證論 壇對執行 多場
=2●
邇騮翔豳麟 ψ

籚颻 靂
區組 理 統 核 與 驗 證 之 強制性 文

瞈雞銹谽 鑴 錛夒谽麟 本
▌ 核 心 功 能應 在 初 次驗證 及 每 一 次 重新驗 證 稽 核
時進行 稽核 ,且 至 少每 一 日曆 年 進行 一 次 ,做
為 監督 的 一 部 份 。
■ 如 果 經驗證 機構針 對 申請 驗證 之 管理 系統所 涵

鋒鑼鎀
活 動 進行 風 險分 析 後 ,發 現 在 下 列 因
蓋 之 流 程′

$塕
鸂螂
素 中出現任 何特殊 狀 況 ,應 增 加 樣本 規模 或頻

籤公鎀黫銹師毿黐 夥插瑙捗鍐霹銹 鎡犩聚′多 劬妳

率 :

>場 區之規模 及 員工之數 目 ;

>流 程/活 動及 管理 系統之 複雜性 或風險程度 ;

洪 作 業方 式變動(例 如輪班 工作 );
>所 採取 流程/活 動之 變動 ;

汁 抱 怨及 其他相 關矯 正及 預防措 施之紀錄 ;

洪 任何 多國性 質之考量 ;

>內 部稽核 及 管理審 查的結果 。

谽押
◎ by下 C︳ C
Source:h音 七
ps:〃 了
…n吐 ′ Modu｜ e6S｜ ︳
deη 29
=爸

AFⅢ D什 2● 可8國 際認證 論壇 對執行 多場

︳ ﹏

β舐口
好
區組 理 統 核 驗 證 之 強制 性 文 — —

▅ 當組織之各分支機構係採取層級式架構 (例 如 鋪黦 鐒谽 鑼 銹繳 鎀鐖 弟

:總 部 (中 央 )辦 公室 、國家型公 司 、區域型
辦公室 、地方分支機構 ),則 每一層級之初次
稽核準用前述之取樣模 式 。
鐑雞 鎀 缶
螉籩 媩

▊ 區域型辦 公 室之 樣 本 必 須 包括 至 少 一個 由各 自
皴︴聯錘齡碎竑雜聖窯 轉蹛窮讓 鐒 插券路掛 宵 妢的

的 國家型 公 司所控 制 之 區域 型辦 公 室 。地 方分
支機構 之 樣 本應 包括 至 少 一 個 由各 自的 區域 型
辦 公 室所控 制 之地 方 分 支機 構 。如 此 可 能造 成
每 個 層 級 的樣本規模 超 過 最 小樣 本 規模 。
♁粹

◎ byTC︳ C
Source:h從 p$:〃 :接 了︴
外↓′ Modu︳ eㄥ S︳ de︴ 30
︳
 AFMD伙 互0η 8國 際認證 論 壇 對執行 多場
︳
r蟲嫠蚳
才

區組 理 統 核 驗 證 之 強制 性 文 — —

鐖靉鑰蚡 鑼 鑰灘艙鑯 式
■ 取樣流程應 為稽核計畫管理 的一部份 。任何時
候 (即 規劃追查稽核 以前 ,或 任何 組織場 區變
更其結構 之 時 ,或 獲取新場 區並將該場 區新增
到驗證範圍的情況下 ),驗 證機構應審查稽核

鑈黮鐒 本
計 畫中預知 的樣本 ,以 便在稽核樣本確定前是

齡雞螂
否 需要調 整樣本規模 ,以 達到維持驗證 的 目的

餓外鑈黫鏺碎故鏃 瑙城舉苓錶譏 鏺 拼華饉ㄏ爸 谽缽

銹擗
◎ byTC︳ C
Sou「 ce:h社 ps:〃 ｜
爸f.nu′ M。 du︳ e碎 S︳ ︳
deη 3η

AFMD▅
︳ :2● π8國 際 認證 論壇 對執行 多場
區組 理 統 驗證之 制性文
ˊ 稽核 方案 彿麶鑰妙 皤 鋒纖♁鐑 才

▅除了︳ SO/︳ 巨C﹁ 702牛 ﹁:20η 5第 9.η .3條 款 的規

定外 ,稽 核 方 案應 至 少 包括 或參 考 以 下 :

汁 每 一場 區提供 的流程 /活 動
銹籬齡 外

汁 確 定 有 資格被 取樣 的場 區 以 及 不 可被 取樣 的
鐱黫坤

場區
戧︻

;
錛擻協妳琳路聖黧 緇舉錄霹 鋊 協雀蛪γ甘 鍛妳

汁 並且 確 定取樣 所 涵 蓋的場 區 以及 不 涵 蓋的場

區。
▋ 在 決定稽核 方 案時 ,基 於欲 稽 核 組 織特 定 配 置
,對 於 不 列 入 稽 核 時 間之 活 動 ,諸 如 交通 、稽
核 小 組 討 論 、稽核後 會議 等 ,驗 證 機構 應提供
額 外足夠 的時 間 。
備註 :欲 稽核之過程若具備適合遠端稽核性質 ,便 可進行該
紛帥

項 技 術 (參 照 ︳ AFMD猝
S○ 用主Cη 702η 一可及 ｜ ))。
◎byTC︳ C Source:h牲 ps:〃 ︴
a了 .nu了 Modu｜ eㄔ s︳ de● 32
︳
 AFMD可
︳ :2● 可8國 際 認證 論 壇 對執行 多場 蠐 竹

靂兙麤舐
區組 理 、
統 核 驗證之 性文

齡籛鋊鎗 鑼 錛皺谽鐖 Λ
▓ 若任 何 稽核 小 組 成 員超過 一 人 以上之 情 況 下 ,

驗 證 機構應 負責與 主 導稽 核 員共 同鑑 別各稽核

內容與各 場 區所 需技術 能 力 以指 派 適 當成 員進
行 稽核 。

銹纖鈐 恥
錀籛班
ˊ 計 算稽核 時間

鏚外
▅ 符 合規 範 資格 的 組 織 可 包括 可取樣 的場 區 、不

鑰雞鋤拂鍍鑑 路磁聯移籦瑵鐱 筋鋒是β— 嬐師

可取 樣 的場 區 或者 兩者 的 組合 。無論 組 織 的結
構 如 何 ,稽 核 時間必須 充份 以 進行 有 效 的稽核

▊ 除 非特 定方 案 已預 先排 除 ,否 則縮 減每個 取 樣
場 區 的稽 核 時 間應 不得 超 過 50o/o。

谽帥
C
◎ by孔 ︳
Source:h之 走
ps:〃 :a了 .nuˊ Modu︳ eㄥ S︳ ide｛ 33

-8國
AFMD什 2●
︳ 際認證 論 壇 對執行 多場
區組 理 統 核 與 驗 證 之 強制 性 文
ˊ 計 算稽核 時 間 銹纖鑈♁ 鑼 錛攤谽鑰 打

▓ 符 合規 範 資格 的 組 織 可 包括 可取樣 的場 區 、不
可取樣 的場 區 或者 兩者 的 組合 。無論 組 織 的 結
構 如 何 ,稽 核 時 間 必 須 充份 以 進行 有 效 的稽核
錀繳銹 年
齡籛抑

▓ 除 非 特 定 方 案 已 預 先 排 除 ,否 則 縮 減 每 個 取 樣
敏打鋒籛鋤轉瓿鋒堅發 鐖嗧鍰舉 鑰 插簽琀掛莒 鎀坤

場 區 的 稽 核 時 間應 不 得 超 過 50°/o。
例 如 :︳ AFMD5所 允許的最大縮 減稽核時間為 30°/。 ,

而由核 心功能所執行 的單一管理 系統流程及任何潛在 的

集 中化流程 (例 如採購 ),其 允許最大縮減時間被 認 為
是20°/。 。
▓ 每 個 選 定的場 區其稽核 時間 ,包 括核 心 功 能 的
要素 ,應 使 用 適 用的 ︳AF文 件計算每 一場 區 的
稽 核 時 間 ,並 且如 有 必 要 ,使 用任 何 適 用的產
紛抔

◎ by丁C︳ C 業 方 案要求計 算 工 作 日 。 s° uKe:蹳 p$〃 路 附r f﹏ M。 du︳ e碎 Smdeπ 3¢

 AFMD2:2● 可了 國 際 認 證 論 壇 對 已認 證 驗
︳
證 之 之強 性文

鎨黮鏺繃 蹸 鑰灘紛鑯 眠
ˊ移轉 驗證
▅ 移轉驗證定義為 ,由 已認證之驗證機構(以 下稱
「接受機構 」)以 核發 自己所擁有之管理 系統證
書為 目的 ,認 可另一 已認證之驗證機構(以 下稱

鑰籛齡 然
「發證機構 」)現 存且有效之管理 系統 。

壣灘螂
皴兮鏺黫鑱姊笑黐 聯磁熪鋒無鐖 錢 筋壨觳〃甘 盼︴
註 :多 重驗證(由 一個 以上 的驗證機構共同驗證
)不 包括於上述定義內 ,且 ︳AF不 鼓勵此
行為 。
Mu︳ tip︳ ecert︳ f︳ cation(concurrent
cert︳ f︳ cat︳ onby!η orethan one
cert︳ ficationbody)does notfa︳ ︳
underthe
nitionabove,andis notencouraged

鍛帥
def︳

◎ by丁 C︳ C
by︳ AR
Source:h蛙 ps:〃 ｜
a了 .nu′ Modu︳ e4S︳ ide﹁ 35

AFⅢ D2:2● 可了 國際 認 證 論 壇 對 已認 證 驗
︳ ﹏

好戤 π
證 之 理 統 之 強 性 文 — —

鈐攤鏺♁ 鑝 鏺獵紛鐖 才
ˊ最低 要 求
驗證 資格 移轉
▋ 只有 經 ︳AF或 區域 M∟A簽 署者 之 簽署 認證 範
圍 內之 ∟eVe︳ 3,適 用 時 ∟eve︳ 碎及 └eVe︳ 5的
銹驤鑰 外

證 書 方得移轉 。組 織持 有 之驗證 未 包含 於 上 述
鐱雛妳

範 圍者應 視 為新 客戶 。
籤才縐籧鑰螂欺鎖 學籀璣撥舞 鏺 航華跨掛甘 谽郴

█ 僅 屬有效 的認證證 書應被移 轉 。 已確 知 暫 時終

止 的證 書不應接 受移轉 。
▋ 如 果取得 驗證 之驗證 機構係屬 已停 止 營業或認
證 已到期 、被 暫 時終 止 或終 止 ,此 類 移轉應 於
成 或驗證 到期 時 以較 早 的時 間為 準
。在 這種 情 況 下 ,接 受機構應在 轉讓 之 前通 知
認證 機構 欲 核發 之驗證 係 屬 於 何者 認證 機構 。
餩擗

◎ by下 C︳ C
Sou「 ce:h故 pS:〃 :a了 .nu/ Modu︳ e｛ SⅢ deη 36
 AFMD2:2● 可了 國際 認 證 論 壇 對 已認 證 驗
︳
證 之 之 強制性 文 件

齡籛 鐫盼 鐋 塕皺幼鑯 外
ˊ 最低要 求
移轉 前審 查
▅ 接 受機構應有取得 足夠 資訊之流程 以做 成驗證
決定及將 其 流程通 知 移轉 之 客戶 。此提供 之 資

縐籮 蠮 本
訊 應 至 少 包括 驗證週期 之 安排 。

坳雞 螂
▅ 接 受機構應執行移轉 客戶 之驗證 審 查 。此審 查

籤外
應 以 書 面審 查之方 式為 之 ,若 經 審 查後鑑別 出

齡羻 鍋坤繳鍰 嗧城路犖箍謠拂 箍黎廷Γ宮 劬坤

,例 如 ,有 明顯 的 主 要不符 合 ,應 包含赴移轉
客戶執行移轉 前訪視 ,以 確保 驗驗 之 有 效性 。
註 :移 轉 前 訪視 並 非一 坎 稽 核 活 動 。
▅ 接 受機 構 應 決 定 參與 移 轉 前審 查 之 人 員能 力要
求 。此 類 審 查可 以 由 一 位 或 一位 以 上 之 人 員執
行 。執 行 移轉 前 訪 視 之個 人 或小 組 應 具 有與 可

盼帥
審 查該 驗 證 範 圍之 稽 核 小 組 相 同之 能 力 。
◎盯下C C︳ Source:h址 ps:〃 工
φi↑ 坐
上 Modu!eㄔ s︳ :de可 37

AFⅢ D2=2● 可了 國際 認 證 論 壇 對 已認 證 驗
︳
證 之 理 統 之 性 文
鑈雥鐒♁ 鑼 鑈黤紛鑯
■ 審 查須 涵 蓋下列層 面 ,所 有發 現應 完整 並將 其
書 面化 。
φ)確 認 已驗證 客戶 之驗證 屬 於 發 證 機構 及 接 受
機構 之 已認證 範 圍 內
$齡

;
灘齡 外

◆ψ確認發證機構之認證範圍屬於認證機構之
鐱黤坤

A/l∟ A範 圍
颻︴

◆iψ 尋求移轉之原 因
鐒籛銹師瞞路聖翟 擺聯簽幾鑰 械羷玲所︴ 錯師

(吋 )想 要移轉驗證的場 區持有有效的已認證之
驗證 ;

U
♁帥

◎ by下C︳ C
SOurce:h址 p$:〃 ｜
砝串.n“ ′ Modu｜ e冷 S︳ ide鬥 38
 AFMD2:20仃 國際 認證 論 壇 對 已認證 驗
︳
證 之 理 統 之強 性 文

槲簸鑰鍛 鐖 鑰黤皴鏹 必
(v)初 次驗證 或最近 一 次驗證之 稽 核報告 、最近
一次之 追 查報告 ,及 所有 由此類 報 告所提 出
之 顯著不 符合 項 目之 狀 態 ,以 及 可行 時 ,驗
證 流程相 關之 書 面化 文件 。若 這些 稽核報告

銹黮鎀 熬
無 法取得 ,或 追查稽 核報告 、重新驗 證 稽核

齡簸碑
報告無 法於 發 證 機構 規 劃 之 稽核 方 案期 間完

觬外
成 ,此 類組 織應被 視 為新客戶 。

錛簭鐱妳欺覯 甥銥緇琌簽發錀 城安理ㄏ任 妢師

(Ⅵ )所 收到的抱 怨及 採取 的措 施 ;

(Ⅵ ︳
)建 立稽 核 計 畫及 稽 核 方 案之相 關考 量 。若
可行 時 ,發 證 機構 建 立 之稽核 方 案須 加 以審
杏 。
(Ⅵ i︳
)移 轉客戶 目前在 法律上與驗證範圍相 關對
符合法定機構的義務 。

鍛帥
◎ by下 C︳ C
Sou「 ce:h之 t鉒旦〃工
爸了.nu′ M° du｜ e碎 S︳ ideη 39

一
AFMD2:2● 可了 國 際 認 證 論 壇 對 已認 證 驗
︳
證 之 之 強 性文
ˊ移 轉 驗 證 鋊攤鍋♁ 鑼 鐒灘◇鑰 ︴

▓ 除符合下述情況 ,否 則接受機構不應核 給驗證

子移轉客戶
)已 查證 主要不符合之改正及矯正措施之 實施
鋪雞鑰 如

(︳

φ︳)已 接受移轉客戶對次要不符合之改正及矯正
鑰羻坤

措施計畫
籤帝

▓ 若移轉前審 查(書 面審查及/或 移轉前訪視)已 鑑

鐒錪鐒師欺黐 華擺 聯餵瑋 縐 跡路冷拜君 紗的

別 出妨礙移轉完成之議題 ,接 受機構應視移轉
客戶為新客戶 。
▊ 接受機構應將 此類情況之合理理由書面化並 向
移轉客戶說明及保存 紀錄 。
鎗擗

◎ by了C｜ C
SouΓ ce:h故 ps:〃 工
a了 .nu′ M。 du︳ e碎 S田 deη ㄔ0
 AFⅢ D2二 2● 可了 國際 認 證 論 壇 對 已認 證 驗
︳ 淺豳路曲齖 竹

靂甄 靂
證 之 理 統 之 性 文

彿雞僯砏 聯 狒麶鏺鐖 外
▅ 接 受機構 應 遵循 依 據 ︳ SO/︳ EC﹁ 了02仁 η:20▅ 5

第 9.5節 規 定之 正 常驗證 決定流程 ,包 括 驗證

決 定 人 員與執行 驗 證 移轉 前審 查之 人 員不 可相
同。

銹繳鋒
■ 若 移轉 前審 查未發 現任 何 問題 ,驗 證 週期應 依

$翂
據 原 驗 證 週期 ,且 接 受機構 應針對未 完成 之驗

鑼螂
鈚介
證 週期 建 立 稽 核 方 案 。

鑰麴鐱垹毀黐 璣鎡侈學錯播帥
註 :接 受機構 可於 驗證 文 件 引用移轉 客戶 之 初 次驗證 日
期 ,以 表 明係 於 何 時為其 他驗 證 機構 之 客戶 。
▅ 若 接 受機 構 於 移 轉 前審 查後 須 將 移轉 客戶視 為
新 客戶 ,驗 證 週 期應 始 於 驗 證 決 定 。

銹 航曌建η— 妙跡
▊ 接 受機 構 應 於 追 查 或 重新驗 證 開始 前 即 完成 驗
證 決定 。

谽帥
◎ by了 C︳ C 追ps:〃 君
Source:乩 帝 af.&u′ Modu｜ e4S︳ ide┐ 碎︹

AFⅢ D2:2● η了 國 際 認 證 論 壇 對 已認 證 驗
︳
靂鬾◤
露
↓

證之 管理 統 之 強制 性 文 — —

ˊ 發 證 機 構 與 接 受機 構 間之 合 作 銻雞銹鎀 鐖 鎙黦劬鑰 升

▋ 發 證 機構與接 受機構 問之合 作對於驗證 有效 移

轉 的 流 程 及 完整 性是很 重要 的 。當接 受機構 有
要 求時 ,發 證 機構應提 供 本 文件所要求之 所有
銹黮鏘 外

相 關文 件 或資訊 。若接 受機構 不可能與發 證 機

鑰籛姊

構 溝通 時 ,則 應 記錄原 因且 盡全力從 其他 來源
籤︴鎀籛鎀師欺齵 擊的

取得相 關資訊 。
▓ 移轉 客戶應授權發 證 機構提 供接 受機構所 需要
的資訊 。若 組織 已通知發證機 構 要移轉 驗證 ,
擺學緩瓖鏺 筋器玲紳言 鎀師

發 證 機構 不應在 組 織 仍 符 合驗 證 要求的情 況 下
,暫 時 終止或終 止組 織 的驗 證 。
鎀外

◎ 盯 下C︳ C
SoUrce:乩 筑p$:〃 :發 了
.n吐 r m〔 odu︳ eㄥ s｜ de︴ 可2
︳
 AFⅢ D2:2● 可了 國 際 認證 論 壇 對 已認證 驗
︳ ︴

蛋紈 釐
證 之 理 統 之 、
制性 文 — —

辮黤 鑰谽 擺 錛靆 給鑯 研
▊ 接受機構及/或 移轉客戶於發證機構發生下述情
況下 ,應 聯絡發證機構之認證機構 :

φ)不 提供接受機構 必要的資訊

φ︳)沒 有理 由即暫時終止 或終 止移轉客戶的驗

鐱黮 錛
證
▌ 認證 機構應 有程序 規 定 此 情 況 ,包 括 當發 證 機

$鑯
簸螂
兟兮
構 不與接 受機構合作 ,或 沒 有任 何 理 由暫 時終

鏺嚴 姆妳欺黐 擊撥 硌笠器鐱 磁蜜姓〞

止 或終 止 客戶驗 證 時 ,認 證之 暫 時終止 或終 止
處理 方式 。
▊ 當接 受機構核發 移轉 客戶驗 證 時 ,應 通 知發 證
機構 。

!妢
師
劬師
◎ by下 C︳ C
Source:h近 ps:〃 ｜
爸了.nu/ Modu︳ eㄥ s︳ ideπ ㄥ3

AFMDη :2● 可8國 際認證 論壇 對應 用 資訊及

︳ ﹏

ㄏ&r
通訊科技 ︳CT 於 稽 核 /評 鑑 用途 之 強制 文 件 — —

鑈黮縐鎗 鑴 鑰籛妙鑞
C下 的範例 ,包 括 但 不 限於
ˊ 稽核 /評 鑑 期 間使 用 ︳ :

▋ 會議 ;以 電話 會議 設施 為 工 具 ,包 括 音 訊 、視
訊 與 資料 分 享
▅ 透過 同步 (即 時)或 非 同步 (適 用 時)遠 端存取 的方
$協
灦協 何

式 ,稽 核/評 鑑 文件與 紀錄
鐱黫姌

▆ 利 用磁 卡攝影 、視 訊 或音 訊錄 影 記錄 資訊 與 證
飆打齡籧鑰一竑鬱聖黧 鍋路幾盞 齡 磁器玲討值 谽的

據
▅ 針對遠端 或有潛在危 險的位 置提供視 覺ˊ 音訊 的
存取功能
♁師

◎ by了C︳ C
Source:h投 p$:〃 :a了 .n以 / Modu｜ eㄥ s｜ ide鬥 46
 AFⅢ Dㄥ :2● 可8國 際認證論 壇對應 用 資訊及
︳
通訊 科技 ︳C下 於 稽 核 /評 鑑 用途 之 強制 文 件

鐖巍銹艕 濌 鐱巍鎀鑈
ˊ 有 效 的應 用 ｜C下 於 稽核/評 鑑 用途 之 目標 包括 :

▋ 針對 ︳ C下 的應 用 ,提 供 靈活且 非 規 範 性 質的方
法 ,以 提升傳 統的稽 核 /評 鑑 過程 。
▅ 確保 有 充分 的控 管措 施 ,避 免 因為濫用而損 害

A鈖
幾鏺 打
稽 核′
評鑑 過程 的完整性

鈐蘶抑
▅ 保持安 全性 與永續性 的原 則

颻外鍋蕤鐱坤繳鎖 肇露夥箋器紛 妳雀理好工 鬱坤

′
也 ’以確保 維 護 整個 稽核 /評 鑑 過程 的安
ˊ 應採 取措 方
全性 與保 密 性 。

銹帥
◎ by下 C︳ C Source:h堆 pS:〃 ′ 山︳
odu︳ e再 S︳ de可 45
｜
=af.n以
)
AFⅢ D再 :2● ▋8國 際認證論 壇 對應 用 資訊及
︳
一 通訊 科技 ︳C 於 稽 核 /評 鑑 用 途 之 強制 文 件
一
ˊ 虛擬 場 區 鏺籩彿鬱 鑼 銹黮盼鑰 、

■ 客戶 組 織 利 用線 上 環 境執行 工 作 或提 供 服 務 的
虛 擬 地 點 ,允 許 不 同實 體 地 點 的 人 員執行 流 程
蠮羻鈐 本

備註 ︴:必 須在實體環境執行 的流程不能認定為虛擬場 區 ,

鑰黫姆

例如 :倉 儲 、製造 、物 理 測試實驗 室 、實體產 品安

巍

裝或修 理 。
h銹
籩齡師欺鍰 寧露筠錶繅 鐒 描崔婬拜官 鎗師

備註 2:計 算稽核/評 鑑 時間時 ,虛 擬場 區(如 公司內部網站)

被視為單一場 區 。
餩掛

◎ byTC︳ C SOurce:比 左p單 :空 ︳

接f.外 吐r Modu︳ e碎 S∥ de可 66
 AFⅢ D#:2● 可3國 際認證 論壇 對應 用 資訊及
︳
通訊科技 (｜ C下 )於 稽核/評 鑑用途之強制文

鏺雞鑰紛 磻 鑰麗谽鑯 必
ˊ 虛擬 場 區
▓ 客戶 組 織利 用線 上 環境執行 工 作 或提供月 艮務 的
虛擬 地點 ,允 許 不 同實 體 地點 的 人 員執行 流 程

錛籛 鍋 林
備註 η:必 須在 實體環境執行 的流程不能認定為虛擬場 區 ,

翰攤螂
例如 :倉 儲 、製造 、物理 測試 實驗 室 、實體產 品安

鉞小
裝或修理 。

撥黫鏺姊欺鍰 犩磁熪路窺講蹸 赫蜜避〃在盼轉

備註 2:計 算稽核/評 鑑 時間時 ,虛 擬場 區(如 公 司內部網站)
被視為單一場 區 。

幼帥
◎ by下 C︳ C
Source:h之 道
ps一 〃｜
a三 ●u′ ╮
刀odu︳ eㄔ s︳ ideη ㄔ7

AFⅢ Dη :2● 可8國 際認證 論 壇對應 用 資訊及

︳
C下 )於 稽核/評 鑑用途之強制文件
通訊科 技 ｜
ˊ 安 全性 與保 密性 要 求 鍋黦 齡谽 鑝 鑰讓妙鑱

▄︳ C下 應 用於 稽 核 /評 鑑 用途 時 ,電 子 或 電子 傳輸
資訊 的安全性 與保 密性 非 常 重要 。
▊將 ︳ C下 應 用於 稽 核 /評 鑑 用途 之 前 ,接 受稽 核 /
$錛
黤齡 外

評 鑑 之 機構 與執行 稽核 /評 鑑 之 機 構 ,雙 方應根
蹸籦師

據 資訊 安全 及 資料保 護措施與 規 定 ,達 成 ︳ CT
餓心鑈讓砩咑欺鍰 瞿羆舉強舉 鑼 描憂餵γ守 谽協

應 用於 稽 核 /評 鑑 用途 之 協議 。
▅ 如 果不執行 這些措施 或不 同意 資訊 安 全 與 資料
保 護措 施 ,執 行 稽核 ′ 評 鑑 之 機 構 應使 用 其 他 方
法 執行稽核 /評 鑑 。
▅ 對於 將 ︳ C下 應 用於 稽 核 ′評 鑑 未達 成協議 時 ,應
使 用 其 他 方法 來達 成稽核 /評 鑑 的 目標 。。
盼外

◎ bytC︳ C
SouΓ ce:乩 投pS:〃 ︳
af.nu′ M° du︳ e冷 S叮 deη 可S
 AFMD碎 :2● ▅8國 際認證論 壇 對應 用 資訊及
︳
通訊科技 ︳
CT)於 稽核/評 鑑用途之強制文件

塕籛狒谽 鐋 鑰齻 鎗鐖 研
ˊ 過程 要 求
▅ 每 一次於 相 同條件下使 用 ︳ C下 時 ,機 構 應鑑別 並
記錄 可能 影響稽核/評 鑑 有效性 的風險與機 會 ,包
括技術 選擇 以及如何 管理 技術 。

錛靆 鋒 跡
▊ 提議將 ︳ C下 應 用於 稽 核 /評 鑑 活動時 ,該 應 用之審

瞈黫 螂
查應 包括檢 查客戶與 稽 核ˊ 評鑑機構是 否有 必 要的

籤妳
基本設 備 以 支援建議使 用的 ︳ C下 。

鎀籩 銹坤幾餵 鱀 璆嗧鐘譁 錫 插愛 鄰 君 ♁拂
▅ 考 量所鑑別 的風險與機 會 ,稽 核/評 鑑 計 畫應鑑別
將 如 何利 用 ︳C下 ,以 及 將 ︳ CT應 用於 稽核/評 鑑 用
途 的程度 ,以 提升稽核 /評 鑑 有 效性與效 率 ,同 時
保持稽核/評 鑑過程 的完整性 。
■應用 ︳ CT時 ,稽 核 員/評 審 員及 其他 參與 的人 員(
如 :無 人機 飛行 員 、技術 專 家)應 具備相 當的能力
及 資格 ,瞭 解 及使 用所採 用的 資訊及 通 訊 科技

燄帥
,

◎bymc 以達成稽 核/評 鑑 的預期 結 果 。 source:乩 鞋

紗$〃 亡
俄f.n汀 Modu︳ e冷 S︳ de﹁ ㄥ9
︳

AFⅢ D再 :2● η8國 際認證論 壇 對 應 用 資訊及

︳
通訊科技 ︳ C下 於 稽 核 /評 鑑 用 途 之 強制 文 件
ˊ 過程 要 求 錐雞 鍋谽 鑼 鏺籛 盼鑱 ︴

▇ 稽 核 員/評 審 員也應 知 悉所使 用的 資訊及 通訊科技的

風險與機 會 ,瞭 解 它們對所收集的資訊之 有效性和
客觀性所產生的影響 。
齡灘 鎀 外

▌ 如 果將 ︳CT應 用於稽核併 鑑 ,則 整個稽核併 鑑 時

鐱騴 坤

間可能 需要額 外的計畫 ,亦 可能影響稽核′ 評鑑 的時

颻

希主 。
h鐒
邏齡抪欺鑑 寧罷 蹋鍛旗 鈐 跡璆玲跡 君 鍛外

備 註 :決 定稽核辟 鑑 時間與 時程時 ,請 參考 規範性參考

文件 的額 外規定 ,這 些規定可能影響 ︳ C下 之 應 用 。
使用 ︳ C下 對稽核/評 鑑 時程 的影響 ,不 受本 強制性
文件 之 限制 。
CT執 行 稽 核 /
▆ 稽 核 /評 鑑 報 告與相 關 紀 錄 應 說 明使 用 ︳
評 鑑 的程 度 ,以 及 ︳C下 達 成稽核 ˊ 評 鑑 目標 的有 效性 。
▇ 如 果虛擬 場 區 包括在 範 圍內 ,驗 謝 認證 文件應備 註 虛
鎗帥

擬 場 區 已納 入 且 應指 出在 虛 擬 場 區所 執行 的 活 動 。
◎ by下 C︳ C Source:我 之老p$:〃 :接 f﹏ 辟 吐r Modu︳ e碎 S｜ ide可 50
 AFMD們 :20可 3國 際認證 論壇 對 ｜SO月 巨C
︳
可702η 應 用於 整合性 管理 系統稽 核 之 強制性 文件

齡黤攤紛 鑼 鑰攤鋒鑯 ㄍ
ˊ 本文件為針對驗證機構(CBs)能 一致性地應用
｜
SO月 EC可 了02η 於規劃與執行整合性 管理 系統
MS)稽 核之 強制性文件 。
(︳

ˊ 本文件提供應用 ︳ S0月 巨Cη 702﹁ 於規劃與幸 MS(

丸行 ︳

鎗黮 鑰 然
整合性管理系統)稽 核的要求 ,並 於適當時亦適用於

齡籮螂
對組織管理系統提供兩組或兩組以上稽核準則/標 準

艞外
之驗證 。

鑰黫鏺坤毀鎮 幾館路琌毽鑮鑞 銥箜製

ˊ︳S0月 巨Cη 702可 的所 有條 文繼 續適 用 ,並 且 本 文件 並
未增 加 或取代 該 標 準 的任何 要求 。
ˊ 本 文件 不適 用於 以 ︳ So900可 為基礎 的產 業特 定標 準

r‘
谽碎
谽帥
◎ by下 C︳ C
至§:〃 :af.nψ 了
Sou「 ce:h出 亡 M° du︳ e碎 S｜ ;de﹁ 5η

AFMD們 :2● ▅3國 際認證 論壇 對 ｜SO川 EC

︳
﹁702η 應 用於 整合性 管理 系統稽核 之 強制性 文件
ˊ 驗證 機構應確保 鋤籛鏺谽 鑼 鐪纖盼鱷 才
:

▋ 訂定稽核 方 案時 ,已 考慮 到管理 系統的整合層

級 。

▓ 稽核計 畫涵 蓋稽核 範 圍 內各 管理 系統標 準/規 格

銹黤縐 外

的所 有相 關 區域與 活 動 ,並 由適任 的稽核 員辦

錛黤坤

理主。
籤︻

▓ 整體 稽 核 小 組 應 符 合驗證 機構 就 刪 S稽 核 範 圍
鐊靉鋒︴激禤 擊籀 舉簽舉 鑰 瞞毋玲師— 谽郎

內各 管理 系統標 準/規 格 針 對各技術領 域所 訂 定

的能力要 求 。
︳ 稽 核應 由至 少符合 一 項稽核標 準/規 格 的小 組 長
管理 。
▊ 分 配 充分 的 時 間 ,以 達 成 依 據 稽核 範 圍內管理
系統 標 準′規格 對 組 織 管理 系統 的完整與 有 效 稽
鎗帥

彬牙。
◎byTC︳ C S。 urce:h七 七
ps:〃 ia了 jnu/ Modu︳ e4s∥ deη 52
 整合性管理系統稽核(整 合稽核)
integratedaud:t

蹦籛狒錯 擺 鐑麰 鍛饑 ㄨ
′′
′ 、
)
ˊ 整合性 管理 系統 :

一
在 特 定整合層 級 管理 多層 面組 織績效 以 符 合 一
個 以上 管理 標 準 的單一管理 系統 。管理 系 統 的
範 圍可從合併 系統加 上個 別 之 每 組稽 核 準則/標
準 之 管理 系統 ,一 直到 一個 整合 的管理 系 統 中

鑰黲 鈐
共 用 系統文件 、管理 系統要素與權 責

$齴
籬螂
颻妳錀籩 鑈師數摒 擺航蹯移錯路帥
ˊ 整合層 級

管 標 核的

多 的則 理
系 系 上權
統 統 稽責

理準 準管
:

某 組 織 使 用 單 管理
一 管理
以 符 合 一個 以 上
及 能夠 整合 兩組 或 以
適 當管理 系統要素及

鑰 筋爹礅竹— 鎀挪
鏺帥
資料來源 :｜ AFM田 ︴:20η 3
◎ by下C︳ C odu︳ e碎
山叮 S︳
jde鬥 53

—
)

整 合層級 露甈u靂
﹏

— —

鋒籦 鑰紛 鑼 鏺籦鎀鑰 路
ˊ 當某組織使 用單一管理 系統管理 多層 面組織績效 時
其整合性管理 系統特性如下(但 不 限於):
﹁＿ 組整合性文件 ,適 當時 包括 良好發展層級 的
—
工作說明書(work︳ nstrucⅡ ons);
銹簸 瞈 節

2.考 慮整體 業務策略與規劃的管理審查

鑈籲 碑

;
瓶一

3＿ 內部稽核採用整合性方法φntegratedappro孔 h);
銵籩 銹坤璣錯 孥撬琌簽髏 鑰 插移玲帥 官 鉹的

碎一政 策(po︳ 心y)與 目標(oㄐ ecjves)採 用整合性方法 ;

5＿ 系統運作(systerns p「 oces比 S)採 用整合性方法 ;

6.改 善機制(矯 正與預防措施 ;量 測量與持續 改善)

U 採 用整合性方法 ;與
了一採 用整合性 管理之支援與權責 esPons:b︳ ︳ ⅢeS)。
(「
谽外

Source:︳ AFA/lD｛ ︴:20η 3

◎ by下 C︳ C M。 du︳ e玲 S田 de﹁ 5可
 整合 稽 核 減 少稽 核 時 間的 因素 一η

鑰黦鑰谽 鑼 鑰雞谽鑯 山
蜘
9 乒 王§ 王5 2°

曲
試 ε建 守 執扭崔 各 牽 出

♁ ∫ 在心 玉三 l爭
鉗

錛纖鍋 法
兮 E 且o 王D 工各

蹸灘螂
姆

城外
5 5

錢黫塕坤欺鑑 輜妳擺移箠舞鐱 齸壁理

§ 再 呂
葯

廿 心 p o °

°
° 之● ︻● 師 8◆ 主●$

A各 瑚yㄉ β.坤安
俄出竹p坤卸 d改 %
守以

r頂
鎗姊
幼帥
資料 來 源 :︳ AFMD們 :2° 可3
◎ by下 C︳ C
odu︳ eㄥ
山Π s︳ ideη 55

整合 稽 核 減 少稽 核 時 間的 因素 -2 ﹏

β伐Jπ
— —

鑰籩錛鈐 鑼 鑰黦谽鑰 求
▓橫軸 :稽 核 小 組各成 員的合格度 以 比率乘 以 η00
表 示 ,以 便該程 序 能 以百 分 比表 示 。
﹁00｛ (Xη 一
η)十 (X2＿ η)+(X3一 ﹁)十 (Xn一 η)｝
鎀羷鏻 外

2(Y-η )
鏺簸珅

其中
颻帝鐒鷻鐒的欺齵 擊羆璣餘舞 鑰 插雀餵〃— 谽的

‥n為 某稽 核 員對 就 有 關整 合性 稽核 範 圍 內
X可 ,2,3＿
具備 資格 的標 準數 目 ;

Y為 整合性 稽核 所 涵 蓋的 管理 系統標 準數 目 ;2則

為稽核 員人數 。
谽師

Source:︳ AFMDη ︴:20η 3

◎ by了C｜ C
M。 du︳ e碎 S∥ deη 56
 整合稽核 減少稽 核 時 間的 因素 -3

搦羷翁餩 鐋 鑰羻銹鐖 扒
舉例 :

涵 蓋三個 不 同管理 系統標 準 ,由 三位 稽核 員組成 的

某 整合性稽核 小 組 。一位 稽核 員具備 全部 三 項標 準

鈐鑼 鐒 ︿
的 資格 ;一 位 稽核 員具備 兩頂標 準 的資格 ,另 一位

紛黫榔
稽 核 員則具備 一項標 準 的 資格 。

籤外
橫車由所使 用的百分 比數 字為

銹靉鎗螂毀轔 孥露絳錯蹓φ
:

﹁
00｛ (3一 ﹁
)十 (2＿﹁ ＿
)十 (﹁ η =50o/。
)｝

3(3一 ▅
)

鐱 竑箜超 吾 鈔師
銹抑
Source:︳ AFⅡ llD︴ η:20可 3
◎ byTC︳ C Modu︳ eㄔ s︳ ideη 57

整合 稽 核 減少稽核 時 間的 因素 一碎 ﹏

蛋我〃
嫠
—
—

鑈黮 鏺鬱 鑼 鑈鑫紛鐱 ︴
由於 每 位 稽 核 員具備 一 項 以 上 稽 核 準則/標 準 的能力 ,

而取 得 減 少 之效 率 ,並 以 上 述 公 式計 算 可 能減 少的時
間 。包括 :
銹籛 鋤 年
銹籗 郎

﹁.因 為執行 一個 開始 會議 和 一個 結 束會議 所 節省的

鈚再

日
鎀攤 銹師欺覝 孝籀嗧坤

手間 ;

2.因 為製作 一份 整合性稽核 報告 而 節省 的時 間 ;

3.在 最佳 化 後 勤 中所 節省 的時間 ;
珃讓 鑰 竑鉹玲帥 宮 鏺螂

碎.在 稽 核 小 組 會議 中所 節省 的時 間 ;以 及
5.稽 核 共 同要項所 節省 的時 間 ,例 如 文件 管制 。
盼帥

Source:︳ AFMD｛ ︴:20｛ 3

◎ by了C︳ C Modu︳ e可 S︳ ideη 58
 鑯籛鑰鍛 齵 鑰黫谽幾 荈
onS?
Anyques七 ︳

讓螂
鐵水 $齡
鑈靆鐒
鑰籛鎙坤毀鑑 閣描雄苓簽鑽 鏺 魼爹餵ㄔ爆盼妳
Thankyou ●
Merc︳

幼帥
◎ by下 C︳ C
Modu︳ eㄥ s︳ ide﹁ 59
 ﹏

靂籈 靂
— —

鐖黮銹谽 鑼 銹纔♁饑
╮

#齺
灘塕 本
Modu︳ e-5

狒黫艸
鈜茁鑰巍鋊師站罃聖鯬 罐移窈獽 鐒 貓分冷沖七 鐒仰
稽 核 規劃與執行

谽外
◎ by下 C︳ C Modu︳ e5S︳ ide﹁

)
大綱

銵颬齡劬 鐇 鈐簸鎗鑞 本
ˊ稽核規 劃
ˊ 執行稽 核
塕雞螉 →

ˊ 訪 談技 巧
銹籛嗨

ˊ 稽 核 結論 與報 告
羬添齡籦狒仲幾餾 翠霧帶餵瑙螂
協 站器跨黔含 谽垹
谽解

◎ by下 C︳ C Modu｜ e5S∥ de2

 中

β找了
尸
— —

瞈黦妙鑈 鑴 鐱纖鏺
議蜘
餓 w塕
A鑰
黫錛妳毀齵 擊露苓塞轟齡 城壁理〃章 砏坤
妢師
◎ by下 C︳ C
Modu!e6s︳ ide3

規 劃稽 核 工 作 ﹏

Procedu「 eatanaudit r已π

— —

鎦黫鐒♁ 皤 齡籩幼鐖
需 求
從 管理 標 準 及
目前 科 技 進 步 水 平
企 業 ′
鰳

查 檢 表
標 準
$齡
黤鑰 必

法 律
法 規
銹黰︴
餓︻齡籦姆螂欺鏃 挐羅帶餘路中

.預 先 繃 一 S七 age 組織管理系統下的
一 資產
2.現 場 稽 核 一
S七age2
各 類 管 理 手
十了干｝ , 9〡
gg≡
:〕
F:j一 ...
琇 我翠玲珅— 銬的

文 件 化
矯 正 預 防措 施
鎗外

管理系統的
鋤
◎ byTC︳ C
de6
Modu︳ e5s︳ ︳
 稽核 計 畫 癥 躪 陷 幽 醒 好

靂兙甲
靂
Aud忙 P︳ an

鏺籛 鎗♁ 鑴 銹纙 鬱鐖 打
╮ ˊ 驗證 機構應確 保在稽核 方 案 中所 鑑 別 的
每 次 稽 核 之 前 皆訂 定稽核 計 畫 ,以 便 與
有 關稽 核 活 動 之 執行 及 時程 的協議提供

縐雞 齡 外
依 據 。此稽 核 計 畫應 以驗證 機構 之 書 面
化 要求為基礎 。

鍇黮 榔
鐬打鑰籛 鎀螂繳鷬 犖擺 夥鑑肆 銹 痲器路帥 黨 鎀師
備 註 :不 期待 驗證 機構 會在 擬 定稽 核 方
案時對每 次稽核擬 定稽 核 計 畫 。

◇粹
◎ by下C︳ C 資料 來源 :｜ So｛ 702︴ 一
︴:20η 5 de5
Modu︳ e5s︳ ｜

稽核 計 畫 ﹏

釐颻u躍
Aud比 P｜ an — —

ˊ 稽核計畫應 至 少包括或描述下 列事項 : 鐒靆 瞈紛 齺 銹齉 妙鑱 本

a)稽 核 目標 ;

b)稽 核規範
鑰籛塕 ㏄

c)稽 核 範圍 ,包 括鑑別受稽核的組織上
鑼黰 坤

與功能上 的單位 或過程

籤︿

;
鎀騹 鈐螂塊摞 鞏羅 聯餵路啷

d)執 行 現場稽核 活動進行 的 日期及地點 ,

如 果適當時 ,還 包括訪查臨時場 區及
遠端稽核 活動 ;

e)現 場稽核 活動預計 的時程

銹 兢器跨珅 安 谽沸

f) 稽核小組成 員與陪同人 員的角色及職

責 ,例 如觀察 員或 口譯 員 。
盼外

◎ by了 C︳ C 資料 來源 :︳ SO｛ 702｛ -︴ :20︳ 5 n田 odu｜ e5s︳ ide6

 稽核計 畫 十

AuditP︳ an 錚也禕
— —

鑈攤鑰砏 罐 銹黤妙鑰 〦
ˊ 稽核 小 組任 務 的溝通
賦 子稽 核 小 組 冬 任 務 應 予 以 界 定 及 告 知
客戶 組 織 ,並 且 應 要 求稽核 小 組

錛霧鍋 ︿
a)檢 查及 查證與客戶管理 系統標 準有關之 架

瞈靉坤
構 、政 策 、過程 、程序 、紀錄與相 關文件 ;

籤打
b)決 定客戶所預期之驗證 範圍符合全部要求

鑈黫鰳螂漁鎖 寧羅舉靈譯鍋 航姦玲野甘 幼咖

;

c)決 定客戶之過程及程序 已有效地建立 、實

施與維持 ,以 便 對客戶管理 系統之信 心提
供基礎 ;

d)告 知 客戶其政 策 、目標 、標的之 間的任何

不一致 ,以 使其採取措施 。

谽師
◎ by下C︳ C
資料 來源 :︳ Soη 702牛 ︴:20﹁ 5 Modu｜ e5s︳ ide7

稽核計 畫
AuditP︳ an

鑰雞鑰玅 皤 鐒黰幼鑞
ˊ 稽核 計 畫 的溝通
稽核 計 畫應預先與客戶 組織溝通 ,稽 核 日
期亦應預先取得客戶之 同意 。
$鑰
籛鑰 一

ˊ 稽 核 小 組 成 員 資訊 的 溝 通
鑰雞嘟
鈚林

驗證 機構應提供 客戶 稽 核 小 組每 位 成 員
坳靆鑰螂航琀輛翠箱帶餵擺卹

之姓 名 ,以 及 當客戶請 求時 ,使 其 可獲得 每
位 成 員之 背景資訊 ;並 給 予客戶 有 足夠 時 間
對任 何 特 定稽核 小 組 成 員之 指 派 提 出異議 ,

以及 對任 何 有 效 的異議 ,回 應 重 組稽 核 小 組
鐒 站路玲珅在 妙師

成員 。
妙拊

◎ by下 C︳ C
資料 來源 :︳ So﹁ 702牛 ｛:20η 5 Modu︳ e5s” de8
 稽 核計 畫 蟲

Aud比 P︳ an

錛黮 鑈谽 鶐 鑈籛 幼鑯 媰騸 銹
ˊ 網路 輔助稽核 技術
術 可 包 括 ,例 如 ,電 訊
網路輔 助瑭 核 技
、 互動 式 網路 通 訊 以及 電子

︴
會議 、 網 路 會 議
︳SMS文 件 或 ︳S〝 llS作 業 。該 等
式 遠 距 存 取 ,且 須保

心
塕籛 坤
提 升 稽 核 效 力和 效 率
技 術 應著 重在

鈜 鑼籛協珅滋各聖驚 絡琌 琲銻
持 稽 核作 業的 完整性 。

再
ˊ 稽 核 適 當時機

籦
驗證機構 應與被

筋移跆珋
奏聿害
臂 潺藍孟
隻篳

在 鈔卹
鍛鄉
巨C27006:20可 5AMD｛ :2020 M° du︳ e5S︳ ide9

◎ byTC︳ c
艮源:︳ So′ ︳
資捫 月

稽 核計 畫範例 熾
Aud 比P︳ an下ernp︳ ate
鋤黮銹錯 鑴 銹籛鎀鎞 鑰籛鑰 鏺
F° ㏑ N心:裝 單號
「
F。 08

一
然 我 繳娣
範琳銹蠶鐑螂欺韜 奪鑗
縈帶籩稱銹 妨拜琇辨
坤;谽
砏帥

deη o
M° du︳ e5s︳ ︳

◎ byTC︳ C
 三
文件
摭 Γ
kin Docurnen七

巨組 員須 審 查 有 孱

鑈籮鑈谽 罐 鑰驒紛鑞 ︻
司
並 準備 必 要 的工 作
一 供
ㄎ 6巳 球 稽 核 發 現 這 類 工
█
。 。
作 檔 可 包括
娥

銹雞協 本
▋記 載稽 核 進
行 中所 紀 錄 的 事項 例 如

鐱驤聊
據 紀錄 稽 核 發 現及 會談 與 支援 證
9

會議 紀 錄

皺︴
▅使 用 查檢 表 與

鏺箸銹再致報 孥南
表 單不 得 限 制 稽 核 活 動 範
因其 可 能 會 因為 稽核 中 圍 9

蒐 集 的 資訊 而 改 變之
ˊ 工作 文 件
包括 使 用 後 所 產 生 的 紀
9

撥路盎擺師
皆至 少 須 保 留到 稽核 完 錄 9

成時

鈐 磁炎男 在 鍛師
▓ 當稽核 計 畫 中
。

所 列 的 各 項 活 動 皆已執
經 核 准 的稽核 報 告 業 已 行 且
分 發 視 為 完成 稽核

谽師
◎ byTC︳ C

檢4
查
M。 du︳ eSs｜ jde｛ ︴

CheckList

ˊ 確 保 稽核 目 拗騶鐒劬 鑼 鏺黫 谽鑼 ︿
標
ˊ 計 劃 的證
據 收集
ˊ 核計畫的流
窄 暢
鑈籛塕 ∞

ˊ 降低稽核
師偏 見
鐒籬蜘

ˊ 記錄現場 況
戤〝

情
攤議鋒螂羝驟 寧講學笨霹 坳描舝 ≡

ˊ 控 制稽核 工
師 作項 目
一一
饅好 谽坤

一一
妙帥

◎ by下 C︳ C

︳
Ⅵ°du｜ e5s｜ ideη 2
 查檢 表 範例 蠐

蘆屐
鐬靂瓠
竹

Check∟ 心t下emp︳ ate

琇籬 聯紛 鎞 銵攤 ♁蟣 打
希 Λ螂 筋 鬱懋嶺社 水燕確姦雜
為守含 牡 珞﹏線 中齲 無晦 班 發 耕 守 碎 館﹏時期 功 眸 白吋舑 站南碑 女

子
姦罐 在鞋

撈艸 停彈$ 鰤 腳 聊聊 盟拜餩 鷤 拼β再#9眸 輯 轗 ‵協 嗍 娜 女

韝緻確殘龘難鐵 為踏離靜︻
鏾齺基塞嫵
髏成籐姦 我鞿 璱僻鰳驗擦
擗齺 餲輝

紛議 協 本
考雜群母嫵 $年 群
姼f#嶺 務宙
¢¢希緒
發多年

鐱攤 坤
餯 鯬
排 藤

鋐珃
奢磚 撥

鐒繳 銹師欺鑑 寧雖 移錄饕 鑼 缽器玲帥 穹 鍛師

念彈璠

博爹笨守
撥濺市

確 : 戒舞 蠟 摻 攝 鉹 確 琇 :
﹉
將
爭華 撥 撥 僉撥 膝 職 傑 解 換 縛 將
一

紅發矜今
常 君
舒撥 佛

簽游琳
♁密

鑽 餓鼷雄鎩蟲 攤硹

谽妳
#館
再姦
擁 磚蟻簽 縈 鋒鐎 鑫鶴 蓉 鎮 餘 拂体 簽 夥
落 打路等
鋐 頭磅｜ 峰發琖
撿#砟 安 排#常 務m寸 #玲 李磅瑹路 守﹉
琪幼
#再 路
交 兮 佛′ 才
簽單簽避 兮垚 斜撥錐
一 篠
被旗 各
舉兮砷 華 球ㄔ
排步 碑步廿 舛
◎ byTC︳ C 撥接褲
Modu︳ e5S｜ ide﹁ 3

查檢 表範例
CheckL心 t下em ate
｜

鐒鑈 鎀鎀 嬏 搦籛 鈖鑱 ﹌
$蜂孅 放 $曲 懶 曄 嗲 蚺 年年車 拉 ‘頗 昭 φ
姆¢ 竿 斗 罐 怮 姊機 姊 攤 跢部嶰 韓｛
螂
膝 堆斜財鞭 “出 救 齺 *舳 蹦 螂 承妳 哪 岫 躞 乩咖 外
一
出 出 銓 哮 館 出 睡 廠 哦 也吻 曲 出 辛年〧 ﹏←
瓶 廠 嶺 ≠於辣 璘 冬打 年野 姊 擗 瑋 解 哪 媲 Ψ虤 故卸 啪 協 路

弟無路毋想路描螂 子劫好評城 齺 一

義 找才
︴ 羅 鶸 莊籙 攤 撥 射 報 擺
鐫攤 塕 荈

翠呂娥 拴 瘸 ﹋名 ︿ 住 母嬾 路 註好雖 蜜乎辦 考奪 發俄宙 至毌佛哲 蹴 #

錢﹉
華 毋縥:聲 踐 轙 一
鐒籛 師

癤毒路輯娥兢轔 蛐 無緣錢我 F甘 昭師按

紙琳

博 eε 戲 薄毋 拉 鞬 琳 七
鐑籛 鎔聊欺飆 擊謠 犖獄舉卿

無‘
5﹏ 李發 攝=舉 發 瓏 華 璋 聲 移 #肆
器﹏患 堆 路 出好撬#紫 推 伶再宮 爸法
多意奄小球餓 留齡〞｜
淼拖 發雖 出就報
一
ㄥ母6$弟 放努
選俄 主餓 發雄 路 堪 撥 磁 璐 無 密 齡路 城 功輾 繳 擊 竣發
發耗 發 撥 藕 奪 涍姆 發 錢 攤 ﹏
母勸安全吝印竹李 軍巷 其甘●乎6韓 母 擁 $簽 接每兮無 一
牽妳年時打玲牽雜$路 瑢再毒

善
黮 驄鎞捨鸅辛
窟罷饞 !鑫卷
鞋昆
一 孝
音黤甘
眾 一
臨

逆好 齒 礙 心侈玄甚茫協 師路

籃就撥 盔 鍵 撤 璐 鎔 速
蝴

存…
丸 宜′ ︴
妳舳

協 竑瑀跲黔 吾 谽聊
地研

萬 老發出守…$r
密密 牽琢 發 盎 撓 我璶 巔 煮 發籮
撥 豫 襁露 堆 報一寸撥瀦 路 瑋
一
李串右↑專
守 拷¥ 義 球 蘿 撥 濺 筋:塎 齡 發 落 路
萎蠱 降 →基〡右宙
牪 搖
無子虫ε袖 瑟妥︳接義 吝督好Ⅲt報 努 選放各公
一爸 盩甘
6﹉
紛師

牙留 婊韓珺索舟離心︴名:#平 π儉*發
瓏垂市琺空像雜 密傍乩 #雄 巔“哲佈期
一
才冉站 兮#路 雄 任誰多←出t甘 礯 串甘
哲館 由辛
#γ 瑋卡牽 兮〡迢 季母｜ 母﹏再品求

◎ by下 C︳ C
Modu｜ e5S︳ ︳
de鬥 ㄔ
 中

π礒了
露
— —

鐒黫鍛饑 鑼 錀雞鰳↓齡黤 螂
餓㏄鏕簸鍋螂笑報 寧籮學塞簽拂 磁壁餵
Con d︳ tS

r再
妙姊
劬師
◎ by下 C︳ C
Modu︳ e5s︳ ︳
deη 5

概述 十

GeneΓ a︳ r也◤
π
— —

鰳飄 鐒妙 嬏 銹雞 紛鑱 坏
ˊ驗 證 機 構 應 有 執 行 現 場 稽 核 之 過 程 。本
過 程 應 在 稽 核 開 始 時 ,舉 辦 一 場 起 始 會
議 ,於 稽 核 結 論 時 ,舉 辦 一場 結 束 會議 。
鑰籩彌 ∞

ˊ若 稽 核 的任 何 部 分係 藉 由 電子 方 式 完成
鑈籦 師

或 以 虛 擬 的 方 式稽 核 場 區 ,驗 證 機 構 應
戤〝齡雞 銹螂玫餵 揫露 帶窮路螂

確 保 由 具備 適 當能 力 的 人 員 進 行 這類 活
動 。這 類 稽 核 期 間得 到 的 證 據 應 足 以 使
稽 核 員 能 夠 據 以根 據 資 訊 決 定 是 否 符 合
要求 。
銹 站學理好子 紛坤

” ∴
備註 :除 了訪視實際地點(例 如工廠)外 ,” 現場 可包
:::一 ::::::’

括 含 有遠端存取 管理 系統 稽核相 關資訊之 電

紗扦

子場 區 。也可考慮使 用電子方式進行稽核 。
◎”下
C陀 資料 來源 :︳ Soη 了02牛 (:20︴ 5 Modu︳ e5s∥ de﹁ 6
 舉 辦 起 始 會議
theo en︳ n meet︳ n
Co nductin

塕籮鑰鬱 鑼 鑰黦妙鑯 銹驤協 僯

同舉
ˊ正 式起 始 會議 應 與 客戶 的管理 階層 共
,並 當情 況下 ,包 含 受稽 核 的功 能
行 在 適
通 常應 由稽

︴
之 負 責 人 員 。起 始 會 議
或 過程
,其 目的係 為 提 供 稽 核 活動

外 黤坤
核 小 組長 進行
,其 詳 細程 度 應與 客

皴才
進行 方式 的簡短 說 明

鏺籛鐒陣蓻鬱豎電鵝琌璱鑼帥
悉 度 致 ,且 應考 慮 下
戶 對稽 核 過程 的熟 一
歹心再氣目 :
a)介 紹參與者 ,包 括其 角色簡述
;

鏻 城器跆′
b)確 認驗證範圍 ;

︹ 燄砷
盼擗
︴ 5
資料 來 源:︳ SO︴ 702仁
:20︴ Modu︳ e5S︳ ide︹ 7

◎ by下 C︳ C

舉 辦 起 始 會議
C onductin theo en︳ n meetin
鋤黮 鈐幼 媰 鈐靉 鉿鑞
畫 (包 括稽核種 類與範 圍 、目標及
c)確 認稽核計
關客戶的安排
規範),任 何 改變以及其他有
,

、稽核 小組及客戶
例如結束會議 的 日期及時間
$齡
雞 鐱 鏺雛 師

管理階層之間的臨時會議
;
∞

通管道
d)確 認稽核小組與客戶 間的正式溝
;
兟然

施之可用性
鐑攤 翰砷爽齷 奪埤

e)確 認稽核小組所需的資源及設
;

f)確 認保密相 關事 宜 ;

及安全程
g)確 認稽核小組的相 關工作安全 、緊急
矲瓖礙羅 齡 琳臻玲珅 吾 徐坤

序 ;

檢 員 與觀 察員的可 用性 、角色及 身
h)確 認任何 陪
份
鎗帥

之方法 ,包 括任何稽核發現的等級 ;

︳
)報 告 SO↑ 702牛 ↑:20︴ 5
資料來源:︳
deη 8
Modu︳ e5S︳ ｛

◎ bytC︳ C
 舉 辦起始 會議
COnducⅡ theo en︳ n meetin
j)有 關稽核可

銹黤 鈐艙 蠮 鑰鷻 砂鑰 “
提前結束之條件的訊.息 ;

k)確 認代表驗證機構的
稽核小組長與稽核 小組 ,

對稽核 負起 責任 ,並 應 管控稽核
計畫的執行 ,

包括稽核 活動與稽核追蹤

鐒雞 齡 〝
;

● 若 適用時 ,確 認先前審查或稽核之
發現 的現況

塕灝 竹
;
rn)以 抽樣為基礎 ,用

鈱出
來執行稽核 的方法及程序

鐒黫 鏺啪欺齰 犖簼 學鈕帶帥
;

n)確 認稽核所使用的語
言 ;

o)確 認在稽核過程 中 ,客 戶
會被告知稽核 進展及
任何疑慮 ;

p)提 供 客戶提 問的

姆 拼貴 齶 毒 谽怖
機會 。

妙師
◎ byTC︳ C

資料 來源 :︳ Soη 702仁 ｛:20｛ 5

M。 du｜ eSs｜ ide可 9

起 始 會 議 內容
Openingrneetin g(Kick一 o仟 mee七
ing)
ˊ ′
｜ (含 鎗籛鑰Φ 嬾 鈐雞鈔鑈 ︴
家 、觀察員)成 員介紹
徫侄 :隻 ∴盪γ孓暑
｜
ernbersφ nc｜ udingthe
technica｜ expe㏄ &observer)
ˊ
鐖雞錀 一

守
戶
豕並 確 認 (機 構 名 稱 、地址 、
標準 、
窶 簹伶
鏺鍵蜘
織熱

g馧 a㎡ 2㎝ °耴 Ad升 eS軌
齡籲翰瑯玫飆 鞏露帑鎧舞銵描空足╭

〞 替:︳ 莒 β
ˊ 稽核 作 業程
序介紹 ｜ ntrod比 eaud社 process
ˊ 保 密協議
一 一 一一

聲 明 DedaΓa山 0nOfnond心 dosuΓ e

┤一

agreement
一
;♁
坤
◇外

◎ bytC｜ C

Modu｜ e5s｜ ide20

 起 始 會議 內容
Openingmee小 ng(Kick． o∥ meeHng)

聯黮撥谽 罐 鏺籛♁鑞 ︴
∩ 玄 ˊ 不符合項 目與觀察事項說明 (類 別 、區分 、
處理)
ExP︳ anationofnonconforrnitieS,obse「 vationand

銹籧鐒 無
area0了 ︳mprovementⅡ ndings(type,grade,
hand︳ ︳

塕蘺螂
ng)

觝打
ˊ 公 平 、公正之 處 理 原 則

鐒齷鐒蝴筑鑼 學露帑錕舞 銹 航鉹跨帥官 鐒螂

Pr︳ nciP︳ eoffairand:rnpartia︳ hand︳ ing

ˊ 稽 核 計 畫再確 認 Recon∥ rm theaud比 p㏑ n

谽擗
◎ byTC︳ C Modu︳ e5S︳ ide2一

起 始 會議 內容
Openingmee小 ng(Kick一 o∥ meeung)
ˊ 確 認 稽核 小 組和 客戶 問的正 式溝通 管道 拂籛 銹鎀 鑼 協簸 鎀鑯 燐籛鑰 鐪籛 嗨
,

陪檢 員與觀 察 員的可 用性 、角 色及 身份 及
所 需的辦 公 室與行 政 支援 及 安 全衛 生注 意
菸

事項
㏄

rnun︳ cationchanne︳ S
Conf︳ rrnat︳ on offorrna︳ corΥ ╮
颻︿

betweentheaud︳ 七七 ty,ro︳ eS
abi｜ ︳
ean孔 theaVa︳ ︳
齡皺 齡抑欺齷 癹蘿 帶環鋒卹

and︳ dent︳ esofanygu︳ desandobSeⅣ ers,and

t︳

thec︳ ︳entandrequ︳ rernentsfor o什 ︳ ceand

adrninis七 rat︳ VesuPpOrtandattent︳ on to sa了 ety
hrnatters
andhea︳ 七
齡 軌器瞈拜 言 媕姆

︶ ｝ ˊ o℃ t㎡ evea杜 endance︳ 心tS

收 回 出席 人 員表 下
ˊ 邀請與會 人 員提 出問題
錯附

nV︳ tingpart︳ cipantSfor queSt︳ ons

︳
◎ by下 C︳ C de22
Modu︳ e5s｜ ︳
 稽 核 期 間的 溝通
COΠ╮
了ⅥuniCatiOndur｜ ngtheaudit

鑰黮 鑰♁ 麟 錛籮 盼鑞 鐒黫 銵 小
ˊ 在稽 核 期 間 ,稽 核 小 組 應 定 期評 估 稽 核 進
度與 交換 資訊 。稽 核 小 組 長應根 據 需要 來
重新 分 配 稽 核 小 組 成 員問的 工 作 ,並 定期
告 知 客戶 稽 核 的進展 及 任 何 疑 慮 。

鐱繳 坤
ˊ 凡 現 有 的稽 核 證 據 顯 示 ,該 稽 核 目標 是 無

颻︻佛黤鐒︴欺餵 寧籮 學盟畢 鈖 磁器。討 法 紼外

法實現的或存 有直接與重大的風險 (如 安
全 )之 建議時 ,稽 核小組組 長應向客戶報
告 ,並 在 可能的情況下 ,向 驗證機構報告 ,

以確定適當的行動 。

紛拼
◎ by了 C︳ C
資料 來源 :︳ SO可 702η -η :20η 5 Modu︳ e5s︳ ide23

稽 核 期 間的 溝 通
CoΠ╮
了ηuniCat︳ onduringtheaud︳ t
鰳黤 銵鈐 鑼 銹簸 劬鑼 小
ˊ 這些 行 動 可 能 包括 重新確 認 或修 改稽核 計
畫 、更 改稽 核 目標 或稽核 範 圍 ,或 停 止 稽
核 。稽 核 小 組 長應 向驗 證 機構 報 告所採取
錛黮 塕 我

行動 的結 果 。
鏺雞 師

ˊ 稽 核 小 組 長應與 客戶審 查在 現 場稽 核 活 動
籛 狒螂笑齵 窆黐 帶餵籍輕 h鑈
籤

過程 中出現 的任 何 改 變稽核 範 圍之 需要 ,

並 向驗證 機構報告 。
坳 站器玲珅 孝 妙一

一
刁
◇扞

◎ by了 C︳ C
資料 來源 :｜ SO｛ 702｛ 一
﹁:20η 5 Modu｜ e5s︳ jde2ㄔ
 現 場稽 核
on一 Siteaudit

磯籛 鋒♁ 鑼 銹籛 鎀鑰 ︴
克集證 據
︳
Co︳ eq｜ :ngev︳ dence
by 〔 審 查文件′
紀錄

坲籩 銵 本
二 ev︳ ew
Γ

工 Φ t︹ Φ中‘一一

銹難 坤
嗯 持鯓 喵
documentsˊ records

籤、銹羷鰳坤漱齵 寧簼 簽靈珥銹 箛營醥↙辛 谽師

—— — ▼

▲———
訪談
一
eWS

“▋ 一
n七 eⅣ ︳
︳

﹂
挽 察過程及活 動
observa七 :on° f
andac七 :Vi七 :eS

紛妳
◎ bytC︳ C 山竹 de25
odu︳ e5s︳ ︳

資訊 收集程序 β蟲“
釐
↓

SuⅣ eyc0︳ ︳
ectionup toauditconc｜ usions — —

Sou of:n了oΠηa七 ︳
oΠ 縐雞 齡幼 鱕 銹龘 砏鑱 〝

cd怡 c∥ on｝
藉 由適當地抽樣方法克集｛
鑰雞 拗 ︴

資訊unforrnaHon)
鏺籛 的
颻水

查割 確認 c a七 ︳ n
齡簸 鋒姊欺餵 癹磚學餵舉卹

r︳ f︳

。
稽核證據lAud社 e㏑ dence)

依棺核 準則(c山 竹 評估 仁v田 Va山 on〕

紛 輔器跨黔 安 谽坤

稽核發現lAud比 F︳ nding)
U
審查 E uat:on
熪帥

◎ by下 C︳ C
Ⅱd ns
de26
Modu｜ e5S︳ ｜
 藉 由適 當地抽樣 方法 收集 釐蟲 好
— — —

鏺灘紛紛 麟 鑈黦劬鑱 ︻
ˊ 在 有 限 的 時 間執行 稽 核 時 ,要 採 行 考 量風
險 與機 會 的 稽 核 方 法 進 行 適 當 地 的抽 樣 。
包括 :

齺黫齡 ︿
▋ 以核心業務及核心資通系統優先 。
▄ 以高風險項 目優先 。

鑰鸆坤
皺︴
█ 以經 常會執行的工作進行適當地的抽樣 。

鐒靆錛︴欺鎖 寧露路盟砪的
▋ .‥ 等 。
ˊ 記 載稽 核 進 行 中所 紀 錄 的 事 項 ,例 如 支援
證 據 紀 錄 、稽 核 發 現 及 會 談 與 會議 紀錄 ,

鋊 贆登譅ㄔ崔 鋒師
可 用文 件 編 號 或 紀 錄 編 號 取 代 完整 抄 寫 。
註 :查 檢表係提供給稽核 員參考 ,但 如 查檢時發
現部份項 目要做進一步事證 時 ,不 應受限於

谽師
◎ vˊ ︳︶ ︳
稽核 參考 中所列之項 目 。
﹀
Modu︳ e5S︳ ide27

鑑 別 與 記錄 稽 核 發 現
︳
dent︳ 打ingandrecordingaud比 何ndings 好也√
— — —

錛鏕鐪劬 鑼 齡簸鎗鑼 外
ˊ 總 結 符 合性 的稽 核發 現 及 詳 細 的 不符合 事
項 應 予 以 鑑 別 、分 類 並 記 錄 使 能據 以作 ,

成 驗證 的 決 定或 維持 驗證 。
攠齉鑰 山

ˊ 除 非 管理 系統驗 證 方 案要 求 禁 止 ,則 可鑑
鑼騄怖

別 與 記 錄 改 善 的機 會 。然 而 ,不 符合 事 項
籤︿鑰籬翰姊欺飆 寧羅帶簽舉咿

的稽 核發 現 ,則 不應被 記錄 為 改 善的機 會 。
ˊ 不符合 事項 之 發 現應依 據特 定規 定 予 以記
錄 ,且 應 包含 一個 明確 的不符合 事項聲 明 ,
鋒 蹜寧霆〃吾 繚鞠

並 詳 細地鑑 別 該 不合格項 目所 依 據 的客觀 ——┤

證據 。
妢狩

◎ byTC︳ C
資料 來源 :︳ SO︴ 702牛 η:20可 5 Modu︳ e5s︳ ide28
 鑑 別 與 記錄 稽 核 發 現
︳ yingandrecordingaud社 何nd︳ ngs
denⅡ 了

攤雞鑼谽 鑼 鏺攤鈔鑰 再
╮ ˊ 不符合 事項應與客戶討 論 ,以 確保 該證 據
的正確 性 與該 不符合事項 已被 了解 。但壁
核 員應 避 免建 議 不 符合 之 成 因及 其解 決 方

鐒黮銹 妳
案。

擁羷坤
ˊ 稽 核 小 組 長應 試 圖解 決 稽 核 小 組 與 客戶 問

魏本錢麰鐒師無規 罕鶴路鑑肆 協 跡券玲外 常 幼螂

有 關稽 核 證 據 或發 現 的任 何 分歧 意見 ,未
解 決的 問題應 予 以記錄 。

鈖外
◎ by下 C︳ C 資料 來源 :｜ SOη 702︴ 一
︴:20η 5 de29
Modu︳ e5S｜ ︳

′′

文 件 /紀 錄
documents/Γ eco「 ds

▆ 文件(docul了 lentS)一 資訊及其承載媒介 。 鏺蠿 紛紛 鑴 嫋驤 錯錢

ηatiOnand:ts supporting︳ Ⅵedium

infOΓ ｝
ˊ 例 如 :政 策 、計 畫 、過程描 述 、程序 、
$佛
幾鑰 ︴

服 務 級 別協議 、合 約 。
鏺籩 師

ˊ 陳述實現的意圖 (statetheintent to
鈜

beachieved)。
h坳
籛 塕坤磁珍姊鞏露 帶避路卹

▓ 紀錄(records汁 闡明所達成的結果或提供
所完成活動證據的文件 。(document
Stating eSu〡 tS ach:eved or PrOviding
齡 薪翠啥并 含 鍛坤

「
eV〡 denceofactiv｜ tiespe吋 ormed)
ˊ 例 如 :稽 核報告 ,事 件報 告 ,訓 練 紀
鉹帥

錄 或會議 紀 要
◎ by了 C︳ C Modu︳ e5S︳ ide31l
 常見的文件架構 ︳

— —

鏺灘鏺艙 鑼 鋊黮盼齡 材
抖

一階文件 一 政 策

鐒黤鐒 本
鑰黫姊
皺〦
二 階 文件 一 程 序

銹黤鐒抪欺飆 孝羆路雜確帥
三 階 文件 一
工 作 指 導書/操 作 手冊

鋊描銵冷汁崔 谽郎
四 階 文件 一 表單/

谽林
◎ byTC︳ C
Modu︳ e5s︳ ide3η

鑰黫妢鑯 鑼 鑰黭蠮熬鑰籧︴
黫鐒臨欽餅 寧罨幣餘熪卹h鏺
餓
銵 銥跢冷野子 φ哧

。
╯
盼附

◎ by下 C︳ C
Modu｜ e5S︳ ide32
 稽核訪談技巧
nterview︳ ngtechn︳ queataud︳ tdiScuSSionS
︳

鐪雞鋒谽 麟 鐱雞嗡攤 荈
鐒雞齡 於
要提 問的問題 是什麼 ?

鐱攤郎
WHA下 iStobeinquired?

魏
問題 要如 何安排後提 出?

w鏺
籛鎀卹瓶鋸 孥簼夥鍰鋒娜
H○ WShou︳ dthequeSt︳ Onsbefor︳ ηu｜ a七 ed?

銹 筋器琀帥 巨 鐒的
討論

劬師
scuss︳ o
︳

◎ by下 C︳ C Modu︳ e5s︳ ide33

執行訪談
iews
Conduct︳ nginte︹ ↙
鎀麗 瞈鎀 鑼 瞈雞 鉹鐖 ︴
ˊ 訪談 為一種 重要的 蒐集 資訊 方 式 ,宜 以 適
應 訪談 的情 況與 人 員之 方 式施 行 ,可 面對
面 或透過 其 他 溝通 方 式 。然 而 ,稽 核 師 宜
鐫籛鑰 ¢

考 量下列事項 :
鋒籦 啪

(a)宜 與實施稽核範圍內的活動或職務之適當階層
魏︿蠮籬 搦師繳齵 癹蘿 帶鑑鉹卹

與部門人 員進行訪談 。
(b)通 常宜在正 常工作時間中 ,且 可行時 ,在 接受
訪談的人 員之正 常工作 地點進 行訪談 。
(c)訪 談之 前與當時 ,嘗 試使接受訪談的人 員感到
銹 城為玲珅 安 谽螂

自在 。
(d)訪 談之理 由與任何註 記 事項宜予以說明 。
鐒帥

◎ byTC︳ C 資料 來源 :︳ So﹁ 90︴ :20｛ 8,CNS可 ㄥ809:2020 de3ㄔ

Modu︳ e5s︳ ︳

一
 執行 訪談
ConducunginteⅣ 心WS 釐戤 β
— — —

鑰黤 鏺谽 鑼 鑰議♁鐱 心
(e)訪 談可先藉要求人 員描述其工作著手 。
(f)小 心選擇使用的問題型式(例 :開 放 式 、封閉式 、
引導性問題 、激 賞式詢問(appreda打 e

齡黫鐊 ︿
inquiry)汁

鑰黫攤
(g)體 認到虛擬環境◆nⅥ 比ua︳ SetHngs)中 非語言

皺打
)交 流是有 r艮 的 ,反 而宜 關注在使
(non一 ver比 ︳

鑈黫鰳師欺報 鞏羅路幾確師
用何種問題類型以尋找客觀證據 。
(h)訪 談所得結果宜對接受訪談人 員總結並予以檢
討。

鋒 就舉玲野︴ 鎗蟀
φ)宜 感謝接受訪談人 員之參與及合作 。

劬師
◎ by下C︳ C 資凋├
月k源 :︳ Soη 90η 可:20-8,CNS﹁ 猝809:2020 Modu︳ e5S︳ ide35

提 問的 方 式 ′色 r
﹏

PuttingthequeStionsattheon一 siteaud︳ t — —

鐒黫鐒勘 鑼 瞈羻鎗鑞 外
ˊ 開放 式
” ” “ ”
一這類 問題 需要 比答 是 或 不是 更詳細 的
答案 。例如 :
躌簸鑰

．請說明貴單位如何管理 資訊安全 。
ˊ封 閉式
h銹
繳螂

” ” “ ”
籤沐

一這類問題 只 需要 回答 是 或 不是 的答案
齡靆齡抑欽鎖 奪籀犖餓羅娜

適合用來確認 問題時使 用 。例如 :請 問提供 的

組織架構 圖及 網路架構 圖是否為最新版本 。
ˊ 引導式
銹 筋華攲好子 紛的

一 這類 問題使被 稽 核 者 快 速 回 答 問題 。例 如 :請
提供 貴單 位 的 組 織 架構 圖及 網路 架構 圖 ,並 說
明 資訊 安 全 分 工 。
盼師

◎ by下C︳ C
山︳du︳ e5s︳ :de36
。
 激賞式詢問(欣 賞式探詢)
rec︳ at︳ vein u︳

鐱黮 拂紛 嬙 鐱纙 鎗鐊 〦
r瞴 篎瑚 姊 令

路 棘研
籃 分緻加爾呼

齡虃 協 本
錛籩 螂
籤一
确 路 堆狂玻 抽 故蟻

銹籩 鎀姊欺齵 犖筋
尹

路幾蹉驥 鈐 航鉹跨掛 守 劬如
趨緅
畔

嬐肺
繡 螂 紜 各銘 本機 航 躤 娸 找嬲 鰳 齥 蝴 維 就 絲 鍛 期蹴 轉 K坳 哪 轠 餓

◎ by下 C︳ C 資料 來源 :h社 ps;〃 唧略七

e就 oo′ ∞ ′
Modu︳ e5S︳ ide37

正 確 的提 問 方 式 露嵐u靂
﹏

Puttingtherightquestionsattheon一 s︳ teaudit — —

坳邏 齺鎀 鑼 鏻籦 鬱擺 於

N。 七

DOn!tyouth:nk...? VVhat?S七 heSequence...

． ．
VVhat︳ s七 heproceduΓ e...
塕籩踚 我

．
gan:2ation..
． VVhat’ sthe° Γ
鐒籧 師

．
DOeS七 hiShave七 beChecked ．
VVhat:s七 heWayofevidencingth︳ S...
。
艞︿

o「 not...?
What︳ sthewayofenSuΓ ;n9that...
．
齡鑨 鑰郎航鬱缽翠蘿 學麮鋒卹

SthiSimp｜ emented...? ． VVha七

iStobeach:eVedbydoingthis?
． ｜
ed...?
Sth:Sc。 ntro︳ ︳ . Why...is thiSimp︳ emented︳ iketh:s...?
． ｜
SthiSeV︳ denced...? lVhy‥ .doyouproceed︳ iketh:s...?
． ｜ ．
、
鐒 瞞名琀珅 君 鎗瑯
銹帥

◎ by下C︳ C Modu︳ e5S︳ ide38

 組 織針 對 目標 的 開放 式 問題
PuttingopenqueS七 ionSandfoΓ ︳
u︳ atinginaWayrefe「 ringto theoㄐ ect
r了

錛激鑰谽 鑼 鑰黦鎀雄
ˊ您如何(How)進 行 日常的機戶方檢查工作 ?
ˊ您 曾經處理過那些(VVhat)印 象比較深刻
的 問題 ?

w鐒
黤銹 ︿
ˊ貴單 位 對 於 通行 碼 (password)的 要 求

鑰邏仲
蝕打
lVhat)為 何 ?如 何(How)確 保同仁能落實 ?

鐒籛鐒抪欺餒 鞏饑夥鍰瑋 鋪 赫雜玲郢存 紛螂

(、

ˊ管理審 查中委員為什麼(Why)會 有Ⅲ 的
提案 ?
ˊ貴單位何時(When)會 進行弱點掃描 ?由
誰(Who)來 執行 ?

◇軒
◎ byTC︳ C
Modu｜ e5S∥ de39

現 場 的提 問 方 向 r
J我 ▌
〡

Quest︳ ons putontheWorkp︳ ace(η /2) — —

銹靉鐊紛 鑼 銵黮鎗鑞 烋
ˊ正確的安排(Correctarrangement)
一 你 如 何 進行 … ?
一那 些指 示 你要遵循 ?
躌籛鑰 “

ˊ瞭解(Understanding)
鏺黰︴
數外

一您 如 何 瞭解這項指 示 ?
攤籛齡螂數鎖 鞏轟帶幾齡卹

一請 說 明你 如 何 進行後 續行動 ?
一 這項指 示 要完成 那 些 事項 ?
ˊ正確的執行(CoΓ rectexecuuon)
翰 瞞華是好預 嬐珅

一您 如 何 依 這指 示 執行行 動 ?
一 您 必 須 考慮 到什麼 ?
妢外

一 您 為何 必 須執行 這些行 動 ?
◎ by丁
Modu︳ e5S︳ ;deㄔ 0
 現 場 的提 問 方 向 靂鬾呂
靂
﹏

QueS∥ ons putontheWOrkP︳ ace(2/2) — —

鈐灘 鑈砏 鑼 鋊議砂癱
ˊ 有 效 性 (E仟ec打 eneSS)

一這項指 示有什麼(What洋 戶
份被達成(孔 h啗 Ved)
了?

#齺
黫鎀 本
一如果這項行動沒有被實施φrnp怡 men七 ed),將

鐱雞坤
發生什麼事(What)?

皺、鑰黫 鏺師欺齵 犖茄
一您能否提供這次行動的有效性證據
(evidence) ?
一差錯(rn心 takeS)是 否發生 ?

錎筠殲瑙 鏺 筋器玲帥 章 鍛妳
一什麼(What)差 錯發生 ?
一差錯是哪一項(wh心 h)是 否被記錄 了?

谽帥
◎ byTC︳ C Modu!e5S︳ :deㄥ 可

肢 體語 言 r爞uβ
﹏

BOd Lan ua es — —

銹籦 筠幼 鑼 銹翳 幼鑯 熱

W社hCon可 由 nce信 心 十 足
齡鏺塕 燕
鑼繳 郎
餓描蠮靆 鏺螂疑摞 寧蘿 帶錄擺艸

〔己 ′
,
埤
妢外 ;谽
鐒 餓毒啥并

◎ by下 C︳ C Modu｜ e5S︳ ㄩe四2

 信 心 十足 r也 β
︳

lVit — —

紼籛鑰谽 鑩 錛颻盼鑰 “
、
ˊ 客戶信 心十足通 常表 示客戶準備充
足 ,這 有利於稽核證據 的收集 。

鑰繳鐒 本
ˊ 通 常可 以取得符合 或優 點(正 面發現)

塕籛坤
的證據 。

皺︴鏺黫鑈坤欺餵 學搖幾盆霹 鈖 磁器玲討崔 幼坤

劬舴
◎ by了 C｜ C
M。 du!e5S︳ ide可 3

肢 體語 言
BOd ∟an ua es
坳籦坳砂 蹓 銹籛幼鑱

Confusing疑 惑
$撥
蠿狒 ㏄
鏺纖坤
娥︴鑰黤齡坤欺餵 寧籀帶餒路螂
銹 站華是好礗 鎗坤
¢外

◎ by下C︳ C
Modu︳ e5S︳ ︳
deㄔ ㄔ
 疑惑 鐉颻 靂
竹

Co — —

銹離 銹谽 鑴 鐒黫 紛鑰 一
ˊ 客戶表 示疑 惑時 ,可 能表 示 客戶對您提 出
的問題不 太 清楚 ,稽 核 員需要 用 引導的 方
式進行提 問 ,逐 步讓 客戶瞭解 您的問題 。

齡籛 瞈 外
ˊ 例 如 :當 您詢 問客戶 「對外月

塕麰 抑
艮務 之核 心 資

籤升
通 系統 ,是 否有應 用程 式 防 火牆 ?」 時

鏺籛鐒師欺餵 擊籀 犖籦讓鐒 航簽琀帥 訂 錯師

,

如 果受稽 人 員表 示疑 惑時 ,有 可能是 此 客
戶不適 用 ,或 是受稽 人 員不是客戶的資通
安 全 專責人 員 ,或 是受稽 人 員剛接 手 ,對
資安 法 的相 關規定還 不 清楚 ,稽 核 員要有
更 多說 明 。

紛帥
◎ 所 下C︳ C Modu︳ e5s︳ ide碎 5

疑惑
Co
銹雞 鈐盼 鑼 搦雖 紛鐖 本
ˊ 因此 ,問 此類問題前 ,稽 核 員可 以先確
認 客戶是否屬 資通安 全 責任 等級 A級 或B
級機 關 ,因 為C級 (含 )以 下機 關是 沒有
錢籛 鑰 “

這項要求 。
鑰籛 坤
籤〝

ˊ 但如 C級 (含 )以 下機 關提 出相 關佐證
塕簸 鏺師玫飆 犖簼 帶綴鋒卹

則可 列為正 面發 現 。
銹 城奉題﹃吝 紛妞
谽外

◎ by了 C︳ C deㄔ 6
Modu︳ e5S︳ ︳
 肢 體語 言 β蟲▌
犛
Bod ∟an ua es — — —

鐱鑫 鐒鉿 鑮 鑰議 妙鐑 ︴
Worr川 ng擔 心

鑰雞 鐒 ︴
齡黮 妳
I╮

皺︴齡籛 嫋姊激餵 寧蘿 夥現轟 鏺 磁拶玲釙 在 谽的

谽杆
◎ byTC︳ C
de47
Modu︳ e5s︳ ︳
擔駒

P‵:j一
﹏

ㄏ出 ′
— —

鑈灘 銹黺 嬏 銹簸 紛 鑼 鑰 籛 鑰 綹 雞 姊
ˊ 客戶 表 現 出擔 心 時 ,可 能表 示 準備 不足 ,

或是有壓力 ,一 旦被 開立 不符合 事項 時 ,

可能 會有個 人 的懲 處 。
淋

ˊ 稽 核 員要 先舒 緩客戶 之 情 緒 ,提 振其信
¢

心 ,如 此 才有利於 稽 核 證 據 的收集 ;如
缸 ︿
鏺 籛 鑈 林欺 鍰 鞏 礵 帶籃將螂銹 站發 定 Γ— 盼 姊

果 沒有效 果時 ,可 能 要與其 主 管進行 訪

談 才有 助於 後續 。
「
妙拊

◎ byTC︳ C
Modu︳ e5S︳ :deㄔ 8
 肢 體語 言 靂颻 靂
#

Bod ∟an ua es — —

銹籛鑰妙 鶐 銹黮谽饑 ︴
W比 han9er生 氣

眑雞艣 本
鑰黫螂
、

籤Ⅵ鑞黫銹的欺報 學撬學蛋錯解
鑈 筋器琀帥宮 谽師
谽擗
◎ by下C︳ C Modu︳ e5S∥ deㄔ 9

生氣 釐戤 露
︺

VVit — —

撥鑨 銹玅 鑼 塕簸 鈔鑰
ˊ 客戶表現 出生氣 時 ,可 能是 對稽 核一
員的
詢 問或發 現 表 示 不滿 。
ˊ 稽 核 員要 先舒 緩 客戶 之 情 緒 ,如 果 沒 有
$鑰
簸鑰 ∞

效 果 時 ,稽 核 員要與稽 核 小 組 長或領 隊
鏺黳 師

討 論 此 一議題 ,再 進 一 步 進行 溝 通 ,或
籤本鎀黤 鏺娣筄飆 鞏露 學鍛路蝍

由其 它 人 與 受稽 人 員進行 溝通 ,避 免產
生對 立 。
齡 瞞孝霆〃安 谽抑
盼帥

◎ by下C︳ C Modu︳ e5S︳ ide50

 鈐黤蛜鑞 钃 鏺籩鏺㏄齡黮 坤
餓由錛籦鑼坤笑飆 鞏露學餓雜φ
錛 筋舝理╓巨 鈔姊
鎗帥
◎ by下 C︳ C
山︳
°du︳ e5S︳ ︳
de5→

不 符 合 項 目,簡 稱 NC ㄏ〦 ㄏ
NOncon了orrn︳ t︳ eS,NC — — —

ˊ 不 符 合 項 目NOnconform比y 鑈羅紛♁ 鐇 齡黤銹鑰 〝

一未達 成 某項 要 求 。
non一 fu︳ ment ofarequiΓ ement
fi︳
齡黮塕 ㄍ
鑰羅蜘

ˊ次要 (第 二類)不 符合項 目M︳ nor

h錛
織
纖鑰妳筄鷬 奪罨笚嗧舞 坳 荔壁趨╭含 谽的

nonconfoΓ !了litieS
一不影 響 管理 系統 達 到 預期 結 果 能 力 之 不
符合 項 目
nonconform︳ tythatdoes nota帝ectthe ㄟ V
capabi｜ ityofthernanagement systern to
ach︳ evetheintendedΓ esu︳ ts
鎀擗

◎ by丁 C︳ C
資料 來源 :︳ Soη 702η -可 :20﹁ 5 Modu︳ e5S｜ ide52
 主要 (第 一類)不 符合項 目定義
Λ
ll刮 or nonconf。 rrn︳
es t︳

鎀黮 齡谽 鑴 鑱簼 鬱鸏
ˊ影 響 管理 系統達 到預 期 結果 的能 力之 不符
′‵
′ ‵
\》
/↗

合項 目 。
ityof
︳
nonconforrnitythata帝 ectSthecapab︳

$齴
蘧 鎀 鐱籛 坤
thernanagement system toachievethe

外 城︴
intendedresu︳ tS

鏺麰 銹碎瞞鎖聖絮 幋路豱轟 鎀 筋 冷帥 劬
備註 :不 符合項 目在 下 列情 況可歸 類為 主要 不符合
項目 :

,或 者產 品或月
艮務符
ˊ 如果對 已就位 之 有 效 流程控 管
合指 定之要求有 明顯疑慮
;

鶢
目
ˊ 與 同一要求 或議 題相 關的數個 次要不符合項 會導

官 砷
目。
致 系統化 的失效 ,即 視為 主要不符合項

砏將
可:20｛ 5
資料來源 :︳ SO一 了02︴ 一 °du︳ e5S︳ ide5S
山Π
◎ byTC︳ C

符 合 項 目分 級 躥
Categor︳ esOf nonconforrnities

ˊ次要(第 二類)不 符合項 目(minor 坳繳 銹紛 鑼 塕靉 劬鎞 齡籛鑰 銹黫 砷

nonconformity)
一 社姭
外

議裔 鬱速翠挲艤本 蠶
↓ 颻

發證 。
#翰

ˊ主要(第 一類)不 符合項 目(m句 or

鑨 銹螂欺摞 雀羅 路餒轟 銹 城路唅珅 妙解

nonconformity)
是 否發 證 。
一待 客戶 完成 改 善後 再 決定後續
論 次 主
目 法 文 ㄔ匕
U 註 :

核 ( fo∥ °W一
多 嬐帥

要不 合項 目 均 到現 做

up audit)。
Modu︳ e5s“ de5ㄥ

◎ by下 C︳ C
 不 符合 項 目 報 告 範 例
Nonconforrni ty RepoⅡ 下ernp｜
ate 繼

鑰讓 錀給 鑼 鑈擻妙鑯 “
鬱黫鎀 、
鑰讓棘
颻︴銹籦鑰蜘欺錣 罕的
擺幾露確魽
鏺 航麓齶 莒 鎗妳
谽好
◎ by了C｜ C

M° du｜ e5s｜ jde55

不 符合 項 目敘 述 要 有 的 資訊
幾
鍋羻銹翰 鋒 銹黤銵鯔 琳

PaΓ 七
一可
鐖狻坳 “

ˊ 不 符合 項 目
的 事證 ,包 含 相 關文 件 紀
鑈鑼咘

錄 的記
載 。
巍林鐖議媰螂舞鎖 孕礵學鍛轟 鎀蘜登霆好李

upaudit)。
鑆整
樴 路胖
一 一一

ˊ 若 為 M… orNc,客
戶 是 否 已評 估 可於 2周 內
關
閉。
一﹉
艙抪
鉿師

◎ by了C｜ C

Modv｜ e5s｜ ide56

 次 要不符 合項 目範例 躪豳比齺斷 竹

斖珮 靂

鐱攘 錀紛 鑼 鈐籛 鉿蟣 嫋籛 協 鑯簸妳
只e色 含o-/C!軍 ㄐs→
u｜
oWn.pe心 aΥ n
i● 匚lW● …●
!!veba§ e(e一 g:︳ aws)
〡用標準√ 要素號 ∴企業標準 。 。 其他法規標準(例如 :法律要求)
SO2700η
︳。 :2022﹉ : 一｜
SMS-02-05
一 一 一
C︳ a山 Se一 A.5.︻ 8 一
一

ˊ—未 按 公 司之 存 取控 制程序 規定 ,執 行 xx系 統

才 〝
帳 號 之 定期審 查 。

籤再錀雞 銹師聽鍛 鞏簼 琌窮鐷 彿 補錫玲野 守 劬啷

ˊ C｜ aSsificat｜ on:M〡 nor nonconforrη ity

ˊ 可 文 件 化 關 閉,且 客戶 已評 估 可 於 2周 內 關閉 。

艙師
◎ byTC︳ C de57
田 du︳ e5S︳ 【
╮
。

主 要不符 合項 目範例

匚Ⅲ …●Υ
V→ ●
令 中 (e:。 !.ws》 鎀鑼 塕盼 鑼 銹灘 鐪鑱 跡
l﹉

「
其他法規標準 (例 如 一 法律要求)
。
一
一 一
鐖雞鐪 ㏄

SO2了 00η
ˊ未 按 〡 3要 求 ,執 行 管理 審 查 。
銹繳 師

9■
範本鎀籛 協聯城翁聖竄 鋒夥幾夥卹

ˊC︳ assricauon:M句 or nonconform比 y

ˊ將 安排追蹤稽核(fo︳ bw一 upaud比 )以 確 認矯正

鎀 竑器路黔

V 措 施 是否有效 。
;谽
坤
翰師

◎ byTC︳ C Modu︳ e5S︳ :de58

 觀 察事項定義,簡 稱 OBS β出 慶鬾
十

ObseⅣ at︳ on,OBS — —

鑰黦鏺谽 鑼 鑞謹紛鑰 打
ˊ 某些稽 核發 現 ,在 當時雖不 會對 系統造 成
重大 影 響 ,但 稽 核 師判斷 可能造 成 管理 系

錫靉錫 〝
統或任 何作 業程序 的潛在 不恰 當與 改 善 空

鐱簸妳
間

皴︴
ˊ提 醒往後 稽 核 時客戶 或稽核 師須 注 意的 事

鏺簸鈐師欺報 寧轟學翌華 鏺 描器玲掛崔 鎀的

項
ˊ標 準條 文 或客戶 定 義之 程序 無合 理 客觀 之
實 施 紀錄 時

鎀妳
◎ by了 C︳ C
Modu︳ e5S︳ ide59

改進機 會 定 義,簡 稱AO｜ r出′

﹏

Areaof︳ rnprovement,AO︳ ‵ — —

躌籩紛紛 鑼 坳黤谽鑼 本
ˊ於各階段稽核時,可 開立 「改進機會」(AΓ ea
of︳mprovement,AO︳ or opportuni∥ eS了or
improvement)事 項,但 不應涉及改善方案
錢錪齡 ㏄

(︳ mpΓ ovementAcHons)
鐒黤抪
籤跡

ˊ 引述其 它相 關或參考 性 國際 、國家或行 業標

鑼飄鐑瑯欽齵 罕電犖餵讓 鎀城器跨珅琴妙”

ˊ 公 眾或一 般性可取 得 資訊
一一♂
‵′/

ˊ 非針對特 定 之 客戶 之經驗
幼擗

◎ by了 C︳ C 參考 :︳ SOη 了02︴ 一

﹁:20﹁ 5 Modu︳ eSS︳ ;de6〔 〕
 準 備 稽 核 結論 靂抵罈
中

Prepar︳ ngauditconc︳ us︳ onS — —

塕靆 鋒紛 皤 鎀幾 盼鑯 ︴
｜
╮ 基 於 稽 核 小 組 長 的職 責 ,在 結 束會議 之 前 ,

稽 核 小 組應 :

a)依 據稽核 目標及稽核規範 ,審 查稽核當中

鎀黫 齴 〝
取得的稽核發現與其他任何適當資料並分
類不符合項 目

鑰籛坤
;

籤由
b)同 意稽核結論 ,將 稽核過程具有的不確 定

鑰纖 鐒的插勞辦犖撬 學饈舞 鈐 筋器玲ˊ 崔 劬四

性納入考量 ;

c)同 意任何必要的後續行動 ;及
d)確 認稽核方案的適當性或鑑別未來稽核 必
要的任何修 改 (例 如驗證範圍 、稽核時間
或 日期 、追查頻 率 、稽核小組能力 )。

紛外
◎ by下 C︳ C 資料 來源:｜ Soη 了02仁 可:20︴ 5 Modu︳ e5S︳ ide6η
\
\
′/

舉辦 結 束會議 β亂 慶
﹏

— —

ˊ 正 式結 束會議 應 記錄 出席 者 ,並 與 客戶 的 聯籩協鎀 飆 鐊羷砂饞 本

管理 階層 共 同舉辦 ,並 在 適 當情 況 下 ,包
含 受稽核 的功能 或過程 之 負責 人 員 。結 束
會議 通 常應 由稽 核 小 組 長 進行 ,其 目的係
狒雞鑰 ㏄

說 明稽 核 結論 ,包 含 關於驗證 的建議 。任
銹繳師

何 不符合事項應 以可被 理 解 的方式說 明

範沐

,
塕難齡螂筋琀姊擎露聲騴鏤卹

並應 同意 回霺 的 時 限 。

備 註 :「 被 理 解 」並 不 一 定 意味 著客戶 已接 受不
符 合 事項 。
協 瞞器跨拜善 艙姊
皓汁

◎ by下C︳ C 資料 來源 :︳ So｛ 702— —

η之0︴ 5 de62
Modu｜ e5S︳ ︳
 舉辦 結 束會議 J蟲π
— — —

齡齲鐱谽 鑼 錛靆谽鑰 涕
ˊ結 束會議 也 應 包含下 列要件 。其 詳 細 程度
應與客戶 對稽核過程 的熟悉度 一致 :

a)告 知客戶稽核證據取得係基於抽樣樣本資
訊 ;因 此會有不確定性因素

錐飄鐒 本
;

b)報 告的方法及 時限 ,包 括任何稽核發 現之

鑰議姊
等級∴

數、鐒黫鏺抪漁鍰
c)驗 證機構處理不符合事項 的過程 ,包 括任
何有關客戶驗證狀態的結果 ;

#撼
d)客 戶針對稽核 時鑑別任何不符合事項 而所

學簽確帥
提 出改正與矯正措施 的計畫之時限

彿 磁登蛪ㄔ展 紗坤
;

e)驗 證機構的稽核後續活動 ;

●有關抱怨及 申訴處理過程的訊 .息 。

綠妳
◎ byTC︳ C
資料 來源 :︳ SOη 702牛 仁20▋ 5 Modu!e5S︳ ;de63

舉辦 結 束會議 r出 .β
﹏

— —

鐒靉鐒銵 鑼 鐒簸妙鑱 本
ˊ 客戶應 有提 問的機 會 。對 於 稽 核 小 組 與 客
戶 有 關稽核發 現 或 結論 的任 何 分歧 意見 ,

應被 討 論 ,若 可 能 時 ,予 以解 決 。任 何 未
解 決 的分歧 意見 ,應 予 以 記 錄 ,並 提 交驗
姆雛鑰 鏺讓︴

證 機構 。
織︿鑈攤姆姊笑韻 寧轟苓簽錚蚶
銵 城器跨郎‘ 谽市

ˊ
鈖附

◎ byTC︳ C
資料 來源:︳ So｛ 702η ＿
η:20﹁ 5 Modu︳ e5S!︳ de6碎
 結 束會議 內容
Fina︳ meeting

鈐籛 銹谽 皤 鎗籛 鬱鑰 ︴
ˊ 致 謝 辭 下hankSSpeech
ˊ再次確認稽核依據並確認 (機 構名稱 、地址
標準 、範圍)

齡籩 銹 本
ReconⅡ rmAud比 ee’ SOrganiZajon,AddresS,

鑰籛 擲
StandardandScope

籤坊銹籛 銹姊欺鎖 擊簼 幾靈霹銹 筋拶琀帥 毒 鎀呻

ˊ 保 密協議 聲 明
Dec︳ aration ofnondisc︳ oSureag「 eernent
ˊ 公 平 、公 正 之 處 理 原 則
Princ︳ p︳ eoffairand︳ ╮
part;a︳ rΥ hand︳ ︳
ng

谽將
◎ by下 C︳ C Modu︳ e5S山 de65

結 束會議 內容 好瓶r嫠
F︳ na︳ rneet︳ ng — —
—

ˊ 口頭結果說明 (含 :正 面發現及告知客戶稽 銹繳銹砏 鑼 銹雛 鎊鑯 〝

核證據收集係基於抽樣樣本資訊 ;因 此會
有不確定性 因素)
鑰雞鑰 ㏄

Ora︳ resu︳ tSdeScript:On(W︳ thposit︳ vef︳ nd︳ ngs

鋒纙螂

hattheaud︳ tev︳ dence

andadvis︳ ngthec︳ :en七 七
親熱

ectedwasbasedonasamp︳ eOfthe
co︳ ︳
獬籛銵艸欺餒 奪蘿幾餵鋒卹

．
in了 orrnat︳ on;thereby︳ ntroducingane｜ er!╮ ent of
unce㏄ ainty)
ˊ確 認觀察事項(若 需簽署)與 不符合項 目均 已
鎀 啦器琀珅— 艙彬

由受稽代表簽署
Con∥ rmedthatobseⅣ aⅡ ons(rrequ︳ redto sign)
andNonconforrn:t:eshaVebeens:gnedbythe
鎗帥

audi七 eerepresentative
◎ byTC︳ C Modu︳ e5S︳ ide66
 結 束會議 內容 靂我 β
﹏

F︳ na︳ rΥ eet︳ ng
╮ —
—

鏺飄錛谽 鑼 鑈麒谽鑯 出
ˊ後續跟進事項與未來稽核 之安排
oW-upact︳
Fo︳ ︳ onSandfutureauditS
arrangemen七 S

銹麰鍋 外
ˊ稽核報告說 明 Exuana山 0no比 ud比 repo改

鑰籦砷
ˊ證 書與驗證 標 章之使 用說 明

繳小
Descr︳ ption oftheuseofcertificateand

鑈錘銹師站爸聊寧蘿路鍰鑼帥
certificat︳ on︳ ogo
ˊ 收 回 出席 人 員表 孔 ret〢 eVeattendance｜ 心tS 9

ˊ邀請與會 人 員提 出問題

鎗 瞞器冷野崔 紛郎
︳
nV︳ 七
︳ngpart︳ cipantsfor quest︳ ons

紛好
◎ by下 C︳ C
de67
Modu︳ e5S︳ ︳

稽核 報 告 β也 ㄏ
十

Aud比 epo㏄
「
(﹁ 用) — —

鑈霯鐒谽 鑼 眑黮谽鑱 熬
ˊ驗證 機構應為每 次 稽 核提供 書 面報告 給 客
戶 。稽 核 小 組可鑑 別 改 善機 會 ,但 是不應
鍙旗雇 中 稽核報告之所
堪慮蛋
奢 靈 湃瓙湒
佛簸坲 必
備確成

並簡 證
應明的

ˊ稽 核 小 組 長應確 保 稽 核 報 告 之 準
鏺黫︴
,、

餓︿

負責其 內容 。稽 核 報 告應提供 正
驗

塕簸坳鄉欺齷 鞏露帶聚雜螂

及 清 斤的稽 核 記 錄 ,使 能 據 以作
u十

決 定 ,且 應 包括 或提 及 以 下 內容
:

a)驗 證機構之鑑別 ;

b)客 戶之名稱及地址與客戶的代表
鈐 竑猙霪ηε 谽竹

一
c) 稽核類型 (例 如初次 、追查或重新驗證稽核 ,

或特別稽核 );
d)稽 核規範
谽盯

◎ byTC︳ C
資料 來源 :︳ SO︴ 702η -↑ :20η 5 Modu︳ e5s︳ ;de68
 稽核報告 籚虱龘
#

Audit report(2u) — —

鏺籛 鐱谽 齺 鈐籦 鎀鑰 坊
e)稽 核 目標 ;

f)稽 核範圍 ,尤 其是鑑別受稽核組織上或功能上

的單位 或過程 ,以 及稽核 時間 ;

鐒黤 鐱 〝
g)來 自稽核計畫的任何偏差及其理 由 ;

h)影 響稽核方案的任何重大議題

鐱灘螂
;

i)鑑 別稽核小組長 、稽核小組成員及任何 陪同人

皴︴鐱籩 齡抑漱黐 罕竹
員;

j)執 行稽核活動 (現 場或非現場 ,永 久或臨時性

場 區)的 日期及地點

擺夥盟盞 彿 拓多跈跖 牽 鎊的
;

k)符 合稽核類型要 求的稽核發 現(參 閱第 9＿ 碎＿

5
節),參 考證據及結論 ;及
● 自前次稽核之後 ,任 何影響客戶的管理 系統之

谽師
任何重大改變 ;

◎ byTC︳ C 資料來源 :︳ SOη 702﹁ 一

︴:20︴ 5 Modu!e5S｜ ide69

稽核報告
Audit report(3J竹 )

縐黫 銹黺 鑼 拂籩 紛鑱 〝
rn)任 何被鑑別出且未解 決的議題 ,;
n)在 適用情況下 ,是 否為合併 、聯合或整合稽核 ;

o)指 出稽核係根據可用資料抽樣過程的免責聲明 ;
塕麗翂 行

P)來 自稽核小組的建議 ;

q)在 適用情況下 ,被 稽核的客戶係有效 管制驗證

銹繳 師
戤琳

文件及標誌的使用 ;
齡靉 齡師漱摞 跫礤帑瓏鐇卹

r)在 適用情況下 ,對 於 前次 已鑑別的不符合項 目 ,

查證採取矯正措施 的成效 。
鐒 就發霆好吾 谽輕
銵附

◎ byTC︳ C 資料來源 :︳ SO︴ 702︴ 一

︴:20η 5 de70
Modu︳ e5S︳ ︳
 稽核 報 告 β&π
Aud忙 epo㏄ (4用 )
「 — — —

錛黦 鍋谽 鱗 鏺黤 妙鱗 →
▌ 報 告 也 應 包含 :

a)管 理 系統的符合性及有效性之聲明 ,並 摘要有

關下列項 目的證據 :

齡黫 鐊 小
一 管理 系統符合適用要求與預期結果的能力 ;

塕黫 坤
一 內部稽核及管理審查過程 ;

皴站
b)驗 證範圍適當性之結論

鐒黮鏺師女餒 罕羅 學鍰罈魻
;

c)確 定 已達成稽核 目標 。

錛 拼多冷趶 甘 妙坤
φ外
◎ by下 C︳ C
資料來源 :︳ So｛ 702︴ 一
﹁:20︹ 5 Modu︳ e5§ ∥
de7η

稽 核 報 告 目錄 J
π已▌
中

Aud忙 eport︳ ndex

「 — —

縐簸呦幼 鑼 鐒黮鎀鎞
AHd比 R兮 P● H糟 孩 生
軟告．
:Da進 e〔 落audㄦ 書角笨辯多
弟 館 :． ●

Repa比 da出｝寄 芻久
鼓璀千辯夢 ∥
$鑼
籛鑰 〦

一
果三
汙εBn㏑ &竹 每爸
了Ξb｜ §〔
鑈黫師

一
嘍 6ener盆 留
0竹 五Π立斑︳ 單uFtem下 echn曲 牲ya㏕ 魚Pp出 c威 ;兮 &由曲燉:㏄ 絡
●Π′ 凝
餓

2 o跎 ｜ mpr$出 n鎣
h鐒

路 發 毽 ﹊ … … ＿ ＿… … ﹍ … ﹏ ﹏ ﹏ ﹏ … ﹏ ﹏ … ﹏ ﹏ ﹋… ﹏ … … ﹏ ﹏
印 泉
籬齡螂筄黐 寧羅舉聚硌中

一 一 一 一 一 一 一 一 一 一一
— — —

3 眐e發路〔
鈴

碎 0趴 也故 mS,H:睡 δ已瞄 ReG6m胐 ㏕ 斑 腦 本女 蓓隸 之 雜 ｛提 示 輿 建 議

一 一 一 一 一 ﹊ 一 一
=°

S 0臥 輊斑 b路 牙u｜ 睡 Jan心 路 co砪 收 ㏕ 盡站碼 研 舌

睫 比 虛 A㏕ 女青 表 搓 緣 之 貴 笛 ︳提 希 其 建 嚴 … …

6 ε Π 出 路 旺 r鈴 … … ﹍ … ﹍ ﹏ ﹍ …
附 作
一 一 一 一 一 一 一 一
一 一
鈐 臨務跨坷吾紛坤

了 研 詡
谽外

◎ by了 C︳ C
Modu︳ e5s︳ ide了 2
 撥籦鏺嬐 鑴 鑈攤谽鑰 一
∩
AnyqUes七 :onS?

鐊颾塕 無
鐱籛仲
餓︴鏺黫鋒姊灘齷 孥蜘
鞿學錢舉 鐒 琳路趁野毒 劬姊
Thankyou ●
Merc:

谽師
◎ byTC︳ C Modu︳ e5S!︳ de73

●
一

V
 睜 繲
So2700η LeadAudㄤ °rCourSe
︳ Exe「c︳ se
靂殲爞靂
— —

nde〤
︳

練習A SMS組 織 、範圍 、政 策與 目標

瞭解組織及 其全 景 ,訂 定 ︳

練習 B 風 險 案例評 估

練習 C 風 險 案例對 應 之 控 制措 施

練習 D S爪 llSCaseStudy
稽 核 團隊 的 組 成 及 ︳

練習 E 第一階段稽核 演練

練習 F 稽 核 情境 演練

Page︴
◎ byTC︳ C on:2023一 0︴
巨di七 ︳ of可
 資通安 全 管理 法及 子 法 棄編

行政 院
中華 民國 110年 少月

V
 目刁
壹 法規條 文 1

一 、資通安全管理法 .… …………… ……………………………‥1

二 、資通安全管理法施行 細則 9

三 資通安全責任 等級分級辦 法 15
一
四 、資通安全 事件通報及應變辦法 再5

五 、特定非 公務機 關資通安全 維護計畫實施 情形稽核辦 法 .… …弘

六 、資通安全 情資分 享辦 法 58

七 、公務機 關所屬 人 員資通安 全 事項獎懲辦 法 6上

貳 逐條 說 明 6ㄔ

一 、資通安 全 管理 法 .… …………… …………………………… 64

二 、資通安 全 管理法施 行 細 則 77

三 、資通安全 責任 等級分級辦 法 87

四 、資通安全 事件通報 及 應 變辦 法 147

五 、特定非公務機 關資通安 全 維護計 畫實施 情形 稽核辦 法 .‥ 161

六 、資通安 全 情資分享辦 法 ⊥68

七 、公務機 關所屬 人 員資通安 全 事項 獎懲辦 法 172

一┤
壹 、 法規條 文
一 、資通安全 管理法
0孔
總統令 靈 二
靂 晶蓋 禿◇:b昆 蠹 2母

茲制定 資通安全管理法 ,公 布之 。

總 統 蔡舞文
行政院 院長 賴清德

資饞 安 全 管 理 法
中華民踐 土
♁7車 心角 心出公布

第一章 總則
第 一條 為積極推動 國家資通安 全政 策 ,加 速建構 國家
資通安 全 環境 ,以 保 障 國家安 全 ,維 護社 會 公共利
益 ,特 制 定本 法 。
第二條 本 法之 主 管機 關為行 政 院 。
第三 條 本 法 用詞 ,定 義如 下 :

一 、資通 系統 :︴旨用 以 蒐集 、控 制 、傳輸 、

儲存 、
流通 、冊ll除 資訊 或對 資訊 為其他處 理 、使 用
或分享之 系統 。
二 、資通 服務 :指 與 資訊之 蒐集 、控制 、傳輸 、
儲存 、流通 、刪 除 、其他 處 理 、使 用或分享
司之月
相居 艮務 。
三 、資通安 全 :指 防止 資通 系統 或 資訊 遭 受未
經授 權 之 存 取 、使 用 、控 制 、洩 漏 、破 壞 、
竄改 、銷 毀 或其 他侵 害 ,以 確保 其機 密性 、
完整性 及 可 用性 。
四 、資通安 全 事 件 :指 系統 、服務 或網 路狀 態經
⊥
 鑑 別 而顯 示可 能 有 違 反 資通安全政 策或保
護措 方戶
也失效之 狀 態發 生 ,影 響 資通 系統機
能運作 ,構 成 資通安 全政 策之 威 脅 。
五 、公務機 關 :指 依 法行使 公權 力之 中央 、地 方
機 關 (構 )或 公法 人 。但不 包括 軍事機 關及
情 報機 關 。
六 、特 定 非 公務機 關 :指 關鍵基礎設施 提供者 、
公 營事 業及政 府捐助 之 財 團法人 。
七 ‵ 關鍵 基礎 設方戶
也兮旨實 體 或虛擬 資產 、系統 或
網路 ,其 功 能 一 旦停 止 運作 或效 能 降低 ,對
國家安全 、社 會 公 共利 益 、國民生 活 或經 濟
活 動 有 重大 影 響之 虞 ,經 主 管機 關定期檢
視 並 公告之領域 。
八 、 關鍵 基礎 設施 提供 者 :指 維運 或提供 關鍵
基礎 設施 之 全 部 或 一部 ,經 中央 目的 事 業
主 管機 關指 定 ,並 報 主 管機 關核 定者 。
九 、政 府 捐助 之 財 團 法 人 :指 其 營運 及 資金運
用計 畫應 依 預 算 法 第 四 十 一條 第三 項 規 定
送 立 法院 ,及 其年 度 預算 書應依 同條 第 四
項規 定送 立法 院審議 之 財 團法人 。
第 四條 為提 升 資通安 全 ,政 府 應提供 資源 ,整 合 民間
及 產 業力量 ,提 升 全 民資通安 全 意識 ,並 推動 下 列
事項 :

一 、資通安 全 專 業人 才之 培 育 。
二 、 資通安全 科技 之研 發 、整合 、應 用 、產學
合 作 及 國際交流合作 。
三 、 資通安全產 業之發 展 。
四 、 資通安全軟硬 體技術 規 範 、相 關服務 與審
9

2
 驗 機制 之 發展 。
前項相 關事項 之 推 動 ,由 主 管機 關 以 國家資通
安 全發展 方 案定之 。
第五 條 主 管機 關應 規 劃並推動 國家資通安 全政 策 、資
通安 全 科技發展 、國際 交流合作 及 資通 安 全整 體 防
護 等相 關事 宜 ,並 應 定期 公 布 國家資通安 全 情勢 報
戶
告 、對 公務機 關資通安 全 維護計 畫實方 也情形稽 核概
況報告 及 資通 安全發展 方案 。
前項 情勢報告 、實 施 情 形稽核概 況報 告 及 資通
安 全發展 方 案 ,應 送 立 法院備 查 。
第六條 主 管機 關得委 任 或委 託 其他 公務機 關 、法 人 或
團體 ,辦 理 資通安 全整體 防護 、國際交 流合 作 及 其
他 資通安 全相 關事務 。
前項被委 託 之公務機 關 、法人 或 團體 或被複委
託 者 ,不 得 洩 露在執行 或辦 理 相 關事務 過程 中所獲
′
也提供 者 之 秘 密 。
悉 關鍵 基礎 設方
第 七條 主 管機 關應衡 酌公務機 關及 特 定非 公務機 關業
務 之 重要性與機敏 性 、機 關層 級 、保 有或處 理之 資
訊 種 類 、數 量 、性 質 、資通 系統 之規模 及性 質等條
件 ,訂 定 資通安 全 責任 等級之 分級 ;其 分 級 基準 、
等級 變更 申請 、義務 內容 、專責 人 員之設 置及 其他
相 關事 項 之辦 法 ,由 主 管機 關定之 。
主 管機 關得稽 核 特 定非 公務機 關之 資通安 全 維
戶
也情形 ;其 稽 核 之 頻 率 、內容與 方法及 其
護 計 畫實 方
他相 關事項 之 辦 法 ,由 主 管機 關定之 。
特 定非 公務機 關受前項 之 稽 核 ,經 發 現其 資通
安 全 維護計 畫實 施 有缺 失或待 改善者 ,應 向 主 管機
關提 出改 善報告 ,並 送 中央 目的事業 主 管機 關 。

3
第八條 主管機 關應建 立 資通安全 情資分 享機制 。
前項 資通安全 情資之 分析 、整合與分 享之 內
容 、程序 、方法及 其他相 關事項之辦 法 ,由 主管機
關定之 。
第九條 公務機 關或特定非公務機 關 ,於 本 法適 用範 圍
內 ,委 外辦 理 資通 系統之建 置 、維運或資通服務 之
提供 ,應 考 量受託 者 之 專 業能力與 經驗 、委外項 目
之性 質及 資通安全 需求 ,選 任適當之 受託者 ,並 監
督其資通安 全 維護情形 。
第二 章 公務 機 關 資通 安 全 管理
第十條 公務機 關應符合 其所屬 資通安全責任 等級之 要
求 ,並 考 量其所保有或處一
理 之 資訊 種類 、數 量 、性
質 、資通 系統之 規模與性 質等條件 ,訂 定 、修 正及
實施 資通安全維護 計畫 。
第十一條 公務機 關應 置 資通安全長 ,由 機 關首 長指 派
副首長或適當人 員兼任 ,負 責推動 及監督機 關內
資通安 全相 關事務 。
第十二條 公務機 關應每年 向上級 或監督機 關提 出資通
安全維護 計畫實施 情形 ;無 上級機 關者 ,其 資通
安全維護 計畫實方 ′
也情形 應送交 主 管機 關 。
第十三條 公務機 關應稽核其所屬 或監督機 關之 資通安
全 維護計 畫實施 情形 。
受稽核機 關之 資通安全維護計 畫實方 ′
也有缺 失
或待 改善者 ,應 提 出改善報告 ,送 交稽核機 關及
上級 或監督機 關 。
第十 四條 公務機 關為 因應 資通安全 事件 ,應 訂定通報
及 應變機制 。
公務機 關知 悉資通安 全 事件 時 ,除 應通報 上

再
 級 或監督機 關外 ,並 應通報 主 管機 關 ;無 上級 機
關者 ,應 通報 主 管機 關 。
公務機 關應 向上級 或監督機 關提 出資通安 全
事件 調 查 、處理及 改 善報告 ,並 送 交 主 管機 關 ;

無 上級 機 關者 ,應 送 交 主 管機 關 。
前 三 項通報 及 應 變機制 之必 要事項 、通報 內
容 、報告 之 提 出及 其 他 相 關事項 之 辦 法 ,由 主 管
機 關定之 。
第十 五條 公務機 關所屬 人 員對 於 機 關之 資通安 全 維護
績 效優 良者 ,應 子 獎勵 。
前項 典勵 事項 之 辦 法 ,由 主 管機 關定之 。
第三 章 特 定 非 公 務 機 關 資通 安 全 管理
第十 六條 中央 目的事 業主 管機 關應於徵詢相 關公務機
關 、民間團體 、專家學者 之 意見後 ,指 定關鍵基
楚設施提供者 ,報 請 主管機 關核 定 ,並 以 書 面通
石
知 受核 定者 。
戶
也提供者應符合其所屬 資通安 全
關鍵基礎 設方
責任 等級之 要求 ,並 考量其所保有或處理之 資訊
種類 、數 量 、性 質 、資通 系統之規模與性 質等條
件 ,訂 定 、修 正及 實施 資通安 全 維護計畫 。
關鍵基礎設 施 提供者應 向 中央 目的事業主 管
′
機 關提 出資通安全維護計 畫實方 也情形 。
中央 目的事業主 管機 關應稽核所 管關鍵基礎
設施提供者 之 資通 安全維護計 畫實施 情形 。
關鍵基礎設 施 提供者 之 資通安 全 維護計 畫實
施 有缺 失或待 改善者 ,應 提 出改善報告 ,送 交 中
央 目的事業主管機 關 。
第二 項 至 第五 項 之 資通安 全 維護計畫必要事
5
 項 、實施 情形 之 提 出 、稽核 之 頻 率 、內容與 方
法 、改 善報告 之 提 出及 其他應 遵行 事項 之 辦 法 ,

由 中央 目的事 業 主 管機 關擬 訂 ,報 請 主 管機 關核
定之 。
第十 七條 關鍵基礎 設施 提供者 以 外之 特 定 非 公務機
關 ,應 符合其所屬 資通安 全 責任 等級之 要 求 ,並
考 量其所保 有 或處 翠 之 資訊 種 類 、數 量 、性 質 、
資通 系統 之規模 與性 質等條件 ,訂 定 、修 正及 實
施 資通安 全 維護計 畫 。
中央 目的 事 業 主 管機 關得 要求所 管前項特 定
非 公務機 關 ,提 出資通安 全 維護計 畫實施 情形 。
中央 目的 事 業 主 管機 關得 稽 核 所 管第一項特
定非 公務機 關之 資通安全 維護計 畫實 施 情形 ,發
現 有缺 失或待 改 善者 ,應 限期要 求受稽核 之 特 定
非 公務機 關提 出改 善報告 。
前 三 項 之 資通安全 維護計 畫 必 要事項 、實方 ′
也
情形 之 提 出 、稽 核 之 頻 率 、內容與 方法 、改 善報
告 之提 出及 其他應 遵行 事項 之辦 法 ,由 中央 目的
事 業 主 管機 關擬 訂 ,報 請 主 管機 關核 定之 。
第十八條 特 定非 公務 機 關為 因應 資通安 全 事件 ,應 訂
定通報 及 應 變機 制 。
特 定 非 公務機 關於 知 悉 資通安 全 事件 時 ,應
向 中央 目的事 業 主 管機 關通報 。
特 定 非 公務機 關應 向 中央 目的事 業 主 管機 關
提 出資通安全 事件 調 查 、處 理及 改 善報告 ;如 為
重大 資通安全 事件 者 ,並 應送 交 主 管機 關 。
前 三 項通報 及 應 變機 制 之 必 要事項 、通報 內
容 、報告 之提 出及 其他應 遵行 事項 之 辦 法 ,由 主
管機 關定之 。 ——
)

6
 知 悉重大 資通安 全 事件 時 j主 管機 關或 中央
目的事 業主 管機 關於 適 當時機得 公告與 事件 相 關
之 必 要 內容 及 因應措施 ,並 得提 供相 關協 助 。
第四章 罰則
第十九條 公務機 關所屬 人 員未遵 守本 法規定者 ,應 按
其情節輕 重 ,依 相 關規定 予以懲戒 或懲處 。
前項懲處事項 之辦 法 ,由 主管機 關定之 。
第二 十條 特 定非 公務機 關有下列情形 之 一者 ,由 中央
目的事業主管機 關令 r艮 期 改正 ;屆 期未 改正 者 ,

按 次處新臺幣十萬 元 以上 一百 萬元 以下罰鍰 :

、未依 第十 六條 第二項或 第十 七條 第一項

一 規定 ,訂 定 、修 正 或實 方′
也資通安 全 維護
計 畫 ,或 違 反 第十六條 第六項 或第十 七
條 第四項所 定辦 法 中有 關資通安全維護
計 畫必 要事項之規定 。
二 、未依 第十 六條 第三項 或 第十 七條 第二項
規 定 ,向 中央 目的事 業 主管機 關提 出資
′
也情形 ,或 違 反 第
通安 全 維 護計 畫之 實方
十 六條 第六項或第十 七條 第四項所定辦
法 中有 關資通安全維護計 畫實施 情形提
出之 規定 。
三 、未依 第 七條 第三 項 、第十 六條 第五 項或
第十 七條 第三項規定 ,提 出改善報告送
交 主 管機 關 、中央 目的事業主 管機 關 ,

或違 反 第十六條 第六項 或第十 七條 第四

． 項所 定辦 法 中有 關改善報告提 出之規 定 。
四 、未依 第十八條 第一項規 定 ,訂 定 資通安
全 事件 之 通報 及應 變機 制 ,或 違 反 第十
八條 第四項所 定辦 法 中有 關通報 及應變
7
 機 制 必 要事項 之規 定 。
五 、未依 第十八 條 第三 項規 定 ,向 中央 目的 ╮
事 業 主 管機 關或 主 管機 關提 出 資通安 全
事件 之 調 查 、處 理及 改 善報 告 ,或 違 反
第十八 條 第四項所 定辦 法 中有 關報告提
出之規 定 。
六 、違反 第十八 條 第 四項所 定辦 法 中有 關通
報 內容之規 定 。
第二 十 一條 特 定 非 公務機 關未依 第十八 條 第二 項規
定 ,通 報 資通安 全 事件 ,由 中央 目的事 業 主 管
機 關處新 臺 幣三 十萬 元以上五百 萬 元 以下罰
鍰 ,並 令 限期 改正 ;屆 期未 改正 者 ,按 次 處罰
之 。

第五 章 附 則
條 條
十 十
第 第
一

一
一二

一一

本法施 行 細 則 ,由 主管機 關定之 。

一一

本 法施 行 日期 ,由 主管機 關定之 。

8
二 、資通安全 管理 法施行 細則
中華民國 107年 11月 21日 行政院院臺護字第 1070213547號 令訂 定
中華民國 1上 0年 8月 23日 行政院烷臺護字第 1l00182012號 令修 正

第一條 本 細 則依 資通安 全 管理 法 (以 下 簡稱 本 法 )第 二
十二條 規定訂定之 。
第二條 本法 第三條 第五 款所稱 軍事機 關 ,指 國防部 及 其
所屬機關 (構 )、 部 隊 、學校 ;所 稱情報機 關 ,指 國家
情 報 工 作 法 第三 條 第 一 項 第 一 款 及 第二 項 規 定 之 機
關 。

第三 條 公務機 關或特 定 非 公務機 關 (以 下 簡稱 各機 關 )

依 本 法 第 七條 第三 項 、第十三 條 第二 項 、第十 六條 第
五 項或第十 七條 第三 項提 出改 善報 告 ,應 針對 資通安
全 維護 計 畫實 施 情形 之 稽 核 結 果提 出下 列 內容 ,並 依
主 管機 關 、上級 或監督機 關或 中央 目的事 業 主 管機 關
指 定之 方式及 時 間 ,提 出改善報告 之 執行 情形 :

一 、缺 失或待 改 善之 項 目及 內容 。
二 、發 生原 因 。
三 、為 改正缺 失或補 強符 改 善項 目所採 取 管理 、
技術 、人 力 或資源 等層 面之措 施 。
四 、前 款措 施之 預定完成 時程 及 執行 進度 之 追蹤
方式 。
第 四條 各機 關 依 本 法 第 九條 規 定委 外辦 理 資通 系統 之
建 置 、維 運 或 資通服務 之 提 供 (以 下 簡稱 受託 業務 ),
選 任 及監 督 受託者 時 ,應 注 意下 列事 項 :

,應
一 、受託 者辦 理 受託 業務 之 相 關程序 及 環境
具備 完善 之 資通安 全 管 理 措 施 或通 過 第三
方驗證 。

9
 二 、受託者應 配 置充足 且經 適 當之 資格 訓練 、擁
有 資通安 全 專 業證 照 或具 有 類似 業務 經驗
之 資通安 全 專業 人 員 。
三 、受託 者辦 理 受託 業務得 否複 委託 、得複委 託
之 範 圍與對 象 ,及 複 委託之 受託 者應具備 之
資通安 全 維護措 施 。
四 、受託 業務 涉及 國家機 密者 ,執 行 受託 業務 之
相 關人 員應接 受適任 性 查核 ,並 依 國家機 密
保護 法之規 定 ,管 制 其 出境 。
五 、受託 業務 包括 客 製化 資通 系統 開發者 ,受 託
者應提供該 資通 系統 之 安全性檢 測證 明 ;該
資通 系統 屬委 託 機 關之核 心 資通 系統 ,或 委
託金額 達新 臺幣一千 萬 元以上 者 ,委 託 機 關
應 自行 或另行 委託 第三 方進行 安全性檢 測 ;

涉 及 利 用 非 受託 者 自行 開發 之 系統 或 資源
者 ,並 應標 示 非 自行 開發 之 內容 與其來源 及
提供授 權 證 明 。
六 、受託者執行 受託 業務 ,違 反 資通安 全相 關法
令 或知 悉資通安全 事件 時 ,應 立 即通知委託
機 關及 採行 之 補救措 施 。
委託 關係終 止 或解除 時 ,應 確 認 受託者 返 還 、
七、
移 交 、們┤
l除 或銷 毀 履行 契約 而持 有 之 資料 。
八 、受託 者應採取 之 其他 資通安 全相 關維護措 施 。
九 、委託 機 關應 定期 或於 知 悉受託者發 生可 能影
響 受託 業務 之 資通安全 事件 時 ,以 稽核 或其
他 適 當 方 式確 認 受託 業務 之 執行 情形 。
委 託 機 關辦 理 前項 第四 款之 適任 性 查核 ,應 考 量
受託 業務所 涉及 國家機 密之 機 密等級 及 內容 ,就 執行

10
 該 業務 之 受託者所屬 人 員及可 能接觸 該 國家機 密之
其他 人 員 ,於 必要範 圍內查核有無下列事項 :

,犯
一 、曾犯 洩密罪 ,或 於 動 員戡 亂時期終止後
內亂 罪 、外患罪 ,經 判別確 定 ,或 通 緝有案
尚未結 案 。
二 、曾任 公務 員 ,因 違反相 關安 全保密規定受懲
戒 或記過 以上行政懲處 。
三 、曾受到外 國政府 、大陸地 區 、香港或澳門政
府 之利誘 、脅迫 ,從 事 不利 國家安 全 或重大
利 益情事 。
四 、其他 與 國家機密保護相 關之 具體項 目 。
第一項 第四款 情形 ,應 記 載於 招標 公告 ‵招標文
件 及 契約 ;於 辦 理 適任 性 查核前 ,並 應 經 當事人 書面
同意 。
第五條 前條 第三項 及 本 法 第十六條 第一項之 書 面 ,依 電
子 簽章法之規定 ,得 以電子 文件 為之 。
第六條 本 法 第十條 、第十六條 第二項 及 第十 七條 第一項
所 定 資通安 全 維護 計 畫 ,應 包括 下列事項 :

一 、核 心 業務 及 其 重要性 。
二 、資通安 全政 策及 目標 。
三 、資通安全推動 組織 。
四 、專 責人 力及經 費之配 置 。
五 、公務機 關資通安 全 長之配 置 。
六 、資通 系統及 資訊之 盤 點 ,並 標 示核 心 資通 系
統 及相 關資產 。
七 、資通安 全風險評 估 。
八 、資通安 全 防護 及控制措 施 。
九 、資通安 全 事件通報 、應 變及 演練相 關機制 。

11
 十 、資通安全 情 資之 評 估及 因應機 制 。
十 、資通 系統 或服務委 外辦 理之 管理 措 施 。
一
十二 、公務機 關所屬 人 員辦 理 業務 涉及 資通安 全
事項 之 考 核機 制 。
十三 、資通安全維護 計 畫與實施 情形 之 持 續精 進
及 績 效 管理 機制 。
各機 關依 本 法 第十 二 條 、第十 六條 第三 項 或第十
七條 第二 項規定提 出資通安 全 維護計 畫實 施 情形 ,應
包括 前項各款 之 執行 成果 及 相 關說 明 。
第一 項 資通安 全 維護計 畫 之 訂定 、修 正 實 施及
:、

′
也情形 之提 出 ,公 務機 關經 其上級 或監督機 關
前項實方
同意 ,得 由其上級 、監 督機 關或其 上級 、監 督機 關所
屬 公務機 關辦 理 ;特 定 非 公務機 關經 其 中央 目的事業
主 管機 關同意 ,得 由其 中央 目的事 業 主 管機 關 、中央
目的事 業 主 管機 關所 屬 公 務 機 關或 中央 目的 事 業 主
管機 關所 管特 定非 公務機 關辦 理 。
第七條 前條 第一項 第一 款所 定核 心 業務 ,其 範 圍如 下 :

一 、公務機 關依 其 組 織 法規 ,足 認 該 業務 為機 關
核 心權 責所在 。
二 、公 營事 業及政 府捐助 之 財 團法 人之 主 要服務
或功能 。
三 、各機 關維運 、提供 關鍵 基礎 設施 所 必 要 之 業
務 。

四 、各機 關依 資通安 全 責任 等級 分級 辦 法 第四條

第一款 至 第五 款 或第五 條 第一 款 至 第五 款
涉及之 業務 。
前條 第一項 第六款所稱核 心 資通 系統 ,指 支持核
心 業務持續運作 必 要之 系統 ,或 依 資通安全 責任 等級
刁
12
 分級辦 法 附表 九 資通 系統防護 需求分級原則之規 定 ,

判 定其防護 需求等級 為高者 。

第八 條 本 法 第十 四條 第三 項 及 第十八 條 第三 項所 定 資
處理及 改善報告 ,應 包括下列事項
通安 全 事件 調 查、 :

一 、事件發生或知 悉其發 生 、完成損 害控制或復

原作 業之 時間 。
二 、事件影響之範 圍及 損 害評估 。
三 、損 害控制及復原作 業之歷程 。
四 、事件 調 查及處 理作 業之歷程 。
五 、事件根 因分析 。
六 、為 防範 類似事件再 次 發 生所採取之 管理 、技
術 、人力或 資源等層 面之措施 。
七 、前款措施之 預定完成 時程 及 成效追蹤機制 。
第九條 中央 目的 事 業 主 管機 關依 本 法 第十 六條 第一 項
′
也提供者前 ,應 給 予其陳述 意見
規定指 定關鍵基礎設方
之機會 。
第十條 本 法 第十 八 條 第三 項 及 第五 項所稱 重大 資通安
全 事件 ,指 資通安 全 事件 通報 及 應變辦 法 第二條 第四
項及 第五 項規定之 第三級及 第 四級 資通安 全 事件 。
第十 一條 主 管機 關或 中央 目的事 業 主 管機 關知 悉重 大
資通 安全 事件 ,依 本 法 第十八條 第五項規定公告與
′
也時 ,應 載 明事件 之
事件 相 關之必要 內容及 因應措 方
發 生或知 悉其發 生之 時間 、原 因 、影響程度 、控制
情形 及 後 續 改善措施 。
′
也’有下
前項與事件相 關之必 要 內容及 因應措 方
列情形 之 一者 ,不 予公告 :

一 、涉及個 人 、法 人 或團體營業上秘 密或經 營

事業有關之 資訊 ,或 公 開有侵 害公務機 關 、
V
13
 個 人 、法人 或團體 之權利或其他正 當利益 。
但法規 另有規定 ,或 對 公益有 必要 ,或 為
保護 人 民生命 、身體 、健康有 必要 ,或 經
當事 人 同意者 ,不 在 此限 。
二 、其他依法規規 定應秘 密 、限制 或禁止公 開
之 情形 。
′
第 一項與 事件 相 關之 必 要 內容及 因應措 方
也含
有前項不予公告 之 情形者 ,得 僅就其他 部分 公告之 。
第十二條 特 定 非 公務機 關之 業務 涉及 數 中央 目的 事 業
主 管機 關之權 責者 ,主 管機 關得協調指 定 一個 以上
之 中央 目的事業主 管機 關 ,單 獨 或共 同辦 理 本 法所
定 中央 目的事業主 管機 關應辦 理之 事項 。
第十三條 本 細則之施行 日期 ,由 主管機 關定之 。
′
本 細則修 正條 文 自發布 日方
也行 。

1再
三 、資通安全 責任 等級分級辦 法
中華民國 107年 l1月 21日 行 政 院院臺護 字 第 l070213547號 令 訂 定
中華民國 l08年 8月 26日 行 政 院院臺護 字 第 l080184606號 令修 正
中華民國 110年 8月 23日 行 政 院院臺護 字 第 l100182012號 令修 正

第一條 本辦法依 資通安全管理法 (以 下簡稱本法 )第 七條第

一項規 定訂 定之 。
第 二條 公務機 關及 特 定 非 公務機 關 (以 下 簡稱 各機 關 )之 資
通安 全 責任 等級 ,由 高至低 ,分 為 A級 、B級 、C級 、D級
及 E級 。
第 三條 主 管機 關應每 二 年核 定 自身 資通安 全 責任 等級 。
行 政 院直屬機 關應每 二 年 提 交 自身 、所屬 或監督 之 公
務機 關及 所 管之 特 定非 公務機 關之 資通安 全 責任 等級
,報
主 管機 關核 定 。
直轄市 、縣 (市 )政 府應每 二年提 交自身 、所屬或監督
之公務機 關 ,與 所轄鄉 (鎮 、市 )、 直轄市 山地原住 民區公
所及 其所屬或監督之公務機 關之 資通安 全 責任 等級 ,報 主
管機 關核定 。
直轄市及縣 (市 )議 會 、鄉 (鎮 、市 )民 代表會及 直轄
市 山也原住 民區 民代表會應每 二年提 交 自身資通安 全 責任
等級 ,由 其所在 區域之直轄 市 、縣 (市 )政 府彙送 主 管機關
核定 。
總統府 、國家安 全 會議 、立法 院 、司法院 、考 試 院及監
察 院應每 二 年核 定 自身 、所屬 或監督 之 公務機 關及 所 管之
特 定非 公務機 關之 資通安 全 責任 等級 ,送 主 管機 關備 查 。
各機 關 因組 織 或業務 調 整 ,致 須 變更原 資通安 全 責任
等級 時 ,應 即依 前 五 項規 定程序辦 理 等級 變更 ;有 新 設 機
關時 ,亦 同 。

15
 第一項 至 第五 項 公務機 關辦 理 資通安 全 責任 等級之提
交 或核定 ,就 公務機 關或特定非公務機 關 內之 單位 ,認 有
另 列與 該 機 關不 同等級之必要者 ,得 考 量其 業務 性 質 ,依
第四條 至 第十條 規定認定之 。
第四條 各機 關有下列情形 之 一者 ,其 資通安全 責任 等級 為 A級 :

一 、業務 涉及 國家機 密 。
二 、業務 涉及 外交 、國防或國土安全 事項 。
三 、業務 涉及全 國性 民眾服務 或跨 公務機 關共 用性
資通 系統之 維運 。
四 、業務 涉 及全 國性 民眾或 公務 員個 人 資料檔 案之
持有 。
五 、屬公務機 關 ,且 業務 涉及全 國性之 關鍵 基礎 設施
事項 。
六 、屬 關鍵基礎設施提供者 ,且 業務 經 中央 目的事業
主 管機 關考量其提供 或維運 關鍵基礎 設施服 務 之
用戶數 、市場 占有 率 、區域 、可 替代性 ,認 其 資
通 系統失效 或受影 響 ,對 社 會公共利 益 、民心 士
氣或民眾生命 、身體 、財產安 全將產 生 災難性 或
非 常嚴 重之影響 。
七 、屬 公立 醫學 中心 。
第五條 各機 關有下列情形 之 一者 ,其 資通安全 責任 等級 為 B級 :

一 、 業務 涉及公務機 關捐助 、資助或研發 之 國家核 心

科技 資訊之安 全 維護 及 管理 。
二 、業務 涉及 區域性 、地 區性 民眾服務 或跨 公務機 關
共用性 資通 系統之 維運 。
三 、業務 涉及 區域性 或 地 區性 民眾個 人 資料檔 案 之
持有 。
四 、業務 涉及 中央二級 機 關及 所屬各級機 關 (構 )共

16
 用性 資通 系統之 維運 。
五 、屬 公務機 關 ,且 業務 涉及 區域性或地區性 之 關鍵
′
基礎 設 方
也事項 。
六 、屬 關鍵基礎設施提供者 ,且 業務 經 中央 目的事業
主 管機 關考量其提供 或維運 關鍵基礎 設施服務 之
用戶數 、市場 占有率 、區域 、可替代性 ,認 其 資
通 系統失效或受影響 ,對 社會公共利 益 、民心 士
氣或民眾生命 、身 體 、財產安全將產 生嚴 重影 響 。
七 、屬 公立區域醫院或地 區醫院 。
第 /、 條
〦
各機 關維運 自行 或委 外設 置 、開發 之 資通 系統者 ,其
資通安 全 責任 等級 為 C級 。
前項所 定 自行 或委外設 置之 資通 系統 ,指 具權 限區分
及 管理 功能之 資通 系統 。
第 七條 各機 關 自行辦 理 資通 業務 ,未 維運 自行 或委 外設 置 、
開發 之 資通 系統者 ,其 資通安 全 責任 等級 為 D級 。
第 八條 各機 關有下 列情形之 一者 ,其 資通安 全 責任 等級 為 E級 :

一 、無 資通 系統且 未提 供 資通服務 。
二 、屬 公務機 關 ,且 其全 部 資通業務 由其上級機 關 、
監督機 關或上 開機 關指 定之公務機 關兼辦 或代 管 。
三 、屬特 定非公務機 關 ,且 其全部 資通業務 由其 中央
目的事 業主管機 關 、中央 目的事業主管機 關所屬
公務機 關 、中央 目的事業 主管機 關所管特 定非公
務機 關或 出資之公務機 關兼辦 或代 管 。
第 九條 各機 關依 第四條 至 前條 規定 ,符 合 二個 以上之 資通安
全 責任 等級 者 ,其 資通安全 責任 等級 列為其符合 之 最高等
翹L。
第 十條 各機 關之 資通安 全 責任 等級依 前 六條 規定認 定之 。但
第三條 第一項 至 第五 項 之 公務機 關提 交或核 定資通安全 責

17
 任 等級 時 ,得 考 量下 列事項對 國家安全 、社 會 公 共利 益 、人
民生命 、身 體 、財產安全 或公務機 關聲譽之 影 響程度 ,調 整
各機 關之 等級 :

一 、 業務 涉及 外交 、國防 、國土安 全 、全 國性 、區域

性 或地 區性之 能源 、水 資源 、通 訊 傳播 、交通 、
銀 行與 金融 、緊急救援 與 醫院業務者 ,其 中斷或
受妨礙 。
二 、 業務 涉及個 人 資料 、公務機 密或其他依 法規 或契
約應秘 密之 資訊 者 ,其 資料 、公務機 密或其他 資
訊之數 量與性 質 ,及 遭受未 經授 權 之存取 、
使用、
控制 、洩 漏 、破 壞 、竄改 、銷 毀或其他侵 害 。
三 、各機 關依 層 級之 不 同 ,其 功 能受影 響 、失效 或 中
斷。
四 、其他與 資通 系統之提供 、維運 、規模 或性 質相 關
之 具體 事項 。
第十一條 各機 關應依 其 資通安 全 責任 等級 ,辦 理 附表 一 至 附表
八 之 事項 。
各機 關 自行 或委 外 開發 之 資通 系統應依 附表 九 所 定
資通 系統 防護 需求分級 原 則 完成 資通 系統分級 ,並 依 附表
十所 定 資通 系統 防護基 準執行 控 制措 施 ;特 定非 公務機 關
之 中央 目的事 業 主 管機 關就特 定類型 資通 系統之 防護 基
準 認 有 另為規 定之 必 要者 ,得 自行 擬訂 防護基 準 ,報 請 主
管機 關核 定後 ,依 其規 定辦 理 。
各機 關辦 理 附表 一 至 附表 八 所 定 事項 或執行 附表 十
所 定控 制措 施 ,因 技術 限制 、個 別 資通 系統之設 計 ‵結 構
或性 質等 因素 ,就 特 定 事項 或控 制措 方′
也之辦 理 或執行 顯有
困難者 ,得 經 第三條 第二 項 至 第 四項所 定其 等級 提 交機 關
或 同條 第五 項所 定其 等級 核 定機 關同意 ,並 報 請 主 管機 關

18
 片
也;其 為 主管機 關者 ,經
備 查後 ,免 執行 該 事項或控制措 方
其 同意後 ,免 子執行 。
公務機 關之 資通安全 責任 等級 為 A級 或 B級 者 ,應 依
主 管機 關指 定之方式 ,提 報 第一項 及 第二項事項之辦 理 情
形。
中央 目的事業主管機 關得 要求所管特 定非 公務機 關 ,

依 其指 定之 方式提報 第一項 及 第二項事項之辦 理 情形 。

第十二條 本辦 法之施行 日期 ,由 主管機 關定之 。
本辦 法修 正條 文 自發 布 日施 行 。

V
⊥9
 附表 一 資通安全責任 等級 A級 之公務機 關應辦事項
制度 面 向 辦理項 目 辦 理 項 目細 項 辦 理 內容
初次 受核 定或等級 變更後 之 一年 內 ,針
對 自行 或委 外開發 之 資通 系統 ,依 附表
資通 系統分級及 防護基 準 九完成 資通 系統分級 ,並 完成 附表十 之
控 制措 施 ;其 後應每 年 至 少檢視 一 次 資
通 系統分級妥 適性 。
初次 受核 定或等級 變更後 之 二 年 內 。全
部核 心 資通 系統 導人 CNS2700l或 工 S0
2700l等 資訊 安全管理 系統標 準 、其 他
資訊 安全 管理 系統之 導入 及 通
管理 面 具有 同等或 以上效果之 系統或標 準 ,或
過 公正 第三 方之驗證
其 他 公務 機 關 自行 發 展 並 經 主 管機 關
認可之 標準 ,於 三 年 內完成公正 第三 方
驗證 ,並 持續維持其驗證 有效性 。
初 次 受核 定或等級 變更後 之 一年 內 ,配
資通安 全 專責 人 員
置 四人 ;須 以 專職 人 員配 置之 。
內部 資通安 全 稽核 每 年辦 理 二 次 。
業務持續運作 演練 全 部核 心 資通 系統每年辦 理 一次 。
資安治理 成 熟度評估 每 年辦 理 一次 。
弱點 掃 描 全 部核 心 資通 系統每年辦 理 二 次 。
安全性檢 測
滲 透測試 全 部核 心 資通 系統每年辦 理 一次 。
網路 架構 檢視
網路 惡 意活動
檢視
使 用者 端 電腦
資 通 安 全 健 惡 意 活 動檢視 每 年辦 理 一次 。
診 伺 服 器 主機 惡
意 活 動檢 視
目錄 伺 服 器設
定及 防 火牆 連
技術 面 線設 定檢 視
初玫 受核 定 或等級 變更後 之 一年 內 ,完
成威 脅偵 測機 制建 置 ,並 持續維運 及依
主 管機 關指 定之 方 式提 交監控 管 理 資
料 。其監控 範 圍應 包括本表所 定 「端點
資通安 全 威 脅偵測管理 機制
偵 測及 應 變機 制 」與 「資通安 全 防護 」
｜
之 辦 理 內容 、目錄服務 系統與機 關核 心
資通 系統 之 資通 設備 紀 錄 及 資訊 服 務
或應 用程 式 紀錄 。
初 次 受核 定或 等級 變更後 之 一年 內 ,依
政 府 組 態基 準 主 管機 關公告之 項 目 ,完 成政 府 組 態基
一
準 專人 作 業 ,並 持續維運 。 ┤

20
 後之 年
初 次 受 核 定 或 等級 變 更
內 完 成 資通 安 全 再罵點 通 報 機 制
主 管
ˊ
ˊ
ˊ′︻︻‵‵‵
導人 作 業 並 持 續維運 及 依
資訊 資 產 盤
﹉ 、

機 關 奇旨定 之 方 式 提 交
)

點 資料
百 十 年 )ㄟ 月
本辦 法 中華民 國
資通安 全弱點通報機 制 日修 正 施 行 前 已 受
核 定者
十 斗
年內 成資
應 於修 正 施 行 後
兀

牙哥點 通 報 機 制 導 作
入 業
通安 全
主 管機 關 指 定 之
並持續維運及 依
方 式 提 交 資訊 資 產 盤
點 資料

次 受 核 定 或 等級 變 更
後之 二 年
羽
制專
內 乃成端 點 偵 測 及 應 變機
及 依 主 管機
入作 業 並持 續維運
測 資料
關 指 定 之 方 式提 交 偵
百 十年八 月
本辨 法 中華民 國
日修正 施 行前 已 受
核 定者
端 點偵 測 及應 變機 制 十
二年內 完 成端
應於 修正 施行後
入 作 業 並
點 偵 測 及 應 變機 制 導
機 關指 定 之 方
持 續維 運 及 依 主 管
式提 交偵 測 資 料 。

防毒軟 體
網 路 防 火牆
具有郵 件伺 服 器
者 ,應 備 電 子 郵
件 過 濾機 制 後 之 一年 內 完
初 次受核 定或 等級變更
入侵 偵 測 及 防禦 施 之啟 用 ,並一持
成各項 資通安 全 防護措
資通安 全 、硬體 之必要 更新
機制 續使 用及適時 進行軟
防護
具 有對 外服 務 之 或升級 。
核 心 資通 系統
者 ,應 備 應 用程
式 防 火牆
進 階持 續 性 威 脅
攻 擊 防禦 措 施 二 小 時 以上之 資
每 人 每 年 至 少接 受 十
全職 能
資 通 安 全 專 職 人 通 安 全 專 業課 程 訓 練 或 資 通 安
員 訓練 。
以 上 之 資
每人 每 年 至 少接 受 ︳、時
資 通 安 全 專 職 人 通 安 全 專 業 課 程 自Ⅱ練 或 資 通 安
全職能
認知 資通安 全
員 以 外 之 資訊 人 甫║練 且 每 年接 受 三 ｜、時 以 上 資
之 通安
與 訓練 教 育訓 練
員 全通 識 教 育 訓 練 。
三 時 以上 之 資 通安 全
般 使 用者 及 主 每 人 每 年接 受 小
一
管
通識 教 育 訓 練 。

21
 初 次 受 核 定 或 等級 變
更後之 年
內 至 少 四 名 資通 安 全
專職 人 員
分 另 各 自持 有 證 照 及 證
l｜

資通 安全 專 業證 照及職 能韌〡 書各 張
練 持 續 維 持 證 照及證 書之
證書
有差 遠 乎 一

備註 :

一 、資通 系統之 性 質為 共用性 系統

者 ,由 該 資通 系統之 主 責設 置 、
維護 或開發 機 關判 斷
是否屬 於 核 心 資通 系統 。
二 、「公正 第三 方驗證
」所稱 第三 方 ,指 通過 我 國標 準法 主
管機 關委託 機 構認證之機 構
年三 方核 發之驗證 證 書應 有前 開委託 機 之認
;

構 證標 誌 。
三 、資通安全 專職人 員 ,指
應全職執 行 資通安全 業矛 交者
力
四 、公務機 關辦 理 本表 。
「資通安全健診 」時 ,除 依 本表
所 定項 目 、內容及 時限執 行 外
亦得 採取經 主 管機 關認可之 其他
,

具 有 同 等或以上 效 用之措施
五 、資通安 全 弱點 通報 。
機制 ,指 結 合 資訊 資產 管理 與弱點 理 ,掌
管 握 整體風險情勢 ,並
協助 機 關落實本法 有 關資產 盤點及
風險評估應辦 事項之 作 業 。
六 、端點 偵 測及應 變機 制 ,指
具備對端點 進行 主動 式掃 描
偵測 、漏洞 防護 、可疑 程 式或
異 常活 動行 為分析 及相 關威
牽程度 呈現 功 能之 防護作 業 。
七 、資通安全 專 業證 照 ,指
由主 管機 關認可之 國內外發證
機 關 (構 )所 核 發之 資通安全
證照 。

.子

﹉ ,一＿ 一
!!.:＿
︸﹉

22
附表二 資通安全責任等級 A級 之特定非 公務機關應辦事項
制度面向 辦理項 目 辦 理 項 目細 項 辦 理 內容
初 次受核 定或 等級 變更後 之 一 年 內 ,

針對 自行 或委外開發 之 資通 系統 ,依
資通 系統分級及 防護基 準 附表 九完成 資通 系統分級 ,並 完成附
表 十之控 制措 施 ;其 後應每年 至 少檢
視 一次 資通 系統分 級妥 適性 。
初 坎 受核 定或等級 變 更後 之 二 年 內,

全部核 心 資通 系統 導人 CNS27。 01或

IS027001等 資訊 安 全 管理 系統標 準 、
管理 面 資訊 安全 管理 系統 之 導入 及 通 其 他 具 有 同等或 以上 效 果 之 系統 或標
過 公正 第三 方之驗證 準 ,或 其 他 公務機 關 自行發展 並 經 主
管機 關認 可之標 準 ,於 三 年 內完成 公
正 第三 方驗 證 ,並 持 續 維持 其 驗證 有
效性 。
初 次 受核 定或等級 變 更後 之 一 年 內,

資通安 全 專責人 員
配 置 四人 。
內部 資通 安全稽核 每 年辦 理 二 次 。
業務持續 運作 演練 全部核 心 資通 系統每 年辦 理 一 次 。
弱點 掃 描 全 部核 心 資通 系統每 年辦 理 二 坎 。
安 全性檢 測
滲透 測試 全部核 心 資通 系統每 年辦 理 一 次 。
網路 架構 檢 視
網路 惡 意 活 動
檢視
使 用者端 電腦
資 通 安 全 健 惡 意 活動 檢 視
每 年辦 理 一 次 。
診 伺 服 器 主機 惡
意 活 動檢 視
目錄 伺 月艮器設
定及 防 火牆 連
技術 面 線設 定檢 視
初 次受核 定或等級 變更後 之 一年 內 ,

完成威 脅偵測機 制建 置 ,並 持續維

運 。其監控範 圍應 包括 本表所 定 「資
資通安 全 威 脅偵測管理 機 帝︳
｜
通安全 防護 」之辦 理 內容 、目錄服務
系統與機 關核 心 資通 系統之 資通設備
紀錄 及 資訊服務 或應 用程 式 紀錄 。
一 、 關鍵 基礎設 施提供 者初 次 受核 定
或等級 變更後 之 一 年 內 ,完 成 資
資通安 全 弱點 通報 機 制 通安 全弱點 通報 機制 導入 作 業 ,

並 持續維 運 及依 主 管機 關指定之
方式提 交資訊 資產 盤點 資料 。

23
 二 、 本辦 法 中華民國一 百 十年八 凋二
十 三 日修 正 施 行 前 已受核 定者 ,

應 於 修 正 施 行後 一 年 內 ,完 成 資
通安全弱點通報 機 制 導入 作 業 ,

並 持 續 維運 及依 主 管機 關指 定之
方 式提 交 資訊 資產盤點 資料 。
防毒軟體
網路 防 火牆
具 有郵 件伺 服
器者 ,應 備 電
子 郵 件 過 濾機
制
初次 受核 定或 等級 變更後之 一年 內 ,完
入 侵 偵 測及 防
資通安 全 成 各 項 資通安 全防護措 施之啟 用 ,並 持
禦機 制
防護 續使 用及 適 時進行軟 、硬 體之必要 更新
具 有 對 外服務
或升 級 。
之 核 心 資通 系
統者 ,應 備 應
用程 式 防 火牆
進階持 續 性 威
脅攻 擊 防禦措
施
每 人 每 年 至 少接 受 十 二 小 時 以上 之 資
資通安 全 專責
通 安 全 專 業課 程 訓 練 或 資 通安 全 職 能
人員
韌｜練 。
每 人每 二 年 至 少接 受 三 小 時 以上 之 資
資通安 全 資通安 全 專 責
通安 全 專 業課 程 訓 練 或 資通安 全 職 能
教 育訓 練 人 員 以 外之 資
韌〡練 ,且 每 年接 受三 小時 以上之 資通安
訊人員
全通識教 育訓練 。
一 般使 用者 及 每 人 每 年接 受 三 小 時 以上 之 資通安 全
認知
主管 通識教 育韌〡 練 。 一
與訓 練
一 、 初 次 受核 定 或 等級 變更後 之 一 年
內 ,至 少 四 名 資通安 全 專 責 人
員 ,各 自持 有證 照 一 張 以上 ,並
持 續 維持 證 照之 有效性 。
資通安全 專業證 照
二 、 本辦 法 中華 民 國 一 百 十年 八 月 二
十 三 日修 正 施 行 前 已受核 定者 ,

應於修 正施 行 後 一年 內符合 規
定。
備註 :

一 、資通 系統 之性 質為共 用性 系統者 ,由 該 資通 系統 之 主 責設 置 、維護 或開發機 關判斷

是否屬 於核 心 資通 系統 。
二 、「公正 第三 方驗證 」所稱 第三 方 ,指 通過我 國標 準 法主 管機 關委託機 構 認證之機構 ;

2再
 第三 方核發之驗證證 書應有前 開委託機 構 之認證標誌 。
三 、特 定非公務機 關辦 理 本表 「資通安 全健診 」時 ,除 依本表所 定項 目 ‵內容及 時限執
╮ 行 外 ,亦 得採取 經 中央 目的事 業 主 管機 關認 可之其他具有 同等或 以上效 用之措施 。
四 、資通安 全弱點通報機制 ,指 結合 資訊 資產 管理 與弱點管理 ,掌 握 整體風險情勢 ,並
協助機 關落實本 法 有關資產 盤點 及風險評 估應辦 事項 之 作 業 。
五 、資通安 全 專 業證 照 ,指 由主 管機 關認可之 國內外發證 機 關 (構 )所 核發之 資通 安全
證照 。
六 、特定非 公務機 關之 中央 目的事 業 主 管機 關得 視 實際需求 ,於 符合本辦 法規 定之 範 圍
內 ,另 行訂 定其所 管特 定非公務機 關之 資通安全應辦事項 。

25

↙
 附表九 資通系統防護 需求分級原則 一\
╮
防護 需求
等級 馬 中 普
構面
發 生 資通安 全 事件 致 資 發 生 資通安全 事件 致 資 發 生 資通安 全 事件 致 資
通 系統 受影 響時 ,可 能 通 系統受影 響時 ,可 能 通 系統受影 響時 ,可 能
造 成未 經授 權 之 資訊 揭 造 成 未 經 授權 之 資訊 揭 造成未經授 權 之 資訊 揭
機 密性 露 ,對 機 關之 營運 、資產 露 ,射 機 關之 營運 、資產 露 ,對 機 關之 營運 、資產
或信 譽 等 方面將 產 生 非 或信 譽 等 方面將產 生嚴 或信 譽 等 方 面將 產 生 有
常 嚴 重 或 災難 性 之 影 重之 影響 。 限之 影響 。
響。
發 生 資通安 全 事件 致 資 發 生 資通安 全 事件 致 資 發 生 資通安 全 事件 致 資
通 系統 受影響時 ,可 能 通 系統 受影 響 時 ,可 能 通 系統 受影 響時 ,可 能
造 成 資訊錯誤 或遭 竄 改 造 成 資訊錯誤 或遭 竄 改 造成 資訊錯 誤 或遭 竄 改
完整性 等情事 ,對 機 關之 營運 、 等情事 ,對 機 關之 營運 、 等情事 ,對 機 關之 營運 、
資產 或信 譽 等 方 面將 產 資產 或信 譽 等方 面將 產 資產 或信 譽 等 方 面將產
生 非 常嚴 重或 災難性 之 生嚴 重之影 響 。 生有 限之 影 響 。
影響 。
發 生 資通安 全 事件 致 資 發 生 資通安 全 事件 致 資 發 生 資通 安 全 事件 致 資
通 系統 受影 響 時 ,可 能 通 系統 受影 響時 ,可 能 通 系統 受影 響 時 ,可 能
造 成對 資訊 、資通 系統 造 成 對 資訊 、資通 系統 造成對 資訊 、資通 系統
可 用性 之 存 取 或使 用之 中斷,
之 存 取 或使 用之 中斷 ,
之 存 取 或使 用之 中斷 ,

對機 關之 營運 、資產 或 對 機 關之 營運 、資產 或 對機 關之 營運 、資產 或

信 譽 等 方面將產 生 非 常 信 譽 等 方 面將 產 生嚴 重 信 譽 等 方 面將 產 生 有 限
嚴 重或 災難性 之 影響 。 之影 響 。 之影 響 。
如 未確 實遵循 資通 系統 如 未確 實遵 循 資通 系統 其他 資通 系統設 置或運
設 置或運作 涉及 之 資通 設 置 或運作 涉 及 之 資通 作 於 法 令 有相 關規範 之
安 全相 關法令 ,可 能使 安 全相 關法令 ,可 能使 情形 。
資通 系統 受影 響 而 導致 資通 糸統 受影 響 而 導致
資通安 全 事件 ,或 影 響 資通安 全 事件 ,或 影 響
法律 遵循 性
他 人合 法權 益 或機 關執 他 人 合 法權 益 或機 關執
行 業務 之 公正性 及正 當 行 業務 之 公正 性 及正 當
性 並使 機 關所 屬 人 員 性 ,並 使機 關或其所屬
負刑 事 責任 。 人 員受行 政 罰 、懲戒 或
一
懲處 。
備 註 :資 通 系統之 防護 需求等級 ,以 與該 系統相 關之機 密性 、完整性 、可 用性及 法律 遵循 性
構 面 中 ,任 一構 面之 防護 需求等級之 最 高者 定之 。

38
\卜
附表十 資通 系統防護基準

控 制措 施 高 中 普

措施 內
構面
容
機 關應 定 義各 系
一、 一 、已逾期之 臨 時 或 建 立帳號管理機制 ,

統之 開置 時 間或 緊急帳號應冊 ll
包含帳號 之 申請 、 建
可使 用期 限與 資 除 或 禁用 。 立 、修 改 、啟 用 、停
通 系統 之 使 用 情 二 、資通 系統 開置帳 用及刪 除之程序 。
況及條件 。 號應 禁 用 。
二、
逾越機 關所 許 可 三 、定期 審核 資通 系
之 開 置時 間或可 統帳 號 之 申請 、
使 用期 限時 ,系 建 立 、修 改 、啟
統應 自動 將使 用 用 、停 用 及 刪
帳號 管
者登出 。 除 。
理
應依機 關規 定 之
三、 四 、等級 「普 」之 所
情 況及條 件 ,使 有 控 制措 施 。
用 資通 系統 。
四 、監控 資通 系統帳
號 ,如 發 現 帳 號
違 常使 用 時 回報
存 取控 管理 者 。
制 五 、等級 「中 」之 所
有控 制措 施 。
採最小權 限原則 ,僅 允許使 用者 (或 代表 無要 求 。
最 小權
使用者行為之程序 )依 機關任務及業務功
!艮
能 ,完 成指派任務所需之授權存取 。
一 、遠端存 取 之 來 源應 為機 關 已預 先 定 義 對 於 每 一種 允 許
一、
及 管理 之 存 取控 制 點 。 之遠端存取類
二 、等級 「普 」之 所 有控 制措 施 。 型 ,均 應先取得
授 權 ,建 立使 用
限 制 、組 態 需
遠端 存
求 、連 線 需求及
取
文件化 。
二、使 用者 之 權 r艮 檢
查作 業應於 伺
服 器端 完成 。
三、應 監控 遠端 存取

39
 機 關 內部 網段
或 資通 系統後
臺之 連 線 。
四 、應 採 用 加 密 機
制 。
一 、應 定 期 審 查機 關所 保 留 資通 系統 產 訂 定 日誌 之 記 錄
、
一
生之 日誌 。 時 間週 期 及 留
二 、等級 「普 」之 所 有控 制措 施 。 存 政 策 ,並 保 留
日誌 至 少 六 個
月。
二、
確 保 資通 系統 有
記錄 事 記錄 特 定事件
件 之 功 能 ,並 決定
應記錄 之特定
資通 系統 事件 。
三、
應 記 錄 資通 系統
管理 者 帳 號 所
執行之各項功
能 。
資通 系統產生之 日誌 應 包含 事件類型 、發 生 時 間 、發 生位 置及任
日音志率
己
何與 事件相 關之 使 用者 身分識別 等資訊 ,採 用單一 日誌 機制 ,確
錄 內容
保輸 出格 式之 一 致 性 ,並 應依 資通安 全政 策及法規 要 求納 入 其
他相 關資訊 。
事件 日
日誌 儲 依 據 日誌儲 存 需求 ,配 置所 需之儲存 容量 。
誌與可
存容量
歸 責性
一、 機 關規 定 需要 即 資通 系統 於 日誌 處 理 失效 時 ,應 採 取 適 當
時 通 報 之 日誌 之 行 動 。
處理 失效事件
發 生 時 ,資 通 系
日誌 處 統 應 於 機 關規
理 失效 定之 時 效 內 ,對
之 回應 特 定 人 員提 出
警告 。
二 、等級 「中 」及 「普 」
之所有控 制措
加 乙 。

一 、系統 內部 時鐘 應 定期與基 準時間源 進 資通 系統 應 使 用 系

行 同步 。 統 內部 時 鐘 產 生 日
時戳 及 二 、等級 「普 」之 所有控制措 施 。 誌 所 需時戳 ,並 可 以
校時 對 應 到世 界 協調 時
間｛U下 C｝ 或格 林 威 治

標準 時間｛ GM下 ｝。
日誌 資 一 、定期備份 日誌 至 一 、應運 用雜湊或 其 對 日誌之 存取 管理 ,

碎o
 訊之保 原 系統 外之 其 他 適 當 方 式 之 僅 r艮 於 有 權 限之 使
護 他 實 體 系統 。 完 整 性 確 保 機 用者 。
二 、等級 「中」之 所 制 。
有控 制措 施 。 二 、等級 「普 」之 所
有控 制措 施 。
一 、應將備份 還原
,
一、應 定期 測 試備份 一 、 訂定 系統可容忍
作 為 營運 持 續 資訊 ,以 驗證 備 資料韻 失之 時
計畫測試之 一 份媒體之可靠 間要求 。
部分 。 性及資 訊 之 完 二 執行 系統源碼與
、
二、
應在 與運作 系統 整性 。 資料備份 。
不 同地 點 之 獨 二 、等級 「普 」之 所
系統備
立設 施 或 防 火 有控 制措 施 。
份
櫃 中 ,儲 存 重要
營運持 資通 系統 軟 體
續計 畫 與其他安全相
關資訊 之 備 份 。
三 、等級 「中 」之 所
有控 制措 施 。
一 、訂 定 資通 系統從 中斷後 至 重新 恢復 服 無要 求 。
務 之 可 容 忍 時 間要 求 。
系統備 二 、原服務 中斷 時 ,於 可 容 忍時 間內 ,由
援
備 援 設 備 或 其他 方 式取 代 並提 供 服
務 。
一 、對 資通 系統 之 存 資通 系統應 具備 唯 一識 別 及鑑 別機 關使
內部使 取採 取 多 重認 證 用者 ｛ 或代 表機 關使 用者行 為 之 程序 ｝ 之
用者 之 技術 。 功能 ,禁 止使 用共用帳號 。
識 別與 二 、等級 「中 」及 「普 」
務笠另｜ 之所 有控 制措
方色。
一 、身 分驗 證 機制應 防範 自動化程 式之 登 一 、使 用預設 密碼
入 或密碼 更換 嘗試 。 登 入 系統 時 ,

二 、密碼 重設機制對使 用者 重新 身 分確 認 應 於 登人 後 要
識 別與 後 ,發 送 一 次性及 具有 時效性符記 。 求 立 即變更 。
攪監另心 三 、等級 「普 」之 所 有控 制措 施 。 二 、身分 驗證 相 關
資訊 不 以 明文
身 分驗 傳輸 。
證 管理 三 、具備 帳 戶鎖 定
機 制 ,帳 號 登
人 進行 身 分驗
證 失敗達 五次
後 ,至 少十 五
分鐘 內不允許

V 該 帳號繼續 嘗

猝1
 試 登 入 或使 用
機 關 自建之 失

ˋ
抖
/
敗驗 證 機 制 。
四 、使 用密碼 進行
驗證 時 ,應 強
制 最 低 密碼 複
雜 度 ;強 制 密
碼 最短 及 最 長
之效 期 限制 。
五 、密碼 變 更時 ,至
少不 可 以與 前
三 次 使 用過 之
密碼相 同 。
六 、第 四 點及 第 五
點 所 定措 施 ,

對 非 內部使 用
者 ,可 依機 關
自行 規 範 辦
理 。

鑑別資 資通 系統應遮 蔽鑑別過程 中之 資訊 。

訊 回饋
加 密模 資通 系統 如 以 密碼 進行鑑 別 時 ,該 密碼 應 無要 求 。
組鑑 別 加 密或經 雜湊處 理後儲存 。
字 內部 資通 系統應識 別 及鑑 別 非機 關使 用者 ｛或代 表機 關使 用者 行 為 之
使 用者 程 序 ｝。
之識 別
與鑑 別
系統發 針對系統安全需求 (含 機密性 、可用性 、完整性 )進 行確認 。
展 生命
週期 需
求階段
系統發 一 、根據 系統功能與要求 ,識 別可能影 響 無要 求 。
展 生命 系統 之 威 脅 ,進 行風險分析 及 評估 。
週 期設 二 、將風險評估結果回饋 需求階段 之檢核
系統 與
計 階段 項 目 ,並 提 出安 全 需求修 正 。
服務獲
一 、執行 「源碼 掃 描 」 一 、應 針對安 全 需求實作 必 要控制措
得
安 全檢 測 。 放 乙 。

｜
系統發 二 、系統應 具備發 生 二 、應 注 意避 免軟 體 常見 漏 洞及 實作 必
｜
展 生命 嚴 重錯 誤 時 之 通 要控 制措 施 。
週期 開 知機 制 。 三 、發 生錯 誤 時 ,使 用者 頁 面僅 顯示 簡
發 階段 三 、等 級 「中」及 「普 」 短 錯 誤 訊 t惠 及 代碼 ,不 包含詳 細之
之所 有控 制措 錯誤訊 息 。
凝三。
一V

再2
 一 、執 行 「滲 透 測 試 」 執行 「弱點掃描 」安 全檢 測 。
系統發
安 全檢 測 。
展 生命
╮ 週期測
二 、等 級 「中 」及 「普 」
之 所 有控 制 措
試 階段
方
色。
,應 一 、於 部 署環 境 中
一 、於 系統發展 生命 週期 之 維運 階段
執行 版本控 制與 變更管理 。 應 針 對相 關資
系統發 二 、等級 「普 」之 所 有控制措 施 。 通安全威 脅 ,

展 生命 進行 更新與修
週 期部 補 ,並 關 閉不
署與維 必 要服 務 及 埠
運 階段
二 、資通 系統不使
用預設 密碼 。
系統發 資通系統開發如委外辦理 ,應 將系統發展生命週期各階段依 等級
展 生命 將安全需求 (含 機密性 、可用性 、完整性 )納 入委外契約 。
週期委
外ㄗ皆段
獲得程 開發 、測試 及正 式作 業環 境 應 為 區隔 。 無要 求 。
序
系統文 應儲存與 管理 系統發展 生命 週期 之相 關文件 。
件
) 一 、資通 系統應採 用 無要 求 。
加 密機制 ,以 防
無要 求 。

止 未授 權 之 資
訊揭 露 或偵 測
資訊之 變更 。但
傳 輸 過 程 中有
替代之實體保
護措 施者 ,不 在
政二!艮 。
傳輸之 二 、使 用 公 開 、國 際
系統 與
幾密性
v〡

通訊 保 機構驗證 且 未
與 完整
護 遭破 解之 演 算
性
法 〔
l

三 、支援 演算 法 最 大
一
長度金鑰 。
四 、加 密金鑰 或 憑 證
應 定期 更換 。
五 、伺 服 器端 之 金鑰
保 管應訂 定 管
理規範及實施
應有之安全 防

再3
 護措 施 。
資通 系統 重要組 態設 無要 求 。 無要 求 。
資料儲 定檔 案及 其他 具保護
存 之安 需求之 資訊 應加 密或
全 以 其 他 適 當 方 式儲
存 。
一 、定期確 認 資通 系統相 關漏洞修復 之 狀 系統 之漏洞修復應
漏洞修
態。 測試 有效性及 潛在
復
二 、等級 「普 」之所有控制措 施 。 影 響 ,並 定期更新 。
一 、資通 系統 應採 用 一 、監控 資通 系統 ,
發 現 資通 系統 有被
自動 化 工 具 監 以偵 測 攻擊 與 入 侵 跡 象時 ,應 通
控 進 出之 通 信 未 授 權 之 連 報機 關特 定 人 員 。
流量 ,並 於 發 現 線 ,並 識 別 資
資通 系 不尋 常或未授 通 系統 之 未 授
統監控 權 之 活 動 時 ,針 權使 用 。
對該 事件 進行 二 、等級 「普 」之 所
分析 。 有控 制措 施 。
系統 與 二 、等級 「中 」之 所
資訊 完 有控 制措 施 。
整性 一 、應 定期 執行 軟 體 使 用完整性驗證 無要 求 。
一、
與 資訊 完整性 工 具 ,以 偵 測未
檢查 。 授 權 變 更特 定軟
二 、等級 「中 」之 所 體 及 資訊 。
有控 制措 施 。 二、
使 用者 輸 人 資料
軟體及
合 法性 檢 查應 置
資訊 完
放於 應 用 系統伺
整性
服 器端 。
三、
發 現違 反 完整性
時 ,資 通 系統應
實 施 機 關指 定之
安 全保 護措 施 。
備 註 :特 定非公務機 關之 中央 目的事 業 主 管機 關得視 實 際 需求 ,於 符合本辦 法規 定之 範
圍內 ,另 行訂 定其所 管特 定非公務鞿 關之 系統 防護基 準 。

留
四 、資通安全 事件通報及 應變辦 法
中華民國 107年 11月 21日 行 政 院院臺護字第 l070213547號 令訂 定
中華民國 土10年 8月 23日 行 政院院臺護字 第 上王00182012號 令修 正

第一章 總則
第一條 本辦 法依 資通安 全 管理 法 (以 下簡稱本 法 )第 十 四條 第
四項 及 第十八條 第四項規 定訂定之 。
第二條 資通安全事件分為 四級 。
公務機 關或特 定非 公務機 關 (以 下 簡稱各機 關 )發 生
資通安 全 事件 ,有 下 列情形 之 一者 ,為 第一級 資通安 全 事
件 :

一 、非核心業務 資訊 遭輕微洩漏 。
二 、非核 心 業務 資訊 或非核 心 資通 系統遭輕微 竄改 。
三 、非核 心 業務 之 運作 受影 響 或停 頓 ,於 可容忍 中斷
時間內回復 正 常運作 ,造 成機 關 日常作 業影響 。
各機 關發 生 資通安 全 事件 ,有 下列情形 之 一者 ,為 第
二級 資通安全 事件 :

一 、非核 心 業務 資訊 遭嚴 重洩漏 ,或 未涉及 關鍵基礎

設施 維運之核 心 業務 資訊 遭輕微 洩 漏 。
二 、非核 心 業務 資訊 或非核 心 資通 系統遭嚴 重 竄改 ,

或未涉及 關鍵基礎設 施 維運之核 心 業務 資訊 或核

心 資通 系統遭輕微 竄改 。
三 、非核 心 業務 之 運作 受影響或停 頓 ,無 法於可容忍
中斷時間內回復 正 常運作 ,或 未 涉及 關鍵基礎設
施 維運之核 心 業務 或核 心 資通 系統之 運作 受影 響
或停頓 ,於 可容 忍 中斷時間內回復 正 常運作 。
各機 關發 生 資通安全 事件 ,有 下列情形 之 一者 ,為 第
三級 資通安全事件 :

45
 一 、未 涉及 關鍵 基礎 設施 維 運 之 核 心 業務 資訊 遭嚴 重
洩 漏 ,或 一般 公務機 密 、敏 感 資訊 或涉及 關鍵 基
礎 設施 維運 之核 心 業務 資訊 遭輕微 洩 漏 。
二 、未 涉及 關鍵 基礎 設施 維 運 之 核 心 業務 資訊 或核 心
資通 系統 遭嚴 重 竄改 ,或 一般 公務機 密 、敏 感 資
訊 、涉及 關鍵基礎 設施 維運 之核 心 業務 資訊 或核
心 資通 系統遭輕微 竄改 。
三 、未 涉及 關鍵基礎 設施 維運 之核 心 業務 或核 心 資通
系統 之 運作 受影 響或停 頓 ,無 法於 可容 忍 中斷 時
間內 回復 正 常運作 ,或 涉及 關鍵基礎 設施 維運 之
核 心 業務 或核 心 資通 系統之運 作 受影 響或停 頓 ,

於 可容忍 中斷時 間內 回復 正 常運作 。

各機 關發 生 資通安 全 事件 ,有 下 列情形 之 一者 ,為 第
四級 資通安全 事件 :

一 、一般 公務機 密 、敏 感 資訊 或涉及 關鍵 基礎 設施 維

運 之 核 心 業務 資訊 遭嚴 重 洩 漏 ,或 國家機 密遭 洩
漏古。
二 、一般 公務機 密 、敏 感 資訊 、涉及 關鍵 基礎設 施 維
運 之 核 心 業務 資訊 或核 心 資通 系統 遭嚴 重 竄 改,

或 國家機 密遭 竄改 。
三 、涉及 關鍵基礎設施 維運 之 核 心 業務 或核 心 資通 系
統 之 運作 受影 響或停 頓 ,無 法於 可容 忍 中斷 時 間
內回復 正 常運作 。
第三條 資通安全 事件 之 通報 內容 ,應 包括 下 列項 目 :

一 、發 生機 關 。
二 、發 生 或知 悉時 間 。
三 、狀 況之描 述 。
四 、等級之 評 估 。

碎6
 五 、因應 事件所採取 之措 施 。
六 、外部 支援 需求評 估 。
七 、其他相 關事項 。
第二章 公務機 關資通安 全 事件 之 通報及應變
第四條 公務機 關知 悉資通 安全事件後 ,應 於 一 小時內依 主 管
機 關指 定之方式及對 象 ,進 行 資通安全 事件 之通報 。
前項 資通安 全 事件 等級 變更時 ,公 務機 關應依前項規
定 ,續 行通報 。
公務機 關 因故無 法依 第一項規定 方式通報者 ,應 於 同
項規 定之 時間 內依 其他 適 當 方 式通報 ,並 註記 無法依規 定
方式通報 之 事 由 。
公務機 關於 無法依 第一項規定方式通報 之 事 由解除後 ,

應依 該方 式補行 通報 。
第五條 主 管機 關應於 其 自身 完成 資通安 全 事件 之 通報後 ,依
下 列規定時間完成該 資通安 全 事件 等級之 審核 ,並 得 依 審
核結果變更其等級 :

,於 接獲
一 、通報為第一級 或 第二級 資通安 全 事件 者
後 八 小時 內 。
二 、通報 為第三級 或 第四級 資通安 全 事件者 ,於 接獲
後 二 小時 內 。
總統府與 中央一級 機 關之 直屬機 關及 直轄市 、縣 (市 )
政 府 ,應 於 其 自身 、所屬 、監督 之公務機 關 、所轄鄉 (鎮 、
市 )、 直轄市 山地原 住 民區公所與其所屬 或監督之公務機 關
,

及 前開鄉 (鎮 、市 )、 直轄市 山地原住 民區民代 表會 ,完 成

資通安 全 事件 之 通報後 ,依 前項 規定時間完成該 資通安全
事件 等級之審核 ,並 得 依 審 核結果變更其等級 。
前項機 關依規 定完成 資通安 全 事件 等級之 審核後 ,應
於 一 小時內將審核 結 果通 知 主 管機 關 ,並 提供審核依守
豕之
戶

ㄥ7
 相居
司嵿千卡
封七。
總統府 、國家安全 會議 、立 法院 、司法院 、考 試院 、監
察院及 直轄 市 、縣 (市 )議 會 ,應 於 其 自身完成 資通安 全 事
件 之 通報後 ,依 第一項 規定 時間完成該 資通安 全 事件 等級
之 審核 ,並 依 前項規定通 知主管機 關及提供相 關資訊 。
主管機 關接獲前二項之通 知後 ,應 依相 關資訊 ,就 資通
安全 事件 之 等級 進行 覆核 ,並 得 依 覆核 結 果變更其 等級 。但
主 管機 關認 有 必 要 ,或 第二 項及 前項 之機 關未依規 定通 知
審核 結 果時 ,得 就該 資通安 令 事件 逕 為審核 ,並 得 為等級之
變更 。
第
〦
′
、
條 公務機 關知 悉資通安全 事件後 ,應 依 下列規定時間完
成損 害控制 或復原作 業 ,並 依 主 管機 關指 定之 方 式及 對 象
辦 理 通知 事 宜 :

一 、第一級 或第二級 資通安 全 事件 ,於 知 悉該 事件後

七 十二 小時內 。
二 、第三級 或第四級 資通安全 事件 ,於 知 悉該 事件後
三 十 六小時內 。
公務機 關依 前項規 定完成損 害控制 或復原作 業後 ,應
持續進行 資通安全 事件 之 調 查及 處 理 ,並 於 一個 月 內依 主
管機 關指 定之方 式 ,送 交調查 、處理及改善報告 。
前項調 查 、處理及 改善報告送 交之 時 限 ,得 經上級 或監
督機 關及主 管機 關同意後延長之 。
上級 、監督機 關或 主 管機 關就 第一項 之損 害控制 或復
原作 業及 第二 項送 交之 報 告 ,認 有 必 要 ,或 認 有違 反 法 令 、
不適 當或其 他 須 改 善 之 情事者 ,得 要 求 公務 機 關提 出說 明
及調 整 。
第 七條 總統府 與 中央一級 機 關之 直屬機 關及 直轄 市 、縣 (市 )
政 府 ,就 所屬 、監 督 、所轄 或業務 相 關之 公務機 關執行 資通

再8
 安 全 事件 之 通報 及 應 變作 業 ,應 視 情形提 供 必 要 支援 或協
助〕。
主 管機 關就 公務機 關執行 資通安 全 事 件 之 應 變作 業 ,

得 視情形提供 必 要支援 或協助 。

公務機 關知 悉第三級 或 第 四級 資通 安 全 事 件後 ,其 資
通安 全 長應 召開會議研 商相 關事 宜 ,並 得 請相 關機 關提 供
協助 。
第八 條 總統府 與 中央 一級 機 關之 直屬機 關及 直轄 市 、縣 (市 )
政 府 ,對 於 其 自身 、所屬 或 監督 之 公務機 關 、所轄 鄉 (鎮 、
市 )、 直轄 市 山地 原 住 民 區公 所與其所屬 或 監督 之公務機 關
及 前開鄉 (鎮 、市 )、 直轄 市 山地原住 民區 民代表會 ,應 規
劃及辦 理 資通安 全演練作 業 ,並 於 完成後 一個 月 內 ,將 執行
情形及 成果報告送交主 管機 關 。
前項演練作 業之 內容 ,應 ︴至 少包括下 列項 目 :

一 、每半年辦 理 一次 社 交工程演練 。
二 、每年辦 理 一次 資通安 全 事件通報 及 應變演練 。
總統府與 中央 一級機 關及 直轄市 、縣 (市 )議 會 ,應 依
前項 規 定規劃及辦 理 資通安 全演練作 業 。
第九條 公務機 關應 就 資通安 全 事 件 之 通報訂 定作 業規 範 ,其
內容應 包括 下列事項 :

一 、判 定事件 等級之 流程 及權責 。

二 、事件之 影響範 圍 、損 害程度及機 關 因應能力之評
和 。

三 、資一通安 全 事件 之 內部通報 流程 。
四 、通知受 資通安全事件影響之 其他機 關之方式 。
五 、前 四款 事項之 演練 。
六 、資通安 全 事件通報 窗 口及聯繫 方式 。
七 、其他 資通安 全 事件 通報相 關事項 。

碎9
第十條 公務機 關應就 資通安全 事件 之 應 變訂定作 業規範 ,其
內容應 包括 下列事項 :

一 、應 變小 組之組織 。
二 、事件發 生前之 演練作 業 。
三 、事件發 生 時之損 害控制機制 。
四 、事件發 生後之復 原 、鑑 識 、調 查及 改善機制 。
五 、事件相 關紀錄 之保 全 。
六 、其他 資通安 全 事件應 變相 關事項 。
第三 章 特定非 公務機 關資通安 全 事件 之通報 及 應 變
第十一條 特定非 公務機 關知 悉資通安 全 事件後 ,應 於 一小 時
內依 中央 目的事業 主 管機 關指 定之 方 式 ,進 行 資通安全
事件之通報 。
前項 資通安全 事件 等級 變更時 ,特 定非 公務機 關應依
前項規定 ,續 行通報 。
特定非 公務機 關 因故無法依 第一項規定方式通報者 ,

應於 同項規定之 時間內依 其他 適當方 式通報 ,並 註記 無 法

依規定方 式通報 之 事 由 。
特 定 非 公務機 關於 無 法依 第一項 規 定方 式通報 之 事
由解除後 ,應 依該 方式補行通報 。
第十二條 中央 目的事 業主 管機 關應 於 特 定 非 公務機 關完成 資
通安全 事件 之 通報後 ,依 下 列規定時間完成該 資通安 全
事件 等級之 審核 ,並 得 依 審核 結 果變更其 等級 :

一 、通報 為第一級 或第二級 資通安 全 事件者 ,於 接獲

後八小時 內 。
二 、通報為 第三級 或第四級 資通安 全 事件者 ,於 接獲
後 二 小時內 。
中央 目的事業 主 管機 關依前項規定完成 資通安 全 事
件 之審核後 ,應 依下 列規定辦 理 :

50
 ,應
一 、審核 結果為第一級 或第二級 資通安 全事件 者
定期彙整審核 結 果 、依據 及 其他必要 資訊 ,依 主
管機 關指 定之 方式送 交主管機 關 。
二 、審核 結 果為第三級 或第四級 資通安 全 事件者 ,應
於審核 完成後 一 小時內 ,將 審核 結 果 、
依 據 及其
他必要 資訊 ,依 主 管機 關指 定之 方式送 交 主管
機關 。
主 管機 關接獲 前項 資料後 ,得 就 資通安 全 事件 之 等
級 進行 覆核 ,並 得 為等級之 變更 。
第十三 條 特 定非 公務機 關知 悉資通安 全 事件 後 ,應 依 下列規
定時間完成損 害控制 或復原作 業 ,並 依 中央 目的事 業主
管機 關指 定之方式辦 理 通 知 事 宜 :

,於 知 悉該 事件後
一 、第一級 或第二級 資通安 全事件
七十二小時內 。
二 、第三級 或第四級 資通安 全 事件 ,於 知 悉該 事件後
三 十六小時內 。
特 定非 公務機 關依 前項 規定完成損 害控制 或復原作
業後 ,應 持續 進行 事件 之 調 查及 處理 ,並 於 一個 月 內依 中
央 目的事業主管機 關指 定之 方式 ,送 交調 查 、處理及改善
報告 。
前項調 查 、處理及 改善報告送 交之 時 限 ,得 經 中央 目
的事 業主管機 關同意後延長之 。
中央 目的事業 主 管機 關就 第一項之 損 害控制 或復原
作 業及 第二項送交之報告 ,認 有 必要 ,或 認 有違 反法令 、
不適 當或其他須 改善之 情事 者 ,得 要求特定非 公務機 關
提 出說 明及調整 。
特 定非 公務機 關就 第三級 或第四級 資通安 全 事件送
交之 調 查 、處理及 改善報告 ,中 央 目的事 業主 管機 關應於

51
 審查後送交主 管機 關 ;主 管機 關就該報告認 有必要 ,或 認
有違反法令 、不適 當或其他 須 改善之 情事者 ,得 要求特定
非 公務機 關提 出說 明及調整 。
第十四條 中央 目的事 業主 管機 關就所 管特 定非 公務機 關執行
資通安 全 事件 之通報 及應 變作 業 ,應 視 情形提 供必 要支
援 或協助 。
主 管機 關就特 定非公務機 關執行 資通安全 事件應 變
作 業 ,得 視 情形提供 必要支援 或協助 。
特 定非公務機 關知 悉第三 級 或第四級 資通安全 事件
後 ,應 召開會議研 商相 關事宜 。
第十五 條 特定非 公務機 關應就 資通安 全 事件 之 通報訂定作 業
規範 ,其 內容應 包括下列事項 :

一 、判定事件 等級之流程 及權 責 。
二 、事件 之 影響範 圍 、
損 害程度及機 關 因應能力之評
在 。

三 、資通安
一
全 事件 之 內部 通報 流程 。
四 、通知 受 資通安 全 事件 影 響 之 其 他機 關之 時機 及
方式 。
五 、前 四款 事項 之 演練 。
六 、資通安全 事件 通報 窗 口及 聯繫 方 式 。
七 、其他 資通安全 事件通報相 關事項 。
第十 六條 特 定 非 公 務機 關應 就 資通安 全 事件 之 應 變訂 定作 業
規 範 ,其 內容應 包括 下 列事項 :

一 、應 變小 組之 組 織 。
二 、事件發 生前之 演練作 業 。
三 、事件發 生 時之損 害控 制 ,及 向 中央 目的事 業 主 管
機 關請 求技術 支援 或其他 必 要協助 之機制 。
四 、事件發 生後之復 原 、鑑識 、調 查及 改 善機制 。

52
 五 、事件 相 關紀錄 之 保 全 。
╮ 六 、其他 資通安 全 事 件應 變相 關事 項 。
第四 章 附則
第十 七條 主 管機 關就各機 關之 第三級 或第四級 資通安 令 事件 ,

得 召開會議 ,邀 請相 關機 關研 商該 事件 之 損 害控 制 、復原
及 其他相 關事 宜 。
第十八 條 公務機 關應 配合 主 管機 關規劃 、辦 理之 資通安 全 演
練作 業 ,其 內容得 包括 下 列項 目 :

一 、社 交工 程 演練 。
二 、資通安 全 事件 通報 及 應 變演練 。
三 、網路 攻 防演練 。
四 、情境 演練 。
五 、其他 必 要之 演練 。
第十 九條 特 定非 公務機 關應 配 合 主 管機 關規 劃 、辦 理 之 資通
\
) 安 全 演練作 業 ,其 內容得 包括 下 列項 目 :

｜
〡
一 、網路 攻 防演練 。
二 、情境 演練 。 ｜
三 、其他 必 要之 演練 。
主 管機 關規劃 、辦 理之 資通安 全 演練作 業 ,有 侵 害
,應 先 經 其書
特 定非 公務機 關之 權 利 或正 當利 益之 虞 者
面 同意 ,始 得 為之 。
,得 以
前項 書 面 同意之 方 式 ,依 電子簽 章 法之規 定
電子 文件 為之 。
第二 十條 公務機 關於 本辦 法施 行 前 ,已 針對 其 自身 、所屬 或監
,自 行 或與其他
督 之 公務機 關或所 管之 特 定 非 公務機 關
,並 實 施 一
機 關共 同訂 定 資通安 全 事件 通報 及 應 變機 制
年 以上 者 ,得 經 主 管機 關核 定後 ,與 其所屬 或監督 之公務
機 關或所 管 之 特 定非 公 務 機 關繼續依 該 機 制辦 理 資通安

53
 全 事件 之 通報 及 應 變 。
前項通報 及 應 變機 制 如 有 變更 ,應 送 主 管機 關 重為 僗
核定 。
第二 十一條 本辦 法之方戶
也行 日期 ,由 主 管機 關定之 。
本辦 法修 正 條 文 自發 布 日施 行 。

9
▌—▼

一
p一
5再