Professional Documents
Culture Documents
中 ▋
∩
— —
︳
〔SO2了 00可 ∟eadAud:torCourse︳
資訊 安 全 管理 系統
︳ ︳
S。 ′EC2了 00η :2022
主 導稽 核 師課 程
Apr▓ 2耳 ∼砭8,2023
NS︳ T
O一 環 奧 國際 驗證 有 限公 司 TC︳ C∟ 下D▅
TE∟ :(02)2726-0262 FAX:(02)2726-0663
Ernai比 office@rnai︳ .tcic9roup_ corn
爬 颱 服 爬 癱 聯 旞颱 紉
蘆乩嗧珮
∩ SMS∟ eadAud︳ torCoUrseAgenda
︳
資訊安全 管理 系統 主車稽核 師課程大綱
{S。 ′
︳ Ec2了 ●●可:2022}
︳
時間 09=00 ∼ 可8:00
AⅢ }
PⅢ AⅢ PⅢ
Modu︳ e-0
▓ 講 師 及 學 員介 紹
▓ 課 程介 紹 Ⅲodu︳ e-2 ︳
S。 2了 00η ′
︳So27002標 準
▅ 國際 認驗證 機構 體 制 簡介
▓ ︳ S○ 27000系 列標 準 之歷 史及 發展
█ ︳ SO2700η 管理 系統介 紹
第一天
Module一 可 資通安 全概 述
▊ 資通安 全 與 資通安 全 管理 法
錶習A
▓ 資訊 安全與風 險概 述
▉ 資訊 安全 管理
測驗 方式說 明
le﹏ 管理 系統程核 錶 習 Dl故 〕
▓ 稽核 要 素
▌ 稽核原 則 Ⅲodu︳ e﹏ 管理 系統褚核 {
故〕
第四天 ▓ 管理 稽核 方 案 ▊ 稽核 員之 適任性與評 估
AF
▓ 管理 系統驗證機構 認證 規範及 |
球習 D 強制文件
Modu︳ e-5豬 核規」與執行
▄ 稽核規畫! 錶習 F
█ 執行稽核
第五天 ▓ 訪談技巧 課 程 回預
一
O ▊ 稽核 結論 與報告
幽
練習 E
講 師介 紹 一Dav心 Wu吳 家麒 靈珮 靂
睜
— —
鍋難鑰谽 蟣 坲鏺 鉿鑞 ㄍ
ˊ 環 奧 國際驗 證 有 限公 司下C︳ C└下D.
ˊ 國立 中正 大 學 資訊 工 程研 究所 博 士
錛黰 齡
ˊ 國防大學管理 學 院 資管 系兼任助 理 教授
h坲
邏郎
ˊ 國防部通 次 室資通安 全 處 副處長
ˊ 駭 客技術 專 家認證 C巨 H證 照
h甚
ˊ
存野 〡 盼瑯
C︳ SCert而 ed︳ SM/︳ SACertricate
ˊ CMMCFOundation/CCPCourseCe㏄ cate
餓盯 帥
i}
◎ by下 C︳ C
學 員介 紹
齡驤 齡妢 磯 紛錘◇餓
. YourName你 的 姓 名
. YOurJObFunc∥ on 你 的 主要 工 作
鋪謹一
飪︴幼謹 奶一時。琳笛描何 4每 翠幼 城母¢才 發 幼怖
. Whyareyouhere你 為什麼 來 這裡
. Whatdoyouexpect你 有什麼期 望
¢卜
◎ byTC︳ C s︳ ide2
齡黦鑰鐪 鑴 鑈籩谽鐖 竹
∩
MOdu︳ e-0
鑰籛鐒 、
翰靃螂
錢外協籛塕坤笑概 寧泓
國際認驗證機構體制 簡介
)
★
國際認證機構 體制 關係圖 十
蛋蟲‘
β
— —
銹鑫鐪鎀 鐖 鋒籦妙鑞 ︴
M∟ A
銙籦鐕 一
′
′
′ ˋ ˋ
塕皺妳
′ ˊ ˋ
′
籤一
、
認證機構 lAB) 認證機構lAB)
琇籩銹坤欺餵 華繼學鐙肆鐒 磁登娌↙女 鎗的
U
M∟ A:Mㄩ Ⅲlatera| RecognⅢ onArΓangem㎝ t多 邊相 互 承認協議 ↙
AB Accredi七ation 鎯
紛外
CB 螄
◎ 了C︳ C
Modu| eOs︳ ide2
★ RecogniHonArΓ angement
A/l∟ A:Mu比 i︳ atera︳ 中 碑
β拓 r已
多邊相 互承 認 協議 — —
鋪飄 銹鈔 錔 齡難鍛鏹 鐱簼 鋊
Accred比 a七 ︳ 懋證 找 構 〕andReg︳ ona︳ Accred︳ tat︳ on
onB○ dy{ 常
GroupⅢ embe伶 了︳ AFareadm︳ 仕edt。 the︳ AFⅢ ∟Aon︳ y
aλ eraS七 ng enteva︳ uat︳ on o了 the︳ r opera七 :。 nSbyaPeer
r︳
。
on
eVa︳ ua七 ︳ Wh:ch︳ Scharged七 oenSuretha七
yw :thboth︳ n七erna七 ︳ona︳
外
theapp︳ ︳ can七 comP︳ ︳esfu︳ ︳
standardsand︳ AFrequ︳ remen七 S█
A鏘
靆螂
籤外
The︳ AFⅢ ∟AconS︳ S*δ o了 af:Ve︳ eVe︳ arrangemeη 七
,W︳ th
師 固。
幼粹
af.nu′ en/abΘ u老 〢
Sou「 ce:h故 ps:〃 子 ia一 rn| a′
◎ 下C︳ C Modu| eOS︳ ide3
★
M∟ A:A/lu比 i︳ atera︳ Recogn比 ionArΓ angement
多邊 相 互 承 認 協議
螉籦 鈐鉿 鱷 鋪簼 盼籛 協黤 鐪 拂攤 林
ScoPeS
Currenuythe「 eare∥ ver︳ ╮ainScopeSfOΓ the︳ AF叩 ∟A:
ManagerΥ ╮ entSysternSCer心 fication,PΓoductCe㏄ ︳
ficatiOn,
Certification o了 PerSons,GΓ eenhouSeGasVa︳ idationand
︻
Accred:ta小 onBod:eS)
鈐錢 鐒︴兢每啦孥盡 學藍罐碑
Arrangernent多 邊相 互 承 認 協 議
cv0本 -3
世時
ψ比口
研 ”加 ;劾 俗
°乃ε 心
﹏。
錢舞 翂鎊 鎔 狒籛 繚攤 無
So→ o
奲
P了 °d小 C七 C● 出洐coho﹉
中
﹉
:岱 ┤ 90a餉 s)一 ●●﹉
一﹏‵ ●
s。
一一
65一 ●中 ● ﹉
掩 才gc▼ °
: :軂
一
。 一
一
一
︳/︳ct7° 公一
s° ε 乏 ﹉°令 心〔念°g才 ﹉
。 一
一
:
忌 d。 b㎡ c︿ ∴ fAGene心
一 Re9研 G的 nS 一 一
一一
鑰
…
學∮{
的法° 中十﹏●
紛籛 銘 站
一一 a(ξ Ms}
: ;”
:雜 l。 bdε 紅 Ⅲ C比 CS﹉ ﹏
。
一 一駹
一 C6
一 聯
銹籛 螂
2了
。
巒 坐啊 型 ㄓ 雙 愛 型 媐 延 ﹏一 ﹏ 一
兟
一 ︳〔SM9
特°ㄥ跎 2矜 ° S; ﹉
2子 °ct2° 了
∵
色 ﹉ ” t研 再老
一 ﹏一 ce 由 6on研 P針 S° n甘
﹉
¢tS220° 3— ﹏竹 俗°6° σ
°3一 ● 協 中 外
鰳 時 ;篱 ﹏←﹉
一 一 :媲 冷 ′昭CVO〞 本
一
∵。 ﹉ …← 硬
i﹏ 冷°佐 °
C什 s胡 ㄐ 時°5° 6a竹 nM盼 ﹉ 一
婚 。 十外 : :醫 ﹉ 一
鰳﹉
一 vd心 °
hu﹏ d於 曲 °
∞小n一 ﹉●竹
—
——
— d本
﹏齲 時 °
雊c件 σ出┤
@一 “ 一
; — 縐俗
°Ⅵ°
6S﹉ ﹏ ﹉
一一 一
— ——
— ∴ 菸 V鹽
一
坽 ° 6S° 銷 片 琳 Mφ
∴
才′
∞
一 鰳℃ 。 — 踴時 °6° 6中 a§ °
u。 § ︻●﹉
:
—
—
A㏄ R$Aε tMVa、 s一
一 一
陀 A° C。 又餅 ASARPSAnm令 〤榕 V° {
‘Ⅳ ﹉
: : 盤 ﹎ ﹏ ﹉
一 一
一一一一
一
◎ TC!C SOurce:找 睽p$:〃 子
硪| en/子hem妞 eξ …
.n吐 ′ 妞e走 撥子
乎S′ ?Fnember —— =98
=碪 Modu︳ eOS︳ de5
︳
一
一 一一
★
︳AFCe㏄ Search一 theg︳ oba| databasefoΓ
accreditedcertif︳ cations.
紉
Ce比蹄 ed◆ n推 γA㏄ 兮 年兮 !Ⅱ v單 r兮
! =yWh兮
一 一
一一 一一 一 一
一一
USerSC宙 nV含 〦
︳d巷出 ε°↙
七子#ca七 |
°再{
g}
t;希 ㄈ
嶺 CΘ ↙ 斑官
o府 ;SVδ 七
︳d
— —
鋪黤 鐑餘 磻 僯簸繚鐓 ︴
鰗蠲
!螂
|
姍
路
日 ¢輯ⅡHβ 加瑯 印 研
w#▲ g l︴
!〝 ulm〔
冢簃
Soη 70η ︴
︳
銹黮 錛
So︴ 702η -可
︳ ︳SOη 7020
*鰳
SO27006 G oVern \ ︳SOη 7025
黤螂
| / Govern GOVern、
籤外
AFMD /
| SOη 702碎
| \︳ SOη 5η 89
驗證 機構 試驗 機構
SO2了 00︴
︳ S七 d-A SOη 5李 08
〡
鐒擗
准t〞多
◎ 丁C︳ C Modu︳ eOs︳ ︳
de了
★︳
SOη 70﹁ ηConforrnityaSSessrnent一 Requ︳ rementsfor
a㏄ red怕 uonbod眙 S符 合 性 評 鑑 一 認 證 機 構 要 求事項
中 ㄔ
π找 ′臨
— —
鐱篷鑈谽 鑼 嬋籮鈐鑼
了蔆 b記 多
/︳ E〔 在了
0上 1工 201了 ↑
#嫋
激銵 小
n竹 rm︳ 打
色′ assessmε n七 一 R兮 quiKments 竹 了
銹犨坤
h° d:兮 §
鋊籦齡好羧餵 竿碼學錄鑽研
系耗 ﹌
一
鍋 就轟玲才︴ 紛外
oPqmtjonand︳ mPa心 a︴ i中 °facε 昤d:m哲 °Πb° 由心百aSSegS妳 gan心 宙CC跨 d︴ t;n吝 科氏PE叉 王再呂︴
︴
C● 何拓 mn︳ ” 日§SeSε mentbod:● S.
?DF 命η ﹀
駐妘§安工
φ卅
ps :〃 Ⅵu玠 Ⅳ SO.orar
SOuΓ ce:h七 甘 .︳
鐸藏g靂
:
RequiΓ ements符 合性 評 鑑 一 理 認證 規 範
— —
匡毯籩7$窆 優“
′選 籧球建燄毯喜
敬路乳ξ 踉子在
ya$$兮 $$路 兮 踓t-跟 e哦 蟲照:r敢 兮現在 $智bξ 路各堪:母 $
出gatd比 發出dC兮 坡 吝
牟ξ$¥ :在 怪 雜它發球 ♁出 6ξ 維 樓雄在主eme出 在
p出 雄 俊|R兮 q在 :銓 meA在 $
報 名若告m$一 管理 系統驗 證 機 構
認 證 規 錢
(| s。 ′
| {
Ec{ 7° 2︴ 一:2° ︴
S)
驟
ABS了舐 了 PRβⅥ甜
So′ 〡
| 在:2$在 5C° n它 a9再 Spr| nc:p{ csandrequ打 e;再 en〔 §竹 r在 ㄦeε °盻 Pete{ !ce!
EC芒 了02它 一
emε yd∥ 心|
ε°出S;辛 在 |…p患 比;a︴ :竹 ° b° d;esp聆 V:d子 ngδ uε i〔 §日dㄈ e朮 ;再 ca七 ︴
σ﹏ 白︴tγ Pes
「 。「
公︿
去 年 _︷ _
a舟 吝gem台 ntε yste竹 S.
通
韜
田 苓
法 氏
人
全
宙
掰 中
o了︳〡
}
O
一 今
六
無
一
房
◎ 下C︳ C SouΓ ce:乩 投p$:/′
-.子 $o﹏ org′ Modu︳ eOS| ide9
十
︳SO27006︳ n了oΓ ︳
ηa七 ion七 echno︳ ogy— Securitytechniques—
—
—
RequiΓ ementSforbOdieSprovidingaud︳ tandceλ ifica七 ion ofinforrnat;on
yrnanagemeΠ tsys七 emS
Secu一 七
$6′ 距q_
扛 及縱B蛋 工
乏$逸 三′
︴ 產♁珪♁
︳ n拓 路 路 在 | 6﹏ 走 念 ε 拓 n6笨 o廷 $e〔 牡 r| n| ques一
一
〃 #tec抾
εd
且 巨t#§ ︳° Pub| is︳ 〕 P甘 $〔 :ε ︳
#oⅡ 心a{ ;2626一 ◇〕
娥 ﹏ ‵ 一
容卡兮我
一
εd︳ t:oΠ :全 止↓“je了 °fp§ 各茁 :2
紛
紛
抔
◎ 下C︳ C Sou「ce:&故 ps:〃 瑀們hut=SO.org/ de︴ 0
Modu| eOS| |
★
︳AFDocuments一 〝/landatoryDocurnentS
強制 文 件 β蟲 β
—
— —
彿籛 銹◇ 皭 錛靆 谽嬓 鋤簸 鑈 銹羻 螂
Commu㎡ ㄐ唾 ← P的 的 研 l° n。 !Ⅸ 比 u油 的 心
°田↓β吋〢W筋 轉 竹 坤 功外 破 ” 碎 往 ;° $﹏ *扑 研 Ⅵ
一
外 ︴
拓 ︴
所 盹 um魚 n竹 (PtS田 曲 : M虫 戈 恃UⅢ n琦 仙 上Se油 奇
數 鏻灘 儉姊欽 拼 寧 琦
牌 由
、
密名
年
㏄出血 跡 廿 d妳 t祥 出 戠 盻 神 ◆↓由 ‵¢n‵ 出收 ‵ 執 竹 鉀 取 出 a:ㄍ ㄚ︴φ 掰 放出 9盜 ” 竹 結什扣 兮 “球 {
持 何Ⅵ 與 喲 u站
。 。
胖π孖
緋
點
ˊ 掰mdσ 小
●Ψσ q雄 ω
㏄um切竹仙°§ Pr㏄ ●
●u竹 °㏄“
加en竹 m咚 gπ e♁
姼谽餒轟 姆 航苦撥邪 在 盼 鈺 庫
蝌 喲 “ 呵 山 m﹏ 〡 坤 守¢ 秘 坤 呵 館 啦 照 曲 竹 §出 描 妳 ●→
。
螂 帕 故 玖 趴 嫵 !帕 ;跰 線 球 妨 γ 中 胡 辦 Ⅵ懶 ●d油 千師 山°好
。
、
uε 姆 蚇 蝌 忙 ︿烈 衣 ㏄ 描 酀 竹 ψ ﹏ 扶 竹 γ名● a於 妙 軸 砵步
∞ 啷 投岫 泌 n鏡 °竹 片 鯨 符 代 用 竹 °兮 ㄍ ﹏尼°φ 山 赫 餅 熔 卸 踟 出
‵ 嗦帥啪曲 ↑
ⅣⅨⅦm的 H→ } V妳 〞e芔 密 W出 時時 &ntS9
。
tAC菂 ㏑ t如 掛 ㏑ 如 心 〔A﹌ 出
然卜在 #外 } ㏑㎞ u寸 唵 °心mm。 n心 ◆DS台 赩 笛}
n
u
紅n碎府 榔 d由 心9分 σ恩°︴齡 Ⅶ ↓鈴 φ 如 抨 〝°〔睜 五◆
啷 路 §H磁俄竹 mσ σ㎡ $胡 °好m↑ 的 “時u巧 日命#曲 示: Sou 「Ce
◎ TC︳ C
°坤 ㏑ 協 甘 出 即 ㎞ 忙 通 !延 橄 ㎡ 抽 ↓◆路 赫 錢 無 心 加 “ 蟲 念
、
εh一 曲h$ma碄 ㄦb你 的 碎 t帥 嘸 βψ …m路 寸 竹ψi
o【 Modu︳ eOS| ide﹁ ﹁
★︳
AFDOcumentS一 MandatoryDocuments 中 ﹏
強制 文 件 ㄏ已 ㄏ已
一
錀靆 鐕¢ 鑼 鏺羅 盼鑼 ︴
AFⅢ D▊ :2● 可8︳ AFMandatoΨ DOcument了 oΓ theAud㏄ andCe㏄ iπ caⅡ on of
︳
aManag㎝ entSyst㎝ OpeΓ atedbya㎜ Ⅲ一Site° Γgan矻 ahon國 際 認 證 論
壇對執行至場區鈺織華理系統礡孩輿驗證主盟赳些文件
︳AFⅢ D2:20可 了︳ AFMandatoryDocumentfortheTΓ ansfeΓ o了
edCeH{ ica小 on ofManagemen七 Systems國 際 認 證 論 壇 對 已
AccΓ 田 λ
銹齉 嫋 ︴
認 證 驗 證 之 管 理 系統 的移 轉 之 強 制 性 文 件
鑰黮 郎
Purposes歐 盬 誙 重 論 壇 對 應 用資 訊 及 通 訊 科 技 C下 )於 稽 核 評 鑑 (︳
(︳
△
AFⅢ D26:2● 22TRANS| 下|
︳ ONREQU︳ REMEN下 SF○ R
卸 SO/lE↙ 00︴ 吧 甚
妙抃
夥 荈 驛
唎 C狸箜 型 唧 ξ Source:h故 ps:〃
一 iaf.nu′ Modu︳ eOs︳ ide▋ 2
多打垃磎 爹衫 拓
The| SO/︳ 巨C20000Scheme 靈瓶 靈舐
ㄘ齱
— —
SO
︳ AB/ 開課單位 或
CB/驗 證 機構
認證 機構
鑰籛紛幾
S七 anda「 ds
︴ ’
ˊ
品希 絆
SO20000 Audito「
SchemeReg’ s CouΓ Se
釚外
一
狒黮
on一 S社 e
EVa︳ ua七 ion
Aud
盼
劬
卅
◎ 下C︳ C Modu︳ Θ s︳ ;de︴ 3
。
琴$母 $毧 盞 艙鋨 ╙崔
魏e撥 發垂
♁斷撥盞爸縷踐吝 硪.
Lead︳ ngCe㏄ :f︳ ca七 :onandTra:n:ngProv︳ der
一 直 以來 ,下 C| C秉 持著最嚴謹的服務 態度 ,專 注於 資訊安全
狒雞轉
▄
V︳ enna,A︼ s七 r:aEU「 oPeaΠ HeadquaΠ er一 C︳ SrQA
師
♁粹
Lead︳ ngCe㏄ ︳
|︳ onandTra︳ n:ngProv︳ de「
ca七 ︳ r蟲 π
— —
銹毅 銵紛 鑼 蚺讓鍛鏺 小
╮
鋊雝 齡 ︴
瓶 報
:齺
媰攤 螂
鈚小
弊韓蓁奲籀
鈉 鎨幹平
帥 髒姍 韡
盼坤
◎ 下C︳ C
Modu| eOs︳ ide︹ 5
Canada全 球 營運 總 部
〃代▌
一 π 一
塕黮 彿紾 鑴 鍋籛 盼鐱 ︴
籛抪
皴︴ 鐒黤 鐒
$銹
鏺黫 鐒砵拓令竺鯬 攝學霪畢鏺
懼 擺臘 ﹉
$壁
一
t°
〔二
二二
t9)
蛪ㄏ在 ψ竹
「
◇抔
◎ TC︳ C
Modu︳eOs︳ ide﹁ 6
懃部 一C︳ S
Vienna,Aust〢 a歐 洲 區為 躎 騶 翔 鱦 顄 館 鰳
庫珮 雇兙
谽
抔
◎ TC︳ C Modu︳ eOs︳ ide︴ 7
軍琺聲 酵 毧聲 鬱絡撥靈綠鎗鱴旝盞 劮雛 肚蓬
鍛撥透發 蝨H
Pac︳ f:cbased∟ ead︳ ΠgCe比 :。 ︳
ca七 :oΠ aΠ d了 ra︳ n︳ ngProv:der
奧 地利
C〡 S
台灣
環奧
加拿大
丁C| C
\‵ ˊ9
一
盼
擗
◎ 下C︳ C °du︳ eOS︳ :de︴ 8
山π
★
下ClC&aSM∥ e故 oneS俗 好 Me㏑ 榕外d︴
鑯 ︳每Q吟 兮¢ 名冷 攤
n¢ 〡
‘
t
︺
。
。
π我 好
— —
鍋離 縐妙 嫋 鑰靆 鍛鐖 外
C︳
鐱黮 鑰 ︴
TC︳ C發 出 台灣 區 第一張 ㏄ SMF︳ So20000Aud㏄ or個 人證 照
2008 下C︳ C經TAF認 證 成 為 | SO2700π ˊCNS2700η 驗證 機構
鱗籬 轉
TC︳ C獲 ㏄SMF認 證 成 為 lSO20000驗 證 機構 (RCB)及 ︳SO20000課 程提供 商
籤妳
下C︳ C完 成全球 第 一個 ︳ SO20000雙 證 書驗證 稽 核
的安全稽核 師lSecuhtyaudhors)
20﹁ 5 C| S-TC︳ C的 ︳ SO20000-9雲 端驗證服務認 證 通過
SO270{ 8與 ︳
20η 9 下C︳ C推 出︳
So2770η 驗證 、教 育訓練
202η EC62“ 3-2-η ︳
下C| C推 出| EC62“ 3-2﹏ 驗證 ,教 育訓練
2022 TC︳ C成 為 資通安 全 成熟度模 型驗證之 官方認證機 構 一Cy比 rAB全 球 第 一 家位
於 美 國境外的授權教 育訓練機構 (▆ censedT「 ainingP「 oⅥ 由 r(∟下P)
鉿帥
TC| C首 開CMMCFounda小 on資 通安全成熟度模 型驗 證 基礎課程 及 CCP資 通安
★ yRecognized
下C︳ CiS| nte「 nationa︳ ︳ 〡
r我′
— —
r
泓
仲 M兮 加始m研 i° n。 ︴ ●
qua︳ :︴ yaustria
鰗 $♁′在玨G盆 胡瓦;$
致 π〞
︴Ⅲ沒 鑼
§ucceedⅥ 液hQu劇 y
TC︳ C︳ Sacc「 ed比 edbyAPMG(比 SMF)
iㄦ
舳 #哪 珅 ︴掰 m戚
乎 mmm﹏ ︳6,︳
撫 抒
1一
▆lA,B〕 級之公務及特定非公務機關應辦事項 — —
錢韙 銹翰 鑼 鑰籛 谽矲 兮
犛踵安全 蕼豬寧緻 終,軔 酸之公務及館定鋒公務磯鱵颶齡 韓蘋
功攻愛城定或等級 變箋籛毛玉學雄 ㄢ全
$0
弊磁心 資邊:系 統篳入 兮斗忿穵筏$蓋 踉 ≡
彿繼 鋒
送7♁鋁 學資訊發金管選 系統攘舉 、 其熊
費餓發金 管選 系統戭 導入 及通
弟務再等餓球女兢兼無系統我標準 ,我
趬公正 第五才戭驗證
*縐
籛螂
其館公務欚 鱗 一 待發蔑露經生管攙爾
餽〝
認可乾攘準 璣先 去盛 乏才
錀籛 鐱碑欺報 鼚 熪帶錄躌 錐 航鱉 界 了 鈖師
一
鍛外
◎ 了C︳ C
Modu︳ eOs︳ ide2鬥
★
資通安 全 管理 法 對 第三 方驗 證 之 要 求 β颻tβ
中
一對各機關安外選任及監督受託者之要求 — —
第四錄 各機 關依 本 法 第九篠 窺 定 〔統 充
建 置 、維運 或資撬服務 之擬供 (以 下 籐簼受託 業務 ),
幼罷 鐫 外
選佐及籃餐受就者 時 ,鼳 注 意下與事壞 :
佛籛 碎
受 受範 爾 及環 颱
籤
其撥 善 逛 費邏安 全 營跟 捨 施
h協
黫 鐒碎欺餵 寧簼 幾鍛轟 鏺 拉發姓
方驗 證 。
u法
鉿師
谽抔
◎ 了C︳ C
odu︳ eOS︳ ide22
山叮
★
下C︳ C一 Accreditedby下AFfOr︳ SMS一
SO/CNS2700η
︳
野躑 ︴
母¢母
神母{
﹏鑽璣煞鱗纖齉鞿媾
鐊難 鋒紛 鎦
壣
財出法人砭印無餿本佳#
一
熬李碎幹
<輯
韓聲
墘9坤 #抖 功
蹕 好:﹏ 睜外年
:
我軟 單
馯 幾嶺 燕發本又 ;
聊 停g好 #了 確
║嗧舉無離鑽薰麟
在 確旗掛瞭撥報有撫必宙 竹出踃幾幹簽︴卡窾基
器帝 齲 室#﹏ ︴∴
孩 .
守
﹏η#} 6的 坤交妯 爸瑟
坏﹏杯守
一
﹏ 一
$無 鑈 攤維驒 煞 ㄚ女妳
、
凱 對
艾扷諧閷除教伀有緝公琵
亞各來
攤 撬褲瞱
研S° {了 管理系統 亞轙士爾溶誒簽股份有求公司 :妹 坤竹6u吋
乎發照無-﹏主#︷ β#﹏ #
再肆無人確坊竹
一
一
◎ 下C︳ C
odu| eOs︳ ;de23
山︳
★
The| SOSuⅣ eyofManagementSy.tem 中 何
好臨 ↙甄
StandardCe比 ifications-202可 — —
鑰攤 鋪鎀 鑼 鏺籩 谽餓 打
姊
幼拼 #谽 眑緻 錔 小
塕簸 蟀
皴︻鑰籛 鎀師欺餵 寧簼 學環鑮解
鈖 磁華玲鉾
◎ 了C︳ C
°
Source:、卸ⅣW‘ S° !° 笵 TC︳ C崔 ︼里 Modu︳ eOS︳ ide2冷
★︳
SO/︳ 巨C2700﹁ 一Ⅵ︴
o〢 dWidetota| 旗 瞰 臨 鑼 齷 竹
斖珮 靂
三ε /二 εC2ˊo0王 .叫●了
t●竹FJ兮 亡 出﹏
′
。
。
數量
幣 以 S:控 S數 統 計
嘹…
以證 書數統計
西元 年
鐪
擗
◎ 下C︳ C
Source:Ⅷ 姆 $o ora 下C︳ C整 理
.︳
躍甔 鍕籈
— —
彿籛 銹鎀 鑗
滋♁螂 肇 蘿 嗧鑑選 一
鐪 航器玲誹 發 鐪 師
\︶ ˊ
劬擗
◎ 了C︳ C
S。 u了 Ce:-‘ ︳
掰一◆ F出 TC︳ C整 理
de26
Modu︳ eOs︳ |
*|
SO/︳ 巨C2700η -202﹁ 下opη 0byCerti兩 cateS 中 繲
靂颻 靂舐
以證 書數 排序
— —
鋊纖 鑰給 嬏 鏘錢谽躌 外
鐱難 錛 、
錛竷 卿
鈜外銹籛鱗妳蟻玲妳鞈航鱕帑笨盞錛 駭肇琀野 選 鎀螂
鎊帥
◎ 下C︳ C
Source:螂 .;鈴 .° 照JTC︳ C整 理
Modu︳ eOShde27
以場 址 數 排 序 靂颻 露鬾
— — —
錛籛 銬谽 鑗 鋨籛 谽鐖 ︻
螂
谽妳 #鎗 鎀籛 媰 ︿
鏻羻姊
皴出鏺簸 瞈師磁發跡穿露 夥籦舞錫 竊爹殺好
◎ 下C︳ C
Source:w鯽 ‘
j$o… °rgTC| C整
理
Modu︳ eOs| ide28
下C︳ C︳ SanAPMG(比 SMF)
Reg︳ steredCertiⅡ cat︳ onBody(RCB)&Accredited
耀 躪 死 齺 齖 矽 溶豳 解
靂珮 靂珮
下ra︳ ningorgani2at︳ On(ATO)
塕籛 佛紛 鐋 鑈籛 谽鐫 外
每
礅 茂#鱗♁湖功雄球緻 嬸
鑫 威年統爸安
雄爭阱坡籐<珘 志|
籩茁
鱮簬確輔
¢
黮螂
籤外錛籮 鈐璐欸搦 學瓶 塕耡 錐
h銬
φ#岱 肆 於呻神峰 艸
一
十 〞 :一 工ㄈV| 姦﹀筋卡i← 中︴打w接 守¢ 打︳
¢
攕移鐽甚狒 航雀礅好〡 盼螂
一 一
冰ψ十市 w、 小 帝中<市 ↓ “ 扭﹏ A替 $的一絮館 哦 才
師一蝷 齡 女坤 磷 酊 潔 碎 曲 ↓
協寸
坤齥﹏
軸休挔帥崩ㄨ
旬冷 輛琳移
#油班
;—
一 一
手
耘產鷂器蟲豫鍔子
姦全
意:孝 琴抾
:選 聚 一 吋 撥 玲站 ψ 的 皤 盛 你竹 兮$研 ←&移 WN竹 斗
—
鐒帥
◎ 下C︳ C Modu︳ eOs︳ ide29
佛籛 銵紛 鐖 銹籛 妙鑱 ︴
搦錢 鐋 本
TC︳ C環 司
鐖皺 蟀
S。 驗
皴︴
︳
媰籛鐋姊黕錣 罕鼳 鸅籦讓鋒 蓻潑玲帥 琇 幼師
谽杯
銻黤 銹鎊 鑼 佛灘 繚鑩 小
′
孔文院 盞雄膬一
εxecut:veYuan ﹏
的 撫出
啦Ⅶ〝
市(本 u外 $熊 折珘祇$無 找磁}
屐 考 餓 鐑
蜘 鮇 才↓ 出在子
Φ玖 y熊 &
珊 勞 動 部 勞 動 力發 展 著
錐黮 鈐
W° RK的 畦 印仁 〣 師 6Ⅳ ㏄ 咐NI妠 Y° 叭B° R
L(l山 ξ
。 「
h坳
灘穧
戰女
黤 厭爾坊 郎
海洋委員兮海巡哥
攤 靆 齷騩 鼙 搔 饕轟轟
拗 A#協 寧¢幯
鍛將
份箱氓 念母材扭ㄝ水竹︴
辦 卡 竹
◎ 下C| C
Modu︳ eOs︳ ide3η
財 政部 鏺羻鑰艙 鑼 鏺羷谽鑼 琳
出H出 〔
捎
中區 田
花運縣醫蔡局
鎀讓鐪 •
鏻籛舉
簸再鑰繳鎀抪莇離堅電 鑮笒鍰錯妽
◎ TC︳ C
Modu︳ eOs| ide32
金融體 系(包 含資通安全 責任 等級ABC級 ) 靂舐 靂舐
銵雛 鐖鎗 鑼 狒簸谽鑼 年
鑰籮 鐋 、
鑰籧 螂
籤外鐖籅 鐖碑缸跨妳學蘿 弩饈麟狒 鯨孝超好接 妢螂
﹉
驒 ﹉
船
鑼﹉飄氀醽
蟔騲∵薪妻榮斗﹉ 煮淹主巖 ﹉
贆
一一
弓 ε
uA玲
鍛帥
?吽 斗 呷
一 一
快哼幣智
一 ?平 緊 、 早
準 。
◎ 下C| C de33
Modu︳ eOS| ︳
一
一
杉化基督教驗 財田法人
〔總院 、兒童醫院 、漢基 、 國軍 垂中總番院 鑰鑼 鋒谽 齺 鏺籛姾攤 再
二林 、南基 、鹿港 、鹿東 、
雲基 、員基 、佑 民 、東基
及輔英〕
田軍花 蓮鎴番院
鯛黫 銵 外
佛教 患濟吾療財田法人
︳花蓮/玉 里/關 山 、台
躌簸 姊
辛瑍醫轟戈擊鱗報馨 簬
北 、台中及大林分院 ︳
紉
皴︴
C臨 我休朋統 斑久︴︳遼雎睡 打 娃
q$p紫 牙主
鑰黤 鐒師滋強竺電 機學鏖聶鑼 缽器琀跰 崔 繃如
振興 吾療財田法人
振興番院 中國岳弟大學
北港附設 番院
U 三 軍鯰番院
籛
爬離
犖 籛 攤 讓
國民健康者
紛擗
衛 生者疾病管制局
◎ 下C| C Modu︳ eOS叮 de3碎
學校
鍋黤 鋒鎗 鑼 翰籦 繚鐖 妳
像鑒琦靴 求
|
螂 ﹉
聲
新助唧
:﹉
好坤 帕 坤 竹 螂 時
紛幾 鑰 ︴
中央大學電年中心
一 ∴
轍 舉 :稱 :錢 :未 :舉 一
鋒議 螂
坤φ玎牡啣 小 瑋坤印
國立垂海師苑大學心理其
教 育測驗研究發展 中心
妙竹
◎ 下C︳ C
Modu︳ e〔 〕S︳ ide35
企業
t靈
爾貿網路
n帥 驐 殲 中期情患
CT扛 TC
銹黤銹鎀 鑼 鏺雞盼鑰 、
翰雞鐒 小
嬂
鋨籮妳
麟 #● 出臼6#
姍蠿 鞦繲 艦 艦 饑瞞Π
籤出
螂 竹
銹籛鐒啦磁峰堅鯬擺學鍰罐解
紉cH繺 氛路T匡 往緇
颱
╙p
口好°n兩 “︴°N:。 口V且 °口﹏6W
癱 撥
佛 風 崔
濰 鱄
浴‵
紉
鑼 缸雀迴〃單 鈔螂
麻布記帳 |
ⅡΞ︴ ♁
MONEYBOOK 饕簽移鑞
◇抃
義聯驚資訊 申 蒩簽訊 冬
▌ bε出日η P
n︴
◎ 了C︳ C
Modu︳ eOs︳ :de36
TC︳ C 公司
車聯 網 客戶群
鈖簬 鋒谽 鶐 鋒雛 谽鑰 ︴
屜 鑴 鑼 鰔 麙辯鎗難醽 齷一
騶!瀰 =錦 癱藕︳
茹餓胡擏鞋
拂黫 鎀 外
擁羷 師
胤豳嗧 鯆 鐎 驛毀 軒龘
鉞︿鐒黫 銹師竑勞螂鱉簼 耹鍰蘀 銹 磁鉹跨帥 常 鎊的
拗 鯽 驧 勵齺
雅鞏鑯
斖屜
砩艷難 ㏄
母 ←
翔夥再拂占
雄
︳
颱驧饟鐒鼮 攤 安哦 睜 F毽 哇垂
錢
谽抔
路社
攤
嬅斑 鼵 龘 豳 鑞 鑴籤鍛娥鑷鑑毅 鑰
鐒
簸
籤
錀
讓
鑰
雖書
嬂 :路 俄 弛 t●比即或ㄥ
發
擺
塕
簽
幾
錛
舞
〡
嬐
幼
擗
◎ 了C︳ C
6 Modu︳ eOs︳ ide39
北 美下C| C與 歐 盟 C︳ S驗 證 機構 管理 階層 π色 J
十
— —
銹飄 姆♁ 鑼 鑼籛 φ蟣 ︴
$盟
鋒妒
媕 磁壁殺
r玉
◇師 鑰鼮 呦 本
錢簸 瑯
錢︴鑰黫 嫋一款拼 穿羆
c︳
◎ TC︳ C
Modu︳ eOS叮 deㄥ {
〕
姒 路
Ce比 ificationProcedu「 e 晝珮 蜃
一一ˋ
\
碎﹁
下C︳ CV色 |
ueS
邇 躕 泓 飋 齖 中 癈
籚軏 靂㎞
錼籮 鐒紛 略 鋒籓 盼幾 輯
蹤 具備德 語 系嚴 謹穩 重的風格 且 融 入 了音 樂 之 都 的藝術 與 活潑
氣息
踆 制 度 化 的稽核 師訓 練與選 用體制 以確 保 稽 核 品 質
飋 多元 的〡 下技術 網路 問相 互 交流不 斷提 升 團隊成 員本職 學 能與 專
銬黲 搦 ︴
業競 爭 力
走及
醒 領 先獲 得 國際標 準 組 織 認證 提供 客戶 最新 的標 準驗 證 服矛
狒籛妳
力
欸︴
教 育訓 練
銬籛 鐒砵我奔咖矜旃
及 技術 面交流
出 以 客為 尊 貼 心 考 量客戶 需求
β我 舒
— —
銻黤鋪黺 磻 彿籛紛癱 〦
:了
驗證騮 稽核服務 :
鏺籬鎀 出
︳
SO/CNS29η 00l
SO20000-η 服 務 管 理 系統 驗 證 服 務 lAPMGRCB︳
▋︳
錛簸螂
■︳ SO20000-9雲 端月 良務管理 系統驗證服務 ︳ BMDWAccred比 ed︳
鈜外
■ CNS2700η 資訊安全管理 系統驗證服務︳ TAFAccred㏄ ed︳
妢師
◎ 下品
cMMcGapAna盱 山S
Modu︳ eOS| ideㄔ 3
★
TC| CSeⅣ iCeS專 業服 務 項 目 -2 〃已 π我
﹏
— — —
under︳ So20000Scher︳ ●
鐒黮銹 小
e︳
︳
▊!So27002用 So2了 003資 訊安全管理 系統建置課程(3天 )
▓︳So27005資 訊安全風險管理 SRM)韌 〡 練課程(2天 )
(︳
︳
T{ :n| r︳ Ⅵat:on七 echno︳ ogy〕 ′ T{ peΠ ︳
七:onStechno︳ ogy〕
◎ TC︳ C 。 。 。 deㄔ 5
Modu︳ e〔 )S︳ ︳
○
爾際 認驗證 趨 勢 一之 〃臨口
β
中
— —
坳灘 鐑盼 嫋 坲籛 鉿鐖 鎮 黤 拂 鏺 皺 竅 嫭 難 鑱 致餵 聚 鎀雀接躌 齡 城瑗 并 〡 篎坤
ˊ 20︴ 8-08,︳ S0月 ECJ下 C可 /SC2了 對 聯 合 國 ACOMMON
REGULA下 ORYFRAMEWORKFORCYBERSECUR︳ TY
20︴ 8(UN︳ T巨 DNA下 |
ONS︳ DRAF下 ︳)提 出建 議
AnneXB
ExamP︳ esoftheGeneric︳ Ⅵatr︳ 〤︳
Ⅵode| uSed︳ ndi帝erent
● app︳ ica七 ionSec七 O「S
ndustHa︳ autornaHonGMMin tab| eformat.
︳
鋒打
C
◎ 孔 ︳
Modu︳ eOS∥ deㄥ 6
颯際認驗 證 趨勢 -3
纖驒鐒紾
Un主 tGd王 呵a位 呱 ECE/cTc舒 Ⅶ .♁ q619沙
ic加 o必,So
. 山 ys主 6斑 聊 ︴ Teㄑ 放no王 o針 冷 欹′
§ 王n§ ,Su● h色 Sq出t:心 a王
h出 符§它r㏄ 守uㄦ a且 d§ 上山 庛 七 路Ⅷ
Sy§ e且 且
g(a§ r° r
轉
6Π
蒮 彿幾餵砪
nndS6andard比 B“ .▲ Po︳ 出由§($T◆ ¢
$um呼 -nh出 S心 岱 hh
鐖 鋒 魧雄玲掛 在 鉿 竹
Genε V日 ,20-22Nove赫 er2° 1夕
I竹 m土 0(b)of血 pπ o㎡ s五 洳釷 刊昨nda
IⅡ 竹mn出 ”址 了eg田 出mΨ ]° ” ↑田H。 Ⅱ ;
乩山 姻 P呵 ε曲
盼粹
◎ TC︳ C
Modu︳ eOS︳ :de碎 了
國際認 驗證 趨勢 一磉
鐒黫 佛翰 鑼 銹籬 紛騶 蕗 鏺 鏘 鏺黫 抪
Ba§ 比五a︴ Ⅱr於 °r obe么 合§e母 Sea
Υhingβ |
竹ch#ic田一1§ J兮 teⅡ 冷 Prod{ £♂ Pe(P拓 P〔 oce§ s鈴
C。 三
npo且 eIl心
Sub_ka〔 Ⅲel
S足 出現R且 ε2
心一
㏄
C。 出
觬
1Ⅱ 故才 neσ 心o工 玲
S血 一銘岔缸玲 二
$坲
e2
籬 鑰妳欺齵 寧籍 犖盟皤蝍佛 賊蘺跲珅 本 ◇螂
Sub一 fe岔 破
㏑出 ∼℃三
i位 璐
S心 瞞 仗社e1
Sjb-玉 n扭冷 2
╯ 、
鋒師
◎ 下C︳ C
Modu︳ e〔 〕s︳ ideㄔ 8
瘢 際 認驗證 趨 肇 瞰蕃 姒
晝珮 斖
憐
′ ˋ
′ 李現
\
耕鍵曲
︳
S
師 俇 g祐 絃 〡
岱 陷 油 6抑甜 B
“蟲協妳 h而 ﹉ ﹉﹉ ﹉﹉
﹉ ﹉ ﹉ ﹉﹉ ﹉ ﹉﹉
﹉ ﹉ ﹉j一 ﹉
﹉ ﹉﹉﹉
一
一一 丟
騮
︳
一 一一 一一 一
一 一
sd山 山一一 留§ 一
啊胡 子
—
—
凹 螂 賤 市 螂 体 一
佇
冉㎡ 〔帕 S
︳
好蚱 埆 σ咖 ”ㄔ崩 以飾 扭
W Ψε也m. 〡
m#:n昭A面 的
〞
′ C#一 6︴ 名● 熟 u← 又肖 用$!
打
淐
!守
$ec u坤 鞋分擁
、
崔 章 Oㄒ
g
〡
暑
倡
了
崒找ψ
︳
露
晷 ︳
聲暑昌 〡 竹 山路 抑 扔 ㎝ 心 !
、
.
罩
紫以!:l!6q艾 曲 m
︴
生且招吾Ⅱ
ε r
爭
馬
岳
一
吊
盛 居
一 喜
當 、
︳ 、︳TS9c出 比缸分輸 二二二 珈 V{ 掤 的 ←竹
;◆
推
琵既 血
〡
︳
戒茁 研 n昭 〞
〔
谽
奶
詺竹
鐱籛 銹紗 餾 銻雛 鈔鐑 妳
Anyquest:ons? 筠麰 搦 〝
狒雞 仰
兟︴銹籛 銬師珗覣 犖筋
輯駕鍰每姊
Thankyou Merc:
銹 瞞鉹玲師 蜜 鎊帥
ˊ/
ㄟ‵ ′
一
♁糽
s︳
協籬姆鍛 齺 銹黤鎊鑼 外
鐱讓鐱 、 餓•
田odu︳ eπ
M。 du︳ e可
鑰簸鑰豍笑齵 學珃
羅嗧窪霹銹 航甚坽野單 φ︴
鐉
鑰鼳螂 幼帥
﹏
靂螽↙
坳黤鎗鎀 鑼 躌籛鍛籛 ”
銹繳鋪 ︴ 籤出
十
慶餓tβ
小
—
—
—
與
山打〕
述
資通安 全概 述
MOdu︳ e一 η
資
資通
★
◎ byTC︳ C
◎ byTC︳ C
)
∩
屯
什麼是資通安全lCy比 rS●cu〢 ty〕 ? ′我了
π戤
◆
— —
坲籬彿谽 蠩 拂簸嬐錢 ︴
SO27-00:2020
︳
CyberSecurity——OVerV︳ ewandconcepts
鎗讓鑰 本
●Cy比 rSecu山 ty磋 擁 子
′回 9
銹鑒師
一 Sa了 eguardingofsociety,peop︳ e,
鈱→佛黫鑈林熬餅 肇棘
organi2a七 ionandnationfroΠ ◥cyber
r︳ sks
滌 護 社 會 ,人 民 ,組 織 和 國 家 兔 於 資 通
播鋒瓥雜鑰 旅路跲抔— ♁琳
風險
盼師
GⅣ Sε2ㄔ 猝3一 了一了
註一 er 全
◎ by丁 C| C
Modu︳ e﹁ s︳ de3
︳
聯 合 國 開注 CyberSecuH打
U娘 報 出aH山 膝 出 C我 研 CS觶 巧瑚 1班
錛籬鑰紛
監 o生 胡㏕比出土d§°出斑 C.u︳ Ⅲ且 ε m的 !
姍
睡
一
王1§ 賏 ㏑ 站 好 玉跋 步
咖 出 螂
.Ⅶ 蚊c出至φ p乩 乩i出 §
,So 擊 把巡 §出 h鍋 Crj七 比斑
l且 丑屾 ε舳 m破
鈕㎡ § 岱羚 竹 主
必 一越 出 d且 g(aSfor
exa璣 }
主eoov竹ed竹 血 IEC倪 留 呂§erie§ ofh故m依 o曲 1§ 撽 主&㏕ §):加
.工必比田才 在o且al$於 在 螂 ,如 就 血 在符 出比 d
〡 在°pr°在 §c在 dB在 汪磁Ⅱd妞 ,Pi它 a§ by血e工 80/工 EC
2了 ●96sq止 e§ of也 戈咖 甚血
卿
工
出且玉
母扣>館 也 叩 啞 嬿
聚 鋒路餓確
們 的心
宙
出md水 玾 血 也Ψ
ht停 璃 Π m竹 叫 Ⅱuqn一
i呵 心出
§㏄缸 ︳
抖 彿 紙器跨 於 — ◇ 啐
R呼 q站 仍 ▲名㏑ 各e︳ 比 出 Ⅱ血 鈕 廠 m嘸 ∥ $班 在出 竹
乩 ㏑ 曲 ㎡ 竹 伍ε含
蜘
笆 十
一
一
¢卅
如 血 抽 曲 餾 t喇 政 並 且 留 卹 虹 色的 山 町 出 璀 躪 的 ?鈕 m鰷 睡 曲 ㄩ ㎏ 的 辦 坩
㏕ 出抽 的 蛐 蛐 臌 描 觾 竹 鈕 螂 輔
◎ by了
Modu| e一 s︳ ideㄔ
什麼是資通安全(Cy比 rSecu山 ty)? 靂觝ξ
犛
竹
— —
聲邊麛 妻 營籧 勝一
轟譯 攤 鼷
黃避發音縈琤法 坲 發 出 好㏕ 睜 脺 血 確 蜘 在其站
境 各些盤鋒 喊 睡蛙 :鏚 i咖 斑 ㄐ坤 宙 崶餵 齦 ㄚ 邽 盅堪
一
牽心蟲短扎 竹 血 胡出
避 象塞金 乎麰蘲盤塹址釘 。
毓 抽 州 陲 ︳挽 蹴 雄 也蚋 出 曲 蚰 鍵 ㄠ偽 的 覷 ㎞ 睡 姓站 球
蹤 撼 意避 恕奄
瑚蟲 口勝劃定毒盜 # 一
由蜘 乩 襯 曲 啦 :齟 押 睡 蠟 幽 遮心
§璁醜 甘 描 筋盛 蝴 覷 擁 甘
蟲 齡 鏹 雄 巍 覷 虣 的 色王
晦
玈夥路黚 ║ 盼帥
妢師
◎ 盯 下C︳ C Modu︳ eη S︳ ide5
資通安 全法規 範對 象ㄔ
↘務機 爾 推依法行饒公權力之中央 、
′
ㄙ 賤穿
鑰籛鈐鉹 蟣 鋒籮鎀鐖 ︿
五 、
六 、 關鍵基礎 設施提供者 、
推﹉
公營事業及政府捅助之財羼法人 。
媰雞銹 ︴
網路 .秦功 能 一 真停 止邊作或效能 降低 ,對
鈱Λ
遙 土法 魄 任及 其年度候算書應飲 用條 第姆
◎ byTC︳ C 填親定遙 盅法 院馨鸃毛 財攤族人 心 Modu︳ e︴ S| :de6
T{ °P. Γ
a七 ︳
onS七 echno︳ ogy〕 vs
。
︳
T{ ︳
nf。 rmat︳ on techno︳ ogy〕 ︳
了
齡籛蹐妢 鑩 繗龘餘饑 β
師
P璟 停
逞爭尼
每
V告掙
彈普
七思
為審
善酵
發γ
乎
煦用F田 屾 n 嫵
S● 啦 螂
荊 唾 ︳
鑰鼞鑰 本
翰靆坤
—︴
籤一
卜 ▋︳ █
鑰黫鑰砵欽鎖 擊落路鑑簿姊
一
— — — —
瞴
螂
﹉
軸
螂
螂瑯
OT
錢 瓶路玲黔才 鎗螂
蜘
赫
紛外
Source:︳ EC62碎 碎3-2一 ﹁ 下
◎ 盯 下C︳ C
:de7
M。 du| e▋ §︳
忒
ˊ
資訊 安 全與 資通安 全 r已 π
— — —
ˊ資訊安全{ 銹黫鐱紛 鑼 鑰籬 盼鐓 ︴
︳n竹 rma山 onSecuⅡ ︺〕
yandaVai︳ ab:︳ ︳
PreseⅣation o了 confiden七 ia︳ y,:n七 egr︳ 七
i七 七yof
:nfor︳ ηa七 :on
↙保存 資訊之找 密性 、完整性與可 用性
鋊廱鑰 外
。
TS㏄ u∥ 打 資訊技術安全
籤︴
︳
銹瀲鑰坤欽鎖 鞏竹
ˊ資通安全 {
cybersecuHty}
路舉盟確師
Γ:SkS
保 設社 令 ,人 民 ,組 我和 國家免於 資通 風 險 、
Source:︳ S。
◎ byTC︳ C
Modu︳ eη s︳ ide8
資通安全框架
Cybersecu“ ︺ Framew。 rk
鏻蘶鐑紛 鑼 銹簸鍛饑 外
yFrameworK(CSF): |
CyberS ec u政 在 王C下 R2了 {03
SO′ ︳
o
銹羷銹 、
鐒籗陣
事前 事中 事後
籤外鑰籛擁瑯欺報 寧牌
鋒嗧籮鑫銵 箛簽玲趶母 ♁螂
society peOp︳ e
〃 /‘ ′
屍〞 ↗6矽
燄竹
Source:︳ SO27︴ 03
◎ 所 TC| C Modu︳ e鬥 S︳ ide9
資通安 全框 架與 資通安 全 管理 法 瑟
露籈▌
﹏
— —
籛坤
籤︴ 錀籛銹
w彿
資通安 全
銹麰銹的爽餒 壨撥幾簽僠帥
資通安 全
資邏 安
全 報 及 應 變辦 法
特 定非 機 關資通安合 畫實施 情形稽核辦 法
鋒 魼窪翌﹃女 鉿妳
資通安 全情資分享辦 法
‵
資安管理 法 資通 一
女全管理法施行
)
ˊ
ˋ務機關所屬人員
ㄙ 細貝生
費通安全事琪獎懲辦法
澠
公務機關資邁安全管理 特定非ˊ
ˋ
ㄙ務機關資通安全管理
龘
資邁女金
責在等級 資邏安全
分級辦法 訂定資安維護計畫 訂定通報應變機制 事件通報
及療麰辦
法
特定非′
ㄟ
ㄙ 接受稽核 提 出實施情形 通報資安事件
務機關資
通女全雄 資通安全
護計鼞寬 提 出調查 ‵處理 情資分享
爬 施偝形榰
提 出改義報告 辦法
及改善報告
孩辦法
蟒
外
◎ 所 TC︳ C Source:行 政 ㄗ
完 Modu︳ eη s︳ ︳
de﹁ η
— —
資 安責任等級
提 報自身 及所 屬
相爾報告
資安事件
關鍵基礎
關資 安
供者
得 進 行 資安 稽核
進 行 資 安 稽核
提 報資 安維護
計 畫實 施 情 形
報 資 安事 件 及
改善 報 告
提出 改 善 報 告
建報 資 安 事 件 及
計畫實施情形
提報資安維護
行 資 安 稽核
設置資安長
.
訂定及實施資安維護計畫
. /
訂定 及實施資 安維護計畫
.
訂定資安事{
. 牛通報 及 應變
訂走資安 事件通報及雄變機制
.
機籍 lj
紛
阿
◎ by下 C︳ C Source:行 政 Π
完 M° du︳ e鬥 S| ide﹁ 2
資通安 全 責任 等級 分級程序 靂颻 靂
”
齃戤
— —
主.出 身 主管機關核定
汋 行政院
生.自 身
行政院直屬機關 (構 〉
、雀諮議會 2.所 饜機 關/受 監 督 及 主管機 鼲核定
邊 所管機 關
自 、所 關
主
直轄市及縣 (市 〉政府
謈
磕颱 優
2
主管機 關核定
出
主管機關核定
擊
生.自 身
總 統府 、匭家安全會議 ‵立法
2.所 露機爾/受 監督及 主管機爾備查
院 ∼就法 院 、考試院 ‵監察院
所管攤 爾
盼
劬
師
)
中
鍕薽 窟
一 — —
翂靉銹谽 皤 齺黫銹鑈 付
舜籛鐫 掛
鏺黦四
資
觬舒鑰纖 鏻啊疑餾 路拓催移箠轟錛 磁學迢好車 谽姊
U
艙帥
鍋颻錀谽 鱗 齡攤燄饑 府
保 存 資訊 之 機 密性 、完整性 、可 用性
preseⅣ a小 on ofcon∥ δ面帝ia| ity,integrityand
avai︳ abi︳ ityofin了 0r︳ηation
鎗議鑰 永
一瑙七 女們主
再 C° n了 :d6nt︳ a〡 已
{ ;七 ◤}
.使 資訊 不提供 或不揭 露予未經授權 之個 人 、個體 或
錛謹睥
過程 的性 質 。
谽師
◎ byTC︳ C 資料來源 :︳ SO/CNS27000 Modu︳ e︴ s︳ deη 5
︳
*風 險仰sk} 與 風險 等級 {
leve︳ f山 Sk)
。
鑰羻鑰銹 鑼 錛蕪鎀鐖 ㄨ
山Sk〕
風險{
掛 目標 之 不確 定性的效應
e帝ect0了 uncertaintyon o° jectives
鎀黤齡 鼠
躌攤姊
籤出
怡▼dof山 Sk〕
風險等級{
紼黦銹郎數餵 鞏烝舉選轟錐 瓶窪翌好
風 險 之 大 小 ,以 笙果 及 工 盟盤 之組合 表 示之 。
magnitudeofar:skexpressed︳ n七 ermSof
一
生一
馬斤告ㄘ〃 多〡| 〞
房 s。 uΓce:︳ SO/CNS3η 000,27000
◎ by下 C︳ C
Modu︳ eη S︳ ide︴ 6
SO3η 000:20可 8
︳ 瀰 齺 崩 鑈 皺 碎
靂我 愛
風 險 管 理 Risk rnanag。 ment一 指 引gu㏕ e| ineS
協數銵銹 協 鑰籛鍛鐊 命
#擁
黫銹抑繳齵 擊籮 侈鍰倦幼鐱舞銬 林
聯籛聊
瓶
#而 法{
{留描〃安
站插 雄 接夕
哧蹦 溺瞞 再擁
嚇 癓 9
銹 航移撥帥盞 劮仰
和 弦妐密$咐 撫 咖 多李 傘筋 癇 陷 徘 紘擁姆 砃
鬱拓
原則(P山 ndpl㏄ 〕 ameWo的 and過 程(pΓocess)
.框 架 Γ (了
風 險 管理 RiSkmanagemen七 一原 則 PHncip︳ eS ﹏
靂兙好
藦
— —
鑰籛 鏘劬 皤 錐髒 鎀鐖 式
絞 改善
聯籛 銹 軒
考慮人文 因 匕其 全 面
構ㄔ
僯籛 籤
A彿
籛 鐒師氀擺 肇撬 嗧窺霹 鎗 筋簽侈許 含 銹姊
製化
\
泛{
才.
|害開係人必須
妙J
S
3
一
︷ ㄟ
姊黤 彿谽 路 齡讓 盼饑 ∞
)ˊ
彿錘 錛 ︿
持錢改善
鏺黫 娣
餓
撫 攡
$紛
錢齡︴磁玲啦擊名路餒舞 紛 磁壁理ㄏ各 φ︴
輜 鱵 孍
建王
φ好
Source:︳ SO3︴ 000
◎ by下 C︳ C 框 架 Fmmew● Γ
k Modu︳ e﹁ S︳ ide︴ 9
風 險 管理 RiSkmanagement一 過程 Process
J已◤
一 ㄏ 一
鏺靆鏺♁ 皤 鎗蹎妙鍛 琳
銵籛齡 心
坲黤竹
餓︴
直
銹燕銹帝玫餵 跫露路鉒確研
份 城壁足〃Ⅱ 鈔︴
ㄟo/
◇粹
◎ byTC︳ C
Source:︳ So3可 000
Modu︳ eη S︳ ide20
6>見 畫︳P︳ anning 嬤
斖珮耀
ψ
鎀籛翰艕 齺 拂黮♁鑯 外
nfO「 maHon secuHⅣ 山
2資 訊安全風險評鑑 ︳ SkaSSessment
(╮ 6. {.
ˊ 組 織 應這義 及 應 用 資 訊 安 全風 險 評 鑑 過 程 於 下 列 事項 中 。
下heoΓ gan︳ zat︳ Onsha| |defineandapp︳ yan in了 0rrna七 ion
翁籛鎀 本
securityriskasSeSSment proceSSthat:
a)建 立及 維持 包括下列準則之 資訊安全風險準則
鬱籮螂
estab︳ ︳
shesandmaintains informaHon secu“ ty一 skcHte山 a
籤外
thatiΠ c︳ ude:
佛黫鑰郎鎡
﹁)風 險 盛璗理捍 ︳the山 SkacceptancecΓ 比e由 ;and
2)履 行資訊安全風險評鑑之準則 cHte山 afor pe而 rrn︳ ng
玲堅嗷 確務艋路館
inforrnaⅡ on secuⅡ ty〢 skasSessrnentS;
b)確 保重複之 資訊安全風險評鑑產 生一致 、有效及適於 比較之
噰 航踞嬐帥華 艙師
結果
enSuΓ es that repeated ︳ ation secu「 :ty r心 k
nforrΥ ╮
盼拂
esu︳ tS;
「
Source:︳ SO2700η
◎ bytC︳ C Modu︳ e︴ S︳ ide2η
D
6規 畫!P| ann:ng 露瓶 慶
﹏
一 — —
銹籮鑈鎀 衊 餩黮♁鑯 煞
c) 蠽 南|資 訊 安 全 風 險 心 en小 ⅡeSthein了orma甘 onSecu︻ ty山 SkS:
● 晸 、
馝蠿靈酓瓛 、 錁魒鶷
駋ㄓ馬酷罕楚ㄤ選ㄤ生占
f綠:瑤r提 :f
鐒鏕齺 泓
酃 確銎必驟 驟嗧群:堅 鱳 黯
犓邏蟒
en七
敘ㄨ銹籬銹姊蔑餒 肇羅夥錄彈 銹 缽銎諲
;and
systeΠ ╮
者 心enj印 怕e山 SkoWners綁 門 ′管
2) 別風 險擁
一
d)分 析資訊安全風險ana▼ sesthe;nforr| ︳
aHon secu山 ty山 SkS:
︴〉評鑑若6.η .2(c)(可 )中 所識別之風險實現時 ,可 能導致之潛
在後果
aSseSsthepotentia︳ consequencesthatwou︳ dresu︳ tif
r華
Source:| So2700︴
◎ bytC︳ C ╮
πodu︳ e﹁ S︳ ide22
6>見 畫︳P︳ anning
慶找口
β
— — —
鐒灘 鍋鉿 礔 錼黰 谽饑 →
2)評 鑑6.η .2(c)(η )中 所識別之風險發生的實際可能性
assess therea| istic︳ ike︳ ihoodoftheoccu「 renceofthe
心kSidenti了 iedin6_ η .2c)η );and
「
3)決 定風險等級 de七 errn︳ nethe陷 VelSofhsK
銹麡 鑰 本
e)評 估資訊安全風險 。
錢繖 姊
eva︳ uatesthein竹 ajOnsecu〢 ty山 SkS:
鎡命
rr了 ╮
紛籛鑰師欺報 寧咑
η 2(a)中 所建立之風險準則 ,比 較風險分析結果
)以 6.︴ 口
compaΓ etheresu︳ ts ofΓ ︳
Skana︳ ysiswiththe「 iskcr︳ teria
estab︳ iShedin6.η .2a);and
2)訂 定已分析風險之風險處理優先序
擺嗧簽撥 鐒 赫瑟冷師 才 唦︴
priorit︳ zetheana| ysedrisksforΓ iSk treatrnent.
φˊ 組織應保存關於 資訊安全風險評鑑過程之文件化資訊
etaindocumented︳ n了 oΓ mationabout
下heoΓ gan︳ 2ation sha︳ ︳Γ
燄師
theinfoΓ majon secu山 ty山 SkaSSessr了 ╮
ent process_
◎盯TC︳ C Source:︳ SO2700︴ Modu︳ e﹁ s︳ ide23
〞 名娑方π 銹簸 繗
← ︼
一
︳≧▼兮丘七已出占色d 且°°r● 女Ⅱh
一
§〝pporun各 五子 i欺 ood
一
手e守 L主 ︳
ㄍ︳︴
●
千
㏑路mS扭 d作 r中
多
—
◣ 法
k呼
虫{ 破
§
嘸 坤 盅 生 出Ⅱ hΠ m浀 n無 兮社r王 呼 A$故 牙a〤 耳 田四時且七C° m↑ o班 且仁S
一
︸
、
甘 紛妳
妢外
SouΓce:︳ So270。 5
◎ by下 C︳ C
Modu| eη S︳ ide2{
風 險評鑑 與處 理 的 主要 目的 靈擺
蟲靂
”
— —
銬齷 鋒鎊 鑼 銹 雛 鍛 饑 銹 籛 銹 鎀 籛 姆
╮ ˊ 避 免發 生重大 資訊 安 全 事 故 或降低 重
一 大 資訊安全事故發 生的可能性
ˊ 一旦發 生 資訊安全事故 時 ,能 迅速
外
口
應與復原 銼 Re由 ︳
心nce)
求
ˊ 一旦發 生 資訊安全事故 時 ,使 其對組
鈚 彿 籛 蠮 姊欽 鎖 寧 搖 移窪 雜 銵 竑彈冷帥 各 鬱 鄉
才
織造成 的衝擊降至最低
鍛抔
Source:TC| C整 理
◎ by下 C︳ C Modu︳ e﹁ S︳ ide25
★
後 果 量表 範 例 ↓
β觝好
好
EXarnp︳ eofConSequencesSca︳ e
— —
鎗籛 鋒鐪 鑼 彿籛 翂鐖 然
ε 己δeq︳ ●Ⅱcε s J錯 ε
坤七竑
。
各班 步仁§n∫ ε母出§Hε eg也 兮y$﹏ 彥兮
Sec留 ●r or〔 g在 Ⅱ h兮 6r發且i它 斑王 ◆且
.
乩 b出 錐 七控士 級 i強 C竹瑵$㏄ 路
p甚 reC6Sy故 亡m〔∫l,w扯 扭的 社 εq盤 配 告辛t出 改 伍灶be站 ㎎ 去 站 住坨 .
Crig︳
一
°㏄ rC台 路恐爞eS比 4出 6D且 〔 VaⅡ §出路法推n兮 ¢ ,在 比 紅 t更 v王 牡 鈴 C6σ 弭 °rSta竹 S兮 C它 竹 S鈺
玫SS法 r甘 之
鐱籛 鈐師爽鎖 鞏露 緇羰霹銹 航鋒路許 音 嬐師
班足
1工 蟲 比 Op母 了a七 鈴 Wi堆 女
i㎏ $$ea骼 c竹 婊 a屯 就 軌 w主 〔lη 伕t銘 y甘 仇 各 蹈 $tihg
§㎏ 雄 至比 工雄 斑 七上︳
班主路 在 εc且 S含 q避 且ε路 鈾 r仁雄 or醉 血 2雄 心4
Jε gr餡 合的 ni且 扭 e多er飴 r扭 a且投 拼 址 ea曲 V玉 牡 w主th住 6m仕 Seq比 土㏄ S° 且它㏑gga描 玗 爸rp餅
-
且m丑 6
2﹏ 虫g且 五
忌0n§ a且 dp才 °per七y.Thε 出 巷a在 王
鈕 七i● 且 括 路 Spi扭 a比 扣
u盆 工§Verco扭 ε 七且eS比 在金Ⅱ6且 七 Ψd︳ ff好扯lt〔 εS
$p甘 確 七路 發 ind叱 路 d§ ¢ m° d母 ‘
各土
︳tg正主 兮 七↓n∫色quㄝ 土6§ S出 rt出 岔 Jrg在 且主
出Ⅱ Zatio出
且●r
土-n旺 土 N6ε e丘 §召φㄝe且 ε笛 o且 @p念 亡血 o正 g針 七工推 p各 r路 rm左 1迢 εaFt㏑ 出 七Ⅳ iΨ 6r攷 山ega拖 母 or伊 舒g0丘 g
含ndp玲 p守 Υ住 》 兮臥e◆ fg含 且挖 斑 i。 竹 竹 i玉 主a一e#¢ mem兮 S比 甘雄 i° 在 W求 仁在ㄑ
路 七﹏°無 Whdj甡 u野
兮
鉿挪
佛籬 拂
╮
隘 Ⅱ法§od
〦主 丑弭φ中 七
妳Ⅱ
Υ her二 奴 兮仈 】rG§ W:︳ 王出 °$〔 C兮 rㄝ 無 n中 Γ兮各出 :兮 $° →i。 c注 軨 盯 社串加 gq竹 °f扭 兮 ε°n$【 dg4妓
S︻ A】 田
n●ε守f兮r君 於︳
㏑ m兮 〔
kφ d$ofa︳ 抾ε
k.
The王王
ke王 ︳
ho心 d6r七鈺er上 SkSε 念且&出 0主 ∫V◆工y出 拍好在 .
Th£ h故 串°u㏄ eWil︳ prob求 b℉ r缽 ε如 i七Sφ 姊 ec室 打 兮幼y〡 s王 ㎎ on念 φf出 令C° 土$id↑ 了¢dme出 ︹
在︷Υ兮呼 Ⅱ㏑田ˊ °a$◆ f↑ 兮
︴爸心比
↑h兮 攻文aih◇ Odo又速 er子 $l〔 9兮 e且 今h。 拍 扎ig!i_
T㏑ r王 錶 βoⅥ rc兮 兮m作 兮出
i$出 ︴ As曲 e㏄ 王碑 打 usi㎎ cm兮 °f妞 ec鋼 Sidqredme出 ods
3… L出 【
e!y ratt御 ε
虹
。
Th兮 i且 ㄍ立ihoodofthoh日 kSε 守且a出 °且
︳ S$主 g且 i出 εan{ .
′再 谽郎
鍛眝
◎ byTC︳ C
Source:︳ SO27005
Modu︳ eη s︳ :de27
★
風 險 準 則 定性作 法 範例 …
錛靆鋊紛 鑼 鏺
心$m§ 母堆‵母Ⅱ呼母
生且妳茁
玉王h$毋且
田每往rqu扭 玉
C撥 社 兮 εr垂 出
盞兮扭王 :S母Υ比班年 本王
留鈕︳
吝盟G放 且古 Ⅲt王 出$r
A一灘 g寧 社C出︴盡達
且 一
VgΥ 華丘堆女 勒安 域堆扭 世鞚灘
=y監 再
i追 撖兮出社班
野 要王
i女 的 推 Ψ 在堆缸 球璁濕 瑕王
基藪 鍵兮血靼斑 生伊町
扭效在甘 封地坤 摸i齡 錐§吐6求 m 豇$W 虹D姆
歡琴報 再穿H4王 故 承妙 雛佳d且 單m Ⅲ e蝕 芭雄 L各 W 色毋W 寧容ry妳 師
守Ⅲ且
她哲 豇毋盯 已召W 9
L° 取 機 Γy盞 $馬 叩 V雷ry二 Dw
舉 鏺 磁壁 翌 〃
忒
磁 .盼
φ跡
◎ byTC︳ C
SouΓce:︳ S○ 27005
Modu︳ eη S︳ ide28
★三
色風 險矩 陣評 估 量表範例
onSca︳ ecomb︳ nedWiththree一
EXarl╮ p︳ eofeva︳ ua七 ︳
竹
齏氖 靈
— —
紛難鑰鎀 鑼 拂難谽
∩
L邵 埤登or斑 工k 致玉
$生 母V母 土
球在七
ib且 Be㏄r妙 老
描在
缸au〔 拌 子站 五e¢ φ冷留
守各〡
¢甚$玉 $ T鈺 e=亡 #k兮 跤笓h兮 $¢ ㄈ 比兮u在
兮p七 e4名 u在 考 士
拙〔比er&‘ 冬
王兮跤
.
巖緇嗧箋撥僯 航華塕跡 選 鎗瑯
鎖師
SouΓ ce:| SO27005
◎ by下 C| C
Modu︳ e﹁ S︳ de29
|
矛
風 險 矩 陣 (日 SkMat山 X)範 例
鑈簸錛縍 鑼 綹雞鎀鑼
ˊ 風 險矩 陣是 用於風 險 管理 的工 具 ,以 定性 方 式透過評鑑 事件
生 可 能性及發 生後 的嚴 重後 果 來 決 定風 險 等級 。
ˊ 風 險矩 陣縱 軸 為 可 能性 ,橫 軸 為嚴 重性 ,兩 者相 交的 區域 可
立 風 險級 距 。
A鏘
籛鑰 法
銹簸姊
嚴重性
籤小
A B C
鑰籛銹妳疑錣 鞏羅幾瑤儸帥
5
可能性
3
2
鑰 鎡發殺Γ吝 谽妳
風險矩陣範例
鎀粹
鑰簸 錛妢
頧男 lJ
義陸
求蟲齸灥菗韰
中)::
姊 :妙
妢好
Sou「 ce:資 通安全 責任 等級 分級辦 法 一 資通 系統 防護 需求分 級 原則
◎ byTC︳ C
M。 du︳ e鬥 S︳ |
de3η
啪
後 果 或嚴 重性 量 表 範 例 十
β我 尸
(Exarnp︳ eofconSequenceorSeVeritysca︳ e)
— —
鋊簸鋊紛 鑼 鋊籛鎗鐖 本
ˊ 除 了可用性為OT系 統的重點 外 ,OT系 統也要考 量一 旦發 事
故 ,對 Hea︳ th andEnV︳ ronme
HSE).可 能造成的後果或嚴重性 。
{
鰳籛錛 餟
鑰黮林
簸︴鱗黮錛螂欽鍛 鞏羅聬駕鏤竹
鑰 城聲螳╭︴ 鈖協
}
紗肺
◎ byTC︳ C
Source:︳ EC62碎 碎3-3-2,下 C︳ C修 訂
Modu︳ e︴ S︳ ;de32
毋
可 能性 量表 範例 ψ
靂紙 靂
(巨 eof| ike︳ ihoodsca︳ e
Xarn ︳ — —
銹靆鉧谽 鑗 銵籛繚鐖 外
可 能性 量 表 引導字 可 能性 描 述
銹雞鋒
5 幾乎確 定 缺 乏控 制措施 /或 控 制措 施 完全 失效 ,幾 乎確 定
A銹
雞啷
有可 能 降低發 生可能性 的控 制措 施 設 計 不足 ,及 現 有控 制措
籤無
路
施 失效 ,有 可 能 會發 生
鏞黮銹林笑報 華絲
3 可能 降低發 生可能性 的控 制措 施設 計 良好,但發 生部份控
常措施 失效 ,有 點可能 或常見的發 生
l︳
緇硌麔轟狒 城鉹艙跡各 鎗仲
帶l!措 施 可能失效 ,可 以想像但 不 常發 生
︴ 幾乎不 可 能
降 低發 生可 能性 的控 制措 施 設 計 良好 ,且 完全 有 效 ,幾
乎 太可 能 會發 生到可 以假 設 不 會發 生
鍛師
◎ byTC︳ C
M。 du︳ e鬥 S︳ ide33
彿籛螉鬱 蠵 錛籛谽鐖 “
nfor了 ⅥationSecurityriskcomponents
|
●eomponents re〡 atedto thepast:
一secur︳ tyeventsandinc:dents(both︳ ns︳ dethe
鐑黫錀 打
r︳
颻㏄
一 eXp︳ o︳ tedvㄩ ︳
nerab:︳ ︳es;
t︳
螉灘銹妳幾鍰 鞏露幾麛鋒解
一 measuredconsequences:
銹 齦發韹好發 鉿螂
劬師
Source:︳ S○ 27005
◎ by下 C︳ C
Modu︳ e﹁ s︳ ide3ㄥ
★
風險評鑑過程範例 (Exarr︳ p㎏ softechn呴 ues
inSupport oftheriSkasseSSrrlent rocess)
皭黫銬妢 鑴 拂黮餓躐 不
nforr!﹁ at︳ on securityΓ iskcomponentS
︳
● components re︳ atedto thefutuΓ e:
一 threatS;
鑰靆鑰 ‵
一 vu| nerab︳ ︳
ities;
一 consequences;
鱍躣聯
籤府
一 sk scenar︳ OS.
谽汁
◎ by下 C︳ C
SouΓ ce:︳ S○ 27005
Modu︳ eη s︳ ide35
★
風險評鑑過程範例 (Examp眙 Softechn咰 ues
r戤π
nsu
︳ Ort ofthe〢 Skassessrnent proceSS) — —
—
ˊ p山 rnary/businessassetS一 ︳ °n or
nfor呂 Ⅵa七 ︳
proceSsesofva︳ ueforan organization;
洪下hePrirnaΓ y/bus︳ neSSassetsareORenusedin theeven一
齡黦鑰
ˊ suppo㏄ ︳
ngassets一 cornPonents ofthe︳ nfo「 rnation
systeⅣ╮onwhichoneo「 Seve「 a︳ bus︳ nessassets
arebased.
汁 TheSuppo㏄ ingaSSetsareoRenused︳ nth ed
銹 報箜靈 安 姼碑
beapp︳ ied).
SouΓce:︳ SO27005
C
◎ by孔 ︳
Modu︳ e︹ S︳ de36
︳
★
風險評鑑過程範例 (巨 Xamp︳ eSoftechn咰 ues ψ
靂瓶 靂舐
in support o了 theriSkasseSSment process) — —
銹籛 鐑紛 齺 鐑籛 紛饑 “
墦一 壣一 鐑
鐒籮 鎀 本
銻籛 柳
籤→鏞籛 銹娜觨玲堅發 路銹第轟鏻 鎡多啥野
$erVe︴
I女 免r站 女 缺︴
t一
#妙
土r笛 Atㄥ 好 &#aS$兮 七吐兮狩建接飽 路Cˊ gr錚 出
-E為出在p≡ 兮﹉
師
紛師
=堆
◎ 盯 TC︳ C
Source:| SO27005
Modu〡 e﹁ S︳ ide37
彈舐〔
蛋
inSupport oftheΓ :SkasseSSment rocess — —
ˊ“ ”
鐱籦 鏺劬 鑼 鈐羷 艙鐖 ㄨ
Administ「 ato「 (type:hurnanresource),wh。 ,r not pΓ ope〢 y
trained,propagatesarisk to theaSSet.
ˊ“ ”
Ma︳ ntain︳ 下 (type:seⅣ ice),whichpΓ opagateStheHsk to the
asset.
’
ˊ “SerVer” (tyPe:hardWa「 e)or to七 heaSSet“ Ne㏑◤
or《 (type
蟒籛 銹 町
(七
鏺齻 銹師嵐輟 筆露 雀華傑卹
unava:︳ ab︳ e.
‘ ’
’ ‘
VVith° ut‘ VVebporta︳
,thebuSineSs proceSs‘ ShoW:ngoΓ deΓ and
’
invoiceprocessing’ does not o帝 ertheintendedprocess七 0the
cuStomerS
鑰 跡爸翌一參 紛聊
翁妳
Source:| SΘ 27005
籚允捷
inSupportOftheriskasSeSSment p「 ocess)
坲
屔
εθ村乎
石eVβ貯εβ
uθ W幻 ︴母女o珀 加 汝如 叩
→ ε︳ .
i杆 ε
招 a硨 工
亡
η︴加館了
lt今 ° 色
舔 竹伊P↑ rㄜiε§打
竹 pㄉ ㏄ t﹏ ˊ
εη站J再 a| 瑚
牡 拄i府 H● 好βgε λ|‘ 宮99
A§ se一 ba§ ed
KEifⅣ oop
已′
pqfat千 ona【 Oper公 t主 ◆我aI
→
°PeΓ 村i° n缸
故Ppr° ach 兮
。εgna∥ $〔 在 g〔 已且含r王 6 6及 )r胡 σ【
φε9η 加 #η 了
SCeh寂 rl° SCeh合 rio〔 n
各
ㄜ彥ㄉ¢
打oβ 召
爸冗出β99
已F子吼
→
R五 S╓
6ε ε
t2且 φ
可翁師
—
—
鬱師
Source:︳ SO27005
◎ byTC︳ C
Modu︳ e﹁ S∥ de39
★
風險評鑑過程範例 (巨 Xamp| esoftechn咰 ues ﹏
齷颻 齷
nSu
︳ ort oftheΓ iskasseSsment proCesS) — —
鈐教 鏺幼
ˊ
T在6王 兮A︻ 王2— ︼歐 求mp王 β$.安 r二 s故 爭ε兮狂蜜ri¢ 9且 n扭 ¢笨
監在pㄗ r° 色6he呂
—
T甚 Ⅸ心甚r0吐 ∫ ←aud
破王 兮rg念 ti扭 g♂ h您 Ⅱ Co扭 p巀 n玉 含S亡 ° C§ rry
°世七ξ守故← e〤 ch君 ng兮 S兮 土 theㄜ 含r如 on
七aXma← 路 t
Source:︳ SO27005
◎ byTC︳ C
Modu| e﹁ s︳ ideㄥ 0
★
監控風險相 關事件 斖瓶 靂舐
才
鋒簸 鐑鎊 騶 銬議 艕齺 守
u6● 拾 }鬥
go先印途〔d 市g路 甜〔
}≒β
咐
i外 路碑$昤 aP放 (Ψ
銹麶 鎗 本
P
|
夕路 Cσ 鈴 榦
pΓ !ma呼
爪路 Ⅶa任 ¢Ⅱ
又
齴籛聊
︳
°任〔
丘
一
籈何
e啦 竹竹 °Ft挺 山出 °n竹 °hm又 σ
把士
螉雞 鑰郎箙暡堅鯬 嬏簃盈攤魽
㏑q寸 °虫
在治 站 #破 ¢︸ ●餓 無 CV宙 ㏄ ¢$∮
七
:曲 時
出!6he社 甘m在 o肚 q再 ㄝ
、 eㄇ 再 玲嘸 ueⅡ cy
鐪 瓶步撥許 毒 妙轉
蟲 扭 -︴ h° dr丘 乏〔
治Ⅱ
路芷ur.
一remov♂ 【
′
4芒 :︴ :掛
由找 笛- 甘水兮6eS谷
B◆ 亡§↑BT斑 $d4年↑肆土二
鍛抔
r鞋 社rε A!g﹏ 出
E又 石 p王 ca︳ 放扭
一
Source:︳ S○ 2 70︳ 5
◎ by下C︳ C 山Πdu︳ e︴ S︳ ︳
de4┐
。
★
風險評鑑過程範例 (Examp冷 s of七 echn呴 ues
nsuppO rtOfther:SkasSeSsment proceSS
︳
鐱鼛鑈鎊 鑼 銹籛 ♁鐖 依
● 定 性 作 法 Qua| 比at︳ Veappro孔 h
一 Consequencessca︳ e後 果 尺 度
一 凵kdihoOdScale可 能性 尺 度
錛籛齺 才
● 定 量 作 法 Quant:tativeapuoach
鏺籛銹師爽錣 肇露嗧瑵蘀 鐒 銥壁報′食 盼妳
一 Fin:teSca︳ es
●
妢師
Source:| SO27005
◎ by下 C︳ C Modu| e﹁ S︳ ideㄔ 2
風 險示 意圖
佛黤 鑗綸 齺 鋪難 鎊餓
{
風險來源
腦 控制措施
(減 少脆弱性) 脆 弱性
脆 弱性
.彿
雞鑰 本
風險來源
嫋難 師
舨
我命
全事件)
銹籩 婚螂數餾 鞏竹
脆 弱性
播縐鑑僠姊
脆 弱性
銹 蟻移凎野 手 鬱螂
Ⅳ 控制措施
(防 護威脅)
風險 來源
風險 來源
縍抔
◎ byTC︳ C
Ⅳlodu︳ e﹁ s∥ de冷 3
— —
鑰籛 鈐♁ 鑼 銹繌 幼鏹 溶
翰籛蠮 好
燐攤 晦
銀水齺籮 齺師鐑掇 鞏雖 夥幾鋒館
鏺 贆墅超ㄏ登 翰師
鈔師
◎ byTC︳ C
M° du| eη S︳ :de冷ㄥ
與 完整性相 關聯 之 風 險項 目範例
銹籬鑰紛 璐 繗雞燄鐖 ”
∩
齡黫鑰 式
鐒籛的
籤→鈐雞僯姊欺輯 鞏確帶鏖轟筠 就壁理ㄏ子 Φ坤
鋒竹
C
◎盯 孔 ︳ Modu︳ eη S︳ ideㄥ 5
與 可 用性相 關聯 之 風 險項 目範例 ′〦 β
〡
— —
銹錘紛紛 皤 鋒籮鎀鑼 ︴
銹鏺銹 小
$鑈
銹籛再
錢
纖銹︴坡餵 鞏露玲簽舉 鈐 磁壁理Γ丑 谽轉
●
幼打
◎ by了C︳ C deㄔ 6
M。 dU︳ e可 §∥
考 量組織全 景/業 務/議 題的
錛驤 齡妢 鑴 佛黤 嬐爞 密
針對議題
駭 客是否可能入 侵 內部 的AAA系 統後 台 ,導 致 大 量用
戶個 人 資料 外洩 ,並 向組織 進行 勒 索 。
銹黮 鋊 八
=>衍 生風險情境(包 括瓶麟無黚 主要資產與支援資
鐒謹姊
籤”
產),例 如 :
鑈繖 錀一欺鎖 寧餡
因內部人員安全 意識不足,驤 鼛以釣魚郵件入侵內部
某個 人 電腦 ,且 內部 網路缺 乏 入 侵 偵 測機 制,駭 客長達
6個 月在 內部 網路 流 竄 ,並 成功 入 侵 內部 的好玳 系統
鑼鋒窪姦銹 磁華跲黔 吝 幼林
,且 系統缺 乏 入 侵偵測機制,導 致 駭 客竊取 大 量用戶
個 人 資料後 ,向 組 織 進行 勒 索 。
給擗
潛在後果=>A,可 能性 =》 碎,風 險 等級 =>高
◎ by下 C︳ C
Modu︳ eη s︳ ide冷 7
SO27005:2022)虱 心冊針評 鑑
︳
螉黰 鑰鬱
遜雜將齺方 ,雜 館鐖容推期
↑
﹏ ﹏ ﹏ ﹏ -— ﹏ ︻ 〡
骰繲 齷
一 一 一
— — — — — — — —
單▼ε且〡苗以S§ d單 PPr鋸 蕊 — — — — — — — —
— — —
發旗棗料
將戶飆人策琴華 公e§ 出毽4e且 d密 協!芭e
ㄦ眼乓王祺 r符 k
$故 雄 σ蠛瑤 報甘
#6 七手
卡ㄍ球王
牧oo以 蔑
乎
子
玉
n齡 rq$t兮 d#爸 rΨ 迋本念 本肆發離鑼 餘礒 無
寄Ⅵ安
留牽寮
︸H主 韉 齵 女
蜜辛毒
u
犖 嚲鑼鑰
→
耘 翰蚴 一
一 撥鮒雄癒失甄 有年攏
緲 會發盤
thfe出 七
ˊ
一
紟卅
◎ byTC︳ C
M° du︳ e可 S︳ ;deㄥ 8
降低風 險 之 控 制措 施 選 用
銹簸彿鋒 齺 錢黮鍛鐖 何
∩ 進行社 交工程演練,加 強內部人員安全意識lA.6.3),
加 強內部們 人 電腦 之 系統 應 用 系統 與 防毒 的安 全 更
新(A.8.8,A.8.7),限 制個人電腦使用者只能具備使用
翰簬鑈 式
者權 限(A.8.2),使 駭客無法 一
以釣魚郵件入侵內部某個
人 電腦.(降 低可能↑
鑼黫螂
l生 )
加 強對應 用程 式伺 服 主機 之 系統 與應 用 系統的安全
更新(A.8.8汁 (降 低可能一
谽師
1生 )
◎ by了 C︳ C
Modu︳ e﹁ S︳ de碎 9
︳
降低風 險 之 控 制措 施 選 用
鑰籛銹♁ 鑼 錐籮艙鐖 式
:露
葐籊翼藉鮤筆捨呈廖竊
降 低可能性)
齡籛躌 打
對 以客
強可駭
加
之監督 ,一 併被入侵時
一
#
鑰鼮拂
主
(如 果能愈早發現 ,防
,止
甐依
現
取 大 量 用 戶 個 人 資 料 ,則 可 降低衝擊 )
。
鎗黤鎀啷致姘 擊羅鞘鐬籜 銹 竅爸嫚好各 谽蟀
如 果 建 立 上 述控 制措 施 之風 險 處 理 計 畫 並 有 效 實 施
o鸅 將 降為 =>B,可 能性 將 降為 分 2,風 險 等級
撬尹
鈔掛
◎ 盯 了C︳ C
Modu︳ e﹁ S| de50
︳
翰黰 鐑嬐 嬸 鍋攤餘饑 ︴
鑰灦 鏺 本
鑰籛 坤
籤年
資訊安全 管理
管理 系統
ManagementSystern
錀籩鏺鐒 鑼 鐱黰妙饑 林
一套相 互 關聯 或交互作 用的元件 ,組 織 用 以建 立 政
策及 目標 ,以 及 用 以建 立達成 該 等 目標 之 過程
nterre︳ atedor interact︳ nge︳ ernents o了
Seto了 ︳ an
銹籊齡 功
註:一 個組織能建立不同的管理 系統 ,如 :品 質
管理 系統(QMS)或 資訊安全 管理 系統 SMS)
彿 鎡壁理好亡 鉿坤
(︳
︴
♁外
資料 來源 :︳ SO︳ ECDirecjvePaHη
◎” 下C︳ C Modu︳ e︴ s!︳ de52
資訊 安 全 管理 系統
〡 auonSecu山tyManagementSys七
SA/lS:︳ nforrΥ ┐ erΥ ╮
搦簇 拚舒 碑 扲鉹 鉣鄉 ︴
▓ ▆ ▓ .— ˊ ▋ ■ ■ ▌
▌一
■ ▓█ 〞 ▌ ▋ ▓ ■ ▓ —
▋ ▓▋ ▓▌ ▄ ▋ 口■ 口
█▓▓—■█
▋▓▄■■▅
▋▋▋
▋▓█
■▄▓■
■▋▋▋
. █
. ▌■ 口 ▉ ▋■ . —
▓▋
▓
▌
● ▊
▌▊
██
▌
▊
.
▓
■
■
k■
▌
■
▓
▌
▊
▓
▓█▊▋
口▓一▌
▌▊▓▋
■▓—▌
■█▋▋
、■▓■
■ .— ■
█▄▓Ⅱ
▋
▌
口
▋■■
▊ ▓口
鋒錢 銬 本
銬箋的
瓾↑彿簸 笏“紡塕師犖知移筠碑
Π▌Π
Ⅱ田田▌▉■田
奶撈φ翂 班磁硢努 各 鈔卹
▌田田田Π
田日▌田 田田田田田▌田▌田▌田
田田田田▉mⅡ ▌
紛√
◎ by下C︳ C
M° du︳ e可 S︳ ide53
斖珮 麠
竹
劣簽 臻絣 璐 鈐傘 劬錢 研
利害相關田娃
利害相關田娃
規 劃 Plan
搦鍵 銬 扣
建立
SMS
|
翁籛 螂
鉉ㄨ
絎∞
錀雞 銹郎斑銘 孝茲 帑押
實作 與 運作 維持 與 改 進
〡SMS |SMS Act
資訊 安 監控 和 審 查 受管理
全要 求 ︳SΛ llS 的資訊
霉雊
其期
錼 筋今勝鉀 牽 繚猀
安全
6查 Check
橢﹀
SMS:勒 任之 PDCA模 式
應 用於 ︳
紛猝
◎ by下 C︳ C
M。 du︳ e月 S︳ ide5冷
u★ |
SO用 巨C2700η :2022標 準簡介 安蟲 β
—
— —
翰黤鍋谽 鑴 彿籤紛鐖 η
■ Preparedby︳ SO/︳ ECJ下 C﹁ /SC27
鑈籬鑰 泳
anagement system一 Re型 ︳
r!╮ 匹Ⅱ迫Ⅱ㏑
鐪黤姊
籤心
Shedon the2005-06一 η5
▅ F︳ rSted︳ on pub︳ ︳
鑰黤齡轉欺齵 擊璐
t︳
擺鋒篴瑙鐒 齸器路帥年 份螂
▅ PurPoseofth︳ S︳ nternationa︳ Standard一 to proV︳ de
requirements了 oreStab︳ :sh︳ ng,︳ ╮
r︳p︳ ementing,
鎗外
︳
nformaⅡ onSecu〢 tyManagernentSystern(| SMS)_
◎ byTC︳ C
Modu︳ eη s︳ de55
︳
籈蟲箠鎕磊!足七︳|
老
扎£葛罷
鰳黤鑰 心
吐工上許 eS),,推ㄩ
(identica| sub一 c︳ auSet︳ 目 (心 ent︳ ca︳
鑰黫林
辛它 已採用該 附錄 之 管理 系
一
鑰籦銹姊幾轟 擊露學鍰彈紛 瓶壁建〃— 盼坤
安 ,對 選擇運作 單
一管理
系統 ,以 滿足 2或 多個 管理 系統標 準要求事項 的組
織孫屬有 用 。
◇外
◎ byTC︳ C
山η
odu︳ eη s︳ ide56
SO月 EC2700﹁ :2022標 準 簡介
︳ 爾 齺 勿 鱦 齷 竹
靂兙安
靂珮
銻黮齡鍛 鑼 銹蘺谽鷎 年
′
ˊ
一ˋ
ˋ AppendiX2(normative)High︳ eVe| Structure,identica| core︳ eXt,
)
COΠ Wη on七 errnSandcoredefinit:ons
0_ntroducHon簡 介
︳
﹁_乩 ope適 用範 圍
錐皺媕 本
— NormatiVereferences引 用標 準
— 2_
鎀繳姊
3.TerrnsanddeⅡ n比 on用 語及 定 義
籤外
確.C♁ 外teX七 of社 雄eorg缺 niZ毯 ㄤ
|♁n組 織 全
燄帥
.︳
“
P︳ an一 Do-Check一 Act
◎ byTC︳ C 山η
odu| e月 S︳ ;de57
★
風險 管理 RiSkmana9emen七 一過程 ProceSs ﹏
彿錘鈐鎊 鑼 錐籲鬱鐖 依
▼MS§ 碎§6
′
乎研S§ 6§ 8
一一一
鐒黫銹 外
班S§ 了
協騹碎
撥每
饑
﹀MS§ 9
A鎀
欸
纙齺帥黤餵 罕磁舉餓轟 鎗 磁簽路邦安 ♁姊
撫 鑮拂
一
查
MS§ 6§ 8
一
∪
→ MS斗 §了§︴
0
鎀挪
◎ by下 C︳ C
雖 ProcesS Modu︳ e﹁ s︳ ide68
★︳
S0用 巨C27002:2022標 準 簡介 十
嫠我 π
一 — —
錛羷 鐖紛 鑼 釣黮 燄饑 密
▊Preparedby| SO用 巨CJTC﹁ /SC27〞 之j一 坌舀
▋
◥∥︳
nformauOnsecu〢 ty,cy比 rSe互 〢
e一 ㄎ鰼
p〢 Vacyprotec山 on—
—︳
nforrΥ ╮
a∥ on secu山 tycontro︳ s
鐱簭 鎗 舛
礸 訊安 全控 報措
錛雞 姊
民
籤¢
shedon the2005-06一 η5
▅Firstedition pub︳ ︳
燄种
(︳
◎ byTC︳ C
M° du︳ e可 S︳ ide59
★︳
SO2700﹁ /2了 002新 版 標 準
A.5 ︳ maj° nsecuH︺
nf。 了 eS女 訊安全政 無 _
Po︳ 比︳
c呼 ptogmPhy好 碼 乎
母
A.月 0 蕙 S
P6op︳ 6cont了 °︳
A_ 6
Ph玲 比引 andenv︳ mnmen七 a︳ Secu“ ︶ i在 及 人 員扭制措施
A.● η
畏
牙現安 全 鮆
千
A.﹁ 2 Pe了aj。 ΠSsecur︳中 迂作安全
。
CommuΠ 比a七 ︳
魚
A.η 3 onSS.cuΓ :﹏ 通訊安全 嵬︳
笢φ 機
A.▋ ㄔ t︳ opmentand
Systemacqu︳ s︳ on,dev● ︳ PhyS子 ca︳ con七 了
°︳S
A口 了
ma︳ n㏑ Πa比e系 撓在取 、開發 及 年故
十娃技 制器施
A.η 5 SuPP︳ ︳
er了 e︳ a七 ︳
onSh︳ Ps供 危者 m你
A.η 6
告︴蛋母ξ 母 士甘 是星
cuΓ :… nc︳
︴
\一
A.η 7 ︳
Π了orma七 ︳
。 句◤aspects ofbuS︳ ness
onSecⅡ r︳ 了§chnO︳ og:ca︳ contro︳ s
conⅡ nu︳ 打 maΠ agement爸 運持 A_ 8
仁理之 女訊 技 竹 控 制措 施
安全Π面
◎
A.-8
一
Comp︳ jamce輔 性 一
Sou「ce:︳ SO27002 Modu︳ eη s︳ de60
︳
★︳
SO2了 00η /27002新 艞 標 準
A.5 ln竹 rma七 ︳nSecu∥ tyPo︳ :c:eS女 訊安全政 策 A.年 °rgan︳ 2欲 出ona:Con︴ ro| s
。
A.6 gan立aH° nof㏑ 了o了 ma“
°了 nsecuH打 女訊 安 A.6 Peop| econ在 D| $
。
全之紅我 A.了 S
PhyS:C出 |C° n七r° ︳
A.7 HumaΠ 怜 S。 u比 eSeCuHty人 力 資 深 安 全
A.8 下echn° 6og亡 ca︳ con守 ro︳ S
ㄏ
多 ‵
ASSe七 managemen七 女 左 管 理
A.8
報耀雜觸撥矲
A.9 Accesscontm︳ 存取拉制 ︳
子
$﹏ $了 下玖ξ
兮甚七:出 發
♁子 S¢ 俄¢兮
A.▋ 0 c呼 ptography密 碼 乎
$一 多$ 〔m絡 撥 俄球錐 $兮 ¢u站 緲 箹ξ睜$¢ 磅
A.﹁ ﹁ Ph玲 比a︳ andenv:ronmen七 a︳ Secu∥ 好 十在及 ¢多o班 dS兮 rV子 ce$
牙現安全 $t$@ m@$$︴ 陷 $吐 $工 碎岔$$
Ctξ ea球 舌
≡
A.η 2 pe了a山 onSSecuHW迂 作安全 C◆ 批鞋mu︳ 矽
一
。
A.{ 3 C° mm凹 n:C出 :° nSSecu“ 打 通訊安全 了.6再 眝比y$舌 ca6S¢ c研 ri竹 mo加 紐 站竹$
A.一 碎 SyS七 emaCqu:s︳ t︳ on,deve︳ opmeΠ tand 各*$$ C◆ 升用gura七 :° n≡ 女$外 a$@m¢ n之
m釘 n七 enance系 仇在取 、開發 及 年吐
$.兮 ♁ f出 ma#on球 6| 6t︳ ¢Ⅵ
拓ξ
A.{ 5 SuPP︳ ︳ e︳ a山 onSh:Ps供 危者 田硃
e了 了
8.{ 在 Da耗﹏斑出S妳 nq
A.η 6 ln了ormaHon tyjnc︳ dont management女
secu了 ︳
8‘ 咚2 D出 地 e政 k爸 g兮
| ureVen名 :on
訊安全芋故管理
$一 {6 維φ孔踐oξ :扮 gaC牡 V:性 e$
A.可 了 ︳ΠfoΓ mat:onSecuΓ :tyaspec七 Sofbus︳ neSS
con“ nu︳ 七ymanagemen七 古避持﹏管理之女訊 $_ 2芒 臨了j外 g
哦在b堆 ︳
安全丹面 $.乏 各 S爸 Cu了 eC° 碘jng
A.η 8 ComP︳ ︳
ance出 “宙性
◎ Source:︳ SO u︳ e﹁ s︳ ide6﹁
鐱籛 鑰紡 鑭 鋒繳 妙鐊 “
Anyquest:ons?
蠮籛 銹 蒶 鏺 螂
臹㏄鑰籓 銹砷致餒 擊露 緇盟籜 鐱 瓶釜嫂ㄏ姦 谽坤
|
v Thankyou Merc︳
鎀打
◎ by了 C︳ C 山●
odu︳ e{ S︳ ide62
齡靆坳幼 娣 狒籛 谽鏺 外
∩
Modu︳ e-2一 ﹁
邏螂
籤外 h鐒
鑈籮 銹
So2700﹁ 月SO27002標 準
φ竹
◎ by下 C︳ C Modu| e2-︻ S︳ ide︴
(〔
)
螉邀 鐖鉿 鑼 齡難 繚鐖 無
︳ :| 組
SⅡ /lS工 〞 ︴ ,
nfoΓ mauon
︳ secuHtyrnanagement systems
一
SO用 巨CJ下 Cη /SC2了 WG5:P︳ MS工 〞乍︳
︳ 組 ,
錛黮 鏺 ︻
dentityrnanagernentandpriVacytechno︳ ogies
︳
拂籛 坤
KTyPeA:、 ˊoca比 h呼 StandaΓ d詞 彙 標 準
籤外鐫雞 鐫坤描琀妳躄﹌
█下ypeB:Requiremen七 SStandard要 求標 準
SMS/P︳ MS特 定要求的標 準
ˊ B一 η:針 對 ︳
ˊ B-2:針 對提供 ︳ SMS/P| MS驗 證 與稽核機構要求的標準
鑼帑箠瑵鑰 磁整理′本 谽瑯
▋TypeC:Gui由 ︳ ineSStan由 rd指 引標準
ˊC一 仁 ︳SMSˊ PlMS綜 合性的指引標 準(geneΓ a︳ guide| ines)
ˊC-2:︳ SMS/P︳ MS特 定領域的指引標 準(secto「 一 spedπ cgui由 ︳
ineS
劬師
◎ by下 C︳ C
╮
田odu︳ e2-η s︳ ide3
*︳
SMS/P︳ MS系 列標 準 近 況 -2 β己 尸
﹏
— —
a持 dd° c出 men〔
ASS° ε子
P了 °拎ε七S出 gε
批已竹 兮 兮Ⅵ岔t︳ °n
A出●〔
P了ε︳
︳Π|
︳naηr st爸 gε P跨 ︳
加在再§母 WOrk子竹m 子〕
銵籛 鐒 本
!、
V!
ε
錢籛外
一D︴ S
Aη p『°▼a︳ S描 口e 〡na︳ ﹉ n怡 rna七lon出 S描 nda“心.
心m及 { 千
P日 h路 εa任 ●nS七 aⅡ ε |
n路 n爸廿o再 a| St3nda祀
一 雝
6 了h比 eS描 geSmayJeom再 在ε¢了aSdeSc站 bedj#如 neXF一
心 ﹉ SO,的 而m五 士扭 e心 了af七 放》「γ田心 :n︳ EC_
Dm放 |n拍呵比山on斑 §伍 nda㎡ ㏑ ︳
心 Maybeom:出 a心 See2.6.路 _ V
′
〔 }
\ˋ
鎀好
斖弛躩
#
C6 26 66
SO標 準專案
錫讓鑰鎗 鐖 錛鼛 谽鐪 燕
ξ〔AGE 竹叫中 路 m﹏ |
00 a必←)〔
°研9各 °出|呀 皆︼
卜 啟(Prqect
stages)
腳 Ⅳm中 心 竹呀u以 t﹏ 打 p哦 煦
●
m砩 π呼
〦砰〔 ∥比外 ♀迸㏄(
牠 ε
︳
嫵 m〡 妳 封好 啷 ¥←
{少坤打¢ 求$γ ●礔
久 o 時中 p珌 ‘
銹麤 鋒 我
Pr6lPo划
曲 發 而舳
2{ } W何 仁 ﹏Ⅲ吋 a呵 照
鐋躣 螂
(無 收Wε 女 φ助竹助
〔
︸坤坤 m心 φ 9} ㏄ ¢山再
批 6
鈚無
30 出政 u卅 如 館 ㏑㏄師竹
㏄怯Υt
m珅 Ⅵ
▼ u叫 噁
兮︳ 砷
‘四 ㎡呼
站砪k竹 的rk姊 出 舢 n
餌﹏g◆
go #r. lㄍ
$辯 孖
踟 巾 心rf” 付
驊 聯
A” 仁
°▼a︳
故熊 心
抑u° 比︳
6{ }
﹏︳
︳田;Ⅲ 宙 h
的 肝 .
∟ 媾
9{ 〕
〔
時Ⅸ“演浪缸 a研φ研 $中 ㄇ研府Ⅵ破 併6曲 赫 ●
…t“ {
航 刊﹏6研 描弔 純 研好 折V腳 市ψ ㏕
R●Ψ:竹
一 與φ 妳 ㎏
聯 拶
9呂
W:山 曲 wⅡ ︴
Source:︳ SO月 巨C R可 麭022
︳
◎ byTC︳ C 鞭 6
Ⅱ
田odu︳ e2-︴ S︳ :de5
師
鰗
*︳
SMS/P︳ MS系 列標 準 近 況 一碎
S0月 EC
︳ DeScHp小 on 了ype
B一 {
2了 ●0η 資訊安全管理 系統一 要求事項
SⅢ S一 Requ:Γ emen七 S
︳ 2022{ v3)
C一 {
2了 0● 2 資訊 安 全控 制措 施
n竹 rma出 onSecuH打
︳ c。 n七 ro︳ S 2022{ v3)
27003 資訊 安 全 管 理 系 統 實作 指 引 C一 可
20η 7(v2)
︳ rnP︳ ementauongu| dance
SMS一 |
2700碎 資 訊 安 全 管 理 系 統 一監 督 ,量 測 ,分 析 及 評 估 C-︴
20η 6lv2〉
lnformaHOnsecuHtyrnanagemen七 -Mon比 o一 ng,
measuremen七 ,ana︳ ysisandeVa︳ uation
27005 資訊 安全風險管理 C-︴
◎ 所 了C︳ C
Modu︳ e2-η s︳ de7
︳
*︳
SMS/P| MS系 列標 準 近 況 -6 ﹏
孖戤 r
— —
S0月 巨C
︳ Desc︻ pjon 丁yPe
2了 0η η S0用 EC27002實 作 資訊 安
資訊 科技一通訊產 業使 用︳ C-2
全 管理 指 引 20η 6(v2)
lnfoΓ ma小 0ntechno︳ ogy一 lnfOrmaHon secu一 ty
managementguide︳ inesfoΓ te︳ ecomr!╮ unications
organi2ationsbasedon︳ SOˊ !巨 C27002
270η 3 |S0月 EC20000一 η及 ︳ S0月 EC2700可 整 合 實 作 指 引 C-η
籚栽躩
— —
∩ S0用 巨C
︳ DeSc山 ption 下ype
industry
2702η 資訊 安 全 管 理 系統 專業人 員之 能 力要 求 D
COr了 ●
pe七 ence「 equirer︳ ╮
en七 Sfo「 inforr了 ┐
a∥ on secu山 ty 20可 7〃 rnd
management sys七 emSpro了 eSSiona| s η
:202η、
(Vη )
2了 022 SMS過 程 指 引
︳ D
Guidanceon informaⅡ on secuHtymanagement sys七 em 202η (v{ )
processes
◎ byTC︳ C
Modu︳ e2-可 S︳ ide9
)
*︳
SMS/P︳ MS系 列標 準 近 況 -8 β航 瑟
﹊
— —
S0月 EC
︳ Desc一 puon Type
27032 網 際 空 間安 全 D
Guide︳ inesforCybersecu「 y i七 20︴ 2(V可 )
2了 03碎 應 用 系統 安 全 D
ApP︳ ica七 ionSecurity ︴ 7
一 ——
U 27035 資訊 科 技 一 安 全 技術一 資訊 安 全 事 古 交管 理 D
ln了o「 maHon七 echno︳ ogy_ Secu一 tytechn| ques… |
nforrnaHon 一可∼-ㄔ
secu一 tyinciden七 ︳ anagemen七
r了
◎ by下 C︳ C
deH0
Modu︳ e2一 可S︳ |
/
師
齺
*︳
SM日 P︳ MS系 列標 準 近 況 -9 籈
SO/| EC
︳ DeSc山 puon Type
27036 資訊 科 技 一 安 全 技術 一 外 色安 全 指 引 D
〃一
碎
auontechno| ogy… Secuㄇ tytechniqueS一
lnforr了 ╮
-η
2了 038 資訊 科技 一 安全 技術 一 數位 節錄 規 範 D
︳nfoΓ 了
nati。 n七 echno︳ ogy— —Securitytechniques—
— 20η 碎(Vη )
SpecificationforDigita︳ Redaction
270碎 0 資訊 科技 一 安 全技 術 一 儲存 安全 D
︳nforrnation techno︳ ogy— —SecuΓ itytechniques— —Storage 20η 5(vη )
secuΓ ︳ty
◎ byTC| C
odu︳ e2-﹁
山Ⅱ s︳ ideHㄇ
*︳
SMS/P︳ MS系 列標 準 近況 一﹁0
SO川 EC
| DeScHp甘 0n Type
2了 0碎 2 分析 與 解 釋 數 位 證 據 指 引 D
Guide︳ inesfOrtheana︳ ysisandinterpretat| on of 20η 5(v︴ )
d︳ g︳ ta︳ eVidence
270碎 3 調 查原 則 與 流 程 D
nvest︳ gat︳ on princ︳ p︳ eSandpΓoceSSeS
| 20︴ 5(v︴ )
27050 電子 蒐證 D
ectron︳ cdiscoVery
巨︳ 一η〃-ㄔ
◎ byTC︳ C
Modu︳ e2-鬥 S︳ ide﹁ 2
螂
觸
*︳
SMS/P︳ MS系 列標 準 近 況 一們
S0用 巨C
︳ DeSc山 p小 0n 下ype
cyber︳ nsurance
27﹁ 03 ation techno| ogy— —Secur:tytechniqueS— —
nfo「 ╮
︳ r︳
D
Cybersecurityand︳ Soand︳ ECStandards 20{ 8(v︴ )
27碎 00 tyandprivacy—
o下 Secu「 ︳
| Guide︳ ines D
—
2022(v︴ )
27550 vacyeng:neering
PΓ ︳ D
隱私 工 程 20{ 9(v{ )
*︳
SMS/P︳ MS系 列標 準 近 況 一﹁2 露覾 露
﹏
— —
SO川 EC
︳ DeScHp∥ on Type
延伸 ︳ SO2了 002的 隱私 管理 一要 求
S0用 EC2700可 及 | η&C-2
2770﹁
° 名翠
B一
委茁恿S异 ΞΣ %扜 料 帑 琵 而 點點早
嶔七混點諳 !! 20︴ 9(v︴ )
。
remen七
Requ︳ Sandguide︳ ines V2發 展 中
So2了 了0{
SO2了 552,於 20﹁ 9-0了 -︴ 9更 名 為 ︳
註 :原 為 ︳
27789 醫療 資訊 學一 電子 醫療 紀 錄 之 稽 核 軌跡 D
Hea︳ thinfor︳ natics— Audit trai| sfo「 e︳ ectronichea︳ th 202η lv2)
—
records
27了 99 SO月 EC27002實 作 資訊
醫療 資訊 學一 醫療產 業使 用︳ C-2
20︴ 6lv2)
袛 鳥罵準尼ticj一 ㏑forma小 0nSecu一 打management in
EC27002
hea比 huSing︳ SO/︳
S0月 巨C
︳ DeSc山 puon Stage
29η 00 eWOrk
P山 VacyfΓ arΥ ╮ A
㏕〣
松 們
隱私 權 框 架 20
η:20
◎ byTC︳ C
Modu︳ e2-︹ s︳ |
de﹁ 5
*︳
SMS/P︳ MS系 列標 準 近 況 一η
碎 ﹏
β娥.π
— —
S0月 巨C
︳ DeSc山 p∥ on Stage
2008(vη )
猝200﹁ A「 igence——︳
tific| a| inte| ︳ Ⅵanagemen七 System B-η
發展 中
◎ by下 C︳ C
Modu︳ e2-﹁ S︳ ide月 6
☆
︳SO刃 匡C之 700︴ :2022標 準 簡介
前 言 FonⅣ ard
銬教 塕銹 銘 狒 姦 鎊 鐪 銹 簭 彿 銹 篛 螂
Th︳ sdocumen七 WaSpreparedbyJoin七 Techn:ca| CoΠ ∥n:ttee
︳sor︳ EcJTc可 ,︳ nfor︳ mat:on下 echno︳ °gy,SubcommitteeSC27,
了o na市 on Secu︳ y,cyberSecuri七 yand
r︳ :七 ro七 ec甘 on.
公
Th:S七 h:了 ded:七 :oncance︳ SandreP︳ aces七 heSeconded:七 :on
sor︳ Ec2了 00{ :20{ 3比 wh︳ chhaSbeen七 echn︳ ca︳ ︳ yΓ eV:sed.鍵 俄盞
︴
(︳ 騷♁
箷 塕 竅 狒 奶缽跨師 犁 蓩 緆簽 昜 狒 筋多跆黔 牽 劬 姊
外
璀:露 鍛確碡撥跟趨 牽 $色 》
了盞紅e露 了娥嶺儸:露 毋像各了G@野 霞:窆 姾確愚
姼帥
騷Ⅱ邃.鑫 土傘t番 n確 髒▋舉m盆 H黭 ◢
毧m8玡 黈璃矲黂 麥傻砏一 僱溶鞃嘰睡ㄥ 盈順 序
◎ byTC| C Modu︳ e2一 ﹁s︳ ide﹁ 7
★︳
SO/︳ 巨C2700η :2022
管 理 系統 異動摘 要表
鐖簸 鐑劬 齺 躌難 繚鐖 外
η適用先田 Sc。 pe
a本標
準規定於組織全景內建立 、安作 、維持及持故
錛纖 鐒 出
改善資訊安全管理 系統之要求事項 。本標準亦包括
依純無 需要而裁道之安全風險評鑑及處理的要求事
蟧黤 螂
籤妳
茗 且
蛋琤菜
筆重垂
貫手夏
優姭舌
霯乎 嘻螶
盞疊每
簽
:盼
confoΓ rnityto th︳ s︳ nteΓ nat︳ ona︳ Standard.
螂
埡外
◎ by了 C︳ C
odu︳ e2-η
山︳ s| ide﹁ 9
°
部分。
田
洋哆霎
十 雷 屢 套 邊 雷 鞪 霒 是 (
鐒黫 鐪 外
oWingdocuments,inwho︳
The了 o| ︳ eor︳ nPaΓ t,arenorrnative| y
鈉簸妳
◎ 町 下C︳ C
Modu| e2-﹁ s︳ ide20
S0月 巨C2700﹁ :2022標 準 簡介
︳ 靂亂 靂颻
#
— —
齡籛齡玅 琚 鐫籛繚鐑 無
3用 語及定義 Termsandde∥ n比 ︳
onS
塕籛鋒
︳
*鐒
攤螂
For七 hePurpoSeSofthiSdocurnent,theter︳ nSand
籤無塕雞鐱螂臹啥妳擊籮錫笠舞鐫 蓻姦磯跡 古 劬妳
def︳ nit︳ onsg;ven︳ n︳ S0用 EC27000app︳ y.
鋒牪
◎ byTC︳ C Modu︳ e2一 可S| ide2可
★
再組織全 景 C° n七eㄦ °ftheorgan︳ zaHon
再▋
▋瞭解 組 錢 及 其 全 景 銹黮鋒谽 鑴 彿攤幼鑯 再
ˊ 組 織應 決定 與 其 目的有 關且 影 響達 成其 資訊 安 全 管理 系統預
鐒篾鐊 井
期 成 果 能 力之 外部 及 內部議題 。
了heorganizat︳ on sha︳ ︳deteΓ ╮︳
neexterna︳ andinterna︳
齡籛螂
rΥ
secuHtymanagement systern.
備考 :決 定比 等議題 ,係 指建 立於 〡
S● 田 000泛 0︴ 8之 碎.{ 中
揮筠籛蘀 銹 描器路卦泛 谽外
5一
所 考 量 的組 織 外部 及 內部 全 景 。
Deterrnining七 heSe:ssuesre了erSt。 estab︳ iShingthe
externa︳ andinterna︳ contextoftheorganization
consideredinC︳ ause$.碎 .作 o¥ |So3︴ 000:生 0確 8.
◇林
◎ by了 C︳ C 颱 ide22
Modu| e五。︴§︳
★
#組 全 原;C。 nte〤toftheorganiza七 :on
甜〔
2瞭 解 開注 方之 需要 及 期 望
鐒籬 錀姶 饑 鑰鸃 紛嫩 外
#■
鍋黮 鑰 一
a)與 資訊安全管理 系統有關之 關注各方 。
inteΓ estedpaΓ tiestha七 aΓ eΓ e︳ eyantto the︳ nforrΥ ╮
ation secu「 ︳
銻邏 螂
ty
╮anagement
籈年
rΥ
theSerequ子 rementsw︳ ︴
Wh子 ch0了 ︳beaddressed 七
hrouqhthe
n了OFrna七 iOnSecu「 i打
子 〡anaqernen七 SVS走 em.
r|
鍛擗
contractua︳ ob︳ igations.
◎” 下C︳ C
Modu︳ e2-﹁ s︳ ide23
β已 r
— —
#▋ 3決 定 資訊 安 全 管理 系統 之 我 固 銹籮銹谽 鎞 嫋難鎗錢 ︻
Deter︳ 了
●:n:ngthescoPeo了 the:nhrmat:on secuΓ :打
manage︳ 了
︳entSys七 em
ˊ 組 織應 決 定 資訊 安 全 管 理 系統之 邊 界及適咀玾
協黫錛 小
以建 立 其
範 圍 。於 決 定 比 範 圍時 ,組 織應 考 量下 列 事項 :
僯邏師
一
Theorganization sha︳ ︳deter【 ηinetheboundarieSand
皺︴
a)碎 .可 中所提及之外部及內告 r議 題 。
$籦
◎ byTC︳ C
Modu︳ e2η s“ de2ㄥ
★ heorgan︳ 2at:on
全 景;C° n七 e〤七°了七
再組甜已 腐 鑼 陷 齺 解
靂舐 鑋
#
佛纖 塕谽 鑼 銹簸 谽矲 妳
c)組 織 執 行 之 活 動 與 其 他 組 織執行 的 活 動 問之 攤 相 堡些 。
nte√ aceSanddependenciesbetweenac七 iV| t:eSPerfo「 ed
︳ r!╮
bytheorganiZat;on,andthosethatarepe㎡ orrnedbyothe「
organizations.
ˊ 範 圍應 以 文件 化 資 訊 提供 。
塕籛 縐 ㄊ
下heScopesha| |beavai︳ ab︳ easdocumentedinforrnation.
蠮籛 螂
鈚心
再一
再 資訊 安全 管理 系統
銹師
d° Cume外 之.
5領 牛作為 ∟eadersh︳ p 嫠豔 輝
﹏
— —
ˊ 最 高管理 階層 應 藉 由下 列事項 ,展 現 對 資訊 安 全 管 理 系統
之 領 導及 承 諾 :
方向相容 。
enSu山 ngth引 nfOrmajon secuH七 ypo︳ 比yandthe
:nfo「 majon secu山 tyoㄐ ecjvesareestab︳ ishedandare
comPat:b︳ eWi七 h七 heStΓategicdirection oftheorgan︳ zat︳ on;
b)確追珵址些′土邕舉繳釭難姓翱瞇銘u逸嘝浮珞壞過程 。
U
鋪 茄雀超好發 錼螂
錛纖 塕鋒 鑼 鑰黮繚鎩 外
c)確 保 資訊 安 全 管理 系統 五 需之 資源 可要 得 。
ensuringthattheΓ esouΓ ceSneededfoΓ theinfoΓ ︳
nat︳ on
SecuHtymanagernent systemareavai︳ ab︳ e;
d)傳 達有效 之 寬塾 安全隻 理 的重要 性 ,迷 及 符合覺 訊 安全管 理
鑈鑼 鐒 出
°
縐麜 螂
Secuhtymanagementando仇 onfo「 mingto theinfoΓ ╮aHOn r︳
兟無
Secu山 tymanagernent systemΓ equiΓ er了 ╮
entS;
q沝
r一
嬇妳
姼粹
C
◎ by孔 |
de27
Modu︳ e2一 鬥§∥
★
5領 爭作為 Leadersh:p π磁 π
﹏
— —
prorΥ ╮
otingcontinua︳ irnprovernent;and
呦讓 姊
領導權 。
鐪籛 鈐姊瞄♁蜥鞏羅 路釜確碎
‵
、‵ ˊ/
一
’
Referenceto‘ ‘ SdOcumen它 Canbe
bus° ness’ ;n在 氿︳
in在 eΓ pre推 d一 笠 V:t︳ eSthatare
oad︴ y︴ ●!η eanthoseac七 ︳
〔
鬱抔
C
◎ by孔 ︳
coreto thepurposesoftheo mani2at| on’ seXistence.
Modu︳ e2-﹁ s︳ de28
︳
5領 車作為 ∟eadersh︳ P
彿讓 鐫錯 鑼 佛雞谽饑 無
5■ 2政 策 P° lhy
最 高管理 階層應建 立 包含 下列 事 項 之 資訊 安全 政 策 :
tha七 :
鐖雞 縐
a)適 合 於 組 齰.之 目 的 。
isapp「 opriateto thepurposeoftheorgani2at︳ on;
#錐
齉螂
b)包 括 全 目標(參 照6口 2)或 提供設定資報安凎珥瑏之舜轉
籤然
inc︳ udes︳ nforrnaⅡ on secu山 tyoㄐ ec小 VeS(See6_ 2)or
幼帥
info「 ma小 onSecuHtyr!╮ anager| ╮entSystem.
◎ byTC︳ C Modu︳ e2-﹁ s“ de29
5領 車作為 ∟eadersh中
塕黤 娥妙 鑼 嬾難 鎗鸏 坊
資 訊 安 全 政 策應 符 合 下 列項 目 :
ψ 茲 文 件 化 資訊 提 供 。
聯蘿 鐪 ↑
rΥ
g) 適用時 ,提 供子關注方 。
銹簻 鐒碎插嶺堅鯬 鋒學錢轟 彿 拓舞路抑
鐑籬鐊鍛 磻 鐫籛谽離 小
5_ 3。 rgan︳ 2at︳ ona︳ ro︳ es,respons:b︳ ︳
︳t︳ eSandauthor:t︳ es
組 我 角 色 、職 責與權 限
鋨鸃鑰 出
織 內指 派並 傳達 。
眑雞螂
anage叩 e?tsha︳ ︳ensuΓ ethattheΓ esponsibi︳ it:eSand
下op rΥ ╮
籈小
autho一 ∥ esfor rO︳ eSre︳ eVant to| nfo「 maHOnsecu市 tyaΓ e
鏻簸瞈螂報玲妳鞏籮聲雙麟擁 航雀娌╭
assignedandcomrnunicatedW比 h:n︴ heorcaniza∥ on.
#盼
坤
谽師
◎ byTC︳ C Modu︳ e2-﹁ s︳ ide3鬥
★
5領 爭作為 Leadersh︳ p π我 β
﹏
— —
錛籩鑰艙 皭 鎀癈盼鏹
備 考 :最 高管 理 階層 亦可指 派報 告 組 織 內 資 訊 安 全 管 理 系統績
鑰籊缽
效 之 責任 及 權 限 。
皴︷
manceoftheinforrnat:on
author比 :eSfo「 reportin9perfo「
Secu山 tymanagement systeΓ nW比 hin theorgani2auon.
一
)╯
谽粹
◎ by下 C︳ C
Modu︳ e2一 ηS︳ ;de32
6規 |P︳ ann︳ ng
:蟄 靂允躩
﹏
— —
錛籛 鑰幼 鐋 銹黤鎊鑼 外
6_ ▅Ac七 :。 nStoaddΓ esSr:sksandopPo㏄ un:t:eS
ˊ
癹 篷簩乳騭蟻蓻髏雛鞶
籩壑魏:Whenp︳
鑰籲 銹 ︴
昲籧 妳
majon
達 成 下 列事項 anningfortheinfoΓ
籤︴
securi七 yr!╮ anagernent sys七 eΠ 孔theOΓ 9anizat︳ on sha| ︳
比 S︳ ntendedoutcorne(s);
鍛外
c)達 成持續改善 。 孔hieVecon} nual︳ rΥ ╮
p「 oVement.
◎ by下 C︳ C Modu︳ e2— s︳ ide33
6規 畫︳P| ann| ng
ˊ
d)因 應比等風險及機會之行動 。及
act:ons toaddress these「 isksandoppo㏄ un︳ ties;and
鋒黫 嫋 “
之中。
織︴
U
鈖林
—
69見 畫︳P︳ anning ︳
安俄口
安
— —
錢難鐖谽 鋪 鑰籛艙鐖 冬
6.η .2資 訊 安全風 險評鑑 ln下 oΓ rΥ ╮
ahon secu〢 tyhskasseSsrΥ╮
ent
ˊ 組 織應 定 義 及 應 用 資訊 安 全風 險 評 鑑 過程 於 下 列 事項 中 。
下heoΓ gani2ation sha︳ |de了 ineandapp︳ yan in了 oΓ ation r!╮
鐱籛鑰 ︴
a)建 立及維持包括下列準則之資訊安全風險準則 :
齡靉螂
shesandmainta︳ ns infoΓ maHonSecu︻
estab| ︳ tyHSkc山 teha
巍↑
that︳ nc︳ ude:
鈔帥
◎ 眄 下C︳ C
Modu︳ e2-︴ s︳ ide35
c) 識別資訊安全風險 :心 enHⅡ es七 he︳ nfo「 ma小 onSecu山 tyHsks: 銹雞鍋谽 齺 銵籛谽鐖 ︴
可)應 用資訊安全風險評鑑過程 ,以 識別資訊安全 管理 系統範
圍內與喪失資訊之機密性 、完整性及可用性相 關聯的風險
及 app︳ ytheinfoΓ ma也 0nSecu︻ ty“ SkaSsessrΥ ╮ ent
process to identi印 risksassoc︳ atedwiththe︳ oSsof
鐒籛搦 ︹
Systern;and
鑰鑫銹︴玫餵 拶羅幾錶籍妒
◎ by下 C︳ C
Modu︳ e2… 鬥S∥ de36
6規 劃 P| anning 嬤
齡難塕鎖 鑴 塕籛錼鎞 女
2)評 鑑6.η .2(c)(可 )中 所識別之風險發生的實際可能性 。及
Stic︳ ike| ihoodoftheoccuΓ renceo了 the
aSSeSS七 herea︳ |
r心 kS︳ den七 ifiedin6.﹁ .2c){ );and
3)塑 定風險等級 de七errninethelevels ofHsK
銹攤銹 再
評估資訊安全風險 。
鏘籮舯
e〉
鈚小
)以 6.{ .2仁 )中 所建立之風險準則 ,比 較風險分析結果 。及
︴
銹簸鐱螂箕鑑 瞿碑
compaΓ etheresu︳ ts ofr︳ Skana︳ ys︳ swith七 heΓ iSkc「 ︳
teria
_
2a);and
estab︳ ishedin6.{
2)訂 定 已分析風險之風險處理優先序 。
舉帑窪委錛 航螢理一妥 餩螂
pri0Γ itizetheana︳ ysedΓ iSkS了or riSk trea七 rΥ ╮
ent.
ˊ 組織應保存關於資訊安全風墮藍鑑過程至主生生直塾 。
Theorgan:zation sha| ︳retaindocurnentedin了 0rmationabout
鎀擗
the︳ nformajon secu“ ty“ skassessment pΓ ocess.
◎ by下 C︳ C Modu︳ e2-︴ s︳ de37
︳
6規 劃 P︳ anning 穿籈 靂
…
— —
ˊ 組 織應 定 義 並應 用 資訊 安 全風 險 處 理 過 程 ,以 達 成 下 列事項 :
ent proceSSto:
secu︻ tyHsk treatrΥ ╮
a)考 量風險評鑑結果 ,選 擇適切之 資訊安全風險處理選項 δ
狒羻 碑
‘
措施 。
de七 errΥ ╮ hat are necessa╮ ◤七
ine a︳ |contrO︳ s 七 o irnp| ernent
the:nfo「 ma小 nSecuHty山 Sk treatment op甘 on(S)chosen;
。
U 備 考 仁 組 織 可依 要 求 設 計 控 制措 施 ,或 由任 何 來源識 別 之 。
oΓ gan;zat:onscandeSigncontro︳ Sasrequ:red,or
idenj印 thernf「 omanysource.
谽妳
◎ bytC︳ C de38
Modu︳ e2︺ ︴S︳ ︳
*6先 瓩畫
︳P︳ anning 好舐溶亂
— — —
鐑黤塕錄 鑴 鐖難繚鑨 公
c)比 較 上述 6.η 口
未忽略必要的控制措施 。
corΥ ╮
parethecontΓ o︳ sdeterrninedin6.η .3b)abovewiththoSe
一
inAnneXAandve山 打 thatno necessarycontro︳ shaVebeen
╮itted;
orΥ
鑰簼嫋 ‵
備 考 2.附 錄 A色 括 可 能 之 蒼 訊 全控 制措 施 清 單 。本 標 準之 使 用
密
著 參 照附錄 A,以 確保 未 忽略 必 要 的資訊 安全控 制措 施 。
齺雞螂
鉞外錢羷繃郎紮娣 學撥帶憲舞 燐 鯨葦撥許 選盼蟀
Users o了 之
c。 n七 ro| S. h;SdOcumen七 ared︳ rectedtoAnnex
A之°enSuΓ e七 hatno necesSaⅣ ;nfor了 Ⅵat〡 °nsecur:走 V
contro︳ sareover︳ Ooked
3.附 中 訊 全 施 並
需要 色括 額 外 的 資訊 安 全 控 制措 施 。
0nSecu
下he子 n了Or了 Ⅵa七 | Sted︳ nAnnexAarenot
contFo︳ s| ︳
eXhaust︳ veandadd;t︳ Ona| :n拓 rr了 ︳
atiO↑ .ecuritycontrO| s
canbeinc!uded︳ fneeded.
鋒外
◎ by下 C| C
Modu︳ e2-可 S︳ ;de39
★
6規 劃 ann| ng
︳ ﹊
r已ㄏ
。 — —
)產 生適用性聲明 ,包 含以下各項 翰驤 縐鎀 鐖 鋊灘 盼鑱 ﹁
鉀
:
納 入 之衡 量 理 由 。
昲巍 鍋 ︴
是否實作 必要之控制措施 。及
銀出
and
排 除 任 何 附錄 A控 措 施 之衡 量理 由
heAnnexA
thejusti乎 cat︳ onforeXc︳ ud:nganyo了 七
contro︳ S﹏
e)制 訂資訊安全風險處理計畫 。及 )
fo「 r【 ╮
u| atean infoΓ ma小 OnSecur︳ ty〢 sktΓ eatment p︳ an;and
艙抃
◎ byTC︳ C
;de玲 0
Modu| e2-︴ §︳
6 見畫︳P︳ anning 鐉胝麤
竹
— —
鐫難 鐖鈔 嬏 拂羻 鍛鎞 無
f) 取得風險擁有者對資訊安全風險處理計畫之核 准 ,以 及對剩
餘 資訊安全風險的接受 。
a甘 onSecu山 ty市 Sk
obtain“ skOwne「 甘 aPprova| oftheinforr了 ╮
七 ent p︳ anandacceptanceof七 hereSidua︳ ;nfor子 nation
rea七 ╮
rΥ
鐖籛 觴 、
Secu山 ty︻ sks.
銬羻 螂
ˊ 組 織 應 保 存 關於 資訊 安 全 風 險 處 理 過程 之 文 件 化 資訊 θ
鈜︴
下heorganization sha︳ ︳retaindocurnen七 ed︳ nfoΓ ╮
ationabou七
銹黮 銹姆鎡玲姊鞏蘿琌錢華塕 插華協跡 一 盼螂
rΥ
備 考 碎:本 標 準 中之 資訊 安 全風 險評鑑 及 處 理 過程 與 ︳
S○ 3︴ 000
內 ,提 供 的原 則 及 通 用指 導綱 要調和 。
TheinformajonSecuHtyHskaSsessmentandtreatrnent
proceSs︳ n七 h:Sd。 cuη e↑ ︴a| ignsw比 hthep山 nc︳ p︳ esand
genericgu︳ de| ineSpΓ oVidedin︳ SO3η 000:
鉹帥
◎ by下 C︳ C ModuIe2-︴ s︳ ︳
deㄥ {
★
6規 畫︳P︳ anning
㎝與㎝山
打 鋪籛鐒谽 磷 蟧攤谽鵝 ︷
γ ︳
紫驟
ˊ 組 織應 於 各相 關部 門及 層 級 建 立 資訊 安 全 目標 。
下heorgan| zaHOnsha︳ ︳estab︳ ishinfoΓ ma小 onSecu“ ty
搦塊鐋鋊 雞竅 ︴
ˊ 資訊 安全 目標應滿足下列事項 :
鐪籛銹毯塵 豫 鋒鞋籦學縐插舉路才
tΓ eatrnent;
鬱擗
由 受 監 視 。 bem㏄ | 拓 re心 ;
瞈黤鑰幼 鑼 錛議谽鑩 妳
生於適當時 ,更 新之 σbeupdatedaSappΓ oP“ ate.
q)以 文 作 化 蓄 訊 提 beaVai︳ ab︳ easdocUrnented
︳
nforξ Ⅵation
鑰飄鍋 功
ˊ組 織 應保存 關於 資訊 安全 目標 之文 件 化 資訊 .
鐒議輕
下heorganization sha︳ ︳retaindocurnentedinforrnation on the
infoΓ rnauon secuh七 yoㄐ ecuves.
艕帥
◎ byTC︳ C
Modu| e2-↑ s︳ ︳
de冷 3
★
依 6規 劃P㏑ nning r
r也口
—
— —
6.3︴ 麰必巨珒 報〔
§掛 P| anning.fchan色 9$ 鐒籛銹鎀 鎞 鐒攤妙鑼 ︴
一
◎ by下C︳ C
Modu︳ e2-﹁ s∥ de4ㄥ
7支 援 Support
獼籛鎀谽 孋 錀雖 舒鑼 〝
套 躄主實在建 立 、實作 、維持 及 持 續 改 善 資訊 安全 管
理 系統所 需之 資源 。
銹黮 鑰
下heorgani2ation sha︳ ︳ deterrnineandprovidethe
reSOurcesneeded了 o「 theeStab︳ iShment,| ╮ p| emen︳ a七 ion,
*鐒
rΥ
黫螂
ma︳ n七 enanceandcontinua︳ ╮proVer!╮ ent of七 he:nforrnat︳ on
籤本
irΥ
7_ 2貼女 C。 ︳了︳Petence
ˊ 組 織 應 採 取 下 列措 施
TheOΓ gan︳ zation sha| ︳ :
鎊外
infoΓ mauon secu山 type市orr!╮ ance;
◎ by下 C︳ C ideㄥ 5
Modu︳ e2-鬥 §︳
了 支援 Support
theactions taken;and
敘︴
d)保 姆 文 訊 ,作 之 證 功 豪。Γetain
縐騹 鐪抪監餵 鞏確 幾簽確辦
asSignrΥ ╮
ent ofcurrenternp|oyees;ortheh︳ ringo「
鈖粹
佛黤鐖鐒 齺 錛籩谽鑯 兮
了■
聊 a冷 neSS
ˊ 於 組 織 控 管下 ,執 行 工 作 之 人 員應 認 知 下 列事項 :
鐒龘鑰
a)資 訊安全政策 。
h鐒
黫螂
ajon
theinforrΥ ╮ secu山 typo︳ ︳
cy;
籤外
b)其 對資訊安全管理 系統有效性之 貢獻 ,包 括 改善的資訊安全
鍛外
◎ by下 C︳ C
Modu︳ e2一 ηs︳ ide47
★
了支援 Support …
′出∵
〃
— —
ˊ組 織應 決 定 ,相 關於 資訊 安 全 管 理 系統 之 內部 及 外部 溝 通 或
傳 達 的 需要 ,包 括 下 列事 項 。
蠮黫蠮 小
◎ by下 C︳ C
:de碎 8
Modu| e2-鬥 §︳
7支 援 S叩 port
5文 件化 資訊 D。 cumented:n㏑ rmaⅢ on
狒黤 鐖鈔 鑼 拂羷 谽饑 外
| 了█
╮
7.5.{ 一 般 要 求 Genera︳
ˊ 組 織 之 資訊 安 全 管理 系統應 包括 下 列 內容 :
錀攤 鋒
sha| ︳;nc︳ ude:
a)本 標準要求之文件化 資訊 。及
#銻
黦螂
docurnentedinfoΓ ma小 0n「 equiredby七 h︳ Sdocurne↑ | ;and
銹外
◎ by下C︳ C Modu︳ e2-可 S︳ ideㄥ 9
7支 援 Su眒 Ort
備 考 :各 組 織 之 資訊 安 全 管 理 系 統 文 件 化 資訊 內容 ,可 能 因下 列 彿黮 彿銹 鑼 銹雞 鎀鑼 的
因素 而 異 :
Stypeofactiv比 ieS,
thes| 2eoforganizationand︳ 七
颻‵
processes,productSandSerVices;
鐋簸 銹姆欺鎖 鞏颱 機鍰鋒卹
21各 過程及其互動之複雜度 。及
onS;and
hecomp| eXityo了 procesSeSandthe:r:nterac七 ︳
七
3)人 員之能力 。
hecomPetenceofPersons.
七
U
彿 插移修跡 多 鐒奶
谽擗
翰讖鑰鍛 鑼 鐖黤鋒鑼 外
{┐.5.2制 定 及 更 胡子CΓ eatin9andupdating
ˊ於 制 訂 及 更新 文 件 化 資訊 時 ,組 織應確 保 適 切 之 下 列項 目 :
鑰黮鋒 ︴
a)識 別及描述 (例 :標 題 、日期 、作者或參引號碼 )
佛簸卿
identificationanddescΓ iPt︳ on(e.g.at:t︳ e,date,author,oΓ
籤小
Γe了eΓ encenurn比 );
「
鉿帥
◎ 盯 下C︳ C
Modu︳ e2-︴ s︳ ide5︻
7支 援 Support β我 π
-
— —
ˊ應控 制 資訊 安 全 管理 系統 及 本標 準要 求 之文 件 化 資訊 ,以 確 保
下 列事項 :
contro︳ ︳
a)其 於 需要處及 需要時為可用及適用 。及
皴玄
|
鏕黫鎀師薿齵 輩羅苓霾薄銹 林舞路趶才 盼的
impropeΓ uSe,oΓ ︳
oss ofintegHty).
艙抔
◎ by下C︳ C
Modu︳ e2一 ηS︳ ide52
7支 援 Support 漆 蹤 既 齺 鱍
靂允留
虋
竹
ˊ為 控 制 文 件 化 資訊 ,組 織 應 於 適 用 時 ,闡 明下 列 活 動 。
鎀羻 塕銓 鑼 翁雞 谽鐖 外
ForthecontrO︳ ofdocurΥ ╮ entedinforrΥ ╮
ation,theorganization
sha| ︳add「 eSsthefO︳ |
OWingact︳ vitieS,asapp︳ icab| e:
c)派 送 、存取 、 檢索及使用 。
anduSe;
distribution,access,retrieva︳
鑰籛 錐 才
d)儲 存及保存 ,包 括可讀性之保存 。及
storageandpΓeservat︳ on,inc︳ udingthepreseⅣ ation
璘籩 螂
o了
籤小
eglb︳ ︳
| ity;
f)留 存及屆期處置 。
reten七 ionanddispOSit| on.
銵附
◎ by了 C︳ C Modu︳ e2一 ﹁s︳ ide53
7支 援 Support β瓶◤
釐
﹏
— —
ˊ於 適 當 時 ,應 識 別 及 控 制 由組 織所 決 定 對 資訊 安 全 管 理 系綿 之 銹籛 銹幼 齺 彿黮 盼鐊
規 劃 及 運作 為 必 要 之 外部 來 源 的 文 件 化 資訊 。
at:on ofeXterna︳ OΓ igin,dete「 rn︳ nedbythe
DocumentedinforrΥ ╮
organ︳ zation tobenecessaryforthep︳ anningand0peration
h銹
備 考 :存 取 可 能 意味 關於 文件 化 資訊 僅 可檢 視 之 許 可 、或檢 視 及
鐒騹銹師欺黐 罕罷 學轟轟 鑰 航華跨抖 發 鐒師
變 更 文件 化 資訊 的許 可 及 權 r艮 等 之 決 策 。
AcceSScan:rΥ ╮
P︳
yadecision regardingtheperrn︳ ssion to
v:ewthedocumentedinfOΓ ╮ at:on on| y,orthePerrn︳ ss:on
rΥ
andau七 horitytoV:eWandchangethedocumented
in了 Or【η ation,etc.
‵
‵
、‵
_′
′
_;)
劬妳
—
★
8王達:作 0perat︳ on
靂薽 餫
— — —
翰雞銹谽 鑼 佛黮 銬嬓 ︴
8.可 運作 之規 刲 及 控制 Pe「 at:ona︳ P︳ ann:ngandcon七 ro︳
。
ˊ組 織應 規 劃 、實作 及 控 制符合 要 求事項所 需之 過程 ,並 藉 由
下 列 方 式 ,嘗 作 第 6節 中所 決 定 的行 動 :下 heo gan︳ 2ation
「
p︳ an,irnp︳ ernentandcontΓ o︳ theprocessesneededto
鑰飄 鑼 〦
sha| ︳
meetΓ equ:remen走 S ,and七 o︳ ement theactionsdeter了 n︳ ned
︴
鐑邏 螂
inC︳ ause6 by
籤伓
◆ 建 立 流 程 之 準則 。
︳m
ernent〡
︳ contro| o了 士he cesseS︳ naccoFdance
WiththecΓ 〡 teΓ ia
ˊ應保 存 應 提供 文 件 化 資 訊 ,其 程 度 須 具 足 以 達 成 其 過 程 已依
規 劃執行 之 信 心 。
r子
Docurnented︳ nforr︳ ╮ ab︳ eto theextent
a七 ionSha| ;beava〡 ︳
鈖螂
necessa呼 tohaVeconfidencethatthepΓ ocesseshaVebeen
艕粹
◎by下 C︳ Ccarr︳ edou七 aSp︳ anned_
Modu︳ e2-﹁ de55
︳
s︳
★
8三覂:作 0p.Tation 中
′色 β
— —
ˊ組 織應 控 制所 規 劃 之 變 更 ,並 審 查 非預 期 變 更 的後 果 ,必 要 鑰籛 銹鬱 鑗 鍋鑼姾鏺 一
時採 取 行 動 以 減輕任 何 負 面效 果 。
Theorganizat︳ on sha︳ ︳contro︳ P︳ annedchangesandrevieW
theconsequencesofunintendedchanges,takingaction to
itigateanyadveΓ See什ectS,asnecessa呼 .
嫋籛 銹 ︴
Ⅳ╮
銹籛 妳
產 品 或服務 受控制 。
銹籦鐒坤文錣 竿攝 學盎縪卹
)
碎 !φ
妙好
◎ byTC︳ C
M。 du︳ e五 rη S︳ de66
︳
8二 運:作 0peration
鐑籛塕谽 鑗 銹籛 谽鐖 烋
8_ 2資 訊 安全風忒 跟
h「 maHon secur︳ 打 “skassesSment
㏑︳
ˊ 組織應依規劃之期間 ,或 當提議或發生重大變更時 ,考 量
6.︴ .2(a)所 建立之準則 ,執 行資訊安全風險評鑑 。
鑰驤 鋒 ︴
n了oΓ ma小 onSecu一 tyHsk
下heorgan︳ zaⅡ on sha| ︳perforrΥ╮︳
齺黦 螂
asseSSrnentsatp︳ anned:nte叩 a︳ Sorwhen signi了 icant
籤妳
changesareproposedor occur,takingaccount ofthe
ˊ 組 織應 保存 資 訊 安 全風 險評鑑 結 果 之 文 件 化 資訊 。
Theorganizat︳ on sha︳ ︳reta:ndocur︳ ╮ entedinforrnat︳ on of七 he
eSu比 So了 theinfoΓ rnaⅡ on secu山 ty〢 skassessmen七 S.
「
鈔帥
◎ by下 C︳ C Modu︳ e2… 可S︳ ide57
8三運:作 0peration
8.3資 訊 安 全 風 險 處 理 ln竹 了
︳aj° nSecUH打
r︳ Hsk trea七 men七 銹籬 銹紛 鑼 鋒籮鐒鑼 、
ˊ 組 織應 實 作 資 訊 安 全風 險處 理 計 畫 。
Theo「 ganiZaUon sha︳ ︳imp| er︳ ┐
en七 theinf0rmajon secu山 ty
齡黫 鐑 外
r:sk treatrΥ ╮
ent p︳ an.
鐫籦換
ˊ 組 織應 保存 資訊 安 全風 險 處 理 結 果 之 文件化 資訊 。
巍︴
●
♁擗
— —
可監督 ,量 測,分 析及 評估
ˋ
坲籬 燐鍛 鑗 鑰靆 繚鐖 公
9█
︷—
eaSurement,ana︳ ys︳ sandeVa︳ uat︳ on
,
Ⅲon︳ 七
o「 :ng,︳ 了
︳
ˊ組 織應 決定下 列事項
下heorganization sha︳ ︳
dete「 r!╮ ︳
ne:
錛簸 銹 水
a)需 要監督及量測之事項 ,包 括資訊安全過程及控制措施
onito「 edand︳ ηeasured,inc︳ uding
Whatneeds tober︳ ╮
齡籛 螂
infoΓ mauon
secu山 typroceSsesandcontro︳ s;
籤妳
b)監 督 、量測 、分析及評估之適用方法 ,以 確保有效的結果 。所
鍛粹
◎ byTC︳ C
Modu︳ e2-︴ s︳ ide59
★
9績 on
效 評 估 P針 竹 rmanceeva︳ ua七 ︳ β戤 ′
﹏
— —
c)應 執行監督及量測之時間 。 鑰黮 鍋谽 鋪 齡灘 谽鑱 出
whenthe︳ ηonitoringand︳ neasuΓ ︳ngsha︳ ︳bepe吋oΓ rⅥ ed;
d)應 執行監督及量測之人 員
WhoSha︳ ︳ on︳ toΓ andr了 ╮
r:╮ eaSure;
e)監 督及量測結果應分析及評估之時間 。
鐒黤 鍋 小
f)分 析及評估上述結果之人員
皴Ⅵ
ˊ 應 提 供 文 件 化 資訊 ,作 為 結 果 之證 據 。
ab︳ eaSevidenceof
DOcumented︳ nfor【 ηat︳ onSha| ︳beaVa︳ |
theresu︳ ts.
ˊ組 織 慮 評 估 資訊 安 全 績效 及 訊 安全 管理 系統 之 有效 . l生 。
manaqement SysterΥ ╮
.
◎ byTC︳ C
Modu︳ e2_ ηs︳ :de60
★
9績 效 評 估 PeΓ formanceeva︳ ua七 ︳n 籚氖钁
十
。 — —
K催
鐑鼛 鐑鍛 嬏 狒邏 鎗鑯 外
9■ 2內 部才普核 ︳
Π七erna︳ aud:t
黲t靈 【{ 俄 爸俄e維 垂
一 般 要 求
ˊ 組 織應 依 規 劃 之 期 間實 施 內部稽核 ,以 提供 資訊 安全 管理 系
統 的下 列資訊 。
鑰蘿 鏺 ︴
下heorganizat︳ on sha︳ ︳conduc七 interna| auditsa七 p︳ anned
nterva| s七 o proVide︳ nforrnat:on onwhetheΓ the︳ nforrna七 iOn
︳
拂籩 螂
銳〝
灌 :羲
2班≦工亙苤壹望比全求事 珿 :冒
b)是 否有效實作及維持 。
entedandrna︳ ntained.
:Se帝 bct:Ve︳ yimp| er了 ╮
刉 鍛粹
◎ by下C︳ C Modu︳ e
(
★ on
9綠;交史評估 Pe汗ormanceeva︳ ua七 ︳ ﹏
蛋籈 靂
— —
$▋ 健 踐 m牡 er出 缺|
︳ a以 d比 ro 路 mme γ
多丌呀牽
缸 銵雞 螉盼 蠩 鏘攤 ♁鑯 打
一
組 織 應採 取 下 為
了比eorg an| Za報 0nS乩 | anjestab| :Sh,| 了
a︳ p| np| e路 en七 andt╮ a;n七 a︳ η
anaud:tp roaramme(s).| nc︳ ud︳ ngthefrequency,rnethods,
鐒黤 銵 兮
ties,p︳ ann︳ ng
reSponS︳ bi︳ ︳ requirements and Γ
epoΓ ting.
組 織 應 規 劃 、建 立 、實作 及 維持 稽核 計 畫 ,包 括 、頻 率 、方法 、
鑰黫 轉
責任 、規 劃要求事項 及 報 告 。
蝕出銹籦 鐒轉欺齵 肇鑼 學鑑霹 鏺 缽器路熬 發 琇碎
—
★
9績 效 評 估 Pe{ ormanceeva︳ ua山 on β甂躍
︴
— —
鐑攤姆妢 孋 塕難銓鑼 外
組 織應 採 取 下 列作 為 :
〡
/
a)定 義各稽核之稽核準則及稽核範圍 。
助璧
菴箈接
遺夎造片 菃 著琨鷁齰鏟堆雛及 公
革性
錛鏨鑰 ︴
sandconductaud| tSthatensuΓ eo
Se| ectaudito「
鐒錘姊
andtheimpartia︳ ityoftheaudit proceSs;
籤外
c)確 保稽核之結果對相關管理階層報告 。
6匕
D0cumen走edi |beaVai| ab| easevidence0了 the
at:on sh盆 |
irnp| ementat:Onoftheaud︳ t pΓ oqΓ arΥ ︳
!Ⅵ e(s)andtheaudit
reSu| ts.
劬附
◎ by下 C| C
Modu︳ e2一 ︴S︳ ide63
★ 一
9| 嘖安史評 估 Performanceeva︳ ua市 on
鑈篳銹谽 鑴 鱍黮妙鐖 Ⅵ
9■ 3管 理審查 Ⅲanagement rev︳ ew
9.3▋ 鬥
一般 Genem|
ˊ 最 高管 理 階層應 於
統 ,以 確 保 其持 續
鰳黫鐋 本
下op rnanager︳ ╮
ent
secuHtyrnanagernent systematp︳ annedinteⅣ a︳ s toensure
躌黫郎
︳
管理審查應 包括對下列事項之考 量 : 旞
ThernanagementΓ ev| ewSha︳ ︳︳
nc︳ udecons︳ deration of:
a)過 往管理審查之議案的處理狀態 。
╮anagernent reviews;
thestatuso了 actionsfrorn pΓ ev︳ ousrΥ
彿 插簽玲趶主 谽坤
量9︴ 易 安賁 u岩 妾孑 參
;
華 彥
鎀帥
♀ 9珍
輩 ;︳
◎ byTC︳ C
「 Modu︳ e2-鬥 S山 de6ㄥ
★
9績 交史評 估 Performanceeva︳ ua七 :° n 蠐 坤
靂珮 靂
銵難 鑮鋒 鑼 攤籛 繚鎞 外
鑰簼 鑈 ︴
心〉資訊安全績效之回饋,包 括下列之趨勢
a小 onSecuHtyper下 ormance,
feedback ontheinfoΓ ︳
鐒簸 螂
rΥ
鈜無
︴)不 符合項 目及矯正措施 。
3)步 港 °
:嬲 多昇
三 ::} :一 :urernent resu︳
ts;
谽師
◎ 盯 TC︳ C Modu︳ e2-鬥 S︳ ide65
★
9績 ua七 ︳n
效 評 估 Performanceeva︳ 靂鑯F彈
﹏
。 — —
關注方之回饋 。
銹鸃 鏺鎀 蠩 鋒籮 紛攏 ︴
e〉
g〉 持續改善之機會 。
銹籛 鐊 外
,以 及 任
V:eW掩 $田 推
何
$管
鈚求
鮡 嵌m級 盤 ♁路 ¢破
峚
路
盤 Λ
9︳ 番
隻
理 齉 螢 結 果
一
尋 且 塱 些
銹籩 銹碎蟻鬱堅鯬 罐擺塞霹鋪 筋翁玲掛 在 紛妳
雪
霅曇荃
盞 窖 垂 霋 昜 畫 黌 妻 謈 肇 變 更 之 需要 。
}
ude
ts ofthe management reView sha︳
The resu︳ |inc︳
decisions re︳ ated to cont:nua︳ :rnprovement opportun| eS t|
ˊ 應 具備 文件 化 資訊 ,以 作 為 管 理 審 查 結 果 之 證 據 。
ented︳ nfor了 nati。 nsha︳ ︳beaVai︳ ab︳ easevidenceof
DocurΥ ︳
妙抔
皒纖 鐫鍛 礔 鍋籛縩饑 好
ˊ 組織應持續 改善資訊安全管理 系統之合 宜性 、適切性及 有效性
Theorgani2ationSha︳ |continua︳ |
yimp「 ovethesuitabi︳ ity,
adequacyande帝 ectiVeneSSofthe︳ nforr了 ╮ation security
managernent systern.
鋪難 錀 ︴
鐒籦 師
籤本錢籛 鑰郎欺鎖 鞏罨 擺篴轟媯 鎡器由并 移 盼郎
谽外
◎ by下 C︳ C
Ⅳlodu︳ e2-﹁ s︳ de67
︳
★
們 改善 !叩 pΓ ovement
Γ ︳ r了 icab︳ e:
↙π
)採 取行動以控制並矯正之 。
斂︴錛籛鑈郎光報 鞏∞
o| andcorrect︳ t;and
takeaction tocon七 Γ
泛 )處 理其後果 。
dea︳ withtheconSequences;
瑙舉娃霹 縐 拓學玲野甚 鈔外
使 其不 再發 生 發生 :
◎ by下C︳ C
|
Ⅵodu︳ e2-︴ S∥ de68
﹁0改 善 |
mproVement 聯
靂珮 靂
竹
錫籛 銹鍛 餾 塕籛 幼鎞 兮
︴
)審 查不符合事項 。
eview| ng七 henonconfoΓ mity;
「
2)決 定不符合事碩之原 因 。及
deteΓ m︳ ningthecauSeSo了 thenoncon了 0rmity;and
3)判 定是否有類似之不符合事項存在 ,或 可能發生 。
銹黮 銹 ≒
de七 errΥ ╮
︳ i| :t︳ eSeXist,oΓ cou︳ d
ningifsirΥ ╮ar nonconforrΥ ╮
yoccur;
娣羻 螂
potentia︳ ︳
c)實 作所有所需行動 。
劬帥
◎ byTC︳ C Modu︳ e2— S︳ ide69
︴0改 善 ︳
mp「 o比 men七
system,ifnecessary.
ˊ 矯 正 措 施 應 切 合 所 遇 到 之 不 符 合 項 目之 影 響 。
Veactions sha︳ ︳beappropriateto thee斤 ectSofthe
CoΓ rec七 ︳
鐊黫 筠 谷
ˊ 應 具備 文件化 資訊 ,以 作為下列事項之證據 。
籤︴鎀黫銹豍磁強笈鯬 摧學鑑轟 鑼 筋務冷帥 君 鐪師
ab︳ easevidenceof:
Documentedinforrnat︳ Onsha| |beaVa︳ ︳
f)不 符合項 目之本質及後續採取的所有行動 。
thenatuΓ eofthenonconforrnit︳ esandanysubsequentact︳ ons
taken,
g)所 有矯正措施之結果 。
hereSu| ts0了 anycorrect:veaction.
七
妙帥
鐊攤鑰谽 鑼 鱗雞鍛鐖 外
ln竹 rma山 onSecu∥ ︺ contro︳ sre竹 rence
ˊ表A.{ 所 列之各項資訊安全控制措施 ,及 直接取 自︳ S0川 巨C
2。 ●φΞ:202Σ 第5節 至第8節 ,並 與之調和 ,且 於內文 中啦
下he㏑ 竹 rmauon secuHtyeontΓ o心 ︳
心ted㏑ 下ab陷
二遵垼且′
錀鑈銹 ︴
A.η arediΓ ect︳ yderiVedfrorΥ ╮anda︳ ignedWiththose︳ iStedin
So/l巨 C27002:2022,C| auses5to8andaretobeusedin
鐒蘱跡
︳
contextw︳ thC| ause6.η .3
r
β娥口
— —
銹雥縐鎀 皭 鏺鼛谽鑰 ︴
Anyquest︳ Ons?
鐒籛瞈 小
螉籩撫
皴“鐑龘鎀師覽餵 犖熊學鍛鑼鰼
Thankyou Ⅲ erc︳
嫋 舖發餵◤
●
碎
觔擗 #鉿
◎ byTC︳ C
Modu︳ e2-η S︳
jde72
腐齺彬豳留 #
靂弛¥
聲
坳簸綹鎀 鑼 蹻籛鏺齺 外
∩
MOdu︳ e-2-2
鐖繳鍇 〦
協黫榔
兟心
SO2700η 月SO27002標 準
:谽
坤
幼師
◎ 下C︳ C Modu︳ e2ㄐ 2S︳ :de{
)
泊
膬鈔 豫習鈔砂確黤鑼 芔 邂 齵赯 麤 -
縐黰 鑱紛 鑼 鎞皺 鬱鐖 心
T再 j竹 ▲在-hJo∥ 嘸在o且 蝴 茁#心淑 U虫
︼出 Ⅱ1ㄥ 笛at血 toⅡ 打o1♂
鯽一
。
|
瑟.S(〦 城 斑 ε赫 血 拓 扭 Ht而 且瑯 虹 呼
〦 S瑟 Π路 m出 珀ㄗ
ε C● n竹 研
β6姓 必守 站 必 扭 d路 印 J出 路曲 比 σ●
硹 §.追 兮瓶 ed卸 站 出 ㄍ 館ed餌 ∞無 1略 站 出 eo噁m
鐒籩 鑰 八
故 必琳 岫 胡
︳ 澀 際 蠟 駱 黯 蹓 鑑 麮 翠 女
觝帝
︳
鞏 垚 t鈾 赫 甜 鏹 蟲 赫 必 mⅡ 竹 路 ∞ 妳 瓶 描 e琍 女 m出 “ 無 馬
塕籩 協妳鐑齵 擊簼 路鍛器辦
它●出Ⅱ硪嬭 P§ 蟲 遜
﹏ i嘸 站 各班 Pp
岫 襁 卹 岫 艸 岫 螂 猷
︳
蟲 蟲 鎞 鼷 騩 灩
︴
的。、料
出 旅 館 醜 階 站
=π
田 軘 你蟲 m甜 啦 好嗨 岫 硹 路 ”臨 甘m6好 螂 ㄉ u。 舳 師
︳
蟲 鈕
mn
朏抾必
卸蝴蟲越
出.§ !ε 臨
一◆˙︴‥N◆
te站故舯奶心鈕°JⅥ 站 π且
路g輕無心
三.5p ε●曲 玉
。
曲 噁 叫 mq財 出 齦 ↓θd兮 哖 加醉
銹 磁器琀跡 訂 妙瑯
併 的拓 師 ㏕ 出 竹 蜜如㎡ 扭 斑 如 嶭 寫 躪 胡
U
u坤
而qi祈 曲Πd. 。
、一 >〞 ︻坤﹌ ◆
「
ㄥ.S〔 二
σ
路.斑 i 比 瓶 在 好 “ 母站
鄰 岫
ha站
廢蟲 驟 鑑 饑 镽 澀 钀 鋒驟 每器 詊
紛帥
︼︷
Source:︳ So
!—
—————
◎ 了C︳ C
de2
Modu︳ e2-2s︳ |
扎戩♁ 毚習♁♁躄:畟 $壁 躄蓶
襄導 餒籤 麗
— — —
INTERNAT工 ONAL 工
SO↙ E仁 翰
$取 NDARD 2了 6● 穵
幾
蟒
◇
︳ ⅡC坌 7002:坌 0坌 2
SO一 | 一
舌
nfO「 子
ηat° on secur文 y′ cyberSecur〡 tyandpr〡 vacyprotect〡 on——
古
∩fo「 〡
Ⅵat〡 OnSecurityco∩ trO︳ S
ed靶 抬王°nof王 SO/工 EC29° 02:2022㏑ corporat必 the如 ︳1O#㏑ gcor比 Ct㏑ nS:
ThlSε orr爸 ε七
Abstrac 一 non-比 nct:oni牲 竹 pe油 nks︳ hr↑ ugho社 t由 edocumenthavebe研 re9七 °redj
a} w︴ eC° nj
th$︴ 出
助 的了;” p廷 men苗 〔
巧“︴
{°了
ma● °n令 兮◆ y皊 ¢ g付 符dbeS〔 p路 #C心 $
§b° S的 °站 n竹 坤爸“en宙 竹
u﹏ Vq)破 ∞︳
一 。 紫館 藩〡甘 舝
:一 螢螢
述雜繫基#︴ :::一 :一
Genera︳ 〡
nformauon鑯 一 一一 一一一 一
一
S㏑ ms:° P﹏ 研心hβ d Pub!子 c故 i° mda{ :2022一 02
一 一一一一 一
一
一 一
一一一
C。 πε於 d旳 “訂on 竹η}:2022一 03
Ed:‵ i° ﹏;3 Nu加 出e了 舒 P3與 ∮﹏S2
驫廳 ㄔ 好我 π&
— —
﹊ ︻
了 ︳ onSecⅡ Γ
nforma七 ︳ :h◤ aspects o了 bⅡ S:ness
A.$ c° n七 ro;S 3瑹
║
A.η
con山 mu︳ … management古 逛持 玟兮理之 女訊 技術 控 制措 施
安全乃面
◎
A.η 8 COmP︳ ︳
anco無 出古性 ︳ (● )一可 ㄔ
女子
$♁ 窆習♁0確 趁習♁02鰳 繼糶 鱦攤 龘 麤醜既嬾齷 竹
馨乳 馨
劫籛 呦盼 咩 齡踐 錼銹 ∥
麤斗
轟莊罕 輩 齥纗 繼麚 喜蛐 艙蝁
馨鞿 軂攤賒聯 麤 麛 攬 饕 牢
麤方
麡故籦舉 軂捄蠟 轟鑫野駤喜
雜 膦 轟幾鬱燄蠛麚鞤 寶黺難 銝難齡 皤華籬麚
蟿攤當聯 茻騛 撥憲看 輟鑫雜
艬 擺轚龘龘驂 鑑 餐擸 麛鹽
颺*巔 出
巷番 鐑馨鸃幾 餓黺 鶹魏 錐燚蠟鞶
雛黭轟轟 雪雜獸 齥籬龜喜
贐 軍 鮮鱍麤嬧毒
畫
撈籛 協 溶
蘴鼷攤纚鸆鼷鞏饑蠱轆
紛簻 坳
歲▉
孑齉 爸緻選$$G娥 蚺鍛
紳 舳聹 在 蹤 $雄 擺鬱 嬿 雖齺 變 艭 嬖 金 蠽 擺
一
麤必
雝ㄥ礭錐 蹳 籬 對聯 繼難鬱睋 碪鬱鎔 皺艙 雛 聲 轙 鑭 鑰
魕‘
戲已 催礭 雄雜 虋 攤 龘 齯
撥 讒難籛 驧 繼簪鼥喜
姼帥
繼t鑫 雖
麤‘ 鑫雜觟蹴濰 繀雜礅齥繆聲蟄玃 蘶畿 韡
◎ 了C︳ C Modu︳ e22s︳ ide5
★︳
SO/︳ 巨C2700η :2022 曲鼮甪覷辭 ﹏
藦珮 藦
控 制 措 施 異 動摘 要 表
ˊ
ㄟ 散﹉
刀 ﹉﹉
由′。
三版﹏〡
白條﹉
款摯編為′′
﹉
′版↑
︴白︴
年熟 ﹉
﹉
靼條 ﹉今
控制 目標 35 0 。
新版耳又消控雋ll目 標了改由個月 控制措施內之 目的取
。
l」
一 一一熊
一 一一 一 一 一一 一
一 一
—
—
◎
卡 宏了♁♁窒:殳 ♁窒宏礂
:S♁一 票!隼 靂羸罈
中
— —
搦籮翰鎊 皤 翰黫盼鐊 年
| 顏 ℃ 。ntr田 ㏑you七 控 制措 施 布局
鐪黷鑈 野
一COntΓ o︳ tit| e控 制檔 施 標 晨監:Short eofthecontΓ o︳
narΥ ╮ ;
齡霾艸
守 A走 thbu七 e七 ab| e屬 ‘
l生 表 :AtableShowstheVa︳ ue(s)Ofeach
鈜妳
attributeforthegivencontΓ o︳
# β
劬外
SouΓ ce:| SO27002:2022
◎ 了C︳ C
4甲 刀 p6刃 今︳
} Modu| e2一 2S| ide7
一
帝︳
措施的屬性表你杜田丸
| 一破eㄝ缺b;e| 犀薽 露
﹏
— —
◎
m︳ odu︳ e2_ 2S︳ ide8
SO2700可 /27002控 帝︳措 施 異 動 說 明
︳
塕纖鐊翰 蠮 塕籛 盼饑 妳
鐖繩 鑼 ︴
新的控希ll措 施(c㎝ tro㎏ }
銹籛 艸
鈚求鑰躩 錀碑竊路妳挐姊
變動 衫或廖 芻務 旄 紟oη 拖 研 夕逆 磥
φη年
外銓φ
〔黏 :K料
崖rSO/′ ㄥG2◤θθ2j2θ 了3顏 .觴 藐於 覆
錙鋒餓讓 佛 航選琀黚 ‘ 谽艸
一 一
—
鎀師
◎ 下C︳ C
Modu︳ e2-2s︳ ide9
u 佛
音
羝 裝年
急琇
蕊甘 ?出
犛嫠齵趙鶗塔
雄 各| ty,adequ孩 Cy,a出 d
;|
舜
器
訂
資 安全政 策應 依規 勤之 期 間或發 生 重大變更 時審 查 ,以 確保其持 續的合 女 1生 、
訊 鉿
適切 推及 有 效推 。 劬
師
◎ 下C︳ C
Modu︳ e2-2s︳ ;de可 0
A.50rgan泛 auona︳ contro怡 組 織 控 制
瞈簸鑰餓 擺
ηPo︳ icieSfOΓ
A.5口 infoΓ rnaHonSecu山 ty
資訊 安全 的政 策
E● n〔 r0I6rp兮 王n㏑ r女 at㏑ n 姐y右 ersof止 r二tˊ DperatiQma1 S㏄ ur二 七ˊd● maims
§兮〔uriΨ proPert£ § CoⅡ ε兮Pt§ ε及p才 bili在 iε S
#PreVe且 uVe #Con丘 de︳ 】
tiali玗 帝斑§
nu打 #Governance #GOveΥ nanGeandEco∼
器㏑挽 野 竹 §ystε In#Resilience
#Ava且 ab主 lity
Tah二 e王 一 Differenε esbε tweeⅡ i且 笛 rmatiO且 §eCurhyp0Ⅱ εyand七 op玉 c一 §pε ci生 εpOHε y
iε y
Informat:on§ ecuriㄝ ◤po一 ︳ TOpi(》 §ped在 εpoliε y
啦路餓一
P e目
舞 鋨 貼母路郢
Toensurecontinuingsuitabi︳ it坊 adequa汛、e帝bc七 iVeness ofmanagement
direc山 onandsupPo㏄ foΓ inforrna山 onSecu山 tyinaccordancew㏄ hbusineSS,
equi「ements.
ega︳ ,statutoΨ ,Γ egu︳ aton◤ andcontrac七 ua︳ Γ
|
:鬱
,確 保 管 理 指 示 之 持 續 合 宜 性 、適
坤
/爹 項
妢帥
是爰 茗隻 霮 ;安 茇莒 尹
◎ 下C︳ C Modu︳ e2-2S︳ ideη ﹁
資訊 安 全 之 角 色與 責任
措施
Contro︳ 控 帝︳
→
組 織 需要 定 義 並 配 置 資 訊 安 全 之 角 色及 責任 。
郾 |
擁黫鐱林跍雜啦單露路盟選鑈 就路冷許可 φ螂
一
、
一
C° n之 Υ
°︳控 帝心檔仿也
五
滾〃iη ㄌ〃ηθ安 一 SeoVlrli|ˊ結●poη s︳b子︴
0η 工
古工eSSㄌ a〃 bθ de”peJaη 6
a︴ OGa路 6.
應 姆確 定 瑧犛 豳 寠〞 穿 貧 窮 安 全 責豬 。
一
◇盯
銵鑨鑰翰 錔 鑰一
A.5.2︳ nfoΓ rnat︳ 0nsecurityro︳ esandresponsib︳ |eS it︳
資 訊 安 全 之 角 色與 責任
協 鴳 蕤 躌 拂夔黐 擊 豯 夥箠 器 鑰 赫雀砱黔 香 谽 螂
外
Pㄩ rPose目 的
下oeStab︳ ishadefined,approVedandundeΓ stoodStructurefor
p︳ ernentation,operat︳ 0nand【 Ⅵ
theirΥ ╮ anagernent of
︳n竹 rrnaHon secu一 tywith︳ ntheo「 gani2a∥ on.
建 立 已定 義 、經 核 可及 已瞭 解 之 結 構 ,用 於 組 織 內 資訊 安 全 的
實 作 、運 作 及 管 理 。
鉿師
◎ TC︳ C
de﹁ 3
Modu︳ e2-2s︳ ︳
鏘籛鑱谽 齺 拂籛鬱鑞 →
A.5.3SegregaH0nofdujes職 務 區 隔
COnt「 ol控 制 措 施
Conf| ictingdu七 ieSandareasofresPonsibi︳ itysha| ︳be
鎀黫鑰 外
segrega七 ed口
鑰羻螂
笆峚至些塗及衝突的責任龜團應 予 以 區隔 。
飆帝鑰籩鐱姊貓嬐聖發 熪夥瑤攤 鑱 插曌鍛好車 盼仰
Co鈴 盞
rO︳ 控 希U寸 堵施
=e打
Seareσ 守才 o′e6σ e♁ Θppo砟 σβ|
eσ ︳ 力0好∠eσ or
eS了 brVβ aσ 才
工
一
一 一
〞η η紿η才♁ηa三 了 一
打 再c往扣0η orη ?玄 SVSeo′ 出
0以子 外eoη aη 〞a妥
=op兮
aSSθ 古
S‘
◎ 了C︳ C
Modu︳ e2ㄛ ㄥs︳ ide● 6
A.50rgan眨 a小 ona︳ contro怡 組 織 控 制
鎀靆瞈砏 鑼 齡一
A.5.3SegregaHon ofduties 羽
我矛定區 隔
力
朅 齡 黰 鑰 竄 路琳 雀筋鍕學箠 霹 燐 筋券撥趶 音 谽 螂
熱
PurPose目 的
ToreducetheΓ iSko了 fraud,erroran心 bypaSs︳ ngof:n了 oF了 nat︳ On
secur︳ tycontrO︳ S
監堡童麥′ 錯誤及繞過資訊 安 全控 制措 施 之風 險 。
妙師
◎ TC︳ C deη 5
Modu︳ e2-2s︳ ︳
鑼繳錛紾 齺 錛籛♁鏹 ¢
A.5.再 A/lanagernent「 esp0ns:bi| 比心S管 理 階層 責任
oΓ gani2atiOn.
籤府
Con#o| 腔帝寸 暗施
ㄐ
Manaσ emen走 Sha比 Fequ° rea| ;emp︳ oyeesandcont「 ac之 °r$七
一 牡 :naccordancew:走 heStab︳ 工 c:eSand 。
she心 po︳ 工
鑈 臨舉玲黔哥 ψ 劬帥
app︳ ysecur子
procedureso了 theorgan;2a報 Oni
管理 階層應 要 求所 有 員工 及 約用 人 員 ,依 照組 織所建 立政 策及
程 序施 行 資訊 安 全 事 宜 。
◎ 下C︳ C Modu︳ e2-2S︳ ideη 6
A_ 50「gan眩 a甘 0na︳ cont「 o心 組 織控 帶 ll
磯路膨豳鱗 才
靂珮 靂瓶
鈐籛鈐鎀 姼 豁
entΓ espons;b︳ ⅢeS管 理 階層 責任
A.56ManagerΥ ╮
C° 且七Γ ype
●正仁 且出 rma甘 O且 忿坤 兮rS兮 Curity oP● ra七 iOnaⅡ SeC社 r托 ydo班 aiⅡ §
yp〔卅
Seε Ⅵr是七 er在 e∫ C0且 Cep七 § Cap出 b王 工
五七二
︳S
一
Ve
#Preven七 工 #Con出 den七 :a王 比y #王 dent五 牡 考Governance #G0vernance一 及nd一 ECosys一
#Integr工 ty 七e召Π
abi上 比y
#Ava主 王
城 鑰 籛 齡 抑插路帥 弩筋錯帑簽選 ︴
本
Purpose目 的
下0enSurernanagemen七 understandtheir ro︳ ein| n了0rrnation
securityandundertakeactionsairn︳ ngtoensurea| ︳perSOnne︳
areawareofandfu肝 theiΓ in了ormauon secu日 七 yΓ eSponsibi| 比ieS.
瞈 航器跨跡 含 谽 啷
i︳
確 保 管 理 階層 瞭 解 其 於 資訊 安 全 中之 角 色 ,並 採 取 旨在確 保 所
有 人 員認 知並 採 取 其 資訊 安 全 責 任 的行 動 。
紛師
◎ TC︳ C Modu︳ e2-2S︳ ;de可 了
錛黝 鑈谽 蠮 鍋雞 ♁鑰 宙
A.5.5C。 nt孔 七W比 hau七 ho山 eS與 權 責機 關之聯繫
釗田a㎝ Shandm卸 耐
卸nco㏕ ad㏕ h
落錙驟 早
漟
鐒籩 銹 本
組 織 應建 立並 維持與相 關權 責機 關之聯繫 。
鐑灘坤
籤竹塕籩 銹睞報琀聖髏 路鐲餵還狒 箍券聆帥 哥 谽碑
C♁ 錧智0| 控 特寸
→著施
A紂 帥釘Opria七 eGOm老 級C乏 $Wi老 抽re霪 eV位 n七 接$七 孔o好 |
崔:e$S無 俄卅be
m桋 君件牽俄吝孔ed﹏
應 維 捧 與 相 關權 賣機 關 之 適 切 聯 繫 。
︴
發
ˊ
‵ _′
\、
‵
__ ,′
紛師
◎ 了C︳ C
╮ de﹁ 8
πodu︳ e2-2s︳ ︳
一
A.50rgan眨 ahona︳ contro心 組 織 控 制
嫠俄rβ 戰
— — —
銹黮螉谽 孋 齡黤一
A.5.5Cont孔 tW比 hautho︻ ues與 權 責機 關之聯繫
COⅡ h「 <ㄤ type nm了 Ⅲ 它i6n 〔ˊㄌerseε urity °per巨 出O五 a玉 $eε 社r五 ﹏rdo出 ai且 S
§eε H工 二
句ㄕ↑ξopε 了七 王
εs εoⅡ ε中 t§ ε年 玉h在 i猿 es
一
#Pr$qm〔 玉Ve #C6且 f五de一 lt子 a1止 ˊ 爭 deⅡ 七
i的 √#P}σ七
eC七 #GOVe了 出anCe #D刮 踏nε e
#Couec守 i改 #玉 nte麥 北y #Respohd#及 念CoVer 特ReSilie在 Ce
#舸 缸㏑ h打 一
‵ 攤簸 錛郎航峰姊雀筋躍舉舉舞 齡 蚢雀建 η吝 谽 螂
Purpose日 |
琦
下0enSuΓ eappropriatef︳ owofinforrnation takesp| acewith
ΓesPect to︳ nfOr︳ ηat︳ on securitybe︴ Ween七 heorganizationand
re︳ evant︳ ega︳ ,Γ egu| atoryandsupe口 risoryauthoritieS口
就 資訊 安 全 而 言 ,確 保 組 織 與 相 關 法 律 、法規 及 監 督 權 責機 關
間 ,進 行 適 切 的 資訊 流 。
唦帥
◎ TC︳ C
deη 9
Modu︳ e2-2S︳ ︳
鐖籦鑈紟 鋪 鑈颻♁鐖 →
A.5.6ContactwithSpecia︳ inteΓ estgroups
與特殊 關注群 組之 聯 繫
Cont「 o︳ 寸
腔帝︳
●告施
錐驤錐 本
ainta︳ ncontactWith
Theorgani2ation sha︳ ︳eStab︳ iShandrΥ ╮
sped刉 uSec㏕ v竹 叫mSand
錛籛珅
呂驄 :忍 描 衷 銛 呂鵲忌患 .dheΓ
籤¢
專業協會之聯繫 。
Con崔 ㄌ︳控 制措 施
ApprΘ pr︳ a牧 9c。 nt爸 C特 WithSpec工 a| ︳
n友 ere$塞 9F° ups or o守 heξ
彿 航傘玲鉾巨 幼轉
切聯 繫 。
︸\。 ◎ 下C︳ C
Modu| e2-2S︳ ;de20
A_ 50rgan矻 auona︳ contro心 組 織 控 崙 lj
溯豳既豳鱗
靂珮 靂 一
瞈黤 錛翰 蹓 瞈纖一
A.5.6C° ntactWithSpecia︳ interestgroupS
與 特 殊 關注群 組之 聯 繫
C$▲七rOltype 斑 f0rⅢ 社比且 Cyber§ eε uri七y opεr且 u° 土a1 Se召 ur主 七ydom&之 且§
§兮εⅡr主 ﹏◤prop兮 r七 j治 $ C0五εεp6$ 才基
εR乎 砭已i王三 εf
#Pr守 V§ 且tiVe 勞COIlf子 忒e土 t主 a王 i廿 #比 o七 eC七 #R£ SP° 且d 掙 GOV釨 且 盆土 Ce 群J§ 兔叭〔e
#COrr§ ctWq #工 且七念♀ 主哲 #A廷 §oVer
#Avail崩 主 1睜
協
黫
塕
P︼ rpoSe目 |
的
ToensureappropΓ iatefloWOfinfoΓ rnation takeSp| acewithΓ eSpect to
●小0nSecu“ ty.
in竹 rrΥ ╮
就 資 訊 安 全 而 言 ,確 保 進行 適 切 之 資訊 流 。
拉
帥 才 鎀螂
砏帥
◎ TC!C ╮
πodu︳ e2-2S| ide2η
彈
釐爞〔
— —
Contro︳ 控 制措 施
n竹 m㎝ on rd㎝ ngb㏑ 竹
︳ 「 rm㎝ onSecg日
拙早
出 ξ忌 比
︳ ysedto producethK ε :φ
鐒黮 鎀 ‵
ectedandana︳
co|
應 威 脅相 關之 訊 ,」 以 生威脅情 資 。
齡繳 啤
鈱宙鑰黫鐒碎數錨 鞏簼 帶鎖盟鸝 銥券路帥 富 劫師
V
♁帥
鋊籛 鑰劫 鑼 孅
A石 .7了 hreat inte︳ igence威 脅情 資
︳
ε9ntrDltype nforma七 i● n
王 CybersecⅡ r三 七y oPera七 主
oⅡ a王 §CC跟 r二 tydOⅢ 五五Ⅱ 子
SeC旺 ritypr● per在 eS ε●ⅡEep七 S 七apat且 ities
#Preve1ltive #Con及 dentiality #Deteε 在
#工 den七 iㄉ #Threa虹 andJu玉 nε r- #Defence
#De七 eCtiVe #王 Ⅱ teghty #Re∫ pond ment
ab主 lity… !4ana呂 β #ReS主 1去 enGe
#COrrectjve #Av&主 王
ab三 王
︴ty
螂
航 齡 黫 鐑 螂航跨堅 電 擺犖塞 霹 齡 貼器跨跡 音 谽 螂
外
PurPose目 |
的
TopΓ ovideawareness oftheorgani2ation’ sthΓ eatenviΓ onrΥ ╮
ent
so thattheappΓ opriate了 nitigatiOnact:onscanbetaken.
ˊ提供 對 組 織 威 脅環 境 之 認 知 ,以 便 採 取 適 切 的減緩措 施 。
砏帥
◎ 了C︳ G
Modu!e2ㄐ 2S︳ ide23
r出π
— —
Gu︳ dance指 ︳
引{SO2了 002〕
︳ ectedand
nfoFmationabouteXiSt︳ ngoΓ emeΓ gingthreats isco︳ ︳
ana| ysed︳ n order to:
銹籦銹 永
蒐集並 分 析 有 關 既 有 或新 出現 威 脅 之 資 訊 ,以 便 用於 下 列 事項 :
齡讓姊
a)Fac︳ ︳
itateinforrnedact︳ ons t0prevent thethΓ eatsfΓ orΥ ╮
數市
rΥ
促 進採 取 知 情行 動 ,以 防止 威 脅對 組 織 造成 傷 害
b)reducetheimpactofsuchthΓ eatS.
降低此等威脅之衝擊
谽盰
◎ TC︳ C
Modu︳ e2_ 2s︳ ide2ㄔ
A.50rgan眨 auOna︳ cont「 o怡 組織控 制 才
靂珮孽
靈抵
╮
— —
塕纖鑰妙 擺 鑰颳嚇鐑 外
igence威 脅情資
A.5.7下 hreat︳ nte︳ ︳
\
Gu:dance指 引{
︳S° 2了 002〕
下hΓ eat igencecanbedividedinto
inte| ︳ th「 ee| ayers,which
鋪靆鑼 →
shou︳ da︳ ︳beconsidered.
威脅情資可分為 3層 ,皆 宜予以考量
鐒黫螂
:
鈚小齡黤路螂航路醉寧豬犖錯髒 鐑 協議玲跡 昏 谽螂
in了 Ormajonaboutthechangingthreat︳ andscape(e.g_ typesof
攻擊者型式或攻擊型式);
b)七 白 ︳ ationabou七 a七 七
gence:infoΓ ╮
c七 ica︳ threat︳ nte︳ ︳ rΥ ackeΓ
methodo︳ ogieS,too︳ sandtechno︳ ogies;nVo| Ved;
毯鍾座渥逸垺卜 關於所 涉及攻 擊者 方法論 、工 具及技術 之 資訊
盼師
◎ TC︳ C odu︳ e2-2S︳ idΘ 25
山Π
露磁 碀
— —
,色 括技術孝
隻生蟲重虜瓚 :關 於特定攻擊之細節 蓋標 。
鑱簸碑
颻市
igenceshou︳
a)re︳ evant(︳ .e.re︳ atedto theProtect:on oftheorganization);
相 關(亦 即與組織之保護有關)
b)ins:ghtfu| .e.proV:d:ngtheorganizat:onw:thanaccurate
(︳
具 洞察力(亦 即提供組織對威脅形勢之準確及詳細的瞭解)
谽師
齡纖 鑰盼 璐 瞈黤 錯餓 外
A石 .7下 hreat inte︳ igence威 脅情 資
︳
o耐e站 u孔 ㏑
中conteXtto uoMdemu針 °
theinfo「 ╮ onb召留 詊從 群文是窩 平
佛雞 鐒 功
rΥ at|
銻讓 姊
#芹 Fㄢ FgF一
時 間 、 事件 發 生的
甀外
疊︳
全
梵季窆釐
盞癹絮好駁留 籤帚牡 簆長 驫
妙汁
◎ 下C︳ C
Modu︳ e2-2s︳ ide27
A.50rgani2ationa︳ contro︳ s組 織 控 帝︳
鑈籩錛餘 鑼 銵籦♁魕 命
A.5.7下 hΓ eat inte︳ ︳
| gence威 脅情資
Guidance指 引{
︳S。 2了 0● 2)
genceactivitieSShou︳ dinc︳ ude:
下h「 eat inte| ︳
︳
鎙黰鑈 泳
威 脅情 資 活 動 宜 包括 下 列各項 :
錉籛姊
建立產生威脅情資之 目標
鑈籛鈖妳欺餅 寧露嗧竅畢銹 協雀趕好哥 鈔姊
inte|
—
識 別 、審 查 及 選擇 必 要 且 適 切 之 內部 及 外部 資訊 源 ,以 提 供
產 生 威 脅情 資所 要 求 資訊
谽外
◎ TC︳ C
de28
Modu︳ e22s︳ ︳
A.50「 gan泛 auona︳ con七 ro心 組 織控 制
塕黮銹蜴 嬾 鑰黮銹蹦 外
╮ A.5.7下 hreat intel| 咆ence威 脅情 資
Gu:dance指 引{
︳SO2了 002)
c)c呂 ︳
rma七 onfrorn se︳ ectedsourceS,Whichcanbeinterna|
Fg王 且
七 舁:非
銹黮佛 Ⅵ
由選定之來源(可 能係內部及外部)蒐 集資訊
ψ° ︴ 暋親接 點腦 邶sm盯
黯星手
七 驟踽茻 將
鐒簸螂
:F千
鷂外
處理所蒐集之資訊以準備供分析(例 :藉 由轉譯 、格式化或證實資訊)
鎀帥
◎ 下C︳ C Modu︳ e2-2S︳ ide29
躍籈 靂
— —
錼籛鑱紛 鑴 錢雞♁饑 ¢
A.5_ 7ThΓ eat inte| gence威 脅情資
︳
︳
Guidance指 引{
︳S。 2了 002〕
下h「ea七 ;n七 e| |igenceshou︳ dbeana︳ ysedand| aterused:
宜分 析威 脅情 資並供 後續使 用
銹龘瞈 本
作 為 如 防 火牆 、入 侵偵 測 系統 或 防惡 意軟體解 決方 案等技術 預 防及
偵 測控 制 措 施 之 額 外輸 入
0theinforma七 ionSecu「 yteStpΓ Ocessesandtechn:ques.
c)as inpu七 七 ;七
作 為資訊安全測試過程及技術之輸入
艙師
齡黤瞈妙 鑼 鑰黤盼饑 外
A_ 5.7下 hΓ eat︳ nte︳ ︳
igence威 脅情資
Guidance指 引{
︳S。 27002)
j蝌 荋 漼
路蹓驟點竹H:占 腦 !幦| 。 七 灩 hΓ eat
鍋繳鏺 ︴
組 織 宜於 施 互 基 礎 上 與 其 6也 組 纖 分 享威 者情 資 ,以 改善整體 威 發情 管 、
錐齷螂
羝︴
七her:nhr了 了 a山 on其 它 資 訊
︳
妢師
◎ 了C︳ C
Modu︳ e2┤ 2s︳ ide3η
ContrO︳ 措施
控 帝︳
onSecu山 tysha︳ |beintegratedinto pΓ 切ect
錛攤 鐒 本
lnfoΓ rna山
managernent.
鑈讓螂
資訊 安 全應 整 合 入 專 案管 理 中 。
航︴鑰籩 鑈師欺錣 學簼 學錣緇鉀
Con竹 O官 寸 捨施
陸帝嘻
〡
卷莒呂卷
哲苦
〔昂
單再
莒告 基︴打
居要器 ° edin prq| ec七 man白 gement,
吾 一 ;手
,應
各 呂母 :︳
9努
°
不論 專案之 型式 在專案管理 中困應 資訊 安全 。
比屾 礙
俄 綣翠鼳 笨鷂 隸繳 李
鑈 磁聲窪才日 ♁師
事項 ,應 納 入 新 資訊 系統 或 既 有 資訊 系統之 強
雇 驁 靈衾 篫蘱 暈 季
劬盯
◎ 下C!C
Modu︳ e2-2s︳ ide32
A.50「 gan眨 aHona| con七 o心 組 織控 制
「 爾豳比麟齷 站
靂珮 靂
銹雞鎀鬱 鐋 幾雞一
maHon secu山 tyin pr切 ect rnanagernent
A_ 5.8︳ nfo「
專 案管理之 資訊安全
C。 且七rC一 yp兮
七 沒免 r盟 妹 站 n
正 Cy哲 εrs兮 Cur:七y OP| ra在 主
6且 五王 §Ct出 r二 七yd.發 a盪 疋§
SeC社 r二 巧rpr0per吝 ieS εOnCep在 $ C且 p社 右 i遷 it主 兮S
學≡n抬 嶭 1圩 0n
七併在勞Protec七 主
許〝 之文
王a在 1王 甘
外
鎞 籛 鑰 姊羧 譅 篧 豬 帑箠 舞 齺 航器跨辦 含 盼 螂
PU叩 OSe目 的
Toensu「 ein了0rmajon secu山 ty山 SkSre| atedto p「 切ectsand
de︳ iverab︳ esa「 ee帝 ectiVe︳ yaddreSsedin project rl╮ anagemen七
七hroughoutthepr中 ct︳ ︳ fecycle.
確 保 於 整個 專 案生命週期 之 專 案管理 中 ,有 效 因應 與專 案及 交
付 項 目相 關的 資訊 安 全風 險 。
劬帥
◎ 下C| C
Modu︳ e2-2s︳ ide33
空帶︳
Contro︳ 守 ㄐ告施
鈐麰鐒 永
An︳ nVentoryofinforrnationandotherassoc:atedassets,
︳nc| udingowners,sha︳ ︳bedeve︳ opedandrnainta:ned.
鑱雛娣
並 維護 (包 括擁有著)之 清冊 。
餓¢
醙 訊 及 其他
齺黫鐱的箴鐋 寧搖犖礞鑼姊
C♁ n受 ξ
o| 控希(一
檔力
也
一
砍縱 韔餓 省 星鑝 智選 藪 芼姆 娥 吁呂槃 籬 鎩蟲 d!
應識 艿︳ l與 資訊及 資訊 處 理 設施相 關聯 之 資產 ,並 製作與維持 此
攤 磁華玲對當 盼螂
等資產 之 清冊 。
nedin琶 he︳ 雄Vem走 0ξ y$h爸 音|be♁ Wm舍 心
Λ S$e女$r我 接;n左 級言 .
清將 中將 維持 之 資產蠯 兵時雍有者 。
翰師
◎ 下C︳ C
M° du| e2-2s︳ ;de3ㄔ
A.50「 gan矻 a山 ona︳ cont「 o心 組 織控 制
蛋戤 瑋戤
— — —
鈐黤 螉妙 鑼 鑰鄹 伈
A. 5. 9彗 塑 旦 生 ╝ 些 坐 些 坐 ⊿ 生 生assets
輩埭 馬嶷 鎞 斃 茻 半
yp兮
ContrO玉 仁 IⅡ 加 Ⅱ蹈┴
︴i0且 CJ路 e站 |εⅡhty o} erat主 O且 a王 Ⅱ王王
SQε ur二 竹 d. 且 且S
sε εHHi︴ ypΥ op兮 r七 iε § εOn仁 εp︴ s εapati王 土站 s
勞PreVe1ltive 1ti在 1女 y
#C0且 f掗 工 #工 de↑ ti乎 母A§ Setmanage- #GOvernahce一 and一 Ec0-
#王 ntegr在 y nent
】 Ψ S在 e正 1華Protect主 o玉
#AVa王 1出 i王 i牡
‵ 躌 黫 錛 輕航鬱琳 罕 羅 路盤 舉 錛 磁孝 理 η甘 谽 螂
PuΓ PoSe目 |
琦
下oidenti打 theo「 gani2ation’ s inforrΥ ╮at︳ onandOtheΓ aSsoc︳ ated
谽外
◎ 丁C︳ C Modu︳ e2┤ 2S︳ ide35
ContΓ ol控 制 措 施
Ru︳ esfortheacceptab| euseandpΓ oceduresforhand| ationand
inginfo「 r了 ﹁
h鏻
Contro;控 常!毒 普施
|
且
臘致 潦 恩長 ︳
基
躐旻饑綴瓏朧穿滾纕辛
鍛嚫比h
en掩
竹np:e出
講 ξ d.
聲 與 資訊及 資訊 處 理 設施相 關聯之 資訊及 資產 ,應 識別 、文件化及 實作 其可被
接 受騎使 用之規則 。
鋒 磁舝蝵﹊守 鈔妳
°珫
g:維 g布 無
#主 尹
雞甜雖意 傑騩$綾辯毛
歡堆凰
擗忌出燎ξ
ㄊ
°四aniZa小 on一
應依 組 織所採 用 的 資訊 分 級 方 案 ,發 展及 實 作處 置 資產 之 程序 .
妙盯
◎ TC︳ C
de36
Modu| e2弓 工S︳ ︳
A.50「 gan眨 ajona︳ contro㎏ 組 織 控 制 竹
靂抵 籚
— —
鑰籛鑰翰 鐇 鑰聬
0Acceptab︳ euseof〡 nforrnationandotheraSSociatedasse七 S
A.5.┐
可接 受使 用 資訊及 其 他 相 關聯 資產
勞Pre吊℃且七
它Ve #Cσ Ⅱf二 de二 1t三 a在 i牡 #Proㄜ ec七 勞虫忑Se扛 一
文nana各 em兮nt #6overn甚 止 Ce一 &王 d一 ECCs”
-
赫 瞈 簸 翰 芞 路醉 雀描玀絳螴 舞 鑰 瓶器鋡帥 令 谽 螂
外
PⅡ rpos● 目的
Toensureinforrnationandotherassoc︳ atedassetsare
appropriate| ypro七 ected,usedandhand| ed_
確 保 資訊及 其他相 關聯 資產 受到適切保護 、使 用及
幼帥
◎ TC︳ C
Modu︳ e2一 2s︳ ide37
鑱籛鑼鎗 鑴 銹麶鈔攤 ¢
A.5.可 可Return ofas比 tS資 產 之 歸還
ContΓ o︳ 控 制 措 施
Personne︳ and0七 her︳ ntereStedpartiesasappropriatesha︳ ︳returna︳ ︳
七heo吧 aniZation’ SaSSets in七 heiΓ poSSeSSionuponchangeo「
銹鼮鐑 本
適 切 時 ,人 員及 其他 關 注 方於 其聘 用 ,契 約或協 議 變 更或終 止 時 ,應 歸
餓好
還其 持有之 所有 組織 資產 。
鑈黫鑈姊欺齵 肇攝夥路
C◆ 嶭竹O︳ 控 常|
措施
母哲蟲吝 序
珴 鑨煍 全能黮 老
乩出 r
簼鑨籅已吾
手鏮 毒鼳 選去
men毛 ﹏
路鵝蝌
,應
鐱 瞞曌嫂好音 鎗啷
使 用者於 其 用 、契 約 或 協 議 終 止 時 歸還其據有之
U 鍪馫 歷虃齤釐擊 彈
鋨師
◎ 下C︳ C
de38
Modu︳ e2-2§ 比
A.50rgan眨 auona︳ contro心 組 織 控 制 十
錚蟲 β
— —
錛黤鑰鎀 鑼 鐑岬
A.5.η ηRetuΓ nofas比 tS資 產 之 歸 還
外
狒 黫 錛 妳蟻玲螂 琌城腦路單 霹 齡 甋拶 靼 η吝 鈔 坤
Pu叩 °Se目 的
下o protecttheo「 gani2ation’ saSsetsaSpaΓ toftheproceSSof
changingoΓ te「 【 ent.contΓ act oragreement.
n︳ natingemp| oyrΥ ╮
將 保 護 組 織 之 資產 ,作 為 變 更 或終 止 聘 用 、 契 約 或協議 之 過 程
的 一部 分 。
幼帥
◎ 下C︳ C
Modu︳ e2一 2s︳ ;de39
Contro︳ 控 制 措 施
︳
nfoΓ rnation sha︳ ︳bec︳ assifiedaccoΓ dingto the︳ nformation secu「 ity
needsoftheorgani2ationbasedonconfidentia︳ ity,integrity,
銹鼛齡 八
資 訊 應 依 組 織 之 資 訊 安 全 需要 ,依 機 密 性 、完 整 性 、 可 用性 及 相 關 關
餓市
注方要求事項途遊盼埳‥
鋤黫鑰妳皺齵 單眾路餓罐卹
資訊應依其幹 法律 要求 、價 值 、重要︴
l生 及 未 經授權盪邁趴 修 改之敏戚性
鍋 銥鋒撥黔再 ♁師
分級 。
紛糽
◎ 下C︳ C
;de40
Modu︳ e2ㄐ 2§ ︳
A.50rganizaHona︳ contro︳ S組 織 控 帝j 滷齺協幽好 竹
靂紙 靂
翰灘鎀盼 熪 琇卿
╮ A_ 5_ η2chSSⅢ caUon ofinforrnaHOn資 訊 之 分 類 分級
一
C● 王七r0王 打 擊ε 【玉色 rm色 七主O且 Cy$ε r§ eε 求ri︳ y oPera甘 6n出 SeC社 rㄈ tydoⅡ〕
錢王ⅡS
∫
eε 社r二 ㄗγp!.per毛 ie§ εDⅡ C兮 p它 ∫ ε女p宜b王 王
比:e§
一
#PreVe且 ti▼e 考C<站 f由全 hti斑主
哲 李〔
dmt主 牡 正銘 rnla法o∴井 ro一
母王 #Pr0七 eC七 iOn
報工 玉te各 n七 y 七eC毛 主
0〔1 誰乙ejencε
#皮 V血 比b宮 li打
甀小
拂殿 狒拂斃齷 肇羅 夥 $舞 妗 航器路跡 喜 谽瑯
PurPoSe目 |
琦
下0enSureidentif︳ cationandunders七 and:ngofpFO七 ection
needsofinfoΓ mation inaccoΓdanceWithitSirnpoΓ tanceto the
o「 gan︳ zation.
依 資 訊 對 組 織 之 重要 性 ,確 保 識 別 及 瞭解 資 訊 的保 護 需要 。
砏帥
◎ TC︳ C 田odu︳ e2-2s| ideㄔ ﹁
小
釐颻甲
靂
—
—
鏘雞 鑈鍛 齺 鑈纖 紛鐖 ㎡
A.5.η 3∟ abe︳ ︳
ingofin了 Ormauon.釐 盪生生燙匙示
ContΓ o︳ 控 甜擋 另
包
鋪繳 鐒 永
資 訊 分 類 分 級 方 案 ,發 展 及 實 作 一 套 適 切 的
鑱籛 餩缽欽琳 鞏籀 夥盟麓驫 磁器跨討 音 鐪師
暾 籗 筆 籊 奪 ?之
CΦ 找室
才O| 控 崙心檔方
也
An按 ppFopr工 接一
琶eSe是 ♁了pFoce唼 琺re$| br| 雉forr改 缺者
言°n| abe| in$$鈍 a〡 〡
| d¢ ˇe| opea接一nd︳ mη ︳
eme雄 扭 di$accoξ 心缺nCeⅦ 銋乩 走he
╰ b兮
︳
nΥor年 Ⅵ按君
︳onC舌 a$S〡 無ca在 ;@n$cheme俄 dopt@° by七 純e0吟 an︳ 2a七 ︳
on
應 依 照組 織研採 用的 資訊 分 級 方 案 ,簽 展 及 實 作 一套適 當的 資
谽師
訊 標 示程 序 。
◎ 下C︳ C
叮du| e2┤ 2S︳ id。 碎2
山
。
A.50rgan泛 a山 ona︳ contro心 組 織 控 制 ◆
彈也 β
— —
鐒瀚 塕紼 孋 塕鰓
A.5.可 ingofinfoma山 0n資 訊之標 示
3∟ a比 |
︳
COⅡ它
rO一 寸 pε IⅡ 拓 r】 比女在出 y
C坤 erfe兮 玫出︴ 6Per女 〔ionm玉 £兮兮ⅥritydOm致 主
ns
Seε 玨r二 tˊ pr9Pε F七 i兮 § C° 且εeP七 § 〔工pa七 i1王 ties
掙Pre唯 ntiVe 華COⅡ fjden七 i斑 ky 掙Pr0︴ ect #王 llfo】 .
】 On
na〔 主 券De及Ⅲce
e『 比y
#I且 七 pro由 C拄 0n #Pr° 扭 mOⅡ
#Avai妳 b且 i呼
黺帥
° 下C| C
Modu| e22s︳ ideㄔ 3
攤羷錀鍛 鐇 鑈黰劬纖 “
A.5.何 lnfoΓ rnajon transfer資 訊 傳 送
COntro| 守
空希!H階 施
︳nfo「 mation七 ΓanSferru︳ es,pΓ ocedures,o「 agΓ eements sha︳ ︳bein
銹黫鎀 〝
,肚4垼銓於 及組織與其他各方問
餽帝
丘盛壘 議
雩
鑈黮縐抪欺韻 寧攝路跟路妒
惶 霹蒡蠢癹麛蘉麚聖竟
Con︴ ㄌ;控 制 措 施
FO「 ma︳ 之強 nS了 er po比 c;eS,pr.cedureS,andcon名 SSh色 ︳︳be:np︴ aceto
F。 |
﹏pesof
p幻tea︴ het陷 nS竹 Γ0了 ;n竹 rma竹 0n出 路ugh它 heu§ eo了 a︳ 〡
鑼 磁鑋瑣
commun:ca走 |
onfaci︳ ie§i七 .
訊設施之 資訊傳送 。
♁碎
燄盯
◎ TC︳ C
deㄔ 6
Modu︳ e2-2s︳ ︳
A.50「gan眨 aHonalcontr0心 組 織 控 制 腐豳用齥鱍 才
靂舐 靂
鐒繳翰啥 璐 塕籛谽鑰 茁
A_ 5.可 碎lnfo「 ma小 on transfer資 訊傳送
e君 ξ接&$路 ξ0手 $u$君 &每 $$
|be磁 da冷 $S︳ he$ec旺 了
茂 $掩 e幾 爸n崔 $Sh接 |
在
雄當 ◆n撥 踓婊e焲 er我 磁︳肸缺踐豆
◇孔紐e碧 雖eea毛 乩爸♁玵aniZ破 ︳
♁rma老 君 e$.
搦黫齡 野
善
n孽 ♁ Ⅵ a毛 主
r孑 ved工 $e子 ec七 ron︴ cξ 報eS$發 $言 雄
♁俄inV◇ | y
qs乩 俄比粉e缺 pp一 ♁pξ ;a七 守︳
鐒麰螂
紵野◇道ec電ed‘
航
應 適 切保 護 電子傳 訊 時碑 涉及 之 資訊 。
ㄈs1| r.王 吁 今兮 王且拓 r血 法t主 6且 Cy忠 留 §它〔迂r主 好 0P兮 r狂 七主 且法王 §CC社 r主 ﹏◤u. m法 i▲ S
.
SeC王 ri拚/pr6pert主 ss εe土 竹 p七 S c6中 欲§二
二土路s
#P≡ eΥen七 iVe 帶C0n及 硅eΛ 王 t比吐女y 學pro七 gct 報 SSe七 ma且 忥
各
eㄥ lent #Protect:b且
♁n
一
犩 鑰 瓶簿跨珅 安 紛 師
Pu叩 Se目 的
。
下o rnaintain thesecu一 tyofinforma小 on tranSferΓ edWithinan
o「 ganiZationandwithanyeXterna︳ ;nte「 eStedpa㏄ y.
鎀坤
維護 於組織 內及與任何外部 關注方傳 送之 資訊 的安全性 。
◎ 下C︳ C M° du︳ e2一 2S︳ ide碎 5
釐觝u瑟
— —
鐒颻擁鐱 鑼 拂灘鈔鐖 琦
A.5.﹁ 5AcceSScontro︳ 才
子取控 制
空帝!寸告施
Con七 ro︳ ︴
a七 ionandother
acceSS七 o| nfo「 ︳
鰳黫錫 〝
buSinesSandinformauon secuHtyrequirements.
應依 營運及 資訊安全要求事項 ,建 立並 實作對
餓館
關聯資產之
撥籮翰林貓皓堅震輯夥瑤腦屻
實體及邏 制 的規 則 。
C6n建 安
0令 推 希嘻;檔 功色
A雄 佼 CCe$ScΘ n崔 ξ° | pΘ 比 cy$把 a︴ ︳ $eestab︴ ︳$hed子 doc吐 我 e&奄 e吐 子 爸 nd
、 、
heyhavebeenSpec工 再ca︳ :yau奇 hor:2ed七 0uSei 、
Se野 V子 ce$七 ha七 七
谽師
應 僅 提 供 子 使 用 者 存 取 真 已被 特 定授 權 使 用 之 網 路 及 網 路 服 務 。
◎ 下C︳ C Modu︳ e2-2S比 deㄔ 6
A.50rgan矻 a山 0na︳ contr0心 組 織 控 制
鐒黮 銹蝴 鐇 齡繳 “
A.5.η 5AccesScontro︳ 存取控制
C. ntro二 type 工王
ⅡbΓ Ⅲ 五在oⅡ 竹 出以 $e它 Ⅱh守 Op︴ a在◆出Ξ yd6出 二nS
Sε ε世r丟 ε
∫ε〔ur王 打√pr.per千 iε f coⅡ εep︳∫ C出p致 b王 王毛k§
母Pre﹌ gn{ ive #C㏄ ▲
丘de政 i斑 i哲 #Prote〔 t 一
#王 dentity一 a且 d一 a← 帝PΥ o控 C七 i6n
e醉1ty 一
#王 n七 cess一 managellleⅡ t
#AVai:a班 玉
主ty 一
♁帥
◎ TC︳ C
Modu︳ e2ㄛ 2s| ideㄔ 7
彿黮鑈餘 齺 鐖籦谽饑
A巧 .︴ 6︳ denHtymanagement身 分管理
ContΓ o︳ 控 制 ㄎ
堵方包
下hefu︳ |︳ 一e0f︳ dentitiessha︳ ︳bernanaged
ifecyc︳
.螉
籛鑰 無
〡應 管理 身分之 整個 生命 週期 。
鑰繳姊
U
餓帝鏺籦鋪師出雜聖窯 緇學塞聶彿
Con之 Γ
o︳ 控 希吋;檔 路
色
一 $trati. nandde中 re9工 Strat| on proce$ssha:|
AfoΓ rna︳ uSerreg| be
irnp︳ emen毛 ed宙0enab︳ eass| gnmen煮 ofaccess ri9拓 tSi
應 實作 正 式 之 使 用者 註 冊 與 註 銷 流程 分俾 艞 派 存 取權 限 。
餵好
啷
♁╟$雀
:妙
◎ 下C︳ C
Ⅳ︳
odu︳ e五 r2S!ideㄔ 8
A.50rgan︳ 2aHona︳ contro︳ S組 然
戠控常︳
.
銹纖 琇鉿 嬏 螉錢 ﹌
A石 .可 6| den甘 tyrnanagement身 分管理
舛
齡簅 銹螂航跆堅鴷 鑮犖盤鶢鑰 磁瑙撥珅 工 鬱螂
Purpose目 亡
琦
0Wfo「 theun︳ que︳ dentification ofind︳
下oa︳ ︳ v| dua| sand
systemsaccessingtheorgani2ation’ s︳ nforrnat︳ onandother
asSOciatedassetsand七 0enab︳ eappropΓ ia七 eaSSignmen七 of
acceSs rights.
子他
相關聯產
資之人
個及系
星|
瑩青發
璧晉雷
鼇署簑
肇蠹籠
霮
鐒帥
◎ 了C︳ C Modu︳ e2-2s︳ ide49
露甔 鐐
— —
鐒黦錀谽 鑴 鑼雞♁鑯 ¢
A.5.η 7Authenjcauon︳ nformauon鑩〨
另●資訊
措施
Contro︳ 控 帝|
鈐躈鈖 本
A| |
ocationandrΥ︳anagement ofauthentication infOrrnation sha︳ ︳
edbyarnanagement pΓ ocesS,︳ nc| udingadV︳ S:ng
becontro︳ ︳
鐑黤螂
鑑 別 資訊 之 配 置 及 管 理 應 由 管理 過 程 控 制 ,包 括 告 知 人 員 關於
錀瀸鑈姊磁蠱啦寧擺學鑑嶺 銹就器玲抻音 姼坤
鑑 別 資訊 的適 切 處 理 。
C♁ 破拎|
控帝ll捨 施
了he缺 ≡ 〡♁C8ti。 nΘ苦Secre走 爸u七 he維 老 ♁n言 nfOrInat子 on$仇 a君 子be
:ca崔 ≡
c♁ $tξo官 |
♁心t乩 紅 ♁u$乩 aforma︳ m綾 孔爸geme找 毛pξ oce$$︳
應 以 正 式 之 管 理 過 簿 控 制 秘 密鑑 房時資 訊 的 配 置 。
紛阿
β戤禕
— —
螉議鑰♁ 餾 鑱黮劬鐖 外
A.5jη 7AuthenucaHon informa∥ on鎦 :別 資 訊
Users sha| | OWtheoΓ ganization’ sPracticesin the
beΓ equiΓ edtofo︳ |
useofsecΓ etauthentication infor!Ⅵ ation.
於 使 用秘密鑑 別 資訊 時 ,應 要求生 用者 遵 照組織 之 實務 規定 。
鐑籦鎙 玲
PassWoΓ dr| ╮anagement systeΠ ╮sha︳ ︳
be;可 dsha︳ ︳
ensu「 e tera繭
錫籦螂
qua︳ itypassWords.
兟Λ
札 行碼 管理 系統應 為 互 動 式 ,並 應確 保嚴謹通行碼 。
躌娣
CDⅡ 打 ●二typ| h㏑ r班 就 i● n Cy也 crSecur放 了 oper臣 ti● 且&主 Sqε ur且 ydDm葅 ns
各εεur主 tyPr3pu在 |s ε6Ⅱ〔epts 出(§
ε&p致 ti王 二
李PreV§ nt二 ve #CoIfiden〔 走 a王 i寸 #Proteε 七 #室 εen在 呂
Jtand一 a! #Pro〔 ec仁 ion
勞Ξ
一Ⅱ巳aI1劍gemeIlt
ntegr王 守 CeS§
母帥 aⅡ ab主 1扎 y
研
鑰 蹜器路跡
PurPose目 的
下0enSu「 epΓopeΓ entityauthenticationandp了 eVentfai︳ uresof
:鈖
怬
authentication pΓ ocesSes.
盼帥
◎TC陀 確 保 正 確 之 個 體 鑑 別 並 防 止 鑑 別 過 程 失 效 。 Modu︳ e2-2s︳ ide5η
′我 π
— —
Contro︳ 控 帝︳
措施
AcceSsΓ ights a七 ionandotherassociatedassets sha︳ ︳
to infoΓ ╮ r︳ be
鏺顅鑈 永
C㎝ 求ㄌ;控 制 措 施
A拓 n每 ︳u$° racces$prov:$jon︳ ngproce$$$ha:|
r∵ be| mp| @men拖 d它 °a$$° $n or
冷VOkeaece$$山 9h竹 拓r田 〡u$er牡pes toa︳ ︳
systemsandseⅣ :ces一
應實作 正 式使 用者存取權 限配 置程序 ,以 對所有型式之使 用者 射新有 系統及服
務 ,指 派 或撤銷存取權 限 σ
A$$e七 °Wners s拽 田 ︴FeV;eWu$er$. 宙CC兮 $$↑ 〡 egu︳ 守r︳ n在 eⅣ a︳ S.
9h它 $a卡 乎
資產擁 有者 應 定崩審 查使 用者 之才
子取 權 限 。
谽師
◎ TC︳ C
Modu︳ e2-2s“ de52
°
瞈籮齡盼 嫋 瞈籛妢齺 磄 黰協 站
A.5.η 8Accessㄇ ghts存 取權 限
下heaccess rights ofa︳ ︳emp| oyeeSandeXterna︳ pa比 yuSeΓ s to
| oVed
nforrnationandinfOrrnation proceSSing了 aci︳ itieSsha︳ ︳berer| ╮
ination oftheirernp︳ oymen比 c° n七 ract oragreement,or
upon terrΥ ╮
a山 us七 eduponchangd口
斤有 員工 及 外部使 用者對 資訊及 資訊 處 理設施之存 取權 限 ,一 旦其聘 用
筠麰螂
ㄏ戶
契約或協議終 止 時 ,均 應予 以移除 ;或 於 其聘 用 、契約或協議 變更時均
瓶‵齡︴
須調 整 u
yp仁
εσntr.王 七 王且拓 r政 a〔 玉 n Cˊ ︳erε ε〔Ⅱr王 哲 0工 era毛 主
6Ⅱ a1 §eC旺 r放 y接 玉 a王 n§
. .
§εεHri好 pr0fert王 eS ε0玉 Cε p在 S 6已 p盆 已善主 已§
在主
勞Pr念 V密 上
】〔汁§ 勞Con且 血 nu斑 i七 y 華Pro七告G七 aen意 王
勞工 七!Land一 a乎 勞Pr●挺 C在o正
一
勞王 egrlty
且守 cess一 maⅡ agement
求蠟 主 1旃 主 牡
卿
i玉
塕 筋器嬐聊 宮 艙郴
PurpoSe目 的
a七 ionando七 heΓ aSsociatedassets is
下0enSuΓ eaccess七 o;nforrΥ ╮
盼帥
zedaccordingtOthebus︳ nessΓ equi「ements.
def︳ nedandautho「 |
釐薽 靂
— —
齡雞鈉鍛 蠣 璘簸谽鑰 密
A.5.︴ 9︳ nformaHOnsecuHtyinSupp︳ ieΓ re︳ °nShips
缸︳
供 應 者 關係 中之 資訊 安 全
鎗籩齡 然
空希!H皆 施
Con七 ro︳ 寸
Processesandproceduressha︳ |bedefinedandimp︳ ernentedto
齡黫哪
應 定 義並 實作 過程 及 程序 ,管 理 與供應 者產 品 或服務 之 使 用相 關聯 的 資
訊安 全風險 。
颼與 供應者蟻定並文碑化 ,降 低與供應者存取 組織 資產 關聯 之風 險的 資
=爸
鐒黤齡谽 璐 餓雞犐
A.5.﹁ 9lnfoΓ ma小 onSecu〢 tyin supp︳ ierre︳ auonships
供 應 者 關係 中之 資訊 安 全
C● 且七
r● ︳竹 p兮 Ⅱ竹 rm五 t二 °Ⅱ
王 Cy右 兮r§ eC社 ri打 opε rη 注o且 致五 6ε c︳ ︳
←主t》 d田ma主Ⅱs
§eC性 ri可 ㄏprGpert主 兮S C0止 εep在 § C及 pabⅡ it二 es
外
鑰 籩 狒 姊航路堅 鮤 錯夥崒 舞 錀 蹴學霆 η吝 ♁ 姊
PurPose日 |
有
a︳ ntainanagΓ eed︳ eve︳
下orΥ ╮ ofinforrΥ ╮
ationSecurity:nsupp︳ ieΓ
re︳ ationships.
於 供 應 者 關係 中維持 議 定 之 資 訊 安 全 等級 。
紛帥
◎ 了C︳ C
Modu︳ e2ㄛ 2S︳ ide5S
錛黰錛蜍 齺 鏺驤紛鑰 ︴
氏 5.20Ad什 eSSinginfOrrna∥ on比 Cu︻ tyW㏄ hin supp| ier
agΓ eements於 供 應 者 協 議 中 闡 明 資 訊 安 全
ContΓ o︳ 措施
控 希↓
Re︳ eVant informa小 0nSecuH七yrequirements sha| ︳beestab︳ ishedand
鏺雞齡 八
agΓ eedwitheachSuPp︳ ︳
basedon thetypeofsuPP︳ ierΓ e︳ ationsh︳ p.
eΓ
議定 。
鑈籦鍋師歎報 犁羅學簽路鉀
COn崔 Υ
°〡控希呼
寸著施
A子 子re| eVan七 | n竹 Γ ma║ on sec吐 好 好 req sha| |beestab比 Shedand
agreedw:在 heachsupp| ︳ ertha在 rnayaccess,proces$,s左 0re.
COu〡 r料 un子 ca走 e,or prov︴ de令 了 in打aS之 ructurecomponen走 SfoΥ ,︴ he
鑈 旅器冷許可 谽螂
Organ:2爸 七
;。 n’ S子 n了Orma七︳
°n. ◣
應舞每偶可能才 子取 、處理 一儲存 或傳達資訊 ,或 提供 |
T基 礎建設 組件 資
訊之供 應者 ,建 立及議定所有相 關資訊 安全要求事項 。
劬糽
◎ 下C| C
Modu!e2-2S∥ de56
A.50rgan眨 a小 ona︳ contro心 組 織控 制 蠐 坤
疊珮 靂栽
齴籛鎀谽 鎔 鐒籛盼鑯
A石 .20AddreSSing:nfOrmaHOnsecu山 tyw㏄ hinSupp︳ ieΓ
agreements於 供應者協議 中闡 明 資訊 安 全
#?re吊 ◤
e玉 ltiVe #C° 址fiden言 三
久li睜 #工 路趴拉圩 #SⅥ pp王 ier〦 da各 站n- #Gσ 咪才nanCe一 玉瑟d一
華愛五te各 r比 y ecⅡ 且打
比p﹂ §
§ Ecoε ˊstem勞 Pξ 6守 eC-
鼓蠟 i抾b王 王 i牡 在O工 王
一
攤 螂鎡撥跡 學 黏 嗧篴 鐒 鑰 城雄玲帥 含 鈔 螂
PurPose目 |
琦
下o rnain七 ainanagreed︳ eve︳ ofinfoΓ rnationSecurityinSupp︳ :er
e︳ ationsh:ps.
「
於供 應 者 關係 中維持議 定 之 資訊 安 全 等 級 。
鐪帥
◎ 下C︳ C de57
Modu︳ e2_ 2s︳ ︳
A.50rganizajona︳ cont「 o㎏ 組 織控 制
翰籦協谽 鑴 擁麰鬱鑰 就
Managing︳ nformahon secuHtyin the︳ CTSupp︳ ychain
A.5.2η
CT供 應鏈 中之 資訊 安 全
管理 |
Con七 rO︳ 寸
空帝︳
寸告施
銹幾鎀 井
應定義並實作過程及程序 ,管 理與 ︳
C下 產品丞盟盪堡選鏈型盟塈之資
鑰繳鑈妳瓶趙聖黧 鑼夥錯幾師
訊安 全風險 。
CO比 芭Υo︳ 控 常 堪
兮著施
Agξ ♁e竹 e#奇 SW言 ︴hSupp比 er$$h爸 ︳ nC︳ ude了 eq吐 ≡
︳君 ξe出 en左S盞 ♁ 簽ddξ 兮SS︴ he
錫 磁拶撥帥章 鎗螂
聯 之 資訊安全嵐 險 。
◎ 了C︳ C Modu︳ e2-2s︳ ide58
A.50rgan泛 a∥ ona︳ con七 ro心 組 織控 制
β戤 β
— — —
鈐黤齡谽 孋 齡黤岱
A.5.2η ︳
Ⅵanag︳ ng:nfor【 ηationSecuΓ ityin the︳ C┐ supp︳ ychain
「
管理 ︳
C了 供 應鏈 中之 資訊 安 全
C° 五在ro一 tˊ pe Informa在 元
DⅡ CyherS兮 εur主守 operation且 玉 §eε 攻r五 Eˊ dDmaiⅡ s
seε uri竹 √PrsPer〔 ie§ εonε ep| § εapab三 址ies
#preVe且the #Con且 den〔 hh〔 ˊ 報d錢 毛
i牡 #Sttpplkf二 礅雄站在打 帶GOVeξ〕 lance一 a朮 走
一
勞Intβgr久 ty §hipS一securi七 y Bε os於 七en及 努Prote←
組 V斑 土a拉王 ibΓ 七ion
本
瞈攤錛螂皴鍥 擊羅猙能舉鑰 航曌型η音谽”
PurP。 se日 | 琦
下o rnaintainanagreed︳ eve| ofinforrΥ ╮
ation secu「 ityin supp︳ ie「
Γe︳ ationships.
於 供 應 者 關孫 中維持議 定 之 資訊 安 全 等 級 。
姼阿
◎ 下C︳ C
Modu︳ e2-2s︳ :de59
β&r
— —
攤黮錛嬐 皤 銹籬♁饑 ︴
A.5.22︳ Ⅵonito「 ing,「 eviewandchangernanagernent ofsupp︳ ieΓ
SeⅣ 心eS供 應 者 服 務 之 監視 、審 查 及 變 更 管 理
措施
ContΓ O︳ 控 帝︳
鏺黫鎙 本
組 織 應 定期 監視 、審 查 、評 估 及 管 理 供 應 者 資訊 安 全 實務 作 法
及 服 務 交付 之 變 更 。
Con老 r刮 控常ll措 施
錢 城雀邂
i
谽瑯
紙 織 應 定 期 監視 、審 查及 稽 核 供 應 老丹
艮務 交付 。
♁抔
◎ TC︳ C
Modu︳ e2-2s︳ ide69
松 .50rgan眨 ajOna︳ contro怡 組 織 控 制 竹
靂珮 籚
— —
銵靆鈐翰 蠮 齡麶紛鐊
A.5.22| Ⅵonitoring,rev︳ eWandchanger【 ╮
anagement ofsupp︳ ieΓ
seMces供 應 者 服務 之 監視 、審 查及 變 更 管理
C● 盜守rd班 ♂ Υ玉拓 rma唾 cn Cy出 它r∫ §C!r丘 牡 §pera在 e玉 在玉 $eG出 r主 研r遠 兮班 a:且 §
eS c6nc辦 6佼 p在 ↓主
主出iε S
$鐖
§兮〔世r二 出◤p娑6p§ 比 主
雥鋪 洴
肆Pre¢無 竹Ve 聲εφ比冉de在 #王 在y
i主 路玉
山g工 t仁 牡 特$upp主 i兮 〡r以 B出 °n一 器Gφ 甲e=nㄠ nc兮 ︸
an滾
一
tegr睜 EccSy§ te膝 器P↑ ●七
鐒黫螂
#王 公 ships亦 $e〔 ur在 竹 eC︼
-1女
緻 Va迋 王芒
出′ i”
i才 #〔 h出 出 佳t王 en﹏ $ecu﹏ t主 兮且
#Jt銘 h〔 兮
餓外
ri七 y_ 含SSㄝ 全各 n6e
依 供 應 者 協 議 ,維 持 議 定 之 資 訊 安 全 及月
艮務 交付 等 級 。
劬帥
◎ TC︳ C Modu︳ e2-2S︳ ide6π
oudSeⅣ ︳
a小 onSecuⅡ tyforuSeo仇 ︳
氏 5.23︳ nforr︳ ╮ ces 攤黮擁谽 鑼 鍋黦紛鰳 心
措施
Contro︳ 控 帝︳
鐒籦銹 本
ProceSSeSfo「 acqu:sit:on,uSe,managernentandexitfror| ╮
錢鼵坤
應 依 組 織 之 資訊 安 全 要 求事 項 ,建 立 獲 取 、使 用 、管 理 及 退 出
雲端 服 務 的過 程 。
嬐師
鐑議齡妢 鑼
氏 5.23︳ nfoΓ maUon比 Cu山 tyforuseo仇 ︳
oudSeⅣ ices
使 用 雲端服務 之 資訊 安 全
℃O址ro工 七ypε n出 rⅢ 在 王
o且 Cyb兮 r§ eCⅡ ri七y Dpera6二 o且 a玉 Sε εⅥr扭 ydDmalns 淒
§εεuri︴ yPΓ .Pε rt竹 E C° ⅡCε p︳ s ε五p放h:1哀 垃es
一 發
著PreVe11t主 V3 #Ca〦 生d§ nti且 i守 勞Proteε t #S社 ppI主 e‘ 比1此 出工
1- #GOveΓ nanε ε一:nd└ 李
#出㏑各!玉 哲 小§Curi〔 y
且1中 § Eco巧 /steIn#Pro控 ︳
舳 社出 哲 iI玉 在o11
鼛酸 ‵
Purpose目 |
的
ToSpeci打 andmanageinfo「 ╮
auon secu山 tyfortheuseo仇 ︳
r了 oud
SeⅣ ︳ceS.
星星並隻運垼且盪些服務 之 資訊 安 全性 。
紛
紛
帥
◎ TC| C
Modu︳ e2-2s︳ ide63
A_ a出 0nSecu︻ tyforuSeo仇 ︳
5.23lnforrΥ ╮ OudSeΓ ′
ices 錛籦彿鎗 鑴 鑈黦♁蟣 ψ
、
艮務 之 資訊 安 全
使 用 雲端 月
彿黫狒 本
昇
路荋召Π
倍腱許思
出瑟 噁丮
對| S七;榴 :腮 :龍 挖
:廚 辯逯口
,並
鑰黤師
宜建 立 使 用 雲端服務 之 主題 特 定政 策 向所 有相 關關注 方 溝通 或
鸒篷
餓的鑰黤鑈抪描蠱螂寧蓀學環盟麤 磁夥玲野哥 妙螂
蹧籈蘚華 (參
親議嚲難駝鸅緣簃犁斃姴
及 5.22)
延 部分 照 伸或一 5.2η
鍛外
◎ 了C︳ C
Modu︳ e2-2s︳ ide6ㄔ
A_ 50rgan矻 aHOnalcontr0心 組 織 控 制 蠐
翰籛 翰谽 錔 鑰黫 盼鐖
oudSeⅣ iceS
auon secu市 tyforuSeo比 ︳
氏 5.23︳ nforrΥ ╮
使 用 雲端 服 務 之 資訊 安 全
GU:dance指 引{
︳S。 2了 002}
$銵
了heuSeo了 OudSeⅣ iceScaninvO︳ vesharedresponsib:︳ ityfor
黰錫
c︳
#鎀
黫榔
proViderandtheorganiza七 | onactingas七 hec︳ oudservicecustomeΓ 口︳ t
甄無
isesSentia︳ tha七 七hereSponsibi| eSforboththec| °udSe「ViceproVider
至為 重要 。
幼帥
◎ TC︳ C Modu︳ e2-2s︳ ide65
釐薽呂
露
— —
oudSeⅣ ices
aHonSecu山 tyforuseo比 ︳
A.5.23︳ nforr了 ╮ 鐖灘嫋♁ 鑼 鑼籛幼鐱 。
使 用 雲端 服 務 之 資訊 安 全
Gㄩ :dance指 引{ ︳
S。 2了 ●02〕
鑈籛嫋 本
heuSeofthec︳ oudserViceS;
鑈黫鐱砷欽覝 擊羅琌鏺轟 鍋 航移玲跡名 蛜螂
W︳ th七
與使 用 雲端 月 艮務 相 關聯 之 所 有相 關資訊 安全要求事項
b)c︳ oudseⅣ iceSe| ect:oncr︳ ter:aandScopeofc︳ udServ:ce
usage; 。
雲端 月 艮務 選擇 準 則 及 雲端 服 務 使 用 範 圍
c)ro︳ esandresponSibi︳ it:esre︳ atedto theuSeand
management ofc︳ oudSeⅣ ices;
盼帥
與 雲端 服 務 之 使 用及 管理 相 關 的 角 色及 責任
◎ 下C︳ C Modu︳ e2-2S| ide66
A.50rgan矻 aHona︳ contro心 組 織 控 制
錛飄 鑰幼 鑼 鑰 雞 谽 鏹
A.5.23︳ nfoΓ rna小 on比 CuhtyfoΓ uSeo仇 ︳
oudServices
使 用 雲端 服 務 之 資訊 安 全
Gu︳ dance指 ︳
引{SO2了 ●●2}
加
鑰籛 齡
下heor9anizaⅡ on shou︳ ddeπ ne組 織 宜定義 :
$鏺
d)whichinfoΓ rnaUon secuHtycont「 o︳ sarernanagedbythe
霮坤
兟 撥 黤 鑰 螂航玲堅 黧 鋒路盤 舉 鑰 薪靜路黔 音 谽 螂
c︳ oudserviceproviderandWhichaΓ erΥ ╮ anagedbythe
本
oΓ gan:2ationaSthec︳ oudser、 ′
icecustomeΓ ;
資訊 安 全 控 制措 施 哪 些係 由 雲端 月 艮務 提 供 者 管理 ,哪 些係 由作
為 雲端 服 務 客 戶 之 組 織 管 理
e)howto obtainandu小 ︳
iZeinfo「 ma小 onSecu山 tycapabi︳ 比ieS
pΓ ovidedbythec︳ oudSeⅣ icepΓ oVideΓ ;
如 何 取 得 並 利 用 雲端 服 務 提 供 者 所 提供 之 資 訊 安 全 能 力
鎀師
◎ TC︳ C
Modu︳ e2-2s︳ ide67
′已 β
— —
使 用雲端服務 之 資訊 安全
Gu:daΠ ce指 引{
︳S° 2了 002〕
彿纓鎗 〝
如 何 取得 對 雲端服務提供者 所 實作 之 資訊 安全控 制措 施 的保 證
觝的
處 理 與 雲端服 務使 用相 關︴ 真 垂 安 全 車救 起 猩 序
谽擗
◎ 下C︳ C
Modu︳ e2-2s︳ ;de68
A.50rgan眨 aHOnalcon七 ro怡 組 織 控 制
鎀雞 翰谽 嫋 鐑纖 盼鐖 ︴
A.5.23| nforma小 on比 CuHtyfo「 uSeo仇 ︳
oudSeⅣ iceS
使 用 雲端 服 務 之 資訊 安全
Gu︳ dance指 ︳
引{So2了 002〕
佛繳 銹 方
i)i七 Sapp「 oachfor rnonitor| ng,reVieW︳ ngandeva︳ uatingtheongo︳ ng
useofc| oudSerVices七 0managein了 0Γ mauon secuHtyHSks;
彿黦 螂
監視 、審 查及 評 估 持續使 用雲端服務 管理 資訊安全風險之作 法
鎀帥
◎ TC︳ C Modu︳ e2-2S︳ ide69
艮務 之 資訊 安 全
使 用 雲端 月
GU:dance指 引{
︳S。 2了 002〕
齡黫 齡 本
seⅣ iceagreement shou︳ dadd「 eSS七 hecon何 denja︳ ity,in七 eg一 ty,
攤黫 協師瓶路妳擊露 帶鑑孻帥
雲端服務協議通 常係姊 ,
對於所有雲端月 艮務 ,組 織 宜
審 查與 雲端服務提供者 之 雲端服務協 。雲 端服務協議宜 因應組織之機
擁 磁器玲掛 守 盼妳
錚毯口
β
— —
螉黤齡盼 齺 鏺黫鎗饑 岱
A.5.23︳ nforma甘 0nsecuHty了 o「 uSeO比 ︳
oudseⅣ ices
艮務 之 資訊 安全
使 用 雲端月
Gu:dance指 引{
︳So2了 002〕
鐖纖鑰 於
下heorgani2ationShou︳ da| sounde仗 akeΓ e︳ eVantΓ iskaSSeSsments to
identify七 he山 SkSaSsociatedwithusing七 hec︳ oudseⅣ ice.AnyΓ esidua︳
銵簸蚺
risksconnected七 0theuseofthec| oudseⅣ iceShou︳ dbec︳ ear| y
餓外
iden七 iΠ edandacceptedbytheappΓ opriaternanagement ofthe
妙帥
◎ 下C︳ C
Modu︳ e2_ 2s!ide7η
π&π
— —
艮務 之 資訊 安全
使 用 雲端月
Gu:dance指 了︳{︳
S。 2了 0● 2〕
AnagreementbeⅦqenthec1oudseⅣ iceproviderandtheorganization,
h鎙
纋 齡 錛雝 螂
SeⅣ ices:
心
雲端 月艮務 提 供 者 與 作 為 雲端 服 務 客 戶 之 組 織 問 的 協 議 ,宜 包括 下 列 關
於 保 護 組 織 資料 及 服 務 可 用 性 之 條 款 :
亡
苣
全 主
芒
亡〧全
量昂
子子
1音耴,以占
舌 ξ
︴ F| g再
:早
c| udse口 iceto rnee七 he
管理 雲端月
艮務 之存取控制
紛師
符合 組織的要求事項
◎ 了C︳ C
de72
Modu︳ e2-2S︳ ︳
一
A_ 50「 gan眨 aHon刉 contro︳ S組 織控 制 瘸 騶 翔 鑗 鱗 竹
籚珮 靂
鈐纖齡翰 餾 翰籛 盼鐪 外
A.5.23︳ nfo「 rl╮ ation securityforuseofc︳ OudSeⅣ iceS
使 用 雲端服務 之 資訊 安全
Gu:dance指 引{
︳So2了 002}
齺鏃 搦
on比 0hngandp「 otecHonSO︳ u小 ons
c):mp︳ emen竹 ngma︳ warerΥ ︳
實作對 惡意軟體監視及防護之解決方案
#彿
籛螂
d)processingandstoringtheorganization’ ssensitiVe︳ nfor【 nation in
籤外鎀瓔 鏻挪箋餵 箤礽
apP「 oved| ocations(e.g.particu| a「 countryor「egion)orwithin oΓ
su切 ec七 七0apaHicu| arjuΓ isdi田 ion
於 核可之位 置(例 :特 定國家或地區)或 於 特定管轄 區內或受特定管
轄權約束 ,處 理及儲存組織的敏威性 資訊
舉夥鐵躌 呦 妳鑉跨掛 令 鍛娜
e)p「 ovidingdedica七edSupport in七 heeVent ofan inforrna七 ionSecur| ty
incident︳ nthec︳ oudserViceenvironment
鎀帥
◎ 下C︳ C de73
Modu︳ e2-2S︳ |
使 用 雲端 服 務 之 資訊 安全
Gu:dance指 引{
︳So2了 002)
鐒黦鎙 本
contracted)
縐雞鐪師筋
確保符合組織的資訊安全要求事項
驗姊罕罨夥雄義 鐪 磁簽玲鄸宮 盼轉
◎ 下C︳ C
de了ㄥ
Modu︳ e2█ 2S| ︳
A,50rgan矻 a山 ona︳ contro心 組 織 控 制
瞈黰鋒鍛 鑼 鑰靆皊艤 外
A.5.23lnfo「 maHOnsecu山 tyfoΓ useo比 ︳
oudSeⅣ iceS
使 用 雲端服務 之 資訊 安 全
Gu︳ dance指 ︳
引{So2了 002〕
錀羻鐪
h)pΓ ovid︳ ngapPropriatesuPportandaVai︳ ityofSeⅣ icesfoΓ an
abi︳
$鐒
饕螂
c︳ oudseⅣ ︳
ce
麩無
當組織欲退 出雲端服務 時 ,於 適切 時限內提供適切之 支援及服務 可用性
c︳ oudse「 VicecuStome「
依組織(扮 演雲端服務客戶)使 用之雲端服務提供者的能力 ,提 供所要
求之 資料 及組 態資訊備份 ,並 於適用時安全 管理備份
幼師
◎ TC︳ C
Modu︳ e2-2s︳ ide75
π已 ′
— —
thec︳ oudse口 ︺
icecustome「 ,WhenrequestedduringtheserVice
pΓ ovision ora七 七
er〔 nination ofservice.
鋒黫螂
◎ 下C| C
Modu︳ e2E2s︳ ide了 6
A_ 50「 gan:ZaHOna︳ con七 ro心 組織控 制 爾騶娹豳解 竹
靂珮 靂舐
鐒鐵鋒啥 皤 鑱籛皤臘 外
A口 5.23︳ nforrr╮ ationSecuri七 yforuseofc| oudservices
使 用 雲端 服 務 之 資訊 安全
Gu:dance指 引{
︳So2了 002〕
錛幾鋪 ㄞ
a) changesto the七 echnica︳ infrastΓ ucture(e.g口 re︳ ocation,
reconfiguration,orchanges inhardWareor software)thata什 ecto「
彿羻螂
changethec︳ oudserViceo帝 ering
鈚水
影響或變更雲端服務產品之技術基礎設施的變更(例 :變 更位置 、重新
同級 雲端服務提供者或其他次供應者之使用(包 括變更既有或使用新增
鬱帥
者)
◎ 了C︳ C Modu︳ e2可 2S︳ ide77
露鼠好
靂
—
—
鏘纖鑈谽 蠮 鑼鑈鬱鑯 館
A.5.23| nforrl╮ aⅡ on secuHtyfo「 useo仇 |
oudSeⅣ iceS
艮務 之 資訊 安 全
使 用 雲端月
蠮黤翰幼 孋 翰黤蜙鐖
氏5.23lnforma小 0nSecuhtyforuseo仇 |
oudSeⅣ ices
艮務 之 資訊 安 全
使 用雲端月
o七 her㏑ 〡
orma山 on其 它 資訊
Additiona︳ information re︳ atingtoc| oudseⅣ icescanbefoㄩ ndin︳ SO/︳ EC
︴7788,︳ So/︳ EC﹁ 7789and︳ So/︳ EC22︴ 23-η
$鱗
灘鑰 ︴
.
銹龘艸
︳SOˊ | EC22η 23-η 。
餓外
Specificsre︳ atedtoc︳ oudportabi︳ ityin support ofexit strategiescanbefound
鐫籦鑰師繳齵 學Ⅵ
in︳ SO/︳ ECη 99碎 ﹁ .SpecificSΓ e| a七 edto infoΓ ma七 i° nSecurityandpub︳ icc︳ oud
seⅣ icesaredescΓ ibedin︳ SO/︳ EC270η 7.Speciπ csΓe| atedtoP︳ ︳Protection in
pub︳ icc| oudsactingasP︳ ︳ proceSSoΓ aΓ edescΓ ibedin︳ SO/| EC270η 8.Supp︳ ieΓ
Γe︳ ationshipsfoΓ c| oudseⅣ icesaΓ ecoveredby| SOˊ ︳ EC27036一 碎andc︳ oㄩ d
谽帥
艮務 協議 及 其 內容於 CNS▋ 9086系 列標 準 中
處理 ,安 全 及 隱私 特 別 由 CNSη 9086-碎 涵 蓋 。
◎ 下C︳ C
Modu︳ e2-2S︳ ide了 9
r我 ′
霐 t工 月 刁 路穿
,︼
— —
prepaΓ a山 0n資 訊 安 全 事 故 管理 規 劃 及 準備
Contro︳ 控 制 H際 施
鑰籦銹 〝
rΥ
Γ
鍛籦鰳姊疑群 犖蘿移餵擺姆
esponsibi︳ ities.
組 織應 藉 由定 義 、建 立並 溝通 或傳 達 資訊 安全 事 故 管理 過程 、角 色及 責
任 ,規 劃 並 準備 管 理 資訊 安全 事 故 。
Con之 安
0︳ 發筥希ㄈ
措施
鑈 磁器啥趶音 姼外
inc:den七 S.
谽帥
應 建 立 管 理 責任 及程 序 ,以 確 保 對 資訊 安全 事 故做 迅速 、有效 及 有序 之
◎Tqc回 應 。 Modu︳ e2-2SⅢ de80
A︹ 50「 gan眨 ajona| cont「 o心 組 織控 制
齡雞翰盼 豂 鑱皺幼
anagerΥ ╮
ma小 onSecu山 ty︳ ncident rΥ ╮
A_ 5_ 2碎 lnf。 ent p︳ anningand
「
preparajon資 訊 安 全 事 故 管理 規 劃及 準備
ype
rO正 在
Co丘七 工
且拓 rI交 a球 0女 CybersecⅥ 了i它 ˊ op兮 rat甚 ●na玉 七ˊd色 孜 a三 且ε
§eε 社Γ主
§eε u了 itypr6rε rt:es ε6ACε pt§ 〔及pabi王 去t二 es
#Correc七 iVe 勞CoIt宜 遮en七 iality #Re§ pO及 d#ReCeΥ er 勞GoVer且 anCe Ce
母Ele民且在
學工玉王t℃ 各rity #王 n拓 rn︴ a七 io土 _§eatri-
#AVa立 ︳ 旃 i1是 寸 缸 一eveEh且扭1們ge4qnt
餌
齡 籛 齡 螂拓熪姊 聯鮛簿移簽 芻 鐑 筋灘踚帥 當 鈖 螂
PⅡ 印 Se目 的
。
下oenSurequick,e什 ect︳ Ve,conSiStentandorder︳ yresponseto
㏑foΓ ╮rΥauon sec山 Htyincidents,:nc︳ udingcommunicauon on
in了 orrnauon secu山 tyeVents.
確 保 對 資 訊 安 全 事 故做 迅 速 、有 效 、一 致及 有序 之 回應
,包 括
鍛帥
資 訊 安 全 事件 的溝通 或傳 達 。
◎ 了C| C Modu| e2一 2S︳ ide8可
Con七 ro︳ 控 制措 施
鑰鑼鐒 〝
incidents.
鑱黫銹坤畿鎖 單撬夥璱擺蟀
組 織 應 評 鑑 資訊 安 全 事件 ,並 判 定是 否將 其 歸 類 為 資訊 安 全 事
故二。
措施
Con七 ro| 控 希∫
鏘 航舉路黔宮 鬱砷
應評 鑑 資訊安全事件 ,以 決定是否將其要歸類為 資訊 安全 事故 。
◎ TC︳ C Modu| e2-2S︳ ide82
A.50rgan泛 a甘 ona︳ contr0心 組 織控 制 十
釐亂 π我
— —
齡麗齡蛜 鑼 鏺纖佛
A_5.25ASSessmentanddeciSion on:nforma小 onSecuHty
events對 資訊 安 全 事件 之 評鑑 及 決 策
C6ntro三 七yP兮 I且 丘9r亞 a在 on Cyb子 r§ εC} ri守 o#era〔 i6Ⅱ aI Sε C追 r五 好 dom玉 主n§
Seε 已rityprφ 兮r心 ε§ C0玒 〔ε′七§ cap主七且iHes
#Detect〝毛 #Confi並 nth主 比ˊ #De可玲C七 #ReSpon° nfOr正 lation_ secur主 - 李Defence
努工
一
#工 ntegr王 tˊ
母一evelIt上 nana各 e:ne我 t
紐 Vailabi王 主
母
岱
狒 踐 銹 師紅路竺 聚 彈李箠 舞 齡 筋我路河
PurPose目 的
Toensuree仟 ectiVecategoΓ izationandpΓ ioriti2ation0了
infoΓ mation secuΓ ︳
tyeVents.
確 保 對 資 訊 安 全 事件 有 效 分類 及 定優 先序 。
螂 :谽
錯帥
◎ TC︳ C
Modu︳ e2-2S︳ ide83
對 資訊 安全 事 故之 回應
ContΓ 0| ㄐ
腔帝︳
ㄐ階施
鏺黫齡 八
lnfoΓ rΥ ╮
aHon secu山 tyincidents sha︳ ︳berespondedto︳ n
鐑黰師
accordanceWiththedocurnentedprocedu「 es.
皴山
應 依 書 面 主 程 序 ,回 應 資訊 安 全 事 故 。
鑈纋鈖︴欺群 罕邁學盟館妒
篴
笱
Con#o︳ ︴
陸希好
ㄐ告施
音be冷
:n竹 rm撥 妳O雄 SeCu雄 ty=nG心 e雄SSA缺 ︳ $pondedto| n
幼 磁套跟
◎ 了C︳ C
Modu︳ e2-2S︳ ide84
A_ 50rgan眨 aHona︳ cont「 o怡 組 織控 制
紛靆翰盼 鑗 鑰纖﹌
A.5.26ReSponseto informaHon secu山 tyinciden七 S
對 資訊 安 全 事 故之 回應
C● 址它 法pe
r● 王有 出 笳 r趴 故 是 土 Cyterseε uri在y o↑兮〔 求 o丘 故 容eε 汪r二在y茧 o攻 女是
且ε
. ε●且Cε pts Cnp出 b玉 追
女主εS
巧◤prGp母 r七 iε §
g兮 GⅡ r二
一
#Corre〔 七
主Ve 掙Co1l且 de王lti雄 i七!, #玉 (Spo上 ld華 只兮COYer 勞工nfeΥ 路 a七 ion_ Sec社 r主 - 考Dd陲 1王 Ce
#王 汪
王拍g比 圩 七又 eV告n社_ 工na五 age丘主 忿n七
拜AV娥 出j主 王 近y
戈 鑱黝 瞈忡插琇螂璐筋傑夥簽邀 ︴
PurpoSe目 |
的
at︳ on
下oenSuree仔 icientande汗 ect:VeresponSeto:nforrΥ ╮
塕 航誰跨黔 莒 谽 艸
Secur︳ tyinc︳ dents.
確 保 有 效 率 且 有 效 地 回應 資訊 安 全 事 故 。
鎀帥
◎ TC︳ C de85
Modu︳ e2-2S︳ |
A.50rgan矻 aⅡ onalcontro怡 組 織 控 制 ﹏
π娥〔
彈
— —
A.5_ 27∟ eaΓ ningfΓ om㏑ foΓ ma∥ onSecu山 tyincidents 拂黰銹鏤 鑴 銹黰谽鑰 必
由 資 訊 安 全 事 故 中學 習
空帝!措施
Contro| 守
鑰錘銹 本
應 使 用 由 資訊 安 全 事 故 中所獲 得 之知 識 ,強 化及 改善 資訊 安全控 制措 施
鑰黮鐱碎欺齵 寧籀拶霮琲鑱 磁撰齶一
CO&在 才
°;︴ 空希甘
堪拖
KnoW吝 edge9a:找 ed#♁ 群︴接n凄 :y$子 ngandre$Θ 吝V| &$=n拖 r出 a七 j0&Sec爸 r:ty
$Sh每 ::beu$ed電 ° redu兮 e君he︳ 官
在C:硅 e跎 ︴
子 找ood♁ F;Γ npac在 0琴 久放ure
Ke| 子
再C=de我 tS一
〡
U 應使 用獲 自分析及解決資訊安全事故之知識,以 降低未來事故乏可能
音盼螂
l生 或衝 擊 。
.
蛜擗
鑰齥 齡姼 齺 齡靆一
A.5.27LeaΓ n| ngfΓ orΥ╮︳
nfor【ηation secuΓ ityinc︳ dentS
由 資訊 安 全 事 故 中學 習
Λ
鑱 激 錛 師蹴路蜘 翠 織 緇幾選 一
PurPose日 |
琦
TOreducethe︳ ike| ihOOdoΓ conSequencesoffuture︳ ncidents.
降低 未 來事 故之 可 能性 或後 果 。
齡 筋甚玲珅 音 谽 郎
嬐外
◎ 下C︳ C
╮ de87
田odu︳ e2-2s︳ ︳
ContΓ o︳ 寸
腔帝︳
ㄐ告施
下heoΓ gani2ation sha| ︳estab︳ ︳shandir︳╮ p︳ ement p「 ceduΓ esfor
齡黰錛 〝
安全 事件相 關之證 據 。
COn七 Υ|腔常寸
寸隆施
。
下heorσ an︳ zation sha| ︳ de田 neandapp| yprocedureS了 0Γ 走 抗e
ident︳ 罰 一︳
ca士 on,co| |
ect〡 On,acqu:si在 ︳
°naη心preServa之 ion o了
;n了or≡na︴ o竹 ,Wh官 chcanservea$eV工 dence.
組 織應 定 義及 應 用程序 ,以 識 污 收 集 ,獲 取及保 存 可 用作 證 據
紛師
lJ|
之 資訊 。
◎ TC︳ C
Modu︳ e2一 2S︳ ide88
A_ 50rgan矻 ajona︳ con七 ro心 組 織控 制 蠐 竹
靂允留
靂舐
搦籛 塕鬱 鑼 胇
ec小 on ofeVidence證 據 之 蒐集
A.5.28C。 ︳
︳
ˊprop§ rt二 守S
seε Hr主 七 c● ncε pt§ capa出 主王 eS
i〔 主
#Co了 reC〔 ive 母Conf主 del1tia| i〔 y 帶Deㄜ 〔〔七#ReSpald #王 n銘 rm且 tion_ sec在 … 勞砂§fence
#I上 1忘 e安 i哲 r轉Δ 玫 I上 m在 土age-
#AV求 王
lab止 王
吁 拉 e址
小
鐑 籛 夠 蟀羧餵 揫 羅 夥雖 鶢 佛 跡驛窆 η善 谽 坤
Pu卬 °se目 的
Toensureaconsis七 entande帝 ectiVerⅥ anagement of
eVidencere︳ atedto︳ nfo「 rnationSecuΓ ityincidents了orthe
pu「 poseSofdiScip︳ inaryand| ega︳ actions.
確保對與資訊安全事故相 關之證據 的一豫里互盔華理 ,供 典懲
及法律行霸可途 。
幼帥
◎ 下C︳ C Modu︳ e2一 2s︳ ide89
中斷 期 間之 資訊 安 全
Contro| 控 制措 施
丁heorganization sha| ︳p︳ anhoWto rnaintain infoΓ rnation securityatan
鐒雞 錛 〝
﹉
了 了
籤
C♁ 娥玲︴控 制 措 施
#鑰
纖 瞈妳鐑餅 學攝 移瑞擺辦鱗 磁炎 蹈 車 姼郎
°
t的 韓 C° 破:外 Ⅵ工
七 yξ升amag@m@坤 老i雄 爸
yo| n了 o〔 m缺 雜on$ec班 者 r〡 dVeF$e$〡 抽破 n$,e.修 .
拚gaC比
=。
d出 ξ
進 S︳ $° rd:sas抬 r.
組 織 韙 法 定其對 資訊 安全 之 要 求 事項 ,以 及 在 不 ˊ 卡 情 況 下 竹﹏:危 攘 或 哭雞 難 間汁
l|
對 資 訊 安 全 管理 持 續 推 要 求事項 。
┬h@◇ rga你 工 Sh,doc班 men音 ,︳ 了
|e$它 ab令 |
之a之 i。 nSh缺 ︳ np︳ emen七 在n心 m磁 ;n名 ain
閣所 要 求之 資訊 安 全 持 續 等級 。
◎ 下C︳ C h田 odu| e2-2S︳ ide90
A.50rgan眨 auona︳ contro心 組 織 控 制
翰鼛蚴啪 磻 鑰黤鍛饑 小
auon secu〢 tydu山 ngdisruP∥ On
A.5.29ln了orr了 ╮
中斷期 間 之 資訊 安 全
了外eo巧 an;Za牡 onSha〡 ︳ver° 竹 thees站 幼|
Shedand:mη |
emen竹 d
n拓 rma“ on$ecu∥ 在
| ycon伍 nu;竹 eontro︳ sa︴ regu| ar in推 Ⅳa| S=n
鍋黫鑼
o沁er toensure名 ha主 七 dande母 bct;Vedur° ngadvers兮
heyaΓ eva︳ ︳
$鐒
Si在 u缺 t:° n$‘
齷螂
鍼
組 織應 定期 查證所 建 立 與 實作 之 資訊 安 全 持 續性 控 制措施 :以 確 保 其於 不 良情 況
$鐫
期 間係 生效 及 有 效 。
鄧
心O玉 七r@玉 |ype IⅡ 比rma︴ i. Ⅱ c9bersefⅡ ri玗 ope〔依 iOh女 1 。eε 社r主 七ydo且 ai▲ §
§efur丘 ypr● p念 rtiε § ε●4〔 gpt§ 出 p在 出是it路 s
#Pr(非 ent王 Ve#Cor一 華C0在 f斑 ent主 ali吁 #Protect#Resp0nd #C0n在 nuity 舞Protectio玨
tNq ntegriΨ 一
reε #玉 #玉£Si玉 主
ellce
持A吊∴
久ilab玉 lity
︴
鑰 城窪 韹 好含 餩 阿
Pu叩 °Se目 的
TOprotect infor〔Ⅵationandothe「 associatedassetsduringdisruption
於 中 斷 期 間 ,保 護 資 訊 及 其 他 相 關聯 資產 。
劬師
◎ 下C︳ 〔
.田 odu︳ e2-2s︳ ide9﹁
A.50rgani2aHona︳ cont「 o︳ s組 織 控 制
π我 r
—
— —
〃甲 小二不定徯 姼 磾
♁帥
◎ 下C︳ C
;de92
Modu︳ e2已 工§︳
A_ 50rgan眨 aⅡ ona︳ cont「 o心 組織控 制 #
靂舐 靂
— —
瞈籛鈐盼 鑼 齡籛翰一
A.5.30| CTread︳ nessforbusineSSconunu| ty
營運 持 續 之 |
C下 備要性
聲Corr台 C七 二
巧◤e #如出工
芒曲是
亡:竹 半Reε 口0nd 群§on七 至
上芒
uity 華R且 Sil≡ ence
外
拂 籛 齡 螂磁路螄 犖筋繆犖雂 轟 鑱 插移琇辦 喜 鍛 螂
PHrpose目 |
琦
TOensure︴ heava︳ ︳abi| ityoftheorgan︳ za七 i。 n’ Sinforrnation
翰阿
◎ 下C︳ C
Modu︳ e2-2s| ide93
露熾uπ
— —
CT備 要性
營運 持 續之︳
GU:dance指 引{
︳S。 2了 002〕
銹黫 齡 ︿
component inbusinessconHnuityrnanagementand:nformajon
籤∞
◎ 下C︳ C
Modu︳ e2┤ 2s| ide9ㄥ
A.50rganizajona︳ contro︳ S組 織 控 制
辮黤齡玅 鑼 齡黤盼齺 無
A.5.30︳ C下 Γ
eadinessfoΓ b比 ineSScon小 nuity
營運持 續 之 ︳
C下 備 要 性
鑰羷鑰 功
The︳ C下 conunuity「 equirementsaretheoutcomeof七 hebuSiness
impactana︳ ys︳ s(B| A).下 heB︳ Ap「 ocess shou︳ duSeimpacttyPesand
鐪鼷班
criteriatoassess theimpacts oVer time「 esu︳ tingfrom thedis「 uptionOf
°功ec山 Ve(RTO).
︳CT持 續性要求事項係營運衝擊分析 (B︳ A)之 結果 。B︳ A過 程 宜使 用衝
擊型式及 準則 ,以 評鑑 隨時間推移 ,因 交付產 品及服務之營運 活動 中
斷 而造成的衝擊 。宜使 用所造成衝擊之 幅度及期 間 ,識 別宜指 派復原 時
間 目標 (RTO)之 優先活動 。
r吝
谽蚱
谽將
◎ 下C︳ C
Modu︳ e2ㄐ 2s︳ ide95
π&▌π
— —
鐑籲 離鍛 鑼 錛 黦 妙 蠟
A.5.30︳ C下 eadineSSforbuSinesScon心 nuity
「
營運持 續 之 |
C下 備要性
Gu:dance指 引{
︳S。 2了 002)
h錫
SeⅣ iceS口
¢
至皇 多 。亦 宜規 定 此 等資源 之 R丁 O。
食聳 蔧瑁 全 褼罕 籠霧 撉
可 擴展 涉及 ︳ 艮務 之 B| A,以 定 義 ︳
◇師
C下 月 C了 系統 的效 能及 容 量要 求事項 ,
籚乳 蘆
紛籛鐒鍛 鑼 塕鏺銹鑰 研
A_ 5_ 30︳ CTreadinesSforbuSineSSconjnu︳ ty
營運 持續 之 |
C下 備要 性
︳
Gv:dance指 引{S。 2了 002〕
拂驤銹 再
Basedontheoutputsfrorn七 heB︳ AandΓ iskassessment inVo︳ ving︳ C下
鋪黲螂
CTcon山 nuity
services,theorganizaHOnshou〡 d︳ denjfyandse︳ ec七 ︳
strategies七 hatconsider optionSfo「 be了 0re,du「 ingandafterdis「 uption.
艙帥
求 的 時限 。
◎ TC比 Modu︳ e22s︳ ide97
營運 持 續 之 ︳
C下 備要 性
Guidance指 引{
︳So2了 002}
鐒鍐鎀 外
「
authorityandcompetence;
鐒黤銹姊瓶蘳幼擊露夥鑑鐑姊
備 安 適 切之 組 織 結 構 ,以 準備 、減 緩 及 回應 中斷 ,比 結 構 係 由具 必 要 責任 、權
及 專 業 能力的人 員所 支援
b)︳ C下 continuityp︳ ans,inc︳ udingresPonSeandrecoVeryProcedu了 eSdetai︳ ing
the。 吧 an:Zation| Sp︳ anningto rnanagean︳ C┐ seⅣ ︳ cedis「 uption,are:
「
寺續 計 畫(色 含詳細敘明組織如何規劃管理 |
C下 之
︳ C下 服務 中斷之回應及復原程序)
鎞 赫錚啥揤甘 蛤郴
由管理階層核可
◎ 下C︳ C Modu︳ e2-2S| ide98
A.50rgan泛 aHona︳ controㄦ 組 織 控 制 ψ
釐薽 嫠觝
— —
′
一﹀
鑯黤鑰翰 璐 齡纖綁齺
|
A.5.30| C下 Γ
eadiness了 0Γ buSineSsconhnuity 尹
、
營運持 續 之 ︳
C下 備要 性
Gu:dance指 引{
︳S。 2了 002}
$鐒
黮擁 站
c)| CTconjnuityp| ans inc︳ udethefO︳ oWing︳ C丁 conjnu比 yin了 ormajon
︳
鈐颻螂
︳
C下 持續計 畫 包括 下列 ︳ CT持 續 資訊
籤跡
︴)pe吋o「 anceandcapacityspecificationSto「 neetthe business
2)R下 00feachprio一 ∥
zed︳ C了 SeⅣ iceandthepΓ oceduresfo「
restoringthosecomponents;
具優 先序 之 各項 ︳ CT服 務 的 R下 0及 復 原 該 等組 件 之 程序
3)RPO。 fthep一 ohj2ed︳ C了 eSourceSde… nedas infoΓ majonand
「
thepΓoceduΓ esfoΓ restoringtheinforrnation.
RPO及 復原 該 等資訊 的
盼師
定 義為 資訊 之 具優 先序 的各 項 ︳
C下 資源 之
◎ 下C︳ C 程序 。
Modu︳ e2-2S︳ ide99
鐖黦擁嬐 鑼 錛黤燄餓 兮
A.5.30︳ CTreadinessforbusinesscont:nu︳ ty
營運持 續 之 |
C下 備要 性
ytobeab︳ eto:
conceΓ ningavai︳ abi︳ i七
管理 ︳ :
鑈籛錛姊欺齵 寧玀苓鐙鑮辦
確保 由所 要 求 ︳ CT月 艮務 支援 具優 先序 活 動之持 續性
c)「 esP° ndbeforead︳ sruPtion to︳ CTseⅣ icesoccuΓ s,andupondetection o了 at
︳east oneincident thatcanresu︳ t inadisruption to︳ C┐ seⅣ ices口
「
於︳ CT月 艮務 中斷發 生前 回應 ,以 及於 偵 測到 至 少 ︹個 可能 導致 ︳ C下 月
艮務 中斷
幼帥
之 事 故 時 回應
◎ 下C︳ C
2-2S︳ ide可 00
A_ 50rgan︳ 2auona︳ cont「 o︳ S組 織 控 制 中
靂戈躩
— —
蹸黤瞈砏 鑼 鈐籛翰鑰 分
A.5.3η Lega| ,Statutory,「 egu| atoryandcontractua|
requ| rements法 律 、法 令 、法規及 契約 的要 求事項
ㄏ
Con七 ro︳ 控 制措 方
也
彿繳鑰 才
Lega︳ ,Statutory,regu︳ atoryandcontractua︳ equi「 emen七Sre︳ evant to
「
heSe
inforrl╮ ation securityandtheorganiZat| on’ sapproach七 o︳ ﹁ee七 七
縐籛螂
●eiden七 ified,documen七 edandkep七 up todate.
|
requirements sha|
鈜外
應識別 、書面記錄及保持更新資訊安全相 關法律 、法令 、法規及契約之
C♁ 俄音
ro︴ 控 餚|告落
寸 包
A| 善Fe卡 eVan︴ s進 接︴u走 0ry?regu︳ a名 on√ he
盆ndC● ↑qr俄 e七 ua:re¢ 吐:remen走 Sa&碟 在
ξ on’ $appξ Oachto rnee七 七
$俄 ni之 上放子 乩eseξ eq吐 子了 y
emen走 SSma::beexp::ci走 ︳
。
岱en電 :出 ed,dΘ cu出 en走ed,andkep老 級紗各
︳ 0d接 鎔 f° re砝 Ch︳ n知 rm爸 之 〡n
heo℃ an| 2a碧 :Φ 出 。
Sy$︴ eu在 a再 d七 .
鬱帥
◎ TC︳ C
法 令 、法親及契約要 求事項 ,以 及組織為符合 此 等要求之6乍 法 。
2挖 S︳ ide鬥 0鬥
露蠢 靂
—
—
PⅡ rpose目 的
磁器拎珅章 盼榔
露颻口
犛戰
— —
鎀靆鑯蚡 皤 齡雞鉿鑯
ectua︳ pΓ
ContΓ o︳ ●
腔帝︳
ㄐ際施
下heorgan︳ 2ation sha︳ ︳irnP︳ ernentappΓ opriateproceduΓ es to
ectua| prope㏄ y「 ights.
pΓ otect︳ nte︳ ︳
$鱗
黤鏻 坊
組織應 實作適切程序 ,以 保護智 慧財產權 。
鐒攤瑯
城小狒颻錀坤磁玲師犖撥夥幾舞 螉 蹜器跨掛 豆谽帕
;罐 方
COn主 ro︳ 控 希寸 也
AppΥ opri按 七 eproce4ur@$s找
一 a〡 〡 be;mp:emen七edt。 ensure
comp子 ︳ ancew︳ th| egis| a本 Ve〡 ξ ,爸 ndC° n︴ rac七 ua〡
egu︴ a之 0η′
re俄 班子 remen廷 $Fe︳ a七 edt° 七 e| |
ir︴ec之 ua:proPe礎 yΓ ;gh發 S爸 n心 社 Se° 乎
p年 oprie七 aη rSΘ 瓶 arepro妞 uc七 $.
幼外
◎ TC︳ C
2-2S︳ ide↑ 03
齡黷鑈紛 鑼 錛職
A.5.32︳ nte︳ ︳
ectua| pΓ opeΓ ty山 ghts智 慧財產權
心@五 tro王 tyPε 王Ⅱ比 r扭 at玉 丘 Cy右 erseε 在r受 ﹏ˊ 0P兮 r日h● Ⅱ女l §eε 避ri竹 d0m五 三ns
. ε°Ⅱ笓 PtS ε印 蟲 i王 描拼
seε Ⅱr五 ︴yPrGpε o注兮S
Ve
掙PreVen才 主 勞C0且技den七 i且 h” 拜Idm〔 好y 年L輯 且
Lan釷 ε
o1nui- #Gover工 1爸 n〔 e一 an土
報 nt吧 r士 守 anε e Eε 0§ yste工 n
器AV缸 1爸 b正 琵,
行
鐪 籬 鑈 師就翁咖 寧 露 移競嗧妒銹 描姦路野 守 幼 林
PuΓ Pose日 |
的
ToensuΓ ecomp︳ ianceW︳ th︳ ega︳ ,statutory,regu︳ atoΓ yand
ectua︳ prope〢 yΓ ights
c。 ntΓ actua| requiΓ ernents re︳ atedto inte︳ ︳
anduseO了 propΓ ieta╮ ◤pΓ oducts.
確 保 遵循 與 智 慧財產 權 及 專屬 產 品 使 用相 關之 法 律 、法 令 、法
規及 契 約 的要 求 事項 。
♁好
◎ 了C︳ C
2一 2S∥ de﹁ 0ㄥ
A.50「gan眨 auona︳ contr刮 S組 織 控 制 瘸孋既鱷齷 竹
靂珮 钁
坳籛銹翰 鐋 塕籛錯鑰 外
╮ A. 5. 33ProtecⅡ OnofrecO「 dS紀 錄 之 保 護
一
Contr引 控 制措 施
RecordSsha︳ |beprotectedfrorn︳ oss,destruction,fa︳ si市 cation,
拂雞銹
unauthorizedaccessandunauthor:2edFe!ease.
應 保 護 紀 錄 ,免 於 遺 失 、毀損 、偽 造 、未 經 授 權存 取 及 未 經 授
$鐒
羻啷
颻
權發布 。
A齡
籛齡螂航琇堲歡 鐒移離盞 躋 竑移跨黔 彥紛螂
ξ
C♁ 擗電0子 控 希時著施
名
臥ec◇ !4$$娥 綾︴ ec絡 d了 r♁ 俄 ︳
子妳e紂 r♁ 乏 °S$!de$七 r以 C老 i° 找,|a:$掙 官 子
e我 電♁附 ,
Zed我
u外 接 u它 hOξ ︳ CCe$$接 我娥 un接 班t乩 Θr:Zed才 紛|e襏 $e,:我 錢CC♁ rdance
W比 雖︴
eg︳ $芒 級0ry,re9u︳ 爸t0功ryc° 什七
舌 rac之 u接 子爸舟abu$| 雄♁$$
麤 依 法 令∵ 法 鄒 契 約 及 營 運 要 求 保 護 紀 錄 ,免 於 遺 失 、毀 損 、
幼粹
偽 造 、未經援權存取 及 未經 授權發布 。
:追 》下C| C 2一 2S︳ de{ 05
︳
鑱灘 嫋谽 鐋 嬾
A.5.33Pr0七 ection ofΓ ecoΓ ds率 己錄 之 保 護
pe
CC基 trm竹◤ 工銘 r且 a在o且 Cy出兮r§ g仁 孩r二 好 6pε rat王 6Ⅱ a怪 εeε 注r二 何◤建o-
g念 Cnr琵
ˊP=6per七 ie§ ε0王Cep在 § ε且p在 出王
正且ie∫ 巨 錢二 且§
一
華PreVehtiYe #Co且 fide且七iali牡 #Iden惹 主
fy#Pr0七 eC吝 好Lega1一 a王 ld_ C0玉 五pliance 器D念 挺且Ce
勞工二土
te安 二 W 華As$e在 _In在 且佳ge出 e玉 王 七
繳 V釘乩bh放 y 普王止免 rm汪 吝又 On一 p!o七 εc-
各bn
兟 錀 靆 鑈 神駥唅堅 瞿 擺夥碎
曲
PurPose目 的
下0enSurecomp︳ iancewith| ega︳ ,sta七 utory,Γ egu︳ atoryand
equirements,asWe︳ ︳ascomrΥ ╮
contΓ actua︳ Γ un:tyor soc心 ta︳
踇擺聊鑈 磁舉跧辦 音 蛜 師
約 的 要 求事項 ,以 及 行 業期 望 或社 會期 望 。
◎ TC︳ C Modu︳ e2-2s| ide︴ 06
A.50rgan眨 a∥ ona︳ contro怡 組 織 控 制 中
β強 安我
— —
眑黦齡盼 鑼 齡黮劮鷂 外
A.5.3碎 PhVa cyandpΓ otection o了 P〡 ︳
隱私 及 護
Contro︳ 厝施
控 制寸
下heo「 ganization sha︳ ︳identi /andrΥ ︳
eettherequirementsΓ egarding
鑰飄鏺 打
七hepreseⅣ ation ofpriVacyandprotection ofP︳ ︳accordingto
app︳ icab︳ e︳ awsandregu︳ ationSandcontractua︳ requirer了 ﹁
entS.
鋊譊坤
組 織應 依 適 用之 法律 、法規及 契 約的要 求事項 ,識 別 並 符合 關於 隱私保
餓代
護及正m程藍色皇坴重掙 °
狒簸齡鄉欺齵 學筋
Con甘 幻〡控 帝ll措 施
Pr;vacyandpr0老 eCt︳ OnofperSOna| ︴
鎖路餵舞 鑰 描器曲趶 吝 ♁螂
y| dent:再 ab| e;nfor一 nat:Onsha︴ |be
紛師
◎ 下C︳ C
2-2S∥ de︴ 07
錛籩錛谽 鑴 鑈籧鈔
A.5.3碎 PΓ | VacyandpΓ otection ofP︳ ︳
隱私 及 P︳ ︳保 護
ypε
CoH七 r6玉 七 In拓 m筑 充Ⅱ εyLer§ ecⅡ ri﹏ˊ 6rε ra七 i兮 Ⅱa王 Sε εⅡri6γ 殖0︻
§eC社 r一 tyrropeΓ 在主
︳§ ε0且 εep︳ § 〔apat至 li在 § 沮 五 ▲g
.
勞Pre從 n七 子
珽 勞Co且 致de且 th王 安 哲 勞Iden七 茫y#Protect 勞 工 且 forⅡ lat主 O且
一
pr0扭 CHOI1 一6n
拜Protect之
勞I且 tegr玉 ” 器Leg且 一and︸ cDⅡ {}
生法且Ge
帶A田1主 1出 b無 i七 y
翰黰 鏺 妳紫 報 翠 露 苓鑑遇 蘜 磁鋒冷ˊ 哥 玅 坤
PwP。 se目 的
下oenSurecornp| ︳ ancew;th︳ ega︳ ,statutory,regu︳ at0η ◤and
contractua| requiΓ ernents re︳ atedt0theinfoΓ ╮ ation secur︳ ty
rΥ
◎ TC︳ C
Modu︳ e2一 2s︳;de﹁ 08
A_ 50rgan︳ Za… ona︳ contro︳ S組 織 控 制 竹
靂珮 屢
— —
翰籲瞈銹 餾 筠鼬 劬鑯
A口 5.35︳ ndependen七 eVieWofinfOrma小 onSecuⅡ ty
「
資訊 安 全 之獨 立審 查
Con七 ro︳ 控 帝︳ 措施
下heorganiza七 :on’ Sapproach七 0rnanag| nginforrl╮ a七 ionSecur︳ tyandits
irnp︳ ementa七 ion inc︳ udingpeop︳ e,processeSand七 echno︳ ogiessha︳ ︳ be
$鏘
濺銹 巧
reviewed| ndependent︳ yatp︳ anned︳ n七 eⅣ a︳ S,orWhenSign| fican七
銹籬 螂
巖 璚撈缶 或
兟琳
獨 立審 查組 織對管理 資訊 安全 的
鼷搗鑫鶷
隆路ㄈ
Com︴ rO︳ 寸 ︴著施
Th♁ oη an;2斑 ;on’ $app幻 aCht° t╮ an礅 9| 向σ :俄 了Θr維 a發 ♁nSec旺 r;乳 √a俄 d| 七$
:幻 p:emen毛 a守 Θn◆ te.c6n老 m| O幼 eaive$,co破 冷 子 S,pO:比 ieS,pmce$Se$
在ndpmCedu冷 S竹 r〡 出竹 rmaHOn$ec$放 打 〉s乩 接君:berev子 eWed
︳ ︳
什de紗 ender︳ 廷ya在 p︳ ann爸 d︴ 玲eⅣ a吾 $orW抽 enS〡 $孔 辛
崔 再ca出 乏6h缺 ngeSocc吐 r﹏
劬帥
之作 法及 其實作 (亦 即資訊 安 全之各項控 制 呂標 、控帶ll措 施 、政 策 、過
虰㏄ 程 及 程序 汁 Modu︳ e2-2s︳ ide﹁ 9 (〕
勞 多踴毛安參
管
齡鑈 銹♁ 鑼 錛籛(
A.5.35lndependentΓ ev心 WOf︳ nforma∥ on secu“ ty
資訊 安全 之 獨 立 審 查
一
苦h盜 gr豆 ﹏
一
一
P▉ rPoSe目 |
有
了oenSurethecont:nu︳ ngsuitabi︳ ity,adequacyand
e帝 ectiVeness oftheorganization’ sapproachto rnanaging
︳ onSecuΓ ity_
nfoΓ rna七 ︳
確 保 組 織 對 管理 資訊 安全 之 作 法 的持 續 合 宜性 、適 切性及 有
效性 。
谽帥
螉黤鏺盼 鑼 錀黤谽鐖 外
A.5.36COr了 ╮ anceWithpo| icieS,ru︳ esandstandaΓ dsfoΓ
p︳ ︳
錛黤鑈
specificpo︳ icies,ru︳ esandstandardssha︳ ︳beregu︳ ar︳ y「 eVieWed.
應定期審查組織直塾遠拴逆錚 主題特定政策 、
邁剷選邊逢之遵循性 。
$彿
黫螂
戰外鑰麙錛妳欺餵 孥霉犖錢舞 鑰 鮛拳玲珅 含 谽螂
CΘ n毛 ro︳ 控 制措 施
一
Mana9兮 〔 On
SSha︴ ︳regu︳ ar︳ yrev:ew七 hecomp比 anceof︳ nforΥ ha老 ︳
processin$anuproceduresw| th︳ n七 he︳ rareaOfre$ponSib:| 放yw〡 th〔 孔e
appropr︳ a七e$eeur| 出/po︳ ︳ c:eS,S走 anda始 Sandanyotheξ securi廷 y
requ子 rernen︴ s‘
盼師
◎ TC︳ C u︳ e2-2s︳ ︳
de鬥 ︹﹁
鐖鸂鑼燄 鑼
A.5.36Comp| iancew︳ thpo| icieS,Γ u︳ eSandStandards了oΓ
infO「 了 y資 訊 安全 政 策
nau。 nsecu山 七 、規 則 及 標 準 之 遵循 性
PurPoSe日 |
琦
路移珺絳姆鏺 插器玲許 音 唦 郎
實作 及 運 作 資訊 安 全 。
◎ 了C︳ C Modu︳ e2-2s| ide︻
-2
A.50「 gan泛 aHOna︳ cont「 o心 組織 控 制
﹉
╮ A.5.37D。 cumentedoperaungprocedu「 es書 面記錄 之 運作程序 筠
籛
鈐
銹
驟
鑱
Contro︳ 腔希︳
ㄐ階施 攤
紛
Operat︳ ngproceduresforinforrnation proceSs︳ ngfaci︳ itieSsha︳ | 鐊
bedocurnentedandrnadeavai︳
一 ab︳ eto personne︳ whoneed 鐖
黦
鍋
therΥ ╮ .
銹
麶
應 書 面記 錄 資訊 處 理 設 施 之 運作 程 序 ,並 使 所 有 需要 的 人 員均 鈚
鈐
可取得 。 黫
瞈
鑫
繳
僠
夥
C♁ 找智♁︳
︴腔希〔
︴際疹
笆 鐵
麟
O紳 erat| 踓gpξ Θceduξe$$ha| ︳妳e4♁ c妓 men走 ed俄 nd了 ╮ade
瞈
磁V襏 |︳
接妳| e毛 oa| 君 hem.
u$♁ r$w扥 ♁nee岱 七 辯
音
運 作 程 序 應 加 以 文件 化 ,並 使 碑 有 需要 之 健 用 著均 可取 得 。 綠
幼
坤
◎ 下C︳ C
2-2S︳ ide鬥 ﹁3
錚觀 嬋
— —
鐖
A石 .37DOcumen七 edopera∥ ngproceduΓes書 面 記 錄 之 運 作 程 序 籦
齡
竹anagemen七
考Thre&tand巧 啦王 nera一
bⅡ i七 比 rnan出 geme土 〔
一
#Cont亡 且u主 仁 y
#Inform故 垃on Securi一
ty_ event_man女 gemen七
$錙
師鑈 旅薄玲野 有 姼 螂
PurPose目 的
下0enSu「 ethecorrectandsecu「 eoperation0了 |
nfo「 rnat︳ on
processingfaci| eS. it︳
谽師
◎ 下C比
確 保 資訊 處 理 設 施 之 正 確 及 安 全 運 作 。
6
Modu︳ e2-2S| :de一 η
A.6PeOp| econtro︴ S人 員控 帝甘 十
安爞了
β
— —
鐱黦鑰翰 鑼 鑰籛鎗饑 豁
A.6.η ScΓ eening篩 選
Contro︳ 控 制 措 施
Backg「 oundVerificationchecks ona| ︳ candidateStobecornepersonne︳ sha| ︳be
Ca「 了
ied° u七 pΓ ior七 o joiningtheorganizationandonan ongoingbasis takinginto
considerationaPp︳ ationsandethicsandbeProPo{ iona︳ to the
icab︳ e︳ aWs,「 egu︳
鐖雞鑈
business requirements,thec| asSi兩 cation ofthein了 oΓ mation tobeaccessedand
thepeΓceivedrisks.
$鋒
黫螂
對所有成為 員工 之候 選者 ,應 於 其加 入 組織前 ,進 行 背景 查證調 查 ,且 持續進
籤
行 ,同 時將適用的法律 、法規及倫理納 入 考 量 ,並 宜相稱於 營運要求事項 ,其
A齡
黳鑰師擁餵 跢鮕
將存取 之 資訊 的分類分級及 所察覺之風險 。
Contro︳ 控 制措施
嬸路每要鑰 赫舝娌π豆谽坤
Back9roundve了 ica︴ ︳
;了 oncheckSona︳ ︳e3nd| da抬 Sfore鬥 p︳ oyment sha︴ |be
carr;edou之 | nacco憾 anceW〡 走h*令 ︳
eVan七 |aWS,re9u:at〡 onsandeth;cs,andSha| :
妙師
稱 於 營運 要 求 及 其將存 取 之 資訊 簡保 密 等 級及 組 織所 察 覺 之風 險聘 再 。
◎ 下C︳ C de鬥 ︴5
2-2S︳ ︳
r&口 r
— —
攤籦鑈谽 ψ
A.6_ 可Sc「 eening篩 選
ΓoI在 ype
COⅡ〔 IⅡ forⅡ a七 主on yb兮 rSeCuriㄉ opera七 主
o且 aⅡ § cⅡ ri一 時/doma王 Ⅱs
§兮C︴ ri竹 /PrDpertiε ε 「 ε0亞 ε兮PtS Cap臣 出且it二 es .
#Preventive #C0Ⅱ 且de丘 tia1主 好 #Pr0七 eCt #Hmmanregourcε #G° Ver玖 anCe欲 nd
華Integr主 在y Secur近 y Ecosysten
#AVa主 la也 i1比 y
永
躌醫師
籤希
Purpose目
鑈蠿鑰咖爽報 學攝學嗧璐卹
|
琦
gib︳ eandsu︳ tab︳ efor theΓ o︳ es
下oenSurea︳ ︳personne︳ aree︳ ︳
了0rWhichtheyaΓ econsideredandΓ ernaine| ︳ gib︳ eandsu︳ tab︳ e
持合格及合適 。
燄跡
◎ TC︳ C 2挖 S︳ ;deπ η6
A.6P岔 會 C0坲 愛F♁ |
♁紂在 零 人 民 控 轟ll 爾齺出鯛嬤 竹
靂舐 靂
搦鸃筠鎀 鐋 鐱籛劬齺 外
|
╮ A口 6.2下 ermSandcond山 0nSOfemuoyment聘 用條 款 及 條 件
措施
Contro︳ 控 帝︳
下heemp︳ oymentcontractua︳ agreemen七 SSha︳ ︳Statethe
佛籛鑼 ︴
’
pe「 sonne︳ sand七 heorgani2ation’ SreSponSibi| ︳
tieS了 0r
銹曌啷
inforrnation security_
甄
聘 用 契 約 協議 應 敘 明 人 員及 組 織 對 資訊 安 全 之 責任 。
$鋤
騶鑰聊擁齠 肇豬移蠶舞 齡 筋券跆黚 音紛螂
C♁ 批老
Υ0︴ 控希擒落
↓ 包
下h@co碓 電r密 C七 Ⅵ彿|宙9re♁ me俄 七 芝hemp:Oyee巷 撥ndC° m七r俄 6七0ξ $
$、 雄︳
’
$h級 | 批ei野 缺俄孲崔
|$透 襏範 七 m♁ ♁略俄雄〡
2a七 ;O維 $ξ e$pon$i紐 言
︳
言魅e$普 ♁r
i錐 | ︳
♁ 女往芭
r子 ♁n$ec磁 ξ
︳是
y.
組 織 與 員 工 及 約 璃 人 員簽訂 之 的 契 約化 協議 書 ,應 敘 明 雙 方 對
資 訊 安 全 的責任 。
鎗帥
◎ 下C︳ C
2-2S︳ ︳
de可 可7
彈籈 露
— —
PurPose目 的
下oenSurePersonne︳ understandthei「 in了orrl╮ aⅡ on secu“ ty
resp● ns︳ bi| itieSforthero| esforwhichtheyaΓ econS:dered
確 保 人 員瞭 解 其 對 所 考 量 角 色 之 資 訊 安 全 責 任 。
●
鎊師
◎ 下C︳ C
deπ ﹁8
Modu︳ e2-2s︳ |
A.6PΘ o外 econ逢 rO︳ S人 員控 制
鑰灘餓艅 擺 翰籛盼饑 外
A.6.3lnfoΓ mauon secu山 tyaWareness,educa小 0nandt「 ain︳ ng
資訊安全認知在邀 育訓鉖
時方色
Cont「 o| 控 制 寸
Personne︳ oftheorgani2ationand「 e| evant inteΓ eStedpartiessha〡 ︳receiVe
齡讓鑼
appropriateinforrnation securityawareneSs,educationandtΓ ainingand
Γegu︳ a「 updatesoftheoΓ gani2ation︳ s info「 rnationSecuritypo︳ icy,topic。
$鈐
癱螂
SpecificPo︳ icieSandp「 ocedureS,aSΓ e︳ eVantfortheirjobfunction.
幼帥
◎ TC︳ C
2-2S︳ ideη ﹁9
鑈黮協妢 鑼 協驒
A.6.3︳ nfor【 nationSecurityawareness,educationandtΓ a︳ ning
資訊 安 全認 知及 教 育訓 練
PuΓ Pose目 |
琦
下0enSu「 epeΓsonne︳ and「 e︳ evant intereStedpa碇 ieSaΓ e
瑙路餵錯妽鑼 航轝 懘 ′
確 保 人 員及 相 關 關注 方認 知 ,並 履 行 其 資 訊 安 全 責任 。
.眵
郎
鍛阿
◎ 了C︳ C
2-2S田 de︴ 20
A.6P餓 $人 長 控 制
爸 C0俄 盞r♁ |
♁紳| 機 齺 雨 躪 鍍 竹
靂戈ξ
靂
鑰靆鐒鎗 鐇 齡雞谽鑈 山
∩ A_ 6.碎 DiSdp︳ inaryprocesS獎 懲過程
ContΓ o| 腔帝寸
ㄐ告施
AdiScip︳ inaryprocessSha︳ ︳befOrrl╮ a| i2edandcornrΥ ╮un︳ cated
齡黰鑈 打
一
to takeactionsagainStpersonne︳ ando七 herre| evant inteΓ eSted
銹籗艸
parueswhohaVecommi世 a小 0nSecu山 typo︳ icy
edan inforrΥ ╮
籤無
V:o| ajon.
C♁ 踱幻︳控 制擋 施
了比ek多 $h爸 比 be密 edd=Scip比 外俄$/pFoceSS︳ n
fbrr我 稜|甚ndC° 舛甘沒un:C爸 在
俄e♁ 七
p子 ◆︴ ♁yee$w拙 ohaVecOⅣ ℉n=投edan
ake孩 C七 i6r一 aga工 ns︴ e維 〞|
n苦 ◇rg找 3碧 :♁ nSee以 r;走 ybreach!
子
鉿帥
應 具備 正 式及 已傳違之懲處過程 ,以 辨違反 資訊安全之 晨王採取行節
◎ 下C︳ C 2-2S︳ ide鬥 2﹁
A_ 6Peop︳ econt「 o︳ S人 員控 帝︳ ﹏
瑟舐好
蹬
— —
#Preven七 亡一
Ve#C0r- #Con且 den七 主
ality #Protect#ReSpond #E社孔 an_ res0法 rε e一 #G0vernance_ nd一
rec七 :Ve 勞工ntcgr工 ty Secur比 ˊ EcOS歹 Stem
#AV及 工玉abi生 比步
幾 鏃 銹 雞 鐒 碑驈蠱空 籊 鑼夥碎
布
PⅡ rPoSe目 的
下oenSurepersonne| andotherre| evant︳ ntereStedparties
understand七 heconsequencesofinforr【 ╮ at︳ on secur︳typo︳ icy
釐舐『
好籤
— —
翰黝鎀鍛 鑼 鑰靆餓饑 餌
A.6.5ReSponsibi︳ itiesa丘 eΓ teΓ mination oΓ changeof
erΥ ╮
u。 yrnent聘 用終止或變更後之責任
ContrO︳ 腔帝︳
︴ ●昔施
瞈灘鍋 →
|nforrΥ ╮
ation secuΓ ityresponsibi︳ itieSandduties七 ha七 remainva︳ ida孔er
ination oΓ changeofemp| oyr了 ︳
terrΥ ╮ entSha︳ ︳bedefined,enforcedand
縐譊螂
coⅣ Wnunicatedto re| eVant personne︳ andothe「 interestedpa㏄ ies.
我外鑰雞拂坤欺齵 笭臨
應 對相 關人 員及 其他 關注 方定 義 、施 行 並 傳 達 於 聘 用終止 或變更後 ,仍
保持 有 效 之 資訊 安全 責任及 義務 。
ㄉ→打占●﹉琢︻ ㄔ兮
皤移磊器鑰 航謹路邪 含 谽螂
Con士 r° |二
腔希好
寸階施
n的 rma各 錢
︳ SeCuⅡ 打 responS工 堆 b:| S臨。a什 ema子 nVa︴ ︴da放 er
teΓ ︳
n〡 nat︳ on orch按 ngeOfemp| oy了=eSanddu乩
Ⅵen之 S找 爸︳ 一 ned,coπ Wn級一 C接 主ed
〡bedef| n︳
Θ theernp︴
在 oyeeore◆ n在 rac之 Θ randen了 orced.
應 聲 員工 或約 用 人 員定義 、傳 達 於 撐 用終止 或變更後 ,資 訊 安 全 責任 及
鎗帥
義務 仍保 持 有 效 ,並 執行 之 。
◎ 下C︳ C
2︹ 2S︳ide︻ 23
鑰雞鑱艙 擺 鍋攤小
A.6.5ReSpons:bi| itiesaReΓ te「 rnination orchangeof
ernploymdnt聘 用終 止 或 變 更後 之 責任
εoⅡtrO一 type I且 出 rm放 主G工 Cy七 εrsε c︳ ri” oP兮 ra七 拓已a一 Sε c} r土 yd0田 臣主ns
Seε ur二 七ˊPr● pert主 eS C° Ⅱε兮pts εapa出 五i在 兮§
#Pre甲 entN毛 #C0土 fiden守 i且 li打 #Proteε t #HumanΥ esourε e #GOvernanceand
#工 ntegrity seε urity EGOsyStem
abi王 近y
#Ava主 王 級 ssetmanagement
㏄
鑰 钂 鑈 一描♁螂 寧 羅 學篴 斟 鏺 磁華冷鉾 音 妙 的
Pu卬 °Se目 的
To protecttheorganization’ s︳ nterestsaspa㏄ of七 heprocess of
changingoΓ terrninatingemp| oyment o「 contracts.
將 保 護 組 織 利 益 納 入 變 更 或 終 止 聘 用 或 契 約 之 過 程 的 一 告r分 。
谽粹
◎ 了C︳ C
M。 du︳ e五 r2S︳ ︳
de︴ 2‘
A.6P砏 ♁紂|
@$0n逢 野
♁︳竊人 員控 希嘻 趣 臟 陷 觸 麼 乎
靂舐 躍珮
眑黮錛幼 鐇 鑰纖鎀鑈 研
A_ 6.6COnⅡ dentia︳ ityor non一 disc︳ oSureagreerΥ ╮
ents
機 密性 或保 密協議
腔希!寸際施
Con七 ro︳ 寸
錀繖鑈 跡
Confidentia!ityor non-disc︳ oSu「 eagreernents ref| ec七 ing七 he
be
鐒黫螂
organi2at︳ on’ Sneedsfor七 heprotec七 ion ofinforrnat:Onsha| |
identi了ied,documented,regu| ar︳ yreviewedands︳ gnedbypersonne︳
又 映 組 織 對 資訊 保護 之 需要 的機 密性 或保 密協議 ,應 由人 員及 其他相 關
關 注 方 ,識 別 、書 面記錄 、定期審 查及簽署 。
G◆ n崔 幻|控 制措 施
R兮 ¢$:Femen在 S串 0ξ c● n了 | non一 d子 Sc:O$urea$reemen走 $
den║ 盆︳
:道 yor
°
re用 ec電 :n@theO的 aΛ 子 0n’ $needS了0r︴ hep了 o︴ eC笆 On° 了
之a老 子 n奉 Θ
︳ rrna七 :Oη
fied,regu︳ 8F| yreV工 ¢賤 ¢ 撥mdd° CⅥ me我 碧ed‘
Sh撥 雄 be| ¢en之 ︳
谽坤
及文件化 ,以 及盛籃纖螢 訊保 護 色 需要 始機 密.
l生 或
唎擺 議鑨 一
2-2S︳ ide可 25
A_ 6Peop︳ econtro︳ s人 員控 帝︳ ﹏
機 密 性 或保 密協議
C° 在七r● y〡 e
在 I女 f● r】 m宙 uO在 C於 ersec也 七
在y opera七 王
oⅡΠl Sε εur土ydOma:五 $
seε uritypr.p兮 r在 εs Cσ nε 兮p七 S Cap母已甘:tieS
一
一 #Human一 resOⅡ rce_ Sec吐 r主 ty #GoVern琖 玉Gε d
#Preventi吒 #Confiden〔 ia土 tˊ 界Pr0七 ect a且
且f0rmat主 On一 protec七 tOn
著玉 且Co∫ ˊS右 em
#乩【
pp士 工
et了 e土 a七 主
OnSh﹏ ∫
織 鐪 籮 齡 抪協翰帥 擊 籮 學錯繙蝷鍋 插鋒跨釙 章 姼 螂
布
PHrPoSe目 的
tyofinformaHOnaccess︳ eby
TOm田 n七 ainconⅡ denUa| ︳ b|
維 護 人 員或 外部 各 方 可 存 取 之 資 訊 的機 密性 。
紛肺
協靆 鑰妨 嬏 齡灘 鎖鑞 外
oteWO「 hng遠 端 工 作
A.6.7RerΥ ╮
措施
Contro︳ 控 帝︳
Securityrneasuressha︳ ︳beimp︳ ementedWhenpeΓsonne︳ are
鑰黮 佛 站
WOΓ kingΓ er!╮ ote︳ yto protect| nfoΓ ationaccesSed,p「 oceSsed
r!╮
協巍 艸
↙應實作安全措施 ,當 人員於遠端工作時 ,保 護於組織場所外存
鋮小錛羅 鑰娣欺齠 擊“
取 、處 理 或儲存 之 資訊 。
Contro| 寸 ㄐ
腔常{階施
鑼夥窋罍 娥 臨器跨潞 善 谽坤
Apo︳ ︳ cy俄 ndSuppor七 in9rnea$uΓ essΛ 爸︳ ︳be:mp︳ emen七 edt°
pΓ o推 c七 in了OFξ nat︳ onaccessed,proces$edor storeda女
幼竹
工作場所 之 資訊 。
◎ 下C︳ C
2-2S︳ ︳
deη 27
A.6Peop︳ econt「 o| s人 員控 制
錀黰 鑈谽
A.6.7RernoteWOr㏑ ng遠 端 工 作
了破 ︶ Pe
C● Ⅱ七 五比 rma它 且 n C於 ers.cⅡ r土 y OPera在 i°na︳ Seε uri七 ydDmains
. ieS
secⅡ r二 好 pr.per七 ε●n吁 εP七 E ε汪
| ab五 1女 ies
一
#PreventNq #CoⅡ fident主 眾Iㄦ y #Pr0七 ect #A∫ Se七 _man招 e亞 en仁 #Pr0仁 eCtiOn
#工 址 e野 :守 #rn∫ orma七主
0n_ pr0七 eε 一
#Avai1刮 bili牡 thn
#Phy§ icaI_ sec,rity
#Sy∫ temand_1︳ e←
work_ Seε ur在 ty
“
鑈 黮 錛 林欺 鍛 期孟將雀窩將辦彿 描玲跨 ↙ 工 妙 螂
PWP。 Se目 的
TOensu「 etheSecu「 ityofinfOrΓ na七 ionWhenpersonne︳ are
Workingremote︳ y_
確 保 人 員遠 端 工 作 時 之 資訊 安 全 。
劬盯
◎ TC︳ C
du| e2_2sⅢ de﹁ 28
u。
A.6Peop︳ econtro︳ S人 員守
空帝心
齡騷齡錯 鐋 鐑籛谽鑰 餅
A.6.8︳ nformajon secu“ tyeventΓ epo比 ing資 訊 安全事件通報
Contr引 控 制措 施
協籛佛 巧
O
eChanisrnfor personne︳ 七
Theorganizat:on sha︳ |pΓ 0Videar了 ╮
eport obserVedor suspectedinforrnationSecurityevents
齡錘螂
「
throughappropΓ :atechanne︳ s inatirne︳ yrnanner.
鎡岱
組 織 應 提 供機 制 ,供 人 員透 過 適 切 之 管道 ,及 時 通 報 所 觀 察到
呦黰協妽輹黐 犖跡
或 可 疑 的 資訊 安 全 事件 。
盼外
◎ tC︳ C 2-2S︳ ide{ 29
A_ 6Peop︳ econtro︳ S人 員控 制 ﹏
犛戤 β颻
— —
鐑議鑰徐 齵
A.6.8ln了 ormajonSecu山 tyeVentΓepo㏄ ing資 訊 安 全 事件 通報
C∮ Ⅱ七
r斑 typ兮 土銘 rⅢ 斑 拓 n
王 C!” er§ ec旺 Hty Opera七 二且a至 Securi” do扭 ainS
s§ cur是 typr. per它 ieS Co↑ Cε PtS capa右主二。 es
留 :主
勞Detective #Co且 fident王 a1比 y 華}e守 eCt #王 nforma它 王 On小 eC故 一 #De銘 nce
站 egr〔 ㄝ
#王 rity_ eVen比 ma阻ge-
帶知 a工 !at王 王
i中 me址
躐睥
兟 鑰 黫 鍋 師城啥帥 擊 撬 移盟播妽彿 磁鉹路掛 哥 艙 師
千
P︼ rPoSe目 的
ToSuppo㏄ tirne| y,consiStentande帝 ect:Vereportingof
atiOn台 ecur︳ tyeven七 Sthatcanbeident:f︳
infoΓ rΥ ╮ edby
personne︳
U
.
r爞 輝
— —
齡繖 鎀盼 鑼 餓靆 紛鑯 無
A.7.η Phy由 calSecu山 typeㄩ ╮
eters實 體安全周界
rΥ
Contro︳ 腔帝︳
┤際施
Secur:typerimetersSha︳ ︳bedefinedanduSedto pΓ otecta「 eas
錀鑫 鍋 打
一 n info「 rnation andotherasSOciatedassets.
thatconta︳
鈐繳 抑
殭 冬 盄 圣 使 用安 全 周 界
,
以保 護 收 容 資 訊 及 其 他相 關聯 資產 之
子 一
n了orrⅥ a七 ;° np「 ocessin$| aci:〡 七
〡eS.
廲 定 義與使 用安 全 用 界 ,以 保 護 收容敏 戚 或 重要 資訊及 資訊 處
:谽
理 設 施 之 區域 。
螂
紛擗
◎ 下C︳ C
22S︳ ︳
de﹁ 3︴
A.7Phys比 a︳ contro心 實 體控 制
燐飄 鑱燄 硹
A.7.可 Phy由 calSecu︻ type山 rl╮ eteΓ s實 體安全周界
PWP。 se目 的
下o preVentunauthoΓ :zedphysica︳ access,damageand
inte市 eΓ enceto theorgan:zation’ s︳ nfor【 ηationandother
asSociatedassets.
防止未 經授權 之 實 體進 出 、破 壞 及 干擾 組織的資訊與其他相 關
聯 資產 。
♁擗
◎ TC︳ C
2-2S︳ :de﹁ 32
A_ 了 Phys比 到 contro心 實 體 控 制 務齥的鱷齷 竹
靂乳 靈
齡籛鈐錯 鑼 瞈籛鐒鐖 ∫
╮ A.7.2Phy由 c刉 ent「 y實 體進入
Contro︳ 三
腔希︳
┤階施
Secureareassha︳ ︳beprotectedbyappropriateentrycontro| S
鐊黮鑰 排
andaccess points.
鐒黫艸
保 全 區域 應 藉 由 適 切 之 進 入 控 制措 施 及 進 出點 加 以 保 護 。
$佛
巍
φ竹韓坤笛e〞 箄躍:琴 習璋
艙帥
◎ 下C︳ C 2一 2S︳ide鬥 33
露薽 躍
— —
Acce$$伊 外老
♁| $$燄 eh徬 $de言 | 維紼 俄Fe礅 $撥 雄d♁ 走乩eξ
Ve犐 ′俄拂a︳ o俄 妞〡
pΘ |
批達$、 解he野 ♁ um接 敬琶範♁r:崖 e妞 per$o雄 $r╮ 按ye雄 在e各 $e$
七扽epre出 冉〡
在bec0找 穹
$比 踐善 ξ ed俄 nd,:才 p♁ $喜 君
Θ毒
︳ 妞︳@︳ ︳
$Θ 音
俄發e礎 了F♁ m︳ $管 ΘFr乳 磁報Φn
鑰籦瞈 穴
對 謠 如 交付 及 裝卸 磁 ,以 及 其 銘未經授 權 人 嚴可 進 入 之 作 業場
鑰黫艸
僻 釣 進 出點 ,宜 加 以控 管 :若 可 能 ,室 與 資訊 處 理設 施 鵰籬
兟心
,
鐱
以 避 兔未 經授 罐 之 存 取 。
C●且七r斑 七步pe I玉 拓 r玉 at王 S且 Cy己 ¢r§ ec在 r王 年 op它 ra七 二
o且 a一 Se〔ur引 七√d° mai王∫
SeCⅡ r二 七ypr6pε rt二 es C6在 Cep七 ε caPab王 二 七主
eε
#Pre玲 就 差
Ve #Ccn丘 dentia王 比y #PrO〔 ec七 #P啦s王 ca:_ SecuriW #Protec在 On
一
#王 ntegr1哲 #王 dmt瑛一and_ Ac-
ty
#及Vai王 abi玉 主 εe§ g_ &任 a土 agelhent
P︼ rPoSe目 的
磁舉跨掛 當 盼 師
「
◎孔陀確 保 僅 有 對 織 資 訊 及 其 他 相 關聯 資產 的 經 授 權 實 體 進 出 。
組 之
2-2S∥ de-3ㄔ
A_ 7P仇 ys比 alcontro心 實 體控 制
鎀黤 錐轒 鑼 鑰纖 幼鑭 小
A.7.3Secur:ngo帝 ︳
ceS,roornsandfaci︳ ities
保 全 辦 公 室 、戶
方問及 設 施
措施
ContΓ o︳ 控 帝︳
鑈飄 錛 站
PhySica︳ 比 Cu山 tyfor o帝 iceS,roomsandfaci︳ ㏄ieSSha︳ |be
鋊黫 螂
〞
鼛室素
挐尺≧ㄗ
雪旨≡
室霓主
實體全
安並作
實之。
♁外
◎ 下C︳ C
2-2S︳ ide鬥 35
A.7Phys℃ a︳ controㄦ 實 體控 制
尸已 ㄏ
—
—
鑈黦鑰鍛 鑴 銹簸杺
A.7口 3Securing0用 ceS,Γ oomSandfaci︳ itieS
保 全 辦 公 室 、戶
方間及 設 施
P肝 P。 Se目 的
下o preVentunauthorizedphysica︳ access,daΓ nageand
:nte㎡ erenceto theorgan:2ation’ s in了orrnationandother
aSSociatedassets in0和 ceS,「 oomsandfaci| itieS.
防止 對辦 公 室 、戶方問及 設 施 中組 織 之 資 訊及 其 他相 關資產 的未
經 授權 之 實 體存 取 、破 壞 及 干擾 。
谽盯
◎ 丁C︳ C
Modu︳ e2-2s︳ ide▅ 36
A.了 Phys怡 a︳ contro怡 實 體控制 好
靂颻 靂
— —
銹驗鈐鍛 曬 鋡籛谽鑼 餅
A.7口 碎Physica| Secur:tyrnonitoΓ ing
實 體安全 監視
Contro︳ 控 帝中檔切也
鑈籲鐊
Prernisessha︳ |becont︳ nuouS| yrΥ ╮
onitoredforunauthorized
#銹
題螂
phys︳ ca︳ access.
籤妳鑱籛銹仰籃黐 孥簃學餯擺師
所 ,
權 之 實體進 出 。
鐑 航器冷帥 宮鈔螂
幼帥
◎ 了C︳ C
22S| ide﹁ 37
簽舐好
露
— —
實 體 安 全 監視
PurPose目 的
Todetectanddeterunauthori2edphysica!access.
播舉錯盤 砩 赫器撥鉾 再 螃 艸
偵 測 並 阻止 未 經 授 權 之 實 體 進 出 。
鋨帥
◎ 下C︳ C
2-2S| :de{ 38
A.7Phys︳ ca︳ controls實 體控 制
嫠薽 窟
— — —
鑰靆鑰鍛 鑼 鏺飄幼鑯 外
A_ 7口 4Physica︳ Secu山 tymon比 0山 ng
實 體安全監視
Guidance指 引{
︳So27002)
錛雞瞬 琳
Physica︳ prerΥ ╮
isesshou︳ dberΥ ╮ ancesystems,
onitoredbysuⅣ ei︳ ︳
Whichcan inc︳ udeguards,intΓ ude「 a︳ arr【 ╮s,video rnonitoringsystems
鎙黫螂
suchasc| osed一 c︳ rcuit te︳ eVisionandphySica︳ securityinfor了 nation
甄八
management soflWaΓ ee︳ theΓ ︳ yorbyarnonitoring
serviceprovider.
實 體 場 所 宜 由監 控 系統 監視 ,其 中包括 警衛 、入 侵 者 警報 器 、視 訊 監
視系統(諸 如 閉路電視),以 及於內部管理 或由監視服務提供者管理之
實體安全 資訊 管理軟體 。
Access tobui︳ dingsthathouSecΓ itica︳ systemsshou︳ dbecontinuous︳ y
monitoredtodetec七 unauthori2edaccess orSuSpiciousbehaViouΓ by
宜藉 由下 列方 式持續監視 容納 關鍵 系統 之 建物進 出 ,以 偵測未 經授權
的進 出或可疑行為
啪將
:
◎ 下C︳ C
2-2S︳ ide﹁ 39
A.7Phys℃ a| controlS實 體控 制 -
π已 π
— —
搦雞鈐艙 璐 翰皺谽鐖 外
A.7.碎 Phy由 ca︳ Secu山 tymon比 OHng
實 體安全監視
3)insta| ︳
in9sensors senSi七 iVeto thesOundofbreakingg︳ aSS、Ⅳhichcanbe
usedto tr° ggerana︳ arrΥ ︳
鐖黰錀 功
toa| e比 Securityperson ne比
縐籛螂
externa| doorsandaccessib︳ eWindoWS.
c)usingth° sea︳ arr﹁ s tocoVera︳ ︳
irneS;coVe「 Shou| da| sobe
颻外
Unoccupiedareasshou︳ dbea︳ aΓ rnedata︳ ︳七
鵔視 系統 之 設 計 官保 持 勝 密 因揭 露可 能 易遭 無 種 渙〡比 菂 闔 入 .
翰帥
宜保 護 監視 系統 免 受未經 授權 之 存 取 ,以 防止 未 經授 權 人 員存 取 監視 資訊
◎ 了C︳ C
(諸 如視訊饋送)或 由遠端停用系統 。 2-2S▆ de可 ㄥ鬥
靂
靂鑯口
— —
實 體 安 全 監視
﹁Sys七 eⅣ ●contro| pane| shou| dbep︳acedinana︳ ar了 ned20ne
下hea︳ ar了 了
oWsaneasyexi七 r° u七 efoΓ the
and,for safetya︳ a「 r!╮ S,inap| acetha七 a| ︳
銹羻銹 本
錛灘齡蚡 鐇 鑰黫妢鑰 外
A.7.5Protectingagainst physica︳ andenVironrnenta︳ threats
防範 實 體及 環 境威 脅
ContΓ o︳ 控 制措 力
也
鑼黫鑼
PΓ otectionagainst physica︳ andenvironmenta︳ thΓ eats,suchas
$鈐
natura︳ d︳ sasterSandother intentiona︳ OrunintentiOna︳ physica︳
曆啷
鎡小
thΓ eats to infraStructuΓ esha︳ ︳bedesignedandirΥ ╮p︳ emented.
Control控 制措 施
Phys| ca| PFO七 ec之 iOna$接 inS走 na七 uΥ 接;d〡 Saster$,ma官 iciOus缺投ack
oracc;den七 $Sha︳ ︳bede$i$neda我 dapη ︴ ied.
應 設 計 並施 行 實 體保 護 ,以 防 範 天 史 、惡 意攻 擊 或事 故 。
幼帥
◎ 丁C︳ C
2-2S︳ ide︹ 玲3
A.7Phy山 calcont「 o心 實 體控 制 十
π出 π
— —
防範 實 體及 環 境威 脅
CcⅡ trd七 yPe I五 掐 rⅢ區心 on Cy打 erε ec在 rit/ OpeΓ a#Ona1 yd㎝
Se〔 ur五 七 a主 ︴S
seε uritypr. Perties εOnCeP七 ε Ca↑ ab王 Ⅱ在eS
勞Prevem〝q #COnf主 den在 盆:比 y #Protect #喲 s比 a S㏄ uri中 #Pr0在 eCtion
#Integrity
#Avai︳ ab正 土群
“
鑰 黫 銵 ︴描雜堅 翟 緇路鏺緇鉀佛 磁曌霆 ′手 ♁ 螂
P︼ 卬 Se目 的
。
下o preVent orΓ educetheconsequencesofevents originating
fror︳ ╮phys︳ ca︳ andenvironrnenta| thΓeats_
一 一
防止 或 降低 源 自實 體及 環 境 威 脅 之 事件 的後 果 。
燄師
◎ 下C︳ C
2-2S︳ ide一 冷兮
A_ 7Phys比 a| contro心 實 體控 制
塕繖瞈妢 餾 翰騹盼纖 小
|
╮ A.7.6wor㎏ nginSecureaΓ eas於 安 全 區域 內工作
腔帝︳
Contro︳ ㄐ ┤暗施
SecuHtymeasuresforWOrk:ngin secureareassha| |be
鐖飄鑈 功
p︳ emented.
designedandirΥ ╮
鈐籛螂
應 設 計 並 實作 於 安 全 區域 內工 作 之 安 全措 施 。
應 設 計 血施行 於 安 全 區域 內工 作 之 程序 。
砏帥
◎ 下C︳ C 2-2S山 deπ ㄥ5
揮舐好
彈
— —
齡黮 鑈錼 鑴 錛
A.7.6WOrkingin securea「 eas於 安 全 區 域 內 工 作
ype
C.ㄥ trO一 七 致拓 r且 出 比 n y
Cyberε et社 r玉 七 opera七 主
o且 a= §eε Ⅱr主 七ydD且 a二 n§
seε ↓r引七√propε r在 ieS C● 玉Cep七 S εapab且 主歧es
一
Ve
特PreVen七 在 #Con&de且 七ia| i七y #P了 0teC守 #P盯 s竹a:一gecuh吁
一
#Pr0它 eCt玉 0n
#正 比 e舒 在
呼
#肘磁且ab二 主itˊ
$鑈
黤 搊 碑瓶雜豎 鮤 路移靈 轟 鑈 械錚玲鉾 每 盼 啷
Pu印 °se目 的
下o pr0七 ect inforr!︳ at︳ onandotheraSSociatedassets in secure
areasfΓ orndamageandunauthor︳ zed:nte㎡ brenceby
personne︳ woΓ king:ntheseareas.
U 保護 安全 區域 內之 資訊及 其他相 關聯 資產 ,免 受於此 等區域 內
工作 的人 員之損壞 及 未經授權 的干擾 。
紛外
◎ 下C︳ C 2-2S︳ ︳
de﹁ 46
A.7Phy由 ca︳ contro心 實 體控 制 ◆
錚燄 β
— —
齡鸂翰盼 蟠 齡颾繚鑯 加
A.7.7C| eaΓ deskandc︳ earScreen
桌 面淨 空與 螢幕 淨 空
ContΓ o︳ 寸
腔帝︳
ㄐ際施
鑰麤銹
C︳ eaΓ ovab︳ eStoΓ agerⅥ ediaand
desk ru| esfor pape「 sandΓ erΥ ╮
earscreenΓ u︳ esfoΓ inforrna七 ion pΓ oceSSingfaci︳ itieSSha︳ ︳be
$彿
靉郴
c︳
definedandappropr:ate| yenforced.
鉞出銹黫鏻螂欺餵 學姊
應 定 義對 紙 本 及 可移 除 式儲 存 媒 體 之 桌 面 淨 空規 則 ,以 及 對 資
訊 處 理 設 施 的 螢幕 淨 空規 則 ,並 適 切 實 施 之 。
路瑹餵灘 鑰 瞞壁餵ㄔ音 谽螂
COn走 ro︳ 控 制措 施
AC︳ e爸 cyfor paperSandξ emov爸 b| eS在 orage【 ╮ed;aanda
=deSkp0比
c︳ earscreen po比 cyfor;n了 0rrⅥ a左 ion proeeSSjno了 ac:︴ :9$s乩 a比 be
i︴
ad° p毛 ed.
對紙本媒體與可移除式儲 存媒體應採 用 桌面 淨 空政 策 ,且 聲 資訊處 理設
妙帥
◎Tc℃ 施 應採 罵 螢幕淨 空政 策 。 22S︳ ide︴ 碎7
A.7Phys心 a︳ contro心 實 體控 制 十
π出 β
— —
桌 面 淨 空與 螢幕 淨 空
Pu卬 °Se目 的
2edaccess,︳ oSSofand
下oreduce七 heriSks ofunauthoΓ |
damageto︳ nforrnat︳ on ondesks,screenSandin other
accessib︳ e︳ ocationsduΓ ingandouts︳ denorrna︳ working
houΓs.
降低 於 正 常工 作 時 間 內及 外 ,桌 面 、螢幕 及 其他 可 存 取位 置
常 緲 ♁盯
上 之 資訊 ,遭 受未 經 授 權 的存 取 、遺 失及 毀 損 之 風 險 。
└Ⅳ_
◎ 下C︳ C
e
2-2S| ;deη ㄔ8
A.了 Phy由 ca︳ contro怡 實 體控 制 母
靂氖查舐
— —
翰巍錢蜍 蠮 翰黮劬饑 〝
|
╮ A.7.8巨 qu︳ pr【 ent s山 ngandprotection設 備 安 置及 保護
╮
措施
Contro︳ 控 帝心
Equ| prnent sha︳ 比 eSitedsecure︳ yandprotectedj
鐖繳銹 玢
設 備 應安 全 安 置 並 受保 護 。
鐒攤螂
鈚外
跆麼路
應 安 置鼓保 護 設 備 ,以 降低 來 齒環 境 乏 威 脅及 危 害造 成 的嵐 險 ,
以及 未 經授 權 存 取 之 機 會 。
幼帥
◎ TC︳ C 2-2S︳ ide可 ㄔ9
A.7Physicalcontro怡 實 體控 制 …
犛鬾 靂
— —
yPe
C° 傘七r° 王七 王n出 rma七 主 on Eybersec逑 r丘 七y opera七 拓 土a王 Seε 社ri中 d0ma五 且S
Secur王 句t proper七 ieS C° 在Cepts capab在 狂t王 eS
P° Se目 的
PⅡ Γ
下o「educetherisksfroΠ ╮physica| andenvironmenta︳ 七
hreats,
andfroΠ ╮unauthorizedaccessanddamage.
降 低 源 自實 體 及 環 境 之 威 脅 的風 險 ,以 及 未 經 授 權 存 取 及 破 壞
之風 險 。
♁鄉
齡籬齡妢 嬾 齡黤紛鑯 外
A.7.9Secuhtyofassets o十 prernises
場所 外 資產 之 安 全
COntΓ o︳ 腔帝︳
┤階施
錀驤鏺 溶
ofus︳ teassets sha︳ ︳beprotected.
螉靨郎
應 保 護 場一域 外 資產 。
盼阿
◎ 下C︳ C
2︺ 2S︳ ide﹁ 5η
A.7Phys℃ alcontrolS實 體控 制 十
r出r
— —
場 所 外 資產 之 安 全
ε0且 七 yPe
r6正 七 玉
n出 田口na七 是 Ⅱ cybersε tur土 y oPera拉 Ⅱa王 SecⅡ rityd.ma五 ㄥs
sε 〔 .七
Ⅱrityprop.Γ ieS εoncepts . eS
caPa在 致i且
#Preven七 iVe 勞C0nfid§ Ⅱtia王 北ˊ #Protect #Phys二 ca王 sec迂 ri七y #Proteε t三 On
一
#王 ntegr北 y 井AS§ et_ managemen七
仔Avai且 出bi上 七
乎
P︼ 卬 °Se目 的
黫
鏺
中斷 。 薟
肆
哥
紛
♁
抔
◎ 下C︳ C
2-2S∥ de︴ 52
A_ 7Phys心 a︳ con七 rO℃ 實 體控 制 爾騪扔鱦解 竹
斖瓶 籚
鈐纖鈐鍛 錙 塕籛 紛鑨 鈺
╮ A.7.η 0stora9emedh儲 存媒 體
ContΓ o︳ 寸 H告 施
陸帝︳
ediasha︳ ︳berl╮ anaged七 hroughits︳ ifecyc︳ eofacqu:sition,
S七 orager了 ╮
擁豳 鑰 ︴
use,tΓ anspoㄤ ationanddisposa| inaccordancewiththeorganization’ S
c| aSsifica七 ionSchemeandhand〡 ingrequiremen七 S.
鈐黫 螂
儲 存 媒 體應依 組 織 之 分類 分 級 方 案及 處 置要 求事項 ,於 其獲取 、使 用 、
C鉗 竹 o︴ 控 制措 施
P印◆Ceduressha|︳be=m肆 | emen掩 d︴ bξ 它 挑e了 nanagemem老 °了remoVab:e了 ﹏ed工 a| m
缺CC。 于
d缺 nCe、離 七 ica七 :° nSchemeadop七 e球 by七 h。 °
hec:盆 $$︳ 了
jt托
姆盆m| 2a七 ︳
°m‘
應依 組 織所採 躝之 資訊 分級 方 案 ,實 作 管理 可移 除 式媒 體 之 程 序 。
Med工 嵌$拚 a:| bed工 $po$e婊 ofSec班 re︳ y↘u抽 en no︴ ongeξ Feq研 |
red子 u$=n$fbξ 〔
n缺 |
紛阿
pro6e心 Ⅵ〔
e$‘
宙 ,應 使 用 正 式 綠 序 加 以 安 全 汰 除 。
◎Tac當 不 再 露要 媒 體 毒 2-2S︳ ide可 53
A.7Physica︳ con七ro怡 實 體控 制
Me姼 工襏 C° 出之後 n$;m了orγ ha它 子onSh盆 〡︴bepξ ◇絡 c推 妞 缺$a〔 舟$左 un缺 盼︴h° 工ed往 CCe$$,
r〡
︴$u$e♁ rc◇=n工
音 肸︳
r了 ║ ︴°比dW;mσ | r磁 n$po← 守
破子♁外‘
應保 護含有 資訊乏 媒體 於 傳 送時 ,不 受未經授 權 齡存取 、謑 璃或毀嶺 。
鏘麰 銹 外
巨q以 君 ,︳ n拓 r出 爸
η附e外 毛 七!° n♁ r$o發 W3re$乩 a| |出°電$e七 a臥 e&♁ 了
雷-$比 eW:之 恥o出 藍p比 or
嵌u色 找♁好
:π 爸之:o什 ﹏
齡黤 藐
ype
ε6且 七r● 七 王
nf° rma七站Ⅱ Cyt兮 rSeCur王 ty opeΓ 公亡
五ona一 ydomai且 ∫
S兮 CⅡ r王 七
seε Ⅱr二 ﹏yPrσ pe比 三
eS 〔onε cp七 ε ε&pa出 二正
七二§S
一
#Preven七 :Ve #C0n且de站王
a::ty #Protec有 #P時∫:ca王 _secur三 七y #Pr0七 ec七 iOn
y 一
#王 ntegr比 學AJ∫ e社 m在 且ageme且 七
ty
考Ava且 ab且主
Purpose目
磁鏤鈴↗哥 嬐的
的
Toensureon︳ yau七 hoΓ iZeddiSc| osu「 e,r了 ╮ diπ ca七 ion,「 emoVa︳ oΓ
。
deS七 ruct︳ on ofinfor【 ﹁at| on on storage▊nedia.
谽師
確 保 僅 經 授 權 之 揭 露 、修 改 、 冊l!除 或銷 毀 儲 存 媒 體 上 的 資 訊 。
◎ 了CK
安2S︳ ide﹁ 5ㄥ
A.了 Phys︳ ca︳ cont「 o心 實 體控制
齡飄幾妙 鑼 鑰攤翰饑 外
A.7.↑ 可Supp0rⅡ nguH︳ Ⅲes支 援 之公用服務 事業
Cont「 o︳ 控 帝嵽 施
︳
nfoΓ 〔 :tieSSha︳ ︳beprotectedfrorΥ ╮poWe一
Ⅵation proceSsingfac︳ ︳
鐖麤鑼
fai| ureSandotherdiSruptionscausedbyfai︳ uresin suppo比 ing
$鬱
u七 itieS.
黫螂
i︳
C° n電r° ︳控 帝寸檔力
也
εqu:pment sha︳一一︳beprotec掩 d#O什 ︴power了 ai︳ uresando者 扎eΓ
onScausedbyfa︳ ︳吐reS:nsuppo浪 ︳ngu七 ︳︳it:eS_
d;$r班 p在 ︳
所 導致之 中斷 。
鯓帥
◎ 下C︳ C
2_ 2smde﹁ 55
錫簸銹錄 躪 鑈
A.7_ 可ηSuppOH︳ nguj︳ 山eS支 援 之公 用月
艮務 事業
Purpose目 的
下OpreVent| osS,dama9eorcornprornise0了 in了oΓ 了 nationand
otherassociatedasSets,oΓ interrupt︳ on to theoΓ ganization’ s
OpeΓ ationsduetofa︳ ︳
uΓ eanddisruption ofsuppOΓ tinguti︳ ities.
防止 資訊及 其他相 關聯 資產 之 遺失 、破 碩 或危 害 ,或 由於 支援
的公用服務事業之失效及 中斷 而 中斷 組織 的運作 。
鍋帥
◎ 下C︳ C
2-2S| :deη S6
A.7Phy由 ca| contro心 實 體控 制
鈐幾鑰鎀 餾 鑰籛鐪齺 跡
︵ ︴2ca〣 ingsecuⅡ ty佈 纜安 全
〉 A. 7.
一
C○ ntro| 守 措力
空希↓ 也
Cab︳ escarΓ y:n9poweΓ ,dataor supportinginforrΥ ╮ ation senrices
翰黦擁 再
sha︳ ︳bep「o七ec七 edfrorn in七 e「 ception,inte市 e「 enceordamage.
鬱鑼榔
應 保 護 傳 送 電源 、資料 或 支援 資 訊 服 務 之 纜 線 ,以 防 範 竊 聽 、
鈚本
干擾 或破 壞 。
| ercep發 |
介蓬 O升 ,:n老 ♁踐色 renCe♁ r¢ 綾約 俄g爸
一
應保 護傳 送資料 或支援 資訊服務之 電源及 電信佈纜 ,以 防止竊
聽 ,子 耰 或碩 客 。
呦帥
◎ 下C︳ C
2-2S︳ :deπ 5了
A口 7.可 2CaⅢ ︳
ngsecu∥ ty佈 纜安 全 鐖黫齡谽 齺
ype
Co無怎r° 七 王n拓 rma七 i° n Cy︳ ersecurity opera七 注五a玉 SecⅡ r扭 yd6Ⅲ a王 且S
SeCuri七 ypr9pef七 二e§ C0在 Cep七 § .
εapabi一 三
七ieS
一
Ve
#Prε Ven七 王 #Conlden七 ia王 泮 i七 #Protec七 #P竹 sica︳ 一Securi七 ˊ #Pr0七 ect亡 O正
#AvaiI玟 L玉 i七 y
本
鐑黫 碑
兟 鑰 幾 翰 師玫 齵 擊 邁 移錯擺卹攝 磁舉啥拼 百 妙 螂
館
PuΓ PoSe目 的
oSS,darnage,theft
下0preVen七 | orcomp「 or了 ╮iSe。 finfoΓ rna七 :on
andothe「 asSocia七 edaSSetsand︳ nte「 up七 ion to the
「
organ︳ zation’ s ope「 ationsΓ e︳ ated七 o powerandcoΠ wη unicat:ons
cab︳ ︳
ng.
防止 資 訊及 其 他 相 關聯 資產 之 遺 失 、破 壞 、遭 竊 或危 害 ,並 防止
與 電 源 及 通 訊 佈 纜 相 關的 組 織運作 中斷 。
翰帥
◎ TC︳ C
2E2S︳ ideη 58
A.了 Phys泡 a︳ contro心 實 體控制 ◆
安瓶 β蟲
— —
瞈飄鑰姊 皤 螉黫鉿饑 外
A.7.η 3巨 quipment maintenance設 備 維 護
COntΓ o︳ 控 制 ;睹 力
也
巨quipment sha︳一︳berη aintainedcorrect︳ ytoenSureavai︳ abi︳ ity,
鐖黫鑈 站
integ山 tyandconⅡ den小 a︳ ityofinfoΓ mauon.
鐒灘榔
應 正 確 維護 設 備 ,以 確 保 資訊 之 可 用性 、完整性 及 機 密性 。
應 正 確 地 維護 設 備 ,以 確 保 其持 續 的可 用‘ ‘
l生 及 完整 l生 。
鉹帥
◎ 下C︳ C
2-2S︳ ide︴ 59
A.7Phys心 a︳ cont「 o心 實 體控 制
鑈簼鑰谽 鑼 拂
A.7.﹁ 3巨 quiprΥ 〕
ent maintenance當 黈備 鬥筀瑋
羞
εoⅡ tro︳ ” Pε 王ⅡfOrma子 iOⅡ εyberS兮 ε旺ri玗 OPeΓ ati. Ⅱ斑 Seε uritydoma王 m§
securi句 πProJ〔 r七 二
●S ε 且εSp〔 s C伸 出七 二
在es
i三
。
#Preven七 Wq 帶COn我 dentinlity #Pro〔 ec七 secur比 y
#Phy∫ 比a王 一 #ProtetL在 on
#工 ntegr比 ˊ #AS∫ et_ management #Re∫ ilienε ε
#Avai王 出 i1:七 y
譾睥
無 錀 籩 鏺 坤蹴餓堅 翟 路撥鍰嗧鉀翰 瞞舉跨鉾 善 盼 師
㎡
PWP° S● 目的
下o preVent| oss,damage,the及 orcornprorniseo了 infoΓ rnation
andotheraSSoc︳ atedaSsetsandinterΓ uption to the
organization’ s operationscausedby︳ ackO了 maintenance.
防止 資訊 及 其 他 相 關聯 資產 之 遺 失 、破 壞 、遭 竊 或危 害 ,以 及
因缺 乏 維護 而 導 致 組 織 營運 中斷 。
劬帥
◎ 下C︳ C
Modu!e2-2s∥ deη 60
A.了 Phys℃ a︳ contro心 實 體控制
齡籛 坳鬱 鐋 鑰齊 鐒鎞 年
A_ 了.︴ 碎Securedisposa︳ oΓ re一 useofeqUiprnent
設 備 汰 除 或 重新使 用之保 全
Contro︳ 控 制措 施
拂鑵 鐑 站
︳temsofequipmentcontainingstoΓ age了 ned:asha︳ |beVerifiedto
ensuretha七 anysensit| Veda七 aand〡 icensedsoRWa「 ehasbeen
銹籛 柳
emoVedor secure︳ yoVenⅣ itten prior todispoSa︳ or re一 uSe.
籤燕
「 「
備 項 目 ,以 確 保 於 汰 除 或 重新使 用前 ,所 有
C加 女′σ¢原 無:琴 琴〞
G錐 更約︳控 希ll措 施
。
A:善 e出 SOξ equ:pmen七 cΘ n七 a:n︳ ngs︴ Θξ
:左 aqerhed;接 S抽 爸子 一 了
子beVer︳ ;ed七 o
一
en$盼 ′e它 h3七 3ny$ens︳ 是 Veda七 aand| ︳
〡 cen$edso馳 arehasbeen 一
e幼 ◆Ved° r$兮 C紅 re| yoven絆 ri︴ 七兮np始 Θr七Θ 吐 or re-u$e.
=$posa︳
含有儲存媒體
一 之所 有設備組件 ,於 汰除 或霹使 用前應加 以查證 ,以 確
唦帥
l生 的資料 及 有版權 之 軟 體 已被 移除或安全地 養窩 。
保任何敏戚.
◎ 下C︳ C
2-2S︳ ︳
de﹁ 6一
A_ 7Phys心 a︳ cont「 o怡 實 體控 制 …
露薽t彈
— —
鐖纖 媰錄 齺 鐖螂
A.7.﹁ 碎SecuredispoSa︳ or「 e一 useofequ;pment
設 備 汰 除 或 重新使 用之保 全
COn七 r° 1七 ype h几 rm斑二°n Cy已 ersecuri七 y Opera七 主on宙 1 JeC社 ri︴ ydoⅢ 斑n§
Se兮 Ⅱr王 〔yproperε ie§ Conε ep七 ε 〔aP玉 已王上t主 eS
學Pre改 n七 Rt #C0n&den七 ia1三 打 華Pro七 ec七 #Physjca1一 securi七 y #Pr0七 eCt︳ 0n
#As∫ et_ manage政 en〔
帥
篱 籈 窈 激 媲 磁帶默 欺鑼玲媸轟 鍋 磁鋒撥帥 茗 妙姊
PHrPose目 的
了o preVen七 ︳
eakageofinforrΥ ╮
at| onfror【 ╮ ent tobe
equiprΥ ╮
dispoSedorΓ e一 used.
防止 資訊 由待 汰 除 或 重新使 用之 設 備 洩 露 。
谽帥
◎ 下C︳ C
Modu| e2-2s︳ ︳
de可 62
A.8下echno︳ og︳ ca︳ cont「 o︳ S技 術韹〨帝︳
鑰點蜂砏 瞱 鐑籧谽鶵 跡
A.8.可 USerendpointdeV心 eS使 用者 端 點 裝 置
ContΓ O| 控 制 ;睹 力
也
︳nforr了 ︳
ation storedon,pΓ ocessedbyoracceSSib︳ eviauseΓ
攤黮鎞 ︴
一
endpointdev︳ cessha︳ ︳beprotected.
用
使者點
端裝置
處理經
或由
鑼黫螂
矲管
霤暈籃
套董尋
牽要聖
醬曇
颻密
:由
盼阿
◎ TC︳ C
2-2S︳ ide鬥 63
A.8下ech 術控制
拉 ′
ˊ
繗黫銹嬐 鑼 坲
A.8.可 USeΓ endpointdeVices使 用者 端 點 裝 置
PWP。 Se目 的
下o protec七 ηationagainst
info「 【 ther:sks introducedbyusing
緇帶鐒盟 ≠
useΓ endpointdeVices.
保護 資訊 ,免 受使 用者端點裝 置之使 用 導致 的風 險 。
鏺 磁器玲跡 巨 鎀 轉
幼師
◎ TC︳ C
2ㄛ 三S︳ ide鬥 6ㄥ
A_ 8TechnO︳ og︳ ca︳ contrO︳ s技 術韹〨帝║
齡雞鑰熪 鐋 塕籛盼饑
ˋ╮ A_ 8.2P山 Ⅵ㎏gedaccesS山 ghts特 殊 存 取 權 限
C○ ntro︳ ㄐ
陸希︳
┤際施
下hea| |ocatiOnanduseofpriVi︳ egedaccesSrightSSha︳ |be
$僯
灘銵 吽
restr:ctedand【 Ⅵanaged.
鐒黫螂
應 限 制 並 管 理 特殊存 取 權 限之 配 置及使 用 。
c♁ n七 ξ
O︳ ︳
兮d︳
應 限璋 與控 希ll具 將殊符 取權 限之 配 置及 使 用 。
l〡
翰卅
◎ 下C︳ C 2} 2S︳ ideη 65
( ::》
egedaccessHghts特 殊存 取 權 限
A.8.2PHV︳ ︳ 錀籛 鏹鍛 璐 踘
PurPoSe目 的
下OenSureon| yauthorizeduseΓ S,so加arecomponentsand
seⅣ icesareprovidedW比 hpΓ :vi︳ egedaccess r︳ 9hts.
艮務 提 供 特殊 存 取權 限 。
確 保 僅 對 經 授 權 之 使 用者 、軟 體 組 件 及月
鍛帥
◎ 下C︳ C de︻ 66
牙2S︳ ︳
A.8下echno︳ ogica︳ contro︳ S技 術 韹生帝︳
眑纖 鑯皒 鑼 齡籛 鍛鑰 ︴
、︴
A.8.3lnfoΓ rna小 onaccessΓ est比 uon資 訊 存 取限制
′
ContΓ o︳ 寸
腔希︳
H階 施
鑰籲 錛 汾
estrictedinaccordanceWiththeeStab︳ ishedtop︳ c_ spec︳ fic
「
鈐雞 螂
po︳ icyonacceSscontro︳ .
鈜小
廱 已建 立之 關於 存取控制的 主題特定政 策 ,限 制對 資訊及 其
Contr0︳ 控 備好
ㄐ著施
AcceSS士 O︳ n了0rξηat子 onandapp︳ ica士 ionSyStem了 unc走 ︳
°nSSha〡 ︳
bere$tricte心 i我 aCCordance、 Ⅳ〡h︴ heaccesscon崔 rO| po︳ ︳
七 cy﹏
應 根據 存 取 控 制 政 策 ,限 帶ll對 資訊 與 癮 用 系統 功 能之才
子取 。
幼踤
◎ TC︳ C
2-2S︳ ideη 6了
鏺黰 鑈嬐 越
A.8.3ln了 ormauonaccessΓ est山 c小 on資 訊 存取 ㄗ
艮帝︳
PWp。 Se目 的
下oenSuΓ eon︳ yauthori2edaccessandto pΓ even七
ηationandotheΓ assoc| ated
unauth0rizedaccess to infoΓ 【
可
assets.
\〦
鑰 臨莏玲掛 哥 砏坤
ㄏ、
◎ TC︳ C
Modu︳ e2-2s!ide可 68
A.8下echno︳ ogica︳ contro︳ S技 術 韹〨帝︳
靂瓶 靂
— — —
拗羰鈐螃 蠮 鑰籛錯鑰
A.8口 碎AcCeSscontro︳ to sourcecode
對原 始 碼 之存 取
措施
Con七 ro︳ 控 希║
$坳
籲鑱
ReadandWriteaccess to sourcecode,deve︳ opment too︳ Sand
#銹
ate| yrnanaged.
籓螂
Sof七Ware︳ ibrariesSha!︳ beappropΓ ︳
鈜外
應 適 切 管 理 對原 始 碼 、開發 工 具 及 軟 體 函 式庫 之 讀 寫存 取 。
幼帥
◎ 下C︳ C 2一 2S| ;de鬥 69
COⅡ 七rO王 睜 } 工
且f° rⅢ 母t玉 OⅡ ε沖 ers㏄ ur丘 ˊ 6perauon斑 yd@mΞ 二玉S
SecⅡ r二 七
. S兮 ●ur:站 ㄏ}rop兮rtieS Cσ 且Cep在 S εap主 t:玉 tieS
#PreVe且 毛iVε #Co正 主de且 七三
a王 比ˊ 勞Pr● 七ㄜc七 #王 den它 比妥 na一access_ 學Protect三 0n
y
#工 n七 egr在 ㄜ mma多 me遮
#Ava止 ab注 比y #APp止 cat王 on一 Sec吐 r玉 ty
#Secure一 con狂 gura一
七iO且
航♁蜘 擊 攝 夥窪 舞 鑼 磁器跨帥 三 盼 螂
PHrPose目 的
To preVent theintroduction o了 unauthoΓ i2edfunct;ona︳ ity,
aVoidun:ntentiona︳ or rna︳ ︳c︳ ouSchangesandto〔 naintain
theconf心 entia︳ ︳
︳Vo了 Va︳ uab︳ einte︳ ︳
ectua︳ pΓ opeⅡy.
維持 有價值智慧財產 之機 密性 。
◎ TC︳ C 2一 2S︳ide︴ 70
A.8下echno︳ og︳ ca︳ contro︳ s 手韹生帝︳
技羽
釐蟲溶
— — —
鐒黳齡鍛 錔 齡黤幼鑰 外
、
A.8.5SecuΓ eauthentication安 之
〧搜監另心
ˊ
ContΓ o| 際施
控 制┤
Secu「 eauthentication techno︳ ogieSandprocedu「 eSsha︳ ︳be
鑰黦鑰 外
汁np︳ ementedbasedon inforrΥ ╮ ationaccessΓ est「 ictionSandthe
鏺邏姊
topic一 specif︳ cpo︳ icyonaccesscont「 o| .
饖琳
安全鑑別技術 及 程序應依 資訊 存 取 限制 及 關於 存 取控 制 之 主題
C° n#° ︳ 措方
空常寸
毒 包
Wheξ erequ:redby七 heacces$con左 rO〡 iCy,俄 eCe$S它 O
Sy$temsandapp〡 icat;ons sh爸 〡
|beContrO︳ ︳edbya$ecuFe| og﹏
on pFoce硪 吐re﹏
當才 子取控 常ll政 策要 求時 ,應 由保 全 登入 程序 ,控 帶 對 系統 及 癮 用 l|
劬師
之存 取 。 √
◎ 下C︳ C
2-2S| :de﹁ 7﹁
r
r出 口
— —
鍋黮鑈嬐 鑼
A.8.5Secureauthenticat︳ on安 全僥蓋另︳
PWP。 Se目 的
下oenSuΓ eausero「 anent︳ ty︳ ssecure| yauthenticated,when
accessto systems,app︳ icationsandsen山 ceSiSgΓ anted.
一
於 授 予對 系 統 、應 用程 式 及 服 務 之 存 取 權 限 時 ,確 保 對使 用者
\.╯
或個 體 進行 安 全鑑 別 。
翰師
◎ 了C︳ C
2-2S︳ ︳
de︴ 72
A.8下echno︳ og︳ ca︳ con七
「
o︳ S技 巧
好韹〨帝︳ 碅騶死騮鑗 好
靂瓶 靂
搦繩 錐齴 璐 鋒纖 鎀鑰 外
ent容 量 管理
A.8.6Capac:tyrnanagerΥ ╮
Contro︳ 腔帝︳ㄐ階施
TheuSeofresourcessha︳ ︳berΥ ╮
onitO「 edandadjustedin︳ ine
銹籛 銹 坊
一
W比 hcurrentandexpected田 paCityrequirernents.
鋊籛 螂
資 源 之 使 用應 受監視 及 調 整 ,以 符合 目前 容 量 要 求 及 預期 容 量
兟外
要求 。
r♁ φ社|
ξe4$ys毛¢作 ﹁pe睜♁ nanCe. r了
以確 保將 要求赶 系統效 能 。
翰帥
◎ 了C︳ C
2-2S︳ ide﹁ 73
靂颻 餒
— —
yre
C◆ 4仁r° 玉七 I五 拈 r血 在在主且 y
Cy↓ er§ ecⅡ r二 它 〔p七 f注五
} ona1 Se6吐 ri七 yd6ma二 Ⅱ§
.
seε ⅡrityJrDperti兮 S ε●且εep七 S εapab主 止七王εS
ve
#Prevenㄜ 二 #〔 n七egr亡 好 #王 dcn在 ≡
fy考 P了 0teCt #Cen它 i且 uity #Governancea玉 d
#De持 G毛 主
Ve #Ava止 女bi土 ty #Detect ECo§ yS它 e1且 #Pr° tec一
t工 O且
譾抪
兟 鑰 籛 螉 妳瓶雜妳 寧 饎 犩舞
命
PHrPose目 的
TOensure七 herequi「 edcapacityof:n了 oΓ rna七 ion pΓ ocess︳ ng
fac:︳ ieS,hurnanΓ esources,o帝iceSandother了 aci︳ it:es.
i七
路擺蛢鑰 竑務玲帥 官 鎀 螂
確 保 資訊 處 理 設 施 、人 力 資源 、辦 公 室及 其 他 設 施 所 要 求 之
容量 。
嬐師
◎ 下C︳ C
Modu︳ e2-2s∥ de可 了6
A.8Techno︳ ogica︳ contro︳ S′ 支羽
之 盱韹生帝︳
鑰黤鑰幼 擺 攤雞紛鑰 外
a︳ Ware防 範 惡意軟 體
A.8.7PΓ otecHonagainst r了 ╮
ContΓ O︳ 寸
腔帝●
●際施
ma︳ WareSha︳ ︳beirnp︳ ementedand
P「 otectionagainst
錛靆鑈
Suppo礎 edbyappΓ op「 ︳
ateuseΓ awareness.
$錐
應 實作 防 範 惡 意軟 體 之 措 施 ,並 由 適 切 的使 用者 認 知 支援 之 。
黫螂
甄小狒籦錀坤描Φ聖鮤 縪苓餵舉 鍋 描器跨珅 音♁螂
COntrO︳ 寸
腔帝呼
ㄐ際施
on,prevent子 On,andrecoVeη ↗contro︳ s to protectaga︳ ns左
De七 e政子
Ware$托 a比 be| mp| emen之 ed,combinedWithappΓ opr:a之 e
m往 ︳
uSeraW爸 rene$s.
廳 實作 防範惡意軟 體 之偵測 、預防及 復原控制措 施 ,並 合併 適切
之使 再者 認知 。
硹帥
◎ TC︳ C
2-2S︳ ︳
de︴ 75
π我 π
— —
C。 且七
ro︳ typ兮 InforⅢ a七 iO且 Cybε ΓsecⅡ ri七y operat二 oⅡ a一 S● Curi七 yd.ma主 nS
§ecⅡ 心tyPrσ pε r在 ieS ε°Ⅱε●pt§ c工 pa↓ 二
1玉 七
二●S
#Preven七 :Ve #Con且 dentia王 放y #Pr0七 eε t#Detect #Sˊ S〔 em_ and_ netwo〤
一 #Pr0七
eCt亡 On
#Detect打e 辛王ntε grity ∫εεurity #De拓 nε e
#ε orrec在 打e #Availab且 ity #王 nfOrmat主 on_protec︺
tiOn
讓坤
餓 碄 籛 鑈葚 建 菡 孟確拸窮蹯帥鏺 磁漿 萍 ︴ 妙郎
PWP。 Se目 的
丁oenSure:nfoΓrnationandotheraSsocia七 edaSSe七 Sa「e
pΓ otectedagainStr︳ ╮
a︳ WaΓ e.
確 保 資訊及 其 他相 關聯 資產 受保 護 ,免 遭 惡 意軟體 之 侵 害 。
♁外
◎ TC︳ C
Modu︳ e2-2s︳ |
deη 76
A_ 8下echno︳ Ogica︳ contro︳ S技 巧
好控 帝︳
山eS技 術 脆 弱 性 管 理
嗡幾鐒銹 琚 銹麰谽齺 餅
╭
8-8Management oftechn心 割 Vㄩ nera跡 |
╮ A.
Contro︳ 腔帝↓
寸階施
︳nforrΥ╮ationabou七 七 it︳ Sin
ation systerΥ ╮
echnica︳ vu︳ nerabi︳ eSOf| nforrΥ ┐
usesha︳一 |beobtained,theorganiza七 ion’ Sexposureto such
鑼籛鑼 巧
Vu| nerab︳ |:eSSha︳ ︳
i七 beeva| uatedandappropria七erneasuressha| |be
筠籦螂
taken.
訊
兟公
重
,
躋黤鑰鞭谹路班孥簃犖餒鑼韓
Co雄 在
冷|控 制捨 施
|nㄒ 0訐 路俄〔Θnab0埮 哥老
守 告心乩n工 c跩 ︳V4官 ηera如 ︳ ︳
n拖 rm爸 更♁nSyS︴ em$
:i老
=e$0f︳
be︳ 坤$uSed$抽 a乎 音be° 知道撥君 Red:紂 爸七 rne;yfa$hion,七 h♁ ♁ξ
〡 9嵌 n︳ 2at;onts
鐪 筋選玲珅 巨♁艸
e〤 po$$re之 ♁ Su● 乩 V吐 :ne百磁紐〡
比吝eSeV撥 |以往七edaη dappξ ♁p比 a七 e了 nea$$Fes
君
君
3Ke錐 音 edri$紅 ‘
°含建dFe$S崔 乩兮aS$Θ C:凄之
應 及 時取得 關於 使 用 中資 訊 系統 之 技術 繃 ;l生 資 訊 ,並 廲 詳 估 組 織對 此
艕外
l生 之 暴 露
等脆 弱 . ,且 兣 採 取 適 當措 施 以 困應相 關嵐 險 。
◎ 下C︳ C 22S| ︳
de︴ 77
躍甔【
彈
— —
鐖籛鑈鍛 蹯 鎙黫谽鑰 外
A_ 8.8M卸 agemen七 oftechnica| Vu︳ ne「 abi︳ 比 ieS技 術 脆 弱性 管理
︳ at︳ onSystemsSha︳ ︳
nforrΥ ︳ be「 egu︳ ar︳ yreViewedforcornp| ianceW| th
theorgan:Za七 ︳ on’ Sinforrnation securityPo| ic| eSandstanda「 dS.
鎙雝銹 Λ
應 定 期審 查 資訊 系統對 組 織 之 資訊 安 全政 策及 標 準 的遵循 性 。
鎀竁姊
兟山
PurPoSe目 的
● TopΓ even七 echnica︳ vu| neΓ ab︳ ︳
eXp︳ o︳ tation o了 七 itieS.
防 範 對 技術 脆 弱 性 之 利 用 。
艙抔
鈐纖銬鍛 鑼 錛黰妢饑 外
氏8.9COnΠ gurauon management組 態管理
Con七 Γ
o︳ 寸
腔帝︳
┤際施
鐑籧鏺
tyconf;guΓ atiOnS,ofhaΓ dWare,
Configurations,inc︳ ud| ngsecuΓ ︳
$彿
SoflWa「 e,Se︹ ︺icesandnetwOrks sha︳ ︳beestab︳ ished,
驤螂
鉞釴
p︳ emented,rnonito「 edandreviewed.
docur!╮ ented,ir【 ╮
躌黫錛螂箕餵 擊跡
應 建 立 、書 面記 錄 、實作 、監視 並 審 查硬 體 、軟 體 、服 務 及 網
路之組態(包 括安全組態l。
嬸舉餓畢銹 紅華山跡 音 谽坤
谽師
◎ TC︳ C
u︳ de-79
e2-2s︳ ︳
銹籦錛艙 鑼 鑰鑫◇饑
A.8.9ConⅡ gura小 on rΥ anagement組 態管理
╮
C9且 竹°︳
站叩§ ㏑hrΠ 阻在o︳ 1 Cybε 路ε
εⅥ出好 operat:Dna王 Seε 沒r主
睜 d. 取 inS
SeG吋 Ⅵ pr9p研 七 去
es concepts cγpabⅢ i七 ieS
.鐒
#Integri七 y
#Ava吝 1盆 bili打
鑰劉師
鏃¢
PⅢ P。 se目 的
鑼譊鑈妳藟玲聖鱉 舉夥靈轟錛城器冷釙哥 谽坤
確 保硬 體 、軟 體 、服務 及 網路 於 所 要 求安 全 設 定下 正 常 運行 ,
且 組 態未 遭 未 經 授 權 或不 正 確 變更 而 更 改 。
谽盯
◎ TC︳ C
2-2S︳ ide句 80
A_ 8下echno︳ ogica︳ contro︳ S技 術 韹〨帝寸 竹
鍵珮 靂珮
— —
眑籛銵翰 鑼 錐繳鐒蹦 氓
A_ 8.9Con帝 guraHon management組 態管理
Gu:dance指 了︳{
︳S。 2了 0● 2〕
Genera| 一 般
下heorganization shou| ddef:neandirnp| ernent p「 ocesseSand
銹纖彿 坊
tOO︳ StoenfoΓ cethedefinedconfigurations(inc︳ udingsecur︳ ty
鐒鼵瑯
configurat:ons)foΓ ha「 dware,So加 are,Senrices(e.g_ c︳ ° ud
SeⅣ iceS)andne七 W。 rkS,for new| yinSta︳ ︳edsySterΥ ╮saSwe︳ ︳aS
盼阿
要求 。
◎ TC︳ C 2一 2S︳ ;de鬥 8鬥
躍薽 露
—
—
鍋黮鑼鍛 鐖 錢籩黺蹦 ¢
A.8.9Con的 urauon managernent組 態管理
及 之 全 組 態 的標 準模 板
儈 定 義硬 體 、軟 體 、服 務 網路 安
兟巾
:
鑈纖鏺妳欺鶲 擊蘿路殟擺館
a)us:ngpub︳ 心︳
yaVai︳ ab| eguidance(e.g.pre一 definedtemp︳ ates
了Γ
omVendoΓsand了 rorn independent secuHtyorganiza甘 onS);
使 用公開可取得之指 引作︳:源 自廠商及獨立安全組織之預先定
義模板l。
皒 磁擊跨許宮 呦螂
(ㄟ
′
) b)c。 ns︳ dering七 he︳ eVe︳ ofprotection needed︳ n ordertO
deterrnineasu仟 :cient︳ eve︳ ofSecuri七 y;
考 量 所 需之 保 護 等級 ,以 判 定足夠 的安 全 等級 。
鎗阿
鐒纖蠮胡 嬏 鈐籛谽鑰 ︴
A.8.9ConhguraHon management組 態管理
Standardternp︳ ates準 蓓等
才反
錛黦鐖 路
c)supp。 rt︳ ngtheorgani2at︳ on’ s inforrnation security
鐒籩螂
po︳ icy,top︳ c_ spec| ficpo︳ ic:eS,Standardsandother
籈外
securityrequirementS;
呦帥
◎ 下C︳ C
22S︳ ide鬥 83
yand
The七 ernp︳ atesshou︳ dbereVieWedperiodica︳ ︳
updatedWhenneWth「 eats orVu︳ nerab︳ ︳
itieSneedtobe
銹鍐鐒 外
areintroduced.
皺∞
當 需 因應 新 的威 脅或脆 弱性 ,或 引入 新 版 本 軟 體 或硬 體 時
錀黫鑰師拓鵻墅崔 鑮瑙鋻畢錛 磁謻玲野哥 紛轉
宜定期審 查並 更新模 板 。
Thefo︳ ︳owingshou︳ dbecons︳ deΓ edfores七 ab| iShing
heSecurecon了 igurat:onOf
standardternp︳ ateSfoΓ 七
hardWare,So及 Ware,SeΓ v!ceSandnehⅣ orks:
建 立硬 體 、 軟 體 、服 務 及 網路 之 安 全 組 態的標 準模板 時 ,
宜考 量下 列事項 :
鎀師
◎ 下C︳ C
2-2s” deη 84
A_ 8下echno︳ og:ca︳ con七 rO︳ S技 巧好韹〨帝! 辦 竹
靂珮 靂牠
塕纖齡銵 齺 塕纖盼饑 外
A_ 8.9ConⅡ gurauOnΓ l╮ anagement組 態管理
a) rl╮ inimizingthenumberOf︳ denu甘 eSWithpΓ ivi︳ e9edor
adrninistra七 or| eVe| access rights;
將 具特殊權 限 或 系統 管理 者 等級之 存 取權 限的 身 分數 目減 至
銹飄銵 ︴
最小 。
鐒纋螂
b) disab︳ ingunnecessa「 y,unuSedorinsecureidentities;
停 用或限制非必要之功能及服務 。
d) reS七 山ctingacceSSto powe吋 u| uu︳ ityprog「 arnsandhoSt
paΓ ar了 ╮
eteΓ Sett︳ ngs;
限制對 強效 公 用程 式及 主機 參 數設 定 之 存 取權 限 。
e) synchΓ oni2ingc| ockS;
鎀師
將鐘訊 同步 。
◎ 下C︳ C 2-2S︳ ide︴ 85
paΓ arΥ ╮
eteΓ s;
綹繳碎
審 查其他重要預設安全相關參數 。
鑈黮銹妳毀銘 鞏簼移錯擺辦
g) tieSthatautomη tica︳ ︳
:nvok| ngt:rne一outfac︳ ︳
︳ y︳ ogo斤
U 裝置 。
h) veri印 ing七 hat︳ 比encerequirernentshavebeen︳ net
查證 是否符合使 用授權之要求 。
盼師
辮纖鑰翰 鑼 螉攤谽鑰 ㏄
A.8.9COn兩 guΓ a小 0n rnanagernent組 態管理
坲飄鑈 ︴
●
銹羷郎
nehⅣ orks shou︳ dberecordedanda︳ ogshou︳ dbernaintained
籤〝
ofa︳ ︳conf︳ gurationchanges.下 heSe「 ecordsshou︳ dbesecure| y
鑯灘錛坤欺鏃 學陷
stored.下 hiScanbeach︳ eVed︳ nvariousWays,suchas
configu「 ationdatabasesoΓ configuΓ at︳ on terΥ ╮
p︳ ates.
體 、軟 體 、服務 及 網路 的 組 態 ,並 宜維護所
鋒苓盅躌鐑 航器羷掛甘 谽瑯
宜記 錄
有組 的 日誌 。宜安全儲 存 此 等紀錄 。此 能 以各種方 式達
成之 如 組 料庫 或 組 態模 板 。
鍛師
◎ 丁C| C
2-2S︳ ideη 87
— —
鑈飄鑱谽 鑼 銹黝♁鑰 一
犛
A.8.9Configuration r【 ╮ ent 紐L態 管 理
anager| ╮
組態變更宜遵循變更管理過程(參 照8.32汁
鑈羻仲
組 態紀錄 可 包含 下 列相 關內容 :
錀鼬鐒姊瓶強女黧 擺路盟鑮卹
a)up一 t° 一
dateOWner or point ofcontac七 info「 ma竹 0nfo「 theasset;
資產之 最新擁有者或聯 絡 窗 口的資訊 。
b)dateo了 the| astchangeofcon兩 guration;
前改組 態變更之 日期 。
鎙 就路冷許母 ♁坤
與其他資產 組 態之 關係 。
◎ 下C︳ C
2-2s“ de﹁ 88
A.8下echno| og︳ ca︳ cont「 o︳ S技 術 韹〨帝! 嬤 竹
靂魕
瀛靂珮
齡黦銹鎀 齺 鋑灘谽鑰 外
A_ 8.9ConⅡ guraHon management組 態 管 理
MOn比 oHngconⅡ gurajons監 視組態
COnfigurat︳ ons shou︳ dbe︳ nonitoredWithacomprehensivese七 0f
銹飄齡 坊
SyS七 em rl╮ anagemen七 七00︳ S(e.g.main七 enanceuti︳ eS,rerΥ ╮oteSuppo㏄
i小 ,
鐒籛螂
Shou︳ dbereVieWedonaΓ egu︳ arbasis toVeri gUration settings,
√Con了 ︳
鈜〝
eVa| uatepasswoΓ dStrengthsandassessactivitieSpe市0rrl╮ ed.Actua︳
幼師
◎ TC︳ C 2︺ 2S︳ ide︴ 89
β颻Υ
靂
— —
系統 文件通 常記 錄 關於 辛 人硬 體 組 態之 細 節 。
SysterΥ ﹁haΓ deningisatyPica| Pa㏄ ofcon何 gura七 ion rΥ ╮
anagernen七
W齡
.
纖蝴
系統 強化係 組 態管 理之 與 型部 分 。
兟“鑰纖 瞈師皺鋁 爹蘿 鱀 披
組態設定模板及標的可能係機密資訊 ,因 此宜防範對其未經授權之存取 。
◎ 了C︳ C ide可 90
2-2§ ︳
A.8下echno︳ og:ca︳ contro︳ s技 術拒巨希︳
安薽 釐
— — —
翰灘瞈鐪 鑼 鑰驤劬齺 外
A.8.η 0lnfoΓ ma小 0nde︳ e小 on資 訊刪 除
Contro︳ 控 制措 施
︳nfo「 rnation stoΓ edin infoΓ rnation systems,devicesoΓ inany
攤羻鑰 銹纋螂
otheΓ storagerΥ ╮ ed︳ aSha︳ ︳bede︳ etedwhen no︳ ongerΓequired.
轟
戔
甄餅
時刪
鑰籗鑰拂篱齵 犖報
ㄅ
確路鑑芻 齡 貥器撥抴 含 ♁螂
鈔師
◎ TC︳ C
2-2S︳ ︳
de︴ 9η
鑰飄鑼紛 鑼 協黫谽鑯 ¢
A.8.可 0lnforr︳ ╮ ajon比 ︳
e小 on資 訊 刪 除
C0且 tr° 二七
yP§ Im拓 rma七 :On ε cⅥ Γy
”g∥ ε i︳ Opera七 iOna1 Seε ur:Wdo阻 三
且ε
s㏄ uri好 prcper〔 ies coⅡ cept§ 四 abi放u兮 S
銹麰鎀 〝
拜PreVe且 七
i∼℃ #Confi曲遮i斑 i守 #Protect #王 n拍 rmat㏑ 且_pr° 一 #Protecti0n
它eCt站 n
#比 各a︴ 一an虹 comp1:∼
銹灘螂
a在 Ge
鋮一鑈籦鋪妳瓶謂 罕簼移簽舉辦
PWP。 Se目 的
下o preVentunnecessaryeXposu「 eofsensitivein了 orrΥ ╮ at︳ onand
及 契約要求 。
—
♁帥
◎ 下C︳ C
2… 2SⅢ de﹁ 92
A.8下echno︳ og︳ ca︳ contro︳ S技 術 韹生帝︳
— —
搦籬 齡幼 鑼 塕皺 翰鐊 外
╮a∥ onde︳ ejOn資 訊刪除
A.8.﹁ 0︳ nfOΓ r︳
彿繼 鑱 〦
Sensitiveinf0r︳ nation shou| dnotbekeptfor︳ ongerthan itis required
to reduce七 heriSkofundesirab︳ edisc︳ oSu「 e.
鈐麤 螂
ation on sys七 emS,app︳ ica七 ionSandseⅣ iceS,七 he
VVhende︳ e七 inginfo「 ╮ rΥ
籤竹
oWingshou︳ dbeconSidered:
fo| ︳
劬外
或密碼 式抹 除)。
=帝 彈薽 露
— —
鐑簸 鍋紛 嬾 錀黦 紛鑯 茹
╮auonde| ejon資 訊刪除
A.8.︴ 0lnfoΓ rΥ
Sofde︳ etionaseVidence;
b)recordingtheΓ esu| 七
將 冊!除 之結果記錄下來 ,作 為重盪 。
A鑰
黫坤
c)whenusingservicesupp︳ on,
兟¢
使 用 資 訊 刪 除 之服矛 定供 應 者 時 ,向 其 取得 資訊冊ll除 的證 據 。
力
錀 航器玲趶 章 姼郎
鐵外
鑰黤齡幼 璐 辮簸鈖媯 “
A.8_ a小 onde︳ ejon資 訊 刪 除
η0lnf0rr【 ╮
獼灘鑈 描
duringandupon七 er︳ηination ofsuchsen山 ceS.
若 第三 方代 表 組 織儲存 組 織 資訊 ,則 紅 織 宜考 量將 資訊 刪 除 之 要 求事項
鏺黫螂
納 入 第 三 方協 議 ,以 於 此 等服 務 期 間及終止 時實 施 之 。
媕擗
◎ TC︳ C
2-2S︳ ︳
de句 9S
錀黮錀鍛 鑼 鑈攤♁虥 心
A.8.η 0lnfo「 ma小 onde︳ ehon資 訊 刪 除
「
thetop︳ c一 specificpo︳ ︳
cyondataretention o「 bysu● ject
錉黤嗨
accessΓequest);
觝一
設定系統組態 ,以 於 資訊不再屬必要時(例 :於 依 關於 資料
銹簸鐐 欺鎖 鞏簼雀環嬏妒
留存之主題特定政 策 ,或 由使用者存取請求所定義期限後),
安全銷毀之 。
b) de︳ etingobso︳ eteVersions,cop︳ eSandtemporaΓ y何 ︳
eS
wherevertheyaΓ e︳ 0cated;
鑈 旅彈餵
將 過 時之版 本 、複本 及 暫 時檔 案刪 除 ,不 論 其位 於 何處 。
r哥
妢螂
♁盯
◎ TC︳ C
2-2S︳ ide︴ 96
A_ 8下echno| og:ca︳ contro︳ S技 術 韹〨帝︳ 癡睏陷躝齷 竹
靂乳 靂栽
協繳齡鎀 鐋 鈐籛谽鑰 節
可0lnforma︴ onde陷 ∥On資 訊 冊 除
A.8_
l|
╮
c)usingapproved,secuΓede︳ et︳ on so㎞ are七 0perrnanent︳ y
nat| on tohe| p ensuΓ e︳ nforrnationcannotbe
de︳ eteinfoΓ 【
銹雞鑱 站
使 用經核 可之安 全冊ll除 軟 體 ,永 久刪 除 資訊 ,以 協助確保 資
鈐籛岰
訊 無 法 使 用 專 業 復原 或鑑 識 工 具復 原 。
兟餅
d)usingapproVed,cert︳ edproViderSOfsecured:sposa︳
seⅣ ︳
ces;
使 用經 核 可 且 經 驗 證 之 安 全 棄 置月 艮務 提 供 者 。
e)usingd︳ sposa| ╮
rΥ echanisrΥ ╮ hetypeof
sapP「 opriatefo「 七
stoΓ agerned︳ abeingdisposedof(e.g_ degaussinghard
diSkdriVeSandother rnagneticStoragerΥ ︳
edia).
使 用適合於遭汰除儲存媒體型式之棄置機制(例 :消 磁硬 式
紛帥
磁 碟機及其他磁性儲存媒體)。
◎ TC︳ C
2一 2S︳ ide可 97
好麤〔
靂
— —
de| e七 e七 heinforrΥ ╮
ation.
齡籦銹妳欽報 擊籮 夥鍰幾 鑼 航斄潀 當 翰螂
於 使 用 雲端服 務 之 情 況 下 ,組 織 宜 查 證 雲端服務 提 供 者 提 供 之
冊!除 方法 是 否 可接 受 ,若 是 ,組 織 宜使 用 之 ,或 是 請 求 雲端 服
務 提 供 者 刪 除 資訊 。
U
鍛師
◎ 了C︳ C
2-2S︳ ide︴ 98
A.8下echno| ogica︳ contro︳ S技 術 韹 |
=帝
鏺黦螉幼 鑼 饑灘鋒鐖 小
A.8.﹁ 0︳ nforrnajonde︳ e小 0n資 訊冊︳除
錀龘鑱 坊
Dependingon thesensitivityofinforrnationde| eted,︳ ogscan
track orVeΓ i打 thatthesede| e七 ion pΓ ocesseShaVehappened_
鋒颻郎
且 適 用 時 ,宜 依 主題 特 定 政 策 自動 化 。依 所 刪 除 資訊 之 敏 感 性
艤永
,
姼帥
◎ 下C︳ C
2-2S︳ ︳
de﹁ 99
錛齷媰鍛 磯 鑰籦紛鐱 →
A.8.可 0︳ nformaHonde︳ e小 on資 訊冊ll除
◎ 下C︳ C
2-2S︳ jde200
A.8下echno︳ og︳ ca︳ con七 rO︳ S技 術 韹〨帝心
齡黮鈐蚡 齺 鑰雛鎀齺 外
╮ A.8.可 0lnforma小 0ndde小 0n資 訊刪除
攤籛鑈 ︴
us:ngthefunct;onSembeddedin theSedeVices(e.g.“ Γ estore
acto呼 se杜 ings” ),theoΓ gani2auon shou︳ dcho° Sethe
銹黫啷
了
甐水
appropriaternethodaccoΓ dingto thec| aSSification of
翰外
◎ 了C︳ C 2-2S| ide20η
碎中所描 述 之控 制措 施 ,實 體 銷 毀儲 存 裝 置 並 同時 冊ll除
宜採 用7_ 可
兟¢
其 中 包含 的 資 訊 。
縐靆銹妳饑黐 擊露移籦舞銹 航犖礅竹守 鎀螂
塕籦鋒錯 躤 齡黮鐪艤 外
A.8.η 0︳ nfOΓ rnaHonde| e小 on資 訊 刪 除
nforma山 on其 它 資訊
OtheΓ ︳
︳nforrⅥ ation onuse「 datade︳ etion:nc︳ oudsen﹉ iceScanbe
攤籛鑼 打
了ound:n︳ S○ EC270η 7.︳ nfo「 rnation onde︳ et︳ on ofP| ︳canbe
/︳
銹黫轉
foundin︳ S○ EC27555.
/︳
鎡外
關於 雲端月 艮務 中使 用者 資料刪除之 資訊 ,可 參 照︳
S0用 巨C270η 7
躋龘塕輕箋餵 鞏姊
SO月 EC27555。
關於 P︳ ︳刪 除之 資訊 可參 照︳
躌黮鑈嬐 鑼 鑈籧谽蠟 →
A.8.η ηDatarnasking資 料 遮 蔽
措施
Contro︳ 控 帝︳
鑈黫錀 本
cyonaccesscontro︳
organizatiOn’ Stop︳ c一 spec︳ cpo︳ ︳
f︳
兟站
ˊ
贗愛 尾
星茗籃
番主篷躄
每垔午
套安愛
鼛耄季
重篲子
蜃
並將 入 適 用法令納 考 量 。
紛師
◎ 下C︳ C
2-2S︳ ide2{ 〕
ㄔ
A.8下echno︳ ogica︳ contro︳ S;技 :ㄔ荷︴空帝! 嶰 竹
靂爪留
靂
鐒議錛谽 鐋 齡黦翰鐫 外
氏 8.可 {Datamas㎏ ng資 料 遮 蔽
C° h七 r° ype
七 工
n比 rmat:o土 班 er∫ ε錢出守 0pera〔 h發 出1 SeC社 r三 tydo︳ na亡 Π∫
ε
eε Ⅱri好 proper七 二
eε concepts capabi1出 ieS
一
鏞黮鍋 本
#PreventN七 #G6n在 dentia王 |
ty #Protect #I且 免rm乏 t打 比 pr0竹 饒i0且 #Protect:0n
鰳黮啷
Purpose目 |
幻
紛帥
◎ 下C︳ C 2┤ 2S︳ :de205
β戤 露
— —
鎗黰銹紾 鑴 協鑨盼鑰 山
A.8_ 可﹁Datarnasking資 料 遮 蔽
Gu︳ dance瓏 ;引 ︳
{S。 2了 002}
銹籩鎀 本
π俄 露戤
— —
瞈鑫鑰劬 鑼 齡黮盼鐖 外
A.8.們 Datamas〣 ng資 料遮 蔽
Gu︳ dance指 了
︳{︳
SO2了 002〕
錢纖鎙
Pseudonyn市 2ation oranonyn市 Zation techniqueScan
$鏺
黫螂
hideP︳ ︳,diSguiSethetrueident︳ tyofP︳ ︳pr︳ ncipa︳ s or
鋮併
othersensitiVe︳ nforrnation,andd︳ sconnectthe︳ ︳ nk
谽師
◎ TC︳ C
牙2S︳ :de207
π出σ
好
— —
鐱簸鑼鍛 嬾 彿籬紛鐖 ¢
A.8.可 ηDatarnas㏑ ng資 料遮 蔽
VVhenuSingpseudonyr︳ ╮
ization oΓ anonyn╮ ization techniques,︳ t
Shou︳ dbeverifiedthatdatahasbeenadequate︳ y
錢黤銹 付
使 用假 名 化 或 匿名 化 技術 時 ,宜 查 證 資料 是 否 已充分假 名 化 或
匿名化 。資料 匿名 化 宜 考 量敏 感 性 資訊 之 所 有 元 素 皆屬 有 效 。
娥 抾器玲掛哥 妙螂
例 :若 考 量不周 ,即 使 可 直接 識 別 某 人 之 資料 已匿名 化 ,則 亦
可 藉 由 出現 之 容 許 間接 識 別 其 人 的進 一 步 資料 ,識 別 該 人 。
◇扦
◎ 下C︳ C
2-2S︳ :de208
A_ 8下echno︳ og:ca︳ con七 rO︳ S技 術 韹〨帝! 蠐 #
靂瓶 靂血
齡籩翰蚡 鐋 鑰雛鎀鑰 外
╮ A_ 8_ 鬥﹁Datarnas㏑ ng資 料遮 蔽
Additiona| techniquesfordatarΥ ╮
aSk| nginc︳ ude:
資料 遮 蔽 之 額 外技術 包括 :
銹黮鑰 外
a) enc呼 ption(requi「 ingauthori2eduSerStohaveakey);
銹邏螂
加密 (要 求僅經授權之使用者持有金鑰)
鈜岱
b) nu| ︳ingorde| e七 :ngcharacters(p「 event︳ ngunau七 horiZed
清空或刪除字元 (防 止未經授權之使用者看到完整訊息l。
c) vary| ngnumbersand由 teS;
變更數字及 日期 。
錯阿
◎ 下C︳ C 2-2S︳ :de209
露甔 彈
— —
替換 (將 一值變更為另一值以隱藏敏威性 資料)。
e) 「
ep︳ acingva︳ ueswiththe︳ Γhash_
鐑黫轉
以雜湊值替換原值 。
餓府鑰籛鐒姊箴報 擊攝 夥鑑擺螂
遮 罩 ,以 便 僅 向使 用者 顯 示所 要 求的最 少 資料 。
◎ 下C︳ C 2-2S︳ ide2︴ 0
A.8下echno| og︳ ca︳ contro︳ s技 術 龍〨帝! 中
蛋俄 釐
— —
蠮雝呦姼 鑼 齡籦銹饑 外
A.8.η 可Datamas㏑ ng資 料遮蔽
b) the「 earecaseSwheΓ esornedatashou︳ dnotbevisib︳ e七 o
theuserfo「 some「 ecordsoutofasetofdata;in th︳ scase,
deS︳ gningandimp| ement:ngarnechanismfo「 obfuScat︳ on
擁黫鱗 ︴
ofdata(e.g.ifapat︳ entdoes notwanthospita︳ sta汗 tobe
ab| etoseea︳ ︳ofthe| Γreco「 ds,even︳ ncaseofemeΓ gency,
彿黫螂
y
thenthehospita︳ sta斤 aΓ epΓ esentedw︳ thpa㏄ ia︳ ︳
瓶外
ObfuScateddataanddatacan on︳ ybeacceSsedbySta仟
馫
協 }
裝鸚 齺 軋餮鸝翳黠髁簍
況 工 ,且
急情 下),貝 ︳醫院 員 將看到部 分遭模糊化之 資料 若
資料 包含對適切治療有 用的資訊 ,則 僅能由具特定角色之人
鈔師
員存取︳。
◎ TC︳ C
2-2S︳ ide2﹁ η
examshasbeenobfuscated);
鑰黤鏺師欺錣 寧犧拶踞鐖辦
◎ TC| C
2-2S︳ ide2η 2
A.8丁echno︳ ogica︳ contro︳ S技 術 韹生帝︳ 竹
斖珮 靂
— —
鎀雛鈐鐪 錔 塕簸谽鐖 外
A.8.可 ηDatarnas㏑ ng資 料遮 蔽
下hefo︳ |owin9Shou| dbeconside「 edWhenusingdatarnasking,
pseudonyrni2ation oΓ anonyrnization:
使 用 資料遮 蔽 、假名化或匿名 化 時 ,宜 考 量下列事項 :
協皺鏺 玢
a) ︳eve︳ ofstreng七 h° fda七 arnaSking,pseudonyrnization o「
anonyn╮ izationaccordingto theusageoftheProcesseddata;
鎀籛螂
依經處 理之 資料的用途 ,要 求之 資料遮 蔽 、假 名化 或匿名化 的強度等
b) accesscontro︳ S七 otheproceSsedda七 a;
對經處理之 資料的存取控制措施 。
c) agΓ eemen七 SoΓ restrictionSonuSageofthepΓ oceSSeddata;
關於經處理之 資料 的用途之協議或限制 。
d) prohibitingco︳ ︳a七 ingthep「 oceSSeddatawithothe「 formation
ir︳ in o「 de「
to identifytheP| | p「 incipa︳
;
鎀帥
e) keeping七 「
◎ 了C︳ C
追蹤提供及接收經處理 資料 、
2-2S| ide2﹁ 3
資料 集於統計研 究中可能較有用 。
◎ 下C︳ C 2-2SⅢ de2可 ㄥ
A.8下echno︳ ogica︳ contro︳ s 技 羽睜韹〨帝︳ #
釐亂 β
— —
蚴黤 鏺幼 嬏 鑰黦 紛饑 外
A.8.︴ ηDatamashng資 料遮 蔽
therin竹 rma山 on其 它資訊
。
Datamask:ngisasetoftechniques toconcea︳,subs七 ituteo「 obfuScatesensi七 iVedataitems.
DatamaSk︳ ngcanbesta小 c(Whendataitemsa「 ernasked︳ ntheo“ gina︳ database),dynamic
縐飄 鑰 再
(usingautomat:onand「 esto secuΓ eda七 a︳ n「ea| -time)or。 n一 the一 y(withdatar了 ╮
u︳ f| aSkedinan
app︳ ica小 smemory).
n〕
鏺癱 瑯
資料遮蔽係隱藏 、替換或模糊化敏感性資料項目之技術集 。資料遮蔽可能係靜態(當 資料項 目係
於原始資料庫中遮蔽時)、 動態(使 用自動化及規則即時保全資料)或 即時(於 應用程式之記憶體中
瓶熱
遮蔽資料)。
砏帥
P︳
技術 之 額 外 資 訊 。 ,
◎ 下C︳ C
2-2S︳ ide2η 5
齡飄鑈谽 鐖 鑼譊♁鐱
A.8.η 2n白 | nh出日掉 pΓeVenuon資 料 洩露預 防
Contro︳ 寸
腔帝︳
ㄐ告施
Data︳ eakagep「 evention︳ ηeasuressha︳ ︳beapp︳ iedto
h齡
黳錛 ︿
SysterΥ ╮
s,nehⅣ oΓ ksandanyothe「 φ ev| cesthatp「 cess,store
鑰黝蜘
應將 資料洩露預防措 施 ,
理 、儲存 或傳 輸
之 系統 、網路及 所有 姴
輜絳跟舞 鍋 站哭齵一
章 妙師
劬師
◎ TC︳ C
2-2S︴ ide2﹁ 6
A_ 8下echno︳ og︳ ca︳ contrO︳ S技 術 控 帝︳ 躝幽 踘癓 齷 #
靂殲
甂靂
齡繳螉銹 璐 鑰難唦鶲
╮ A.8.可 2DataleakagepreVenHon資 料 洩露預 防
一
CCE七 rC王 type 玉&︴ iC址
I正 far玉 y
它ξ$erε eC在 r王 〔 @per在ho4崔 王 εεmr比 y曲 雄崔主
拉3
§兮ε
H政tyPraper以 gε ε●且ε ept∫ ε&pa$己 在
i七 王
$攤
e§
灘鏹 琇
考FreVe迋 ︴
t甘 V告 #C0nf宮 哇en在 舌hty #Protect華沙e七 §C︴ 勞工
且免r出 破:Ⅶ _抖 0- #至 ro忌 eC出 4n
#Dd路 nεe
鐒黟忡
茫銓§te〔 君打e te〔 t至 6且
鐪帥
◎ 下C︳ C 2-2S︳ide2﹁ 了
Gu︳ dance指 ︳ S。
了 (︳ 2了 ●02〕
oWingtoΓ educethe
下heoΓ gan| za七 ionShou︳ dconsiderthefo︳ ︳
鐒雛翁 休
sk ofdata︳ eakage:
r︳
鐑黤轉
組 織 宜考 量下列事項 以 時低 資料 洩露之風︳ 險 :
紙缸
儲存裝置)。
◎ 下C︳ C 2-2S︳ ide2﹁ 8
A口 8下echno︳ og:ca︳ contro︳ s 技羽子韹〨帝︳
塕黝 塕鍛 鑼 坳雞 谽 饑
A.8.η 2Data︳ eakageprevenUon資 料洩露預防 k
外
齡黮 鐪 鎗 籦 螂
︳:隔 離包含敏 感性 資訊之電子郵件)。
採取措施 以防止 資訊 洩露 歹 (彳
玠
甄 鑱 鏵 鑰 坤筋峰姊 孥 羅 帑簽選 一
Da七 a︳ eakageprevention too︳ sshou︳ dbeuSedto:
求
資料 洩露預 防工 具 宜用 以 :
齡 航堪跆黚 全 谽 坤
的非結構 化 資料)。
紗帥
◎ 下C︳ C
2-2S︳ ide2η 9
拂雞錛錄 鑼 錛黦紛鋨 心
A.8.η 2Data︳ eakageprevenuon資 料 洩 露預 防
sentviaer!╮ ai︳ );
訊 上 端
服務 ,或 經 由電子部件發
俄卡鋊黰鑈坤磁♁竺翟 鑼學強路姊
資料項複製至試 算表 中)。
嬐節
◎ TC︳ C
2一 2S!ide220
A_ 8Techno︳ ogica︳ contro︳ S技 術 韹 ︳ 涵雄配癥贓〃古
=帝 釐魘鈍勰蹴
塕黤瞈鍛 勝 鐑籩鐪鐊 外
╮ A.8.可 2Data︳ eakageprevenjon資 料 洩露預 防
瞵灦鑈 巧
deV:ceSandStO「 agernediaoutSide0了 theorgan︳ 2a七ion.︳ ftha七
|SthecaSe,theorgan| za七 ionShou| dirnp︳ ementtechno︳ ogy
銹籩螂
suchasdata︳ eaka9eprevention too︳ s ortheconfigurat| on of
鎡
oWuSers toviewandrnanipu︳ atedata
exist︳ ngtoo︳ S七 ha七 a︳ ︳
$錉
躈呦聊箋飆 甥拓繙琌栽彈 鐑 磁移跆黚 三餓螂
ote︳ ybut preventcopyandpaSteoutsideofthe
he︳ d「 er︳ ╮
oΓ 9anizat:on’ scontro| .
組 織 宜判 定是 否有 必 要 限制 使 用者 將 資料複 製 貝 占上 或 上 傳 至 組
織 外 部 之服 務 、裝 置及 儲 存 媒 體 的能 力 。若 如 此 ,則 組 織 宜 實
作諸 如 資料洩露預防(由 ta︳ eakagepreven} On,D∟ P)工 具 ,或
是容許使 用者檢視及操縱遠端保存之 資料 ,但 防止複製貼上超
出組 織控制範圍的既有工 具組 態設定等技術 。
幼帥
◎ 下C| C 2-2S︳ ide22可
β薽 穿
— —
fdataeXpoㄤ
︳ ed,thedataownershou︳ dbea| ︳
is requ︳ Γ owedto
appΓ OvetheexpoΓ tandho︳ dusersaccountab︳ efoΓ thei「 act| ons
錫黮銹 本
並 使 使 用者 對 其行 為 負全 責 。
戧符翰繌鎙神沒胡 擊露學鍰擺聊
幕列印 。
r車
艙帕
谽帥
露舐 β
— —
鋒籬鈐幼 鑼 鐖驤緞饑 外
A_ 8.η 2Data| eakagep「 evenuon資 料 洩露預防
蠮灘鑼 琇
encΓ yption,accesscont「 o︳ andphysica︳ p「 otection ofthe
Sto「 agerned| aho︳ dingthebackup.
紼齷螂
於 備份 資料 時 ,宜 謹 慎確保敏 感 性 資訊 係 受保護 ,使 用諸如加
谽帥
◎ TC︳ C
2-2S︳ ide223
scientificoranyother)Whichcanbeofinterestforespionageorcan
becΓ ca︳ forthecOΠ Wnunity_ Theda七 a︳ eakagepΓeVentionactions
it︳
錛黫坤
’
shou︳ dbeO「 ien七 edtoconfusetheadve「 saη ◤sdecisionsfo「 eXamp︳ e
餓㎡
路誘捕系統(honeypot)以 ,及 引攻擊者 。
◎ TC︳ C
2-2S︳ ide22玲
A.8下echno︳ ogica︳ con七 ro︳ S技 術 發生帝心
齴攤 筠鉿 琚 翰雞 錯鑰 齡黤 縐 縐邏 艸
A_ 8.η 2Data︳ eaka9ep「 even小 on資 料洩露預防
on其 它資訊
o七 her︳ n竹 rma七 ︳
岱
Data︳ eakageprevention too︳ saredesignedto ident︳ 印 data,
mon︳ tordatausageandrnovement,andtakeacti0ns to
打
preventdatafrom︳ eak| ng(e.g.a︳ eΓtingusers to thei「 riSky
斷小
behav︳ ourandb︳ ockingthetransfero了 datato portab︳ e
鑰龘 攤坤激 鷫 秒願
storagedeV︳ ces).
資料洩露防護工具 旨在識別資料 、監視 資料之使用及移動 ,
舉韜簽攤 鑰 筋器路帥 食 艙 郴
並封鎖將資料傳送至可攜式儲存裝置l。
鎀阿
◎ TC︳ C 2-2S︳ ide225
A_ 8下echno︳ o。 ︳
ca︳ contro︳ S技 巧
好韹〨
帝︳ ﹏
靂颻 舒
— —
電信 相 關之 法 律 ,適 用於 資料 洩 露 防護 全 景下 的監視 及 資料 處
◎ 了C!C理 。 2弓 工S︳ ide226
A.8下echno| ogica︳ contro︳ s技 術 韹 ︳ 十
=帝 露出 β
— —
翰黤鑰蚡 皤 齡鏺幼齺 外
A.8.︴ 2Data| eakagepΓ evenjon資 料 洩露預防
翰黰鍋 功
con七 ro︳ andsecuredocument r!╮ anagernent(see5_ 可
2and5.η 5)
幼蘿坤
標準安全控制措施可支援 資料洩露預防 ,諸 如 關於存取控制之
鈜︿
主題特定政策及安全文件管理(參 照5.︴ 2及 5.︴ 5汁
錀籦 鑰谽 鑴 砩黰♁鏺 心
A.8.η 3lnfoΓ r【 a小 onbackup資 訊 備 份
╮
′
描方
COntro︳ 控 希︳ 也
Backupcopies0了 一 infor︳ ηation,So㎞ areandsysternSsha| ︳be
mainta:nedandΓ egu︳ ar︳ ytestedinaccoΓ dancewiththeagreed
銵黫 齡 泳
cyonbackup。
topic一 Specificpo︳ ︳
齡飄姌
應 依 議 定 之 關於 備 份 的 主題 特 定政 策 ,維 護 資訊 、軟 體 及 系 統
籤帝
之 備 份 複 本 ,並 定期 測試 之 。
鏺黤 嫋抪欺報 鞏臨
C° n者 ro︳ 陸常‵
擋施
擺移巖避鑈 城爽 蓱 哥 鈔妳
◎ 了C︳ C
de228
2-2S︳ ︳
A_ 8下echno︳ ogica︳ contrO︳ S;歧 :ㄔ村︴空帝︳ 矽
靂咸〞
靂
— —
鎀幾銹熪 鑼 錉靆 紛鑰 外
A.8.﹁ 3lnfoΓ rΥ aHOnbackup資 訊 備份
╮
C6︳ 三
〔r§ 值tyu舌 Ⅲ扎r且佳在$且
≡ c坤 ers¢ c社 滾睜 6p娑 at是 61玉 道 §台拼 r止 V虛 §二
王出【
且§
∫各CuΓ i琦/pr6p兮 r在 是
念ε Cσ盟 εep才 § Ca′ 盆站ikt玉 e§
坲黮 銹 溶
〝迋
#它6了 reε 七 #王 nt§ gr三 tΥ 吾只〔ㄜoVer 帶C6n七 宮
二上
&近 V 舉P!o七 eCu♁ n
毒缸 爸交蕊 狂
=出
鐒雞 螂
PurPose目
鈚外
6幻
幼帥
◎ 下C︳ C 2-2S∥ de229
露戤 露
— —
資訊 處 理設施 之 多備
措施
Contro︳ 控 希︳
鐒雞 鐱 本
之 要求事項 。
C♁ 錐#° |腔常寸
︴ ︴告施
°俄pξ ♁ce$$吾
:n箏 0r︴╮a七 〡 fac;| ;中 兮$Sha含 e幻 en舌 ed、Ⅳ接孔
︳be言 m紅 ︳
銵 磁器玲拼 牽 黺螂
n多
r♁ 婊級nd接 nCy$u鋸 c| e雄 七七0me破 缺跪 隘 b︳ 乩竹 跨 哪 i給 men支 S.
工
瞈攤翰嬐 蠗 鑰颻啥饑 餅
A.8.η 碎RedundancyofinfOrrnation pΓ ocessingfac︳ ︳
ities
資訊 處 理 設施之 多備
CoⅡ 子
rO王 typ恐 鈺 鈍 fⅢ 斑 i°Ⅱl C﹏ tBrs6cuF三 七 y Op§ r玉 u蝴 三 Be〔 {Υ且
tyd㊣ J出&i狙 J
錀黫鑰 玢
路 G迅 r三 呼 Pr叩 Br宙 幣 c.nc§ p︳ s εaPa在 王1比 玉
eS
#Pm歿 滋主
機 母AVa子 王
且右三
︳ity 著Pr@tε ε
t #C0出 位nu址 y 帶Pr6t手 ε有
玉o〦
鐒錘螂
敘 §S全 t熱 &n致 ︴
尹 出 §正〔 持R令 § 王
i王 e㏄ 子
確 保 資 訊 處 理 設施 之 持 續 運作 。
砏昨
◎ 下C︳ C
Modu︳ e2-2s︳ ide23η
銹簸鑈鎗 鋪 鑈籩谽爞 ︴
A.8_ η5Logg︳ ng 存 錄
℉
涊 ‵駻 手
十 :子 a:一 ::子exceptions,fau︳ tSandotherre︳ eVant
鍋簸佛 外
記 錄 活 動 ‵異 常 、錯 誤及 其 他相 關事件 之 日誌 ,應 產 生 、儲存 、
繳∞
保 護 及 分析 之 。
鑰灘鏺師欺黐 學蘿移競雜蝌
C° n圭 rO| 控 常(;路 名
也
狂Ven在 ︳ ogsFecord=ngu$erac左
一 on$,了au:tSand
iV:t︳ eS,eXcep七 工
安全 事件 之 事件 再誌 。
紛帥
◎ TC︳ C
2ㄛ 2S︳ ide232
A.8Techno︳ ogica︳ contro︳ s技 術 控 帝寸
銹飄齡鎀 鑼 塕纖翰鑰 外
A.8.可 5∟°gg:ng再謀
C守 土tr破 盯 p想 吋 m斑 描出
I土 Ξ y
Cy打 ersec迂 r主 〔 6per崔任︳正乏土 §◆〔在r二 班 d° 盟 ai且 §
§兮C社 Γ主怎ypΥ 〔
§perti§ § Cσ 無〔ep出 哪 各玨是
〔三念ε
錀黮鐑 巧
1主 拇 怎故 饒 #玉
銹靆卹
鈚∥
Purpose日 芢
有
幼帥
◎ 下C︳ C Modu︳ e2-2s︳ ide233
措施
ContΓ o︳ 控 希心
NehⅣ oΓ ks,syStemsandapp︳ ︳ cations sha︳ |berΥ ╮
onitored了or
m銹
黫鈐 ︽
應 監 視 網路 、系統 及 應 用之 異 常行 為 ,並 採 取 適 切 措 施 ,以 評
銹籊瞈妳磁嬐妳寧簼移盤幾 銹 瓶雀理好守 妙螂
估 潛 在 資訊 安 全 事 故 。
V
♁師
◎ 了C︳ C de23ㄔ
2-2S︳ ︳
A日 8TeChho︳ og︳ ca︳ contro︳ s技 ㄔ
商︴空帝︳
錛黤螉妢 皤 齡黤搿鑞 外
ngactiV:tieS監 視 活 動
A.8.η 6| ⅥonitoΓ |
CO斑 Γ
d︴ ypε rn拍 PmΞ甘6且 c坤 erε εεuΓ 比y 0Pε r且 狂DΠ a1 Sem立 呼 d9Ⅲ 且h§
Je〔 玉ri呼 pmP§ r唾 岱 ∞〦ε念#∫ 〔
且pa已 主
求在長
〔容
華Dε tect求q #EC且 我d§ 且寸且1女y #Deteε t華 ㎞ po且 社
庄 器王正長>=Ⅲmtiot小eC也 政╰ #Dε 兔收Ce
拂黮鰳 打
勞C° 了ΥeC吐 Ve 期戒招止W帶熱怎it主玩h呼 工又針 ent典 扭 母麥 出m七
鏺黤艸
PurPose目 的
securityincidents.
偵 測 異 常行 為 及 潛 在 資訊 安 全 事 故 。
鍛師
◎ 下C︳ C
de235
2-2S︳ ︳
eS監 視 活 動
A.8.η 6MOn比 O︻ ngac∥ v比 ︳ 鍋籛鍋鍛 鑼 錫灘紛鹼 ‘
Gu:dance指 弓︳{
︳S。 2了 002〕
下herΥ ︳onitoringscoPeand| eVe︳ shou︳ dbedeterrninedinaccordance
鏘繳鐒 本
宜依 營運 及 資訊 安 全 要 求事項 ,並 考 量相 關 法 律 及 法規 ,判 定監視 範 圍
鏺雞鑼郎妳雜姊寧羅學鑑砪姊
及 等級 。宜於 所 定 義 留存 期 限 內 ,維 持 監視 紀 錄 。
oWingshou︳ dbeconsideredfo「
下he了 o︳ ︳ :nc︳ uSionw︳ thin thernonitoring
●yS七 ern:
銹 磁壁想′可 ♁師
宜考量將下 列事項納入 監視 系統 :
◎ 下C︳ C
2-2S︳ :de236
A.8TechnO︳ oσ ca︳ cont「 o| s技 術 韹〨帝︳
拗雛鋑谽 璐 躌籛鍛鐑 小
╭╮ A.8.η 6Mon比 oㄩ ng孔 jㄐ jeS監 視 活 動
銹籬銹 站
對 系統 、伺服 器 、網路設備 、監視 系統 、關鍵 應 用程 式等之
鎀羻瑯
存取 。
鈚小
c)critica︳ oradrΥ ╮
in| eVe︳ SysterΥ ╮andnetworkcon了 ︳
guratioη eS;
關鍵或管理(adrΥ ╮
in)等 級之 系統及網路組態檔案 。
幼師
◎ 下C︳ C
de237
2-2S︳ ︳
露甄uπ
— —
︳
eakageprevention︳ ;
ntru由 on
Prevenjon system,︳ PS)、 網頁過濾器 、防火牆及 DLP︳ 之
瓾館鑈繩銹妳欺覯 擊落移嗧讓 銹 航勞嫂一巨 盼螂
日誌 。
◎ 了C︳ C
2-2S︳ ide238
A.8Techno︳ ogica︳ contro︳ s一政切村一
守空帝︳
翰麗鐑幼 鑼 鑰飄谽饑 外
A.8.η 6MOn㏄ o〢 ngacuV比ieS監 視 活 動
鐖籮鑱
byrecompi︳ at;on toaddadditiona︳ unwantedcode);
核對執行之程式碼 ,是 否獲授權於 系統中運行 ,且 其未遭竄
$鐒
癱螂
改(例 :藉 由重新編譯 ,以 新增額外非所欲 的程式碼)。
嬐帥
◎ 下C︳ C
2-2S︳ ide239
肆
審查系統於正 常時期及尖峰 時期之使用率 。 鱀
舉
b) usua︳ rneofaccess,︳ ocation o了 acceSs,frequencyof
t︳ 舉
餓
‵一ˊ
$
各使 用者 或使 用者 群 組之 平 常存 取 時 問 、存 取位 置及存 取頻 辯
率。 ♁
巨
鍛
節
◎ TC︳ C
de2ㄔ 0
2-2S︳ |
A_ 8下echno︳ og︳ ca︳ contro︳ S技 巧抒韹〨帝︳ ﹏
靂舐 靂
— —
銹雛鐱鐪 硌 齡羻盼鴳 缽
╮ A.8.可 6Mon比 o山 ngactⅣ 山eS監 視 活 動
鑼籛鑰 再
監視 系統 宜依所建 立之 基 準 進行 組 態設 定 ,以 識別 異 常行 為 ,
銹籩螂
諸如 :
鈜外
a) 山np︳ annedterrn︳ nation ofproceSSes orapp︳ icat︳ ons;
鉿帥
動)。
◎ 下C︳ C de2冷 鬥
2-2S︳ ︳
β瓶 露
— —
鐖雡銹餘 皤 鑼黦鬱鑰 ¢
A.8.可 6|Ⅵ nitor︳ ngact︳ VitieS監 視 活 動
。
OWs);
已知之攻擊特性(例 :阻 絕月 艮務及緩存 區溢位l。
鋒巍姊
︳rUectionanddeviationSinuseofstandardprotoco| S);
異常系統行為(例 :按 鍵存錄 、過程注入及標準協定之使用
偏差)。
e) bo仕 ︳enecksandOver︳ OadS(e.g.nehⅣ ork queu:ng,︳ atency
︳eve︳ sandnehⅣ oΓ kji世er);
彿 赫器玲帥當 翰郴
翰黤紛紛 鑼 鏺灘谽鑯 外
A.8.η 6| Ⅵonitor︳ ngact︳ v︳ tieS監 視 活動
f) unauthoΓ |
2edaccesS(actua| ︳ ╮
ratter了 pted)to syster【 s or
info「 rnation; 。
對 系統 或 資訊 之 未 經授 權存 取 (真 實 或 企 圖)。
攤雞鑼
g) unauthorizedScanningofbusinessapp| ications,systems
$銹
andnehⅣ orks;
籮螂
颻八
未 經 授 權掃描 營運應 用程 式 、系統及 網路 。
鈔師
與 預期行 為相 關之 異 常使 用者及 系統行 為 。
◎ 下C︳ C
2-2S︳ ide2ㄥ 3
π俄▉
π
— —
宜使 用經 由監視 工 具 進行 之 持 續 監視 。宜依 組 織 之 需要 及 能 力 ,
即 時 或定期 進行 監視 。監視 工 具 宜 包括 處 理 大 量 資料 之 能 力 、
適應 不 斷 變 更 之 威 脅環 境 的能 力及 允 許 即 時通 知 之 能 力 。此 等
工 具 亦 宜能 辨 識 特 定 特徵 ,以 及 資料 、網路 或應 用 程 式行 為 型
王 ♁坤
鈔阿
樣 。
◎ 了C︳ C
2-2S︳ ;de24ㄥ
A_ 8下echno︳ ogica︳ contro︳ S技 術韹〨希︳
鈐籛鈐谽 鐋 齡雛谽鑯 〝
╮ A.8.可 6MOn比 0山 ng孔 甘ㄐ小eS監 視 活 動
狒纖鏘 玢
messages orinstant r【 ╮
essagingsystemS)basedon
predefinedthresho︳ ds.下 hea︳ ertingsysterΥ ╮Shou︳ dbetuned
銹籛螂
andtrainedon theorgani2ation’ sbase︳ ineto rnini了 niZefa︳ se
鎀帥
◎ 下C︳ C 2一 2S︳ ide2碎 5
嫠甂 嫠
— —
y
PerSonne| shou︳ dbededicatedtoΓ espondtoa| e〢 SandShou︳ dbeprope「 ︳
trainedtoaccurate︳ yinteΓ p「 et potent| a| incidentS.
The「 eshou︳ dberedundant systernsandp「 ocessesin p| aceto receiVeand
銹驤 佛 本
系 統 及 過 程 ,以 接 收 及 回應 警 示 通 知 。
觝府鐱籛 鎙姊竊呰聖崔 鐺夥鑑擺帥
AbnoΓ rna︳ events shou| dbecorl█ ︳ ﹁unicatedtoΓ e︳ eVantPaΓ tiesin ordeΓ to irnp「 ove
thefo︳ ︳oWin9activi七 ie§ :auditing,secur| h√ eva| uation,vu| ne「 abi| yscanningand
i七
齡灘鐪蜙 皤 齡黝皤躌 分
A.8.η 6Mon比 o山 ngac小 V㏄ ieS監 視 活 動
銹飄 鏻 ︴
Secu山 tymon比 0山 ngcanbeenhancedby:
鏺黫螂
可 藉 由下 列 方 式增 強安全 監視 :
鐵水
a) LeveΓ agin9threat| nte| ︳
igencesystems(see5.7);
善 用機 器學 習及 人 工 智 慧能 力 。
c) u由 ngb︳ ock︳ :stSora︳ ︳
ow︳ iStS;
使用黑名 單或 白名單 。
螂
妢師 ;谽
◎ 下C︳ C
2-2S︳ ide247
π找口
π
— —
鑰籦錛谽 璐 鍋黮谽嫩 “
A.8.︴ 6MOn比 0hngactiv比 ︳
eS監 視 活 動
oracceptab| ebehav:ou「
兟↓
;
協黤鐒妳箴鎖 鱉露苓盪鶢錛 磁策其一
◎ 下C︳ C
2-2S︳ ide248
A.8Techno︳ ogica︳ ︴
空常︳
contro︳ S;歧 :ㄔ持守 癥 豳 陷 蹓 醒 母
靂珮 虋乳
銹難鑰鎀 鑼 鑰籛鐪鏹 餅
‘
╮ A. ︴6Mon比 oHngac打 ⅢeS監 視 活動
8.
鏘籊鎀 →
鈐颻螂
f) everaging| ogS︳ ncombinationWithrΥ ╮
︳ onitoringsystems
鈚外
結合監視 系統 ,善 用 日誌 。
拂麗錢郴籃解 擊崩
MOnitOΓ ingactivitiesareoftenconductedus︳ ngspecia︳ ist
鎀師
◎ 下C︳ C 2… 2S︳ ide2ㄔ 9
ngactiVitieS監 視 活 動
A.8.可 6A/lonito「 ︳ 鐖籛鐱谽 鑼 鐪羷幼纖 站
r︳
鑱籩幼咑欺娣 學搖移鍛路辦
齡黤鑰姼 嬏 鑰籛磡鑞 兮
A.8.η 7C︳ ockSynchroniza小 on‘ 瞳吉
孔同步
戶
措方
Cont「o︳ 控 帝︳ 也
下hec︳ ocks ofinforrnation processingsyster了 ╮SuSedbythe
錛黤鑈 拼
o「 gan︳ zation sha︳ ︳besynchΓ oni2edtoappΓ oVedt︳ rnesou「 ceS.
鐒雞呦
組 織所使 用 資訊 處 理 系統之鐘 訊 ,應 與 經 認 可 的 時 間源 同 步 。
砏師
◎ TC︳ C
2-2S︳ ︳
de25η
π舐▌
β
— —
鑈黦錛錯 鑼 一
A.8.可 7C︳ ockSynchroni2a小 0n‘ 瞳訊 同步
ΓO一 打?e
COⅡ七 njom且tiD且
工 Cybe必 ε〔旺ri在y OPera甘 心Ⅱ且】 SεC注 r主 ㄝ◤dOma主 ns
S兮 CⅢ r址 ypropεr七 ieS ε°ⅡtFp七 $ εap已 :Ⅲli較 兮§
守D全它ec在 Ve 勞工
二三七
egr主 守 eε 毛#Detec七
#Pr° 七 年二
nf◆ r工 nat主 0niS§ c社 r} on
#PΥ 6tec七 王
班 event【 在缺且agement #D割 Fence
永
塕黤 轉
餓 鑈 颻 鑰 姊與 詳 寧 露 舉窩錯軒鑈 航鋒伶拼 音 鈔 外
市
PwP。 se目 的
下Oenab︳ ethecoΓ re︳ at︳ onandana| ysis ofsecurity一 re︳ ated
eventsandotherrecordeddata,andto suppo「 tinvestigations
into inforrna∥ on secuHty︳ nc心 entS.
啟 用對安 全 相 關事件 與 其他 所 記 錄 資料 之 關聯 及 分 析 ,並 支援
對 資訊 安 全 事 故 之 調 查 。
谽師
◎ 了C︳ C
2-2S︳ ide252
A.8下echno︳ ogica︳ contro︳ S技 ㄔ
◣
村守空帝!
銹纖坳鬱 擺 鑰攤鐪鐖 燕
A口 8_ η8USeofp〢 vi︳ egeduu︳ ityprog「arΥ ╮
s
具 特 殊 權 限公 用程 式 之 使 用
鑱蘿鑼 功
下heuSeofuti| ︳ typrogramstha七 canbecapab| eofoVeΓ r:dingsyStem
銹黤瑯
oncon七 ro︳ SSha︳ |
andapp︳ ica七 ︳ ycon七 ro︳ ︳
bereStric七 edandtigh七 ︳ ed.
鈜然
應 限制並嚴 密控制可能篡越 系統及應 用程 式之控制措 施 的公用程式之使
Co外 之 空希時描 琇
ro〡 表 也
Theuseofu七 〡
|Vpr♁ qra錢 S它 烋a七 n╮ igh︴ dinσ $ys老 em
becapab〡 eO了 ΘVer℉ ︳
一
:︴
c斑 ;◆ 孔Con崔 r♁ ︴
盆我硪扶pp︳ 〡 $S抽 a| ︳beξeS老 r工 e之 eda&哇 是
| yco我 音
$&崔 ︳ 才°甘︴ed‘
鐪外
◎ TC︳ C 2-2S︳ ide253
齡黦銹劬 鑴 銹饑
A.8.可 8USeofp一 vi︳ egedu小 ︳
itypr0gΓ ar!╮ s
具 特 殊 權 限公 用程 式 之 使 用
CD︴ 七r↓ 王七ype 王Ⅱ拍 出出接七且 ●且 y
竹 乙er比 εHr亡 毛 6P兮 ra〔 主
oⅡ a【 S兮 〔班 r三 七yd心 盥 法 是土 §
PuΓ Pose目 的
下oenSure七 heuSeofu七 ityprog「 arnsdoes notharrn system
i︳
翰黤齡蛜 鑼 齡纖盼鐖 ︷
ation
A.8.η 9︳ nSta︳ ︳ ofso㎞ areon ope「 at︳ ona︳ systerns
運作 中系統 之 軟 體安 裝
ContΓ O| ;腔 希︳階施
ㄐ
攤籛鍋
P「 oceduΓ esandr【 ╮
eaSuressha︳ ︳beimp︳ ementedto secure︳ y
anageso㎞ ηreinsta︳ ︳
$銹
╮ ation on operat︳ ona︳ systems.
黫螂
r︳
城外
應 實作 各 項程 序 及 措 施 ,以 安 全 管 理 對 運 作 中系統安 裝 軟 體 。
齡黫錛螂甡磥 學姊
ContΥ O〡 陰常心
︴隆施
嬸移錄轟鑰 跡犖妞←甘 鍛螂
PΓ oceduressha|卡be;mp〡 e俄 entedtocon︴ ro:︴ 接einSta︳ ︳
at︳ Ono了
s° 舢 areonOpera之
一 ︳ Systems.
On爸 ︳
應 實作 各 項 程 ㄏ 子 ’以控 希ll對 運作 中系統 之 軟 體安 裝 。
砏帥
◎ 了C︳ C
2-2S︳ ide255
鏻麗鑰嬐 齺 鍋籧︽
A_ 8.η 9| nSta︳ ation ofso㎞ areon ope「 ationa︳ systerns
︳
運作 中系統 之 軟 體 安 裝
〔●n社 o王 名
yp念 IA路 rm永 主
o且 cVterse〔 王ri在y Op兮 r在 以 致守 Sε ε王r主 竹 d° 一
谷BCⅡ r二在ˊ pr° p兮 r土 兮S C6Ⅱ Cε pts ε女pa七 二王.
ti兮 S
主 跟 且S
玉
一
掙Pr{ 再℃1戈 主
Π玲 #Com五 丑 且t蟲li甘 #Pr@teε 七 帶Sec{ r守二 o且 且gura在 on #Protectjh且
#Intog比 ty 鞠 p王 jcaum公 eCurity
#AVa三 王
無b且 主ty
命
銹 齻 翰 姊欺 餅 擊 碼 夥竅 讓 拂 插錚玲許 一 ◇ 螂
PⅢ P。 se目 的
下oenSurethe︳ ntegr︳ tyofopeΓ ationa︳ systemSandpΓ event
︳
eXp︳ oitat︳ on oftechnica| vu︳ nerab︳ ︳
tieS.
\﹀
確 保 運作 中系統 的 完整性 並 防止 技術 脆 弱 性 遭 利 用 。
′
劬好
◎ TC︳ C
2-2S︳ ;de2S6
A_ 8下echno︳ og︳ ca︳ contro︳ S技 巧好韹〨帝寸
鎀雞錛谽 皤 呦雞鎀鏹 外
╮ A.8.20NetWOΓ ksSecuH打 網路安全
Cont「 o| 控 帝!措施
Networksandne︴ WOrkdeVicesSha︳ ︳beSecuFed,rnanagedand
鐖雛銹 打
edto protect inforrnation inSyste【 nSandapp︳ :cat︳ ons.
contro︳ ︳
錫籛艸
應 受 保 全 、管 理 及 控 制 網路 與 網路 裝 置 ,以 保 護 系統 及 應 用程
籈〝
式 中 之 資訊 。
應 管 璦 與 控 制 網 路 ,以 保 護 資訊 系統 及 廲 為 。
鐪帥
◎ 下C︳ C 2-2S| ide25了
鐖簸鎞鍛 蠮 拂
A.8.20NetWorks secu“ ty網 路 安 全
拜preVe王 七玉 Ve #Cδ 正n速 en〔 ia二 i〔 y #Prδ 七§ct半 De(ec七 半SˊS七 §雄一道1硾 _Ⅱ§七
- 李Pro守 eC七 王
0五
Ve
#De〔 eC七 老 #五 l〔 e各 r比 y 平▼or致 §ecur:竹
一
鞋熱 a二 ab三 !北 y
王
鼵的
籤守鑰籛鑈師欺鵡 翟露琌箋霹銹 磁轝餵
PHrPOse目 召
琦
下o protec七 infoΓ rnat:onin ne︴ worksand︳ 七SSupPoΓting
︳n了 orrnat︳ on proceSs︳ ngfaci︳ esfΓ oΠ╮comprorniseviathe
it︳
nehⅣ ork.
保 護 網路 及 其 支援 之 資 訊 處 理 設 施 中的 資 訊 ,免 遭 經 由網路 之
危害 。
r巨
姼螂
紛擗
蠮黮齡鎖 鑼 離籛谽鎞 外
A.8.2︴ Secu山 tyofne㏑ oΓ kse「 viceS網 路服 務 之 安全
Contro︳ 控 制ㄐ 階施
eChan︳ sms,SeⅣ ice︳ eVe| sandservicerequirements of
Securityr了 ╮
鏻飄齡 巧
netWork se「vicessha︳ ︳ entedandrnonitored.
beidentified,irnp︳ er【 ╮
應識 別 、實作 及 監視 網路服務 之 安全機 制 、服務 等級及 服務 要 求事項 。
鎀黫螂
鱵外
ε方白h瑟兮蕠冷 可
°:工 6
妢帥
◎ TC︳ C
u︳ e2… 2s︳ ide259
A.β 下
echno︳ ogica︳ contro︳ 槆◣
s技 ㄔ 空帝︳
寸 ﹏
好我 π
— —
攤黦鐒鍛 鑼 妳
A.8.2︴ Secu山 打 fne加 orkSeⅣ iceS網 路服 務 之安 全
。
r01tyPe
CO正在 【五打 rmatiσ 且 Cybersqε 改rity op. rationa一 S● ε社Γi打 domains
§兮ε求r放 ypr6pε r在 比§ EO無 C兮 Pt, εap久bⅡ i七 官
ε∫
李乎re踓n〝 念 考C6n在 de且t立 a王 i好 勞Pr0七 §C七 帶Sy§ tem_ 爸nd一 Ⅱe﹏ #Pr° t兮 εt96Ⅱ
考王Ⅱ㏑gr︴ y wo〤一sε c{r﹏ y
#AvaⅡ h拉 li圩
鑈郎
觝 鏺 黫 鏺 郎駐路堅 翟 幾學好舉姊鐒 球捧路許 可 谽 坤
︴
PuΓ Pose目 |
有
下0enSuresecurityin theuseofnehⅣ oΓ kseⅣ ices
確 保 使 用網路 服 務 時 之 安 全 性 。
谽師
◎ 了C︳ C
de260
2-2S︳ |
A_ 8Techno︳ ogica︳ con七 ro︳ S技 術 韹 ︳ 由
=帝 靂珮 籚珮
— —
鈐纖齡鈔 鑼 塕籛鈔鑯 奸
A.8.22Segregation︳ nnetWOrkS網 路 區 隔
ContΓ o| 寸 ㄐ
腔帝︳告施
at:on systems
GroupSofinforrnation se口 rices,usersand:nforrΥ ╮
鐖籛鑼 ︸
sha| |beSegregatedin theorgani2ation’ snetWorks口
銹鑼螂
應 區 隔 組 織 網路 中各群 組之 資訊服 務 、使 用者 及 資訊 系統 。
鎀擗
◎ TC︳ C 2-2S∥ de26{
=帝 彈舐〔
露
— —
翰黮鐫盼 鑼 鐖繳燄雉 ¢
A_ 8.22SegΓ egation in netWOrks網 路 區 隔
ype
ε°n子r0七 七 正比rm千 七
名 王o在 c坤 er§ εmr:好 op兮 ra它 ioha上 εeC班 r比 ydom五 二
nS
se〔 Ⅱr工 ︳ 王 c年pab三 王
三ti6s
V卅 ¢per毛 es concε pε s
蠮籓齡 本
#【
#Ava正在b且 i{ y
餓㎡銹羷鐱的數報 鞏簼移鐵驟卹
Pu卬 se目 的
。
了oSp︳ it thene︴ work:nsecurityboundariesandtoc° ntro︳
cbetweenthernbasedonbusiness needs.
tra| ︳
於 安 全界 限 上 分 割網 路 ,並 依 營運 需要 控 制 其 間 之訊 務 。
錀 協器撥掛當 妙螂
谽師
鏺黮錐谽 鑴 鈐雞綁饑 小
A.8.23Web兩 比eHng網 頁過濾
ContΓ 刮 控 制措 施
AcceSS七 0eXterna︳ Websitessha︳ ︳bernanagedtoΓeduce
攤黫鑼 ︴
eXposuΓ eto rna︳ ic︳ ouScontent.
鎀簸螂
應 管 理 對 外部 網 站 之 存 取 ,以 降低暴 露 於 惡 意 內容 。
繗黮錛谽 鑼 錛黤劬鐖 .
A.8.23VVeb何 比e“ ng網 頁過 濾
C$Ⅱ 七
r研 句竹e nfOrⅡ mt主 Bn
Υ 坤 er§ ecw竹
ε OV兮 rat㏑ 且aⅡ BeC社 r王 tydO跟 in∫
鑈罌鐱 八
#C0nf㎡ e且 ︴
ialitˊ 特Proteε t #SyS〔 e班 且nd‵ ne︴ - #Protectia1
勞I且 七
egri” 町Q主 k securi﹏
鰳雞怖
觬¢螉癥鐱啷數韻 寧璶夥鑯玀姆
Pu卬 °Se目 的
下o protectsystems了 oΠ╮beingcompΓ on╮ isedbyrⅥ a︳ WaΓ eand
「
to preventaccess tounauthorizedwebΓ esources.
保 護 系 統 免 受 惡 意軟 體 之 危 害 ,並 防止 存 取 未 經 授 權 的 網 頁 資
協 航器啥河︴ 琇螂
源 。
妢阿
◎ TC︳ C
2-2S︳ ide26ㄥ
A.8下echno︳ og︳ ca︳ contro︳ s技 術 韹〨帝︳
妗灘 齡谽 錙 鈐靆 劬鑰 外
∩ A.8口 23webⅡ 比e山 ng網 頁過濾
Gu︳ dance指 了
︳{︳
SO2了 002〕
下heorganization shou︳ dreducether| sks ofitSperSonne︳
鏘繳 鐑
access︳ ngwebsitesthatcontain︳ ︳ega︳ in了o「 【
︳ nation oΓ are
knowntOcontainviruSes orphiShingrΥ ╮ a七 eΓ ia︳ _A七 echnique
$銹
黫螂
forachievingthiSWorksbyb| ockingthe| Paddress ordorΥ ╮ a︳ n
瓶外齡麴 鑰聊笑黐 犨崩
ofthewebsite(S)conceΓ ned_ Sornebrowsersandan∥ 一
yorcanbe
ma︳ waretechn0| ogieSdoth︳ Sautomatica︳ ︳
conf︳ guredtodo so.
鑷夥簽灘 塕 銥器跨跡 爭 谽螂
組 織 宜 降 低 其 人 員存 取含 有 非 法 資訊 或 已知 含 有病 毒 或網 路 釣
魚 資材 之 網 站 的風 險 。達 成 比 目的 之 技術 ,係 封鎖 所 關 注 網 站
之 ︳P位 址 或網域 。某些瀏 覽 器及 防 惡 意軟 體技術 ,自 動執 行
此 項操 作 或可 設 定 組 態 以 執行 此 項操 作 。吾
紗外
◎ 下C︳ C 2-2S!ide265
G凹 ︳danCe指 了| S。 2了 0● 2〕
(︳
websiteS:
籤‘鑱鑆 鑈師繳胡 罕竹
組 織 宜識 別 員工 宜 或不 宜存 取 之 網 站 型 式 。組 織 宜 考 量封鎖 存
取 下 列型 式 之 網 站 :
a}
perrni仕 ed了orVa︳ idbus:neSsΓ eaSons;
錛 磁炎 餫 莒 幼郎
◎ 了C︳ C de266
2-2S︳ ︳
A_ 8下echno︳ og︳ ca| contro︳ S技 巧
好韹〨帝j
齡鑭錛妢 磻 鏺籩蜙鏹 外
A口 8.23WebⅡ 比eHng網 頁過 濾
錀籩彿
已知或可疑之惡意網站(例 :散 布惡意軟體或網路釣魚內容
的網站)。
$鑈
靆螂
籤八
c) c° ︳ mandandcont「 o︳ seⅣ ers;
rΥ
分享非法內容之網站 。
:谽
坤
♁阿
◎ TC︳ C
2┤ 2S︳ ︳ de267
r已尸
一
銹雞鑱鈔 鐪 錛籦♁纖 •
A.8.23Web∥ 比e“ ng網 頁過 濾
於 部 署 此 控 制措 施 前 ,組 織 宜建 立 安 全及 適 切 使 用 線 上 資源 之
規 則 ,包 括 對 非所 欲 或不 適 切 之 網 站及 網 頁 式應 用程 式 的所 有
限制 。規 則 宜保 持 最新 。
燄外
◎ TC︳ C
2一 2S︳ de268
︳
A.8Techno︳ ogica︳ cont「 o︳ S技 術 韹 ︳
=帝
攤繳鈐谽 鑼 錛雛翰魏 外
A.8.23、 狎ebⅡ 比e山 ng網 頁 過 濾
絳驤銹 ︴
securityconcerns,andeXcept︳ On proceSswhenrestricted、 lveb
resourcesneedtobeacceSsedfoΓ ︳ egitirnatebusiness reasons.
銹羻螂
下ra;ningshou︳ da| SobegiVen to pe「 sonne︳ toenSuretha七 七 heydo not
城外
oVe「 u︳ eanybrowseradViSoΓ ythatrepoΓ ts thatawebsiteis n0七 Secure
紛師
◎ TC| C de269
2-2S︳ |
齡繌鑰谽 鑼 銹豳谽鑰 好
A.8.23Web何 比e一 ng網 頁過濾
︳iStofprohib:tedWebSites ordomainsandbespoke
兟心
c:oussO㎞ areandotheΓ
c。 nf︳ gu「 at︳ on tohe︳ p preven七 ma| ︳
傷繳鱍姊欺鷬 孥露琌鑑虈 錀 械雀熤好莒 翰螂
◎ 下C︳ C
2-2S︳ ide270
A_ 8下echno︳ ogica︳ contro︳ s技 ㄔ
好韹〨帝︳
鑰纖鑰幼 鑼 齡黤錯齺 外
A.8.2碎 USe。 fcryptogΓ aphy′畜碼 技術 之 使 用
Contro︳ 際施
控 制●
Ru︳ esforthee什 ectiVeuseofc呼 ptography,inc︳ udingcryptogΓ aph︳ c
錀黫鍋 才
keyrr︳ anagement,sha︳ ︳bedeπ nedandimp︳ emented.
應定義並實作有效使用密碼技術之規則(包 括密碼金錐 管理)。
餚籦螂
籤本躌黫鑰螂臸齠 鞏露幾盤舞錀 航器瀚跡 多 谽螂
Cont才 O| 毒
空帝‵
璃施
ApO比 cyon七 heuSeO了 cryp之 °graph〡 econ七 o︴ S了 O〔 pro之 ec走 ︳
on of
︳nf0rr了 ︴
at:° nsha︴ ︴bedeve︳ opedand工 mp︴ emen在ed.
一 一
應發展 及 實 作 政 策 〞關於 資訊保護 之 密碼式控希ll措 施 的使 用 。
Apo〡 icyon theuSe〕 protectionand:︳ fe︴ imeofcΨ p七 0graph;ckeyssha比
bedeVe:Opedand;約 ementedthrough主 he打 解hO| e比 乎
p︳ ecyc于 e.
、
應發展 及 實作 政 策 ,關 於 賞穿其整個 生命 遇期之 密碼金鑰 的使 用 、保護
及 生命期 。
妙師
◎ 了C︳ C
2-2S︳ ︳
de27﹁
r
β找【
— —
鑰驤鏺鍛 鑼 錍籦幼饑 →
A.8.2碎 USeofcΓ yptog「 印 hy密 碼 技 術 之 使 用
Cen打 o1哲 pe ㏑出rⅢ 斑hn Cyhers‘ cⅡ ri〡y opef旅Dna一 §㏄Ⅱ打 do︻
seε uriφ ◤proper七 ieS εo㏄ §p出 6ap出 :1北 二
es ma二 ns
#P了 〝走n七 〝守 #C6nfide丑 tia王 itγ #Protect #Seε ur兮 _C◆ 且fi各 社ra七 h且 #Pr° t兮 C心 o且
勞玉
ntegrity
鏺羷鐒 沐
#Avai抾 bi上 ty
鏺籗呻
P肝 pose目 的
觝而
依 營運 及 資訊 安 全 要 求事項 ,並 考 量與 密碼 技術相 關之 法律 、
法 令 、法規及 契 約要 求事項 ,確 保 適 當及 有 效使 用密碼 技術 ,
◎ 了C︳ C
2-2S︳ ide272
A.8下echno︳ ogica︳ contro︳ s技 術 韹〨帝︳
齡籛瞈鍛 鑼 鈐籛谽鑱 蕊
fecyde安 全 開發 生命 週期
ent| ︳
A.8.25Securedeve︳ oprΥ ╮
措施
COntro︳ 控 希︳
Ru︳ esfor七 heSecuΓ edeve︳ oprnent ofsoftWareandsystems
鐖飄 鑱 ︴
sha︳ ︳ shedandapp︳ ied.
beestab︳ ︳
銹飋螂
應 建 立 並 施 行 安 全 開發 軟 體 及 系 統 之 規 則 。
幼師
◎ 下C︳ C de273
22S︳ ︳
躍薽 露
— —
i玉
#比抩gr︴ 盱 an遠 」 e一
#SyS七 e斑 一
鐑攤螂
#AV多 正a打 ”
ii工 的 r女_
secur打
籤年錀繳鐱帥幾報 鞏略
PHrPose目 |
有
aⅡ onSecuΓ :tyisdesignedandimp︳ ernented
下oenSuΓ einforrΥ ╮
Within theSecuΓ edeVe︳ oprnent︳ :fecyc︳ eofSO㎞ areand
確夥銹盟麤 航鏤轐′車 蚡啷
systemS.
U 確 保 於 軟 體 及 系 統之 安 全 開發 生 命 週 期 內 ,設 計 並 實作 資訊 安
全∴。
谽肺
眑灘錀蚡 鑼 鑰攤鐪鑞 外
A_ 8.26Appl℃ auon secuHtyΓ equ︳ rements應 用 系統安 全 要求事項
階施
COntΓ o︳ 控 制 ┤
╮
auon secu︻ tyΓ equirements sha︳ ︳beiden∥ ∥ed,sPec而 ed
ln了orrΥ
鑰雞鐪 ︴
andapProvedWhendeve︳ opingo「 acqu︳ Γ ingapp︳ ︳
cationS.
開發 或獲 取 應 用 系 統 時 ,應 識 別 、規 定並核 可 資訊 安 全 要 求 事項
縐黳螂
鉞外齡籦錛竹箋鍰 寧崩
Contro︳ 控 帝甘
‘躇方
包
|nforξ Ⅵa走 ;Or︳ :nvo子 Vedinaη p比 c爸 ° nSepr:ce在 ran$ac甘 0nS$ha| |be
t工
應 保護 應 用秀 又務 交 易 中涉 及 之 資訊 ,以 防止 不 完整 的 傳 輸 、誤 選
路 仰 符 Ouu&g)、 未 經授 權 帥 訊 .惠 修 改 、未 經 授 權 之 揭 露 、未 經
授 權 之訊
一 息複 製 或 畫演 。
幼帥
◎ 下C| C
2-2S︳ :de275
一
錀銫銵 何
#Preventi頇 ◤
e #Con且 血 ntialiΨ 券Pro七 eCt #APplic3ti0且 公eturi七 y #P} otec㏑ n
#I就 egrlty #野 s怡m_ and一 且e| #De拍 且Ce
勞Availabili守 y wor sec社 k七y
鑰雞姊
幾㎡
Pu卬 °Se目 的
鑰黫翰妳蔽啥聖絮 鐖學霧霹鑈 磁哭男一
◎ 丁C︳ C
2-2s︳ ide276
A.8下echno︳ ogica︳ contro| S技 ㄔ好控 帝︳
銹籛銹幼 皤 鈐籛谽鐇 井
A.8.27Secu「 eSysternarch︳ tectureandengineeΓ ︳
n9pΓ incip︳ eS
安 全 系統 架構 及 工 程原 則
ContΓ o︳ 控 制┤
告施
Pr:nc︳ p︳ esforengineeringsecuresystemSSha︳︳beeStab︳ ished,
銹籛 鑼 琇
documented,rnaintainedandapp︳ iedtoanyinforrΥ ╮ation
銹雛螂
SysteF╮ deVe| opmentactiv︳ tieS.
颻“
應 建 立 、書 面記 錄 及 維護 工 程 化 安 全 系 統 之 原 則 ,並 套 用於 所
鏻籛錀姊薿驟 犖麟
有 資訊 系統開發 活動 。
t 瑢: 5
野|控 制措 施
C◇ 找老
。
4◇ e故 路 @n七 e4,m爸 in老 a| 我e心 爸竹d爸 pp〡 ied七 ° 磁ny子 nf6年 Ⅵ接七〡
°n
Sy$茗 @俄 imp︳ ementa山 One猙 oF老 $.
一
保 全 系統 之 工 程 原則 ,應 子建 立 、文件化 、維持 及 應 將於 所 有
資 訊 系統 釣費作 工 作 。
玅拂
◎ TC︳ C
2-2Shde277
屢薽 β
— —
安 全 系統 架構 及 工 程 原 則
C6ntroI毛 ype 王nform丑 O且 t≡ Cy出 e了S念 ε
在rity orera毛 主
●五a1 §兮仁
社 dom丑 i且 ∫
=:打
∫
ecuria◤ pr0pe了 tieS 亡$nε epts εnpaㄙ 亡
︳ gs
:七 二
鈐玀 鈐 八
PHΓ P° Se日 怪
有
下oenSu「 e︳ nforrnation systemsaΓ esecure︳ ydesigned,
汁np︳ ernentedandopera七 edW| thin七 hedeVe︳ oprl╮ ent︳ :fecyc︳ e.
確 保 資訊 系統 於 開發 生命 週期 內係安全 的設 計 、實作 及 運作 。
錢 箍撰 齶 寺 妙啪
谽師
◎ 下C︳ C
Modu︳ e2-2s︳ ide27S
A.8下echno︳ ogic到 cont「 o︳ s技 術 韹 !
=帝
蠮黤銹砏 鯔 鑰鼥谽嬾 餌
A.8.28SecuΓ ecoding安 全 程 式 設 計
ContΓ o︳控帝︳ 措施
Secu「 ecodingpΓ ︳
ncip︳ essha︳ | edtoSo抑 are
beapp︳ ︳
攤羻鑰 ︴
deVe︳ oprl╮ ●nt.
紼籛螂
軟 體 開發 應 施 行 安 全 程 式 設 計 原 則 。
錀灘錢鍛 鑼 鍋黤紛饑
A_ 8.28SecuΓecod︳ ng安 全 程 式 設 計
℃°出rO比 yㄗ ε 玉
n抽 r放 出㏑社 Cy打 ar§ ecu心 呼 Oper且 〔
:6且 a王 SeC社 r比 ydo_
s§ 〔
Ⅱri社 Prφ erHg§ mⅢ錚 t§ ε出〕
ati王 琵h§ mB三Ⅱ〔
#I朮 睹破y
繳鎀 本
努
Av宜 ︳
一
a故 1﹏ 3eCu女呼
鑈麗師
颻¢
Pㄩ rPose目 |
圴
鏺躈錣抪故報 擊羅夥我播姊
ToensureSo帥 aΓ eiSWr︳ 七
七enSecure︳ ytherebyΓ educingthe
nUmberofpotentia︳ inforrnation secur︳ tyvu︳ nerabi︳ itieSin the
so㎞ are.
確 保軟 體係 安全 的撰 寫 ,從 而 降低 軟 體 中潛在 資訊 安全脆 弱性
鐪 磁曌餵好守 妙螂
之數 量 。
♁跡
◎ 下C︳ C
2-2S︳ ide230
A_ 8Techno︳ ogica︳ contro︳ S技 ㄔ好韹〨帝︳ #
靂兞好
靂
— —
鋤籛鑰鎀 鑼 琇鞔啥鐊 外
╮ A.8.28securecOding安 全 程 式設 計
GuidaΠ ce指 了
︳{︳
SO2了 0● 2〕
Genera︳ 一般
鐖皺齡 打
下heorgani2at:on shOu︳ destab︳ ishoΓgani2a七 :on-Wide
筠黤螂
pr○ cesses to prov| degoodgoVe「 nancefor secuΓ ecod︳ ng.A
颻外
rninirㄇ urn securebaSe︳ ineshou︳ dbeeStab︳ ishedandapp!ied.
谽帥
◎ 下C︳ C 2-2S︳ ide28﹁
=帝 β觀 彈
— —
Gu:dance指 了︳{
︳S。 2了 002〕
ea︳ wor︳ dth「 eatSandup一 to一
下heorgan︳ zation shou| drnon︳ toΓ Γ
錛黫銹 無
π強 π
— —
蠮黫鏺谽 鑼 鑰皺谽饑 外
A.8.28SecuΓ ecoding安 全 程 式設 計
P︳anninqandbeforecodin g規 劃及 程 式開發 前
Securecodingprincip︳ esshou| dbeusedbothfoΓ neWdeve︳ opments
鱗攤縐 功
and:nreusescenar| os.下 heSeprincip| eSShou︳ dbeapp︳ iedto
deve︳ opmentactiV︳ tiesbothWithintheorganizationandfOr products
鎀讓螂
andse︹ σicessupp︳ iedbytheorganization tOOthers.P︳ anningand
城外
prerequ| sitesbefoΓecodingshou︳ dinc| ude:
幼外
◎ TC︳ C
2-2S︳ ide283
錛鑈 拂盼 躪 鏺攤魵鑞 心
A_ 8.28SecuΓ ecoding安 全 程 式設 計
oPrnen七
enⅥ ronmen七 ,︳ DE)︳ 之組態 ,以 協助施行安全程式碼之產生 。
d) fo︳ ︳
owingguidanceissuedbytheProViders ofdeVe!opment too︳ s
andeXecutionenV| ronmentsasapp︳ icab︳ e;
適用時 ,遵 循 開發 工 具及 執行環境提供者所發布 之指 引 。
鉾 磁輋定好〡 妙螂
◎ 下C︳ C
牙 2S︳ ;de284
A_ 8Techno︳ og︳ ca︳ cont「 o︳ s技 巧
持韹〨帝︳
拗 纖 鈐 劬 鑼 鈐 麰 鐪 觴 鋒 筋啷
A.8.28Secu「 ecoding安 全 程 式 設 計
餌
g) secu「 edes:9nanda「 chitec七 ure,inc︳ udingthreat
銹 銵飋 螂
拼
rΥ ode︳ ︳
╮ ing;
兟 芻 籛 獼 螂蟻路師 寧 顯 綌錄選 一
安全 設 計 及 架構 ,包 括 威 脅建模 。
〝
h) securecod︳ ngstandardSandWhe「 ere︳ evan七 mandating
theiΓ use;
安 全 程 式 設 計 標 準 ,並 於 相 關處 強制使 用 。
) use° fcontro︳ ︳
︳ edenVi「 onmentSfoΓ deve| opr!╮ ent.
鑰 拹器塕跡 音 谽 聊
使 用供開發用之 受控環境 。
紛師
◎ 下C︳ C 2-2S︳ ide285
鐖蘱 鑈鎗 鑴 鑼籓 鎗鑰 鏺 纋 錛 確 鼛 坤
A.8.28Securecoding安 全 程 式 設 計
Dur︳ nqcoding 程 式 開發 期 間
句諯 呂 ed兩 c㏑ ㏑
鯤 鐪 黫 銹輔欺報 孥妳
euogmm㏕ n9
鎦鸚慍檇澴 ngused; be︳
全 設
特 定於 所使 用之 程 式語 言 及 技術 的安 程式 計 實務作 法 。
路聯窈幾 鑼 磁鍵 潀 莒 鎗帕
● 出箭 謎出r莓 離 j㎝ s
搬對 奲t;
雖嫵 展驧璻昏
盞鞷盦
籬齡群 、 e叫
妥 :智
紛師
眑黤螉谽 鑼 鑰殿翰饑 外
A.8.28SecuΓ ecoding安 全 程 式設 計
鑰黤鏺 市
d) documenHΠ gcodeandΓ ernov;ngpΓ ogΓ amrΥ ╮
ingdefects,
鐒籛螂
Whichcana︳ ︳
OWinfoΓ ma∥ on secu山 tyvu︳ nerabi︳ ㏄ies tobe
籈︿
eXp︳ oited;
q:茻
持
r黯除豔整
笨
::鞥報糊茁i掛 己
禁止使 用不安全之設 計 技術
w° d汁 〒
「 手經核 戰 奸里捕
頁服務 F?窅
鎀師
◎ 下C︳ C
:de287
2-2§ ︳
錀繳鎙娥 鑼 鑈籦鈖纖 ¢
罫 含器 膗 丐掤 卡甡 繃 押
!驟 s㏄
銹黫齡 〝
在 使 軟 體運行 之 前 ,宜 評 估 以 下 內容 :
見 之 程 式 設 計 錯 誤 連行 分 析 ,並 書 面記 錄 此 等 錯 誤 已
劬阿
義鞷 零
◎ 了C︳ C
一
2-2S︳ ide288
A_ 8Techno︳ ogica︳ contro︳ S技 羽子韹生帝! #
靂珮 靂
— —
塕箋銹紗 鑼 鑰攤紛鐋 ︴
A_ 8.28Securecoding安 全 程 式設 計
ReV:eWandmaintenance寋 查及 維 護
A及 ercodehasbeenmadeope「 ationa︳
銹籛銹 弟
於 程 式碼 上 線後 :
鈐錘啷
a) updatesshou| dbesecure︳ ypackagedanddep︳ oyed;
兟外
宜安全包裝及部署更新套件 。
佛羅鐖神笑黐 寧協
b) rePo比 edinforrna七 ionSecurityvu︳ nerabi︳ itiesshou| dbehand| ed(see8.8);
宜處理所報告之 資訊安全脆弱性(參 照8.8汁
比 loggedandlogsregu㏑ y 〢
。 老
稚 吊
呂 δ
瀧 思確吊
羇 ,並ξ
七嘿
thecodeasnecessaη
:一 ◤
舉鋒簽牌 銹 插鍵 璐 冒谽啷
;
日誌
宜存錄 各項錯 誤 及 可疑 攻擊,以 於必 定期審 查 要 時對程 式碼 進
的 笛 行調整 。
話子|
幸點出〧
荃 百
假$巿埋避墨搡器由使用組態管|
工
理具
|
的 .
奪菫餐篷奪愛攮鑫等
曼 簿麚孟霸愛衾囊籦留
莒羼
,
ㄌ育
匕
紛外
)。
A_ 8.28Securecoding安 全 程 式設 計 鐖黦 銹艙 鑴 鑈繳 紛鑰 鎮 黰 銹 銹籛 唧
句 °
本
y
︴╒ #早 鵲 |崙黏Ξ 騮 昌 守
升 】atedwithre︳easecyc︳
J襱
籤 鏺黰 銹輕欺齵 罕輛
是逮拙 :老
i°
→
eS;
事 所 使用 之函式 庫 清 冊及
蕓簽豪
尹 蠁楚
藭蔓 箏
緇銻鎧將蝷鏹 城舉撥努 宮 艙螂
篛雞齡唦 擺 鑯鑨啥鵝 外
A.8.28Secu「ecoding安 全 程 式設 計
鏻灘鐪 ︴
d) ensuringthatso㎞ aΓ eis rΥ ╮
a︳ ntainab︳ e,tΓ ackedand
餩麴帥
or:9inatesf「 oⅣ╮proVen,rePutab︳ esources;
颻再
確 保 軟 體係 可 維護 、可 追蹤 且 源 自經證 明 且 有信 譽冬 來 源 。
開發 資源及 產 出物 之足 夠 的長期 可 用性 。
砏帥
◎ 下C︳ C
2-2S∥ de29η
鐖籛鑱餓 鑼 鑈黤紛蟣 站
A.8.28Securecodi四 安 全 程 式 設 計
g縰 u㏄ ㎞ 比m㏕ …
田㏑e紖 b㏕ ㎎
疀 品:3腮毛
:昇
,則
銹驒鋤 外
若 需修 改軟體套件 宜考量下列事項 :
鋒灘姊
cornp「 oΓ Υ
╮iSed;
鑈黤餓坤城離啦寧羅學豬鋒帥
內建 控 制措 施 及 完整性 過程 遭 破 解 之 風 險 。
是否取得廠商之 同意 。
縐 航錚跧野︴ φ坤
◇外
◎ 了C︳ C
2-2S| ide292
A.8Techno︳ og︳ ca︳ con七 ro︳ S技 術 韹 ︳ 蠐 竹
=帝 麜珮 醒乳
鈐籛塕錯 鐇 鑰籛盼鐖 外
╮ A.8.28secuΓ ecoding安 全 程 式設 計
錛皺鐋 才
鐒攤艸
d) 七heirnpac七 ︳ ftheorganizat| onbecornesΓ esponsib︳ eforthe
鈚妳
fu七 urerη aintenanceofthesO帥 a「 eaSaresu︳ tofchanges;
tywithotherSo帥 a「 einuse
e) cornpaⅡ bi| |
與其他使 用中軟體之相容性 。
谽師
◎ 下C︳ C de293
2-2S︳ |
七her㏑ 竹Γ
︳了a可 n其 它資訊
︳
。 。
銹籛鐒 永
「
binaη ◤codea︳ SOhave七 heSeproPe比 ieSbuton| yfo「 da七 ahe︳ dwi七h:n
鐑籛顆
canana七 七 acke「 .
給跡
◎ 下C︳ C
2-2S︳ :de29ㄔ
A.8下echno︳ ogic封 contro︳ s技 術 韹 心
=帝
鎀黤齡蛜 鑼 辮靆鍛鑯
A.8.28SecuΓ ecoding安 全 程 式設 計
$鏺
繳銹 府
由已編譯之二進程式碼安裝之程式亦具此 等性 質 ,但 僅針對應
用程 式中所持有的資料 。對於解譯式 語 言 ,此 概念之效 用
鏺齉螂
,
鈜燕鑰黫鑰砷毀餵 拶師
程無法存取該程式碼 ,且 其資料係保存於 類似之 受保護 資料庫
中 。例 :經 解譯程式碼可於 雲端服務上運行 ,其 中存取程式碼
本身須有系統管理者之特殊權 限 。此 等系統 管理者之存取 宜以
安全機制保護 ,諸 如 剛好即時Uus一 in一 小me)管 理原則及 強鑑別 。
幼師
◎ tC︳ C
22S︳ :de295
β出 β
— —
鑰簸錀谽 鑼 錛颻♁鑞 心
A.8.28SecuΓ ecoding安 全 程 式設 計
°
挺硢鞝甜╮ 七
砧出 品鵠 法|
銹龘螂
鷜 | 是職 :攤 比
籤心
呂
舌忌
稚私女長
Fg跚t繳 努翠特!sbefore七 heda七aiSuSed;nan
㏕e
繳 吧騵 常胎 掤 黜
與 點 時 嫌 躍
最佳設計 之應用程式碼係假設其. 豆受經由錯誤 或惡意行為的攻擊 。此
}
錛 瓶器玲跡哥 艙妳
◎ 丁C︳ C
2一 2S| de296
︳
A_ 8下echno︳ ogica︳ con七 rO︳ S技 羽子韹〨帝!
塕籛鐪谽 鑼 翰籛鐪觴
╮ A.8_ 28securecoding安 全程 式設 計
話黯躡 將挺早
iBg。 濕澀 :ε
赽钀 ,花 呂 照 驟
$僯
篱錀 玢
Webse「 verfunct| Ona︳ ︳ ty.
紛躈螂
某些 網 頁應 用程 式 易 受 由不 良設 計 及 不 良程 式 開發 所 引入 各種
鍼小
鰡 幾 鷤獸 性.,
珃綠蘛 祥呂
苭帥
◎ 下C︳ C de297
22S︳ |
嫠舐r嫠
— —
開發 及驗 收 中之 安 全 測試
Contr刮 控 制措 施
銹雛鑰 木
應 於 開發 生命 週期 中定 義 並 實作 安全 測試過程 。
兟再鑈黰錀姊繳鎖 鞏籮學銘麓摒 磁鉹跨掛官 鬱螂
Co附 崔
ξ°|毒 著施
空制 寸
了e每 愛§e管 道艮e$ec磁 r;老 yf班 nC報 0n磁 |V$乩 甚站$eG俄 rr〡 edo$td社 ξ g
i︴
=孔
de箤 ♁!Opmen毛 .
於 開 發 中 ,應 實施 安 全 功 能性 之 測 試 。
Accep七盆出Ce七 e$毛 ≡ 再$pΥ ogr磁 路$爸 n吐 re| 俄︴ Shed
e哇 cri名 er工 我$乩 a比 beeS七 ab︳ 君
手0r錐 兮W︳ n6or子 我爸崔ionSy$七 e幻 S!up9ξ a吐 eS按 ndneⅥ ╭versjonS‘
眑黮齡谽 齺 鑰黫紛蹦 小
A.8.29SecuΓ yteSung︳ ndeve︳ opmentandacceptance
i七
開發 及驗 收 中之 安 全 測試
仍ntr破 好pe 工
njOrm久 七
iOn q9ber§ eε uri七 y Opera七 i° na1 含eε ur且 好 d° m斑 ns
secⅡ r抑 prDper在 i兮 S conε ePts capa打 丘ies
鐖靆鏺 →
i︳
鑈黫邱
揪 Va:︳ abili七 y ty_ assur3nce
#Syste㎎ and_ ne一
鋮小
work§ ecur1毛 y
狒靆鑰碑欺齰 擊姊
PurPose目 的
鍛夥簽霹 鐑 航鏤路掛
下oVa︳ idater infoΓ rna∥ on secuㄩ tyrequirernentsaremetwhen
app| ications oΓ codearedep︳ oyedto thepΓ oduction
enViΓ onr【 ︳
ent.
驗 核 將應 用程 式 或程 式碼 部 署 至 生產 環 境 時 ,資 訊 安 全 要 求 事
:谽
項 是 否符合 。
坤
谽阿
◎ 下C︳ C
2-2S!ide299
′已 π
— —
鑈簸鑈鎗 麟 齡龘紛饑 ¢
A.8.300utSourceddeVe| oPrnent委 外 開發
ContΓ o︳ 寸
腔帝︳
ㄐ階施
下he° rganizat︳ on sha︳ ︳di「 ect,monitorandrev︳ ewtheactiv:ties
錀繳鐒 外
組 織應 指 引 、監視 及 審 查與委 外 系統 開發 相 關之 活 動 。
籤↓鑈纖鏺姊隘琀聖黧 幾學盟盟鑈 城銎懘好巨 ψ妳
Con之 Fo| ㄐ
腔常寸
→昔施
下我eorSaniza圭 ;onSha君 ︳Sφ pe︷ r官 Se俄 ndrn° n︳ 在
ort打 eac︴ 工
v︳ 為 °f
◎ 下C︳ C
2-2S︳ ide300
A.8下echno︳ og︳ ca︳ contro︳ s技 術 韹生帶︳ 蠐 竹
靂瓶 靂
鈐镼暡盼 豂 齡雞銹鑯
A.8.300utsourceddeVdoprnent委 外 開發
°I七 ype
ε°n七 Υ ≡
n拓 rma七 iOn Cybe“ ㏄ur:睜 0pe〔求子
oha: ∫§CuΓ :七 yd6n女 a≡ 且S
兮CⅡ r主 圩 proper在 必
§ ConCep七 J ε
安pab:!走 :ε s
哈
#PreVe且 t︴ Ⅳ #Con出 dentia!i七 y 樹del︴ti牡 #Protect a且 芭Ⅱetu◤ or文
#Sy∫ te路 _ #G0Ve了 nanCe_ nd一
$銬
tem
羷鑈
#Detε C守 竹e #Integr竹 #De〔 eC七 Securlty Ecogy§
#Av缸 !ah︳ ity 莒 ecuri在 y
軸 plic就 i0n_ ∫ #Protection
#Supu始 〦
h鈐
rel館 i0n∫ hips_
黫螂
securi好
deve︳ opment.
確 保 於 委 外 系 統 開發 中 ,實 作 組 織 所 要 求 之 資 訊 安 全 措 施 。
谽師
◎ TC︳ C 2-2S︳ ;de30﹁
彈颻rβ
— —
on 銹籛鐖幼 鑼 錛黝紛鑯 •
A_ Separation ofdeve︳ opment,testandprOduc七 ︳
8.3可
enⅥ ronments開 發 、測 試 與 運 作 環 境 之 區 隔
ContΓ o︳ 寸
陸帝︳
ㄐ昔施
鏺黤齡
separatedandSecured.
騹怖
嫩→
應 區 隔 開發 環 境 、測 試 環 境與 生產 環 境 ,並 保 全 之 。
鎙纖銹師欺餅 寧羅學雄鑼師
ξ
C6井 老0毒 控 常 兄
義爭兡 〞 既冷工ㄔ二︴
寸
Deve〡 Op幻 en毛 ,七 e$七 i&9andoper俄 七
︳ |be。
♁na舌 enV竹 onme作 t$S乩 篠吝
Sep爸 Υ在電ed七 0re4uce電 heriSK$o了 un盆 Ⅵ琶 一一一
我0riZedacce$soξ 一
鑈 蹜華蛪好音 砏師
heOper放 工
chanσ e$七 ♁寺 On爸 ︳
Sy$之 em︴
應 區 隔 開簽 、測 試 及 邊 作 之 環 鼾 以 降 低 辮 違作 環 境 未 經 授 權
存 無 或 變 更 將鼠 險 。
谽師
眑雛鑰盼 鑼 齡鼬盼鐖 外
A.8.3η SepaΓ at:0nofdeVe︳ opment,testandpΓ oduction
ents開 發 、測 試 與 運作 環 境 之 區 隔
enⅥ ronrΥ ╮
齡黮錛 外
串Pr研en注 ℃ #Con生心entia︳ ity #Pr〔 )竹 εt #App︳ iε at子 on_ gecurity #Proteε tion
、
報睡 醉竹 #靪 s七 m一 五
㏕_net-
瞈黫螂
揪 va社 a㏑ |
打 wo虹 se.ur竹
甄水鑰籗錛姊械玲晰翟一
Pu叩 °Se目 的
下OprotecttheproductionenVironrnentanddatafrom
pro日市Sebydeve︳ opmentandtestactiv︳ tieS.
corΥ ╮
罐苓盟幾 躌 瞞器跨游
保 護 生產 環 境 及 資料 ,免 遭 開發 活 動 及 測試 活 動 之 危 害 。
;錐
呻
妙外
◎ 下C︳ C
2-2S︳ ide303
π我 π
— —
攠黦錛嬐 鑴 銹黮紛鐖 ∞
anagement變 更 管理
A.8.32Changer了╮
Contro︳ 控 制措 施
ChangeSto infoΓ rnation processingfaci| ieSandinforrna七 ionSys七 emS
i七
鏺露錐 〝
sha︳ ︳
besu● ject tochange了 nanagement procedu了 eS.
資訊處理設施及 資訊 系統之 變更 ,應 遵循變更管理程序 。
撥籛坤
籤“鑈黫銹︴欺鎖 學露移簽雜 w銵航聲餵◤哥 ♁抪
Con在 m〡 控 制措 施
Chanqes七 oO了 gani2a七 ion,bu$:ness proceSse$,:n了 orma在 ion process° ng
了ac| ︳ieSand$ys走 emS走 ha︴ a年 4c七 ︳
i七 出了ouⅥ a崔 :° nSecur工 出√sha︴ 甘be
C° n老 |
ed.
=o|
應控希ll射 影 響資訊 安 全之組 織 、營運遇軒 資訊 處 理 設施及 系統的變更
Chan9e$七 oSys走 e出 SW工 之h;n走 hedeVe︳opmen七 ︳ :fecyc︳ esha︳ 〡be
edby它 heuSeof下 OFma︳ changecΘ ntro| proc台 du了 eS.
contΓ O〡 〡
更。
◎ TC︳ C
2-2S∥ de30碎
A_ 8下echno︳ ogica︳ c。 n七 Γ
o︳ S技 術 控 帝︳
鈐纖 齡鎀 璐 齡靆 錯鏺 無
A.8.32C-anger!╮ anagernent變 更管理
︳
VV跆 enΘ uer級 電&$紂 子
爸錚♁F了$$宙 FeCh崔 n9ed,$$$君 出e$$e比 ︴工
G俄 子爸p針 舌
〡c爸 音0nS
工
$比 缺雖 beF每 V工 e醃 4撥 Π吐 走e$考 ed君 ee出 $磁 ξ兮 君乩eξ @工 $n♁ 雀碪¥er忠 e:甜 p磁 C毛 ♁n
♁r$撥 n° Z撥 之
子◇n盆 ︳♁pe「 雄︳
0n$or$ecur〡 對 好ㄨ
鐑黮 鐫 玲
當運作平 台變疑時 ,應 馨 查與測試 營運 之 關鍵應 用 ,以 確保對組織運作
或安 全無不利衝 擊 。
彿黮 螂
雖♁d君 玉c依 七:♁ nS七 ♁$0投 蹤are紗 接Ck接 9eSS乩 撥︳描e碟 |
| n兮 e4to
$c0也 r撥 9ea,君 工 :七
籤外
n兮 CeSS爸 的√ch爸 雄ge$襏 雄d往 | 〡Ch我 nge$$乩 接比 b舍 $電 r比 雜ycon老 0比 ed.
PurPoSe目 的
下● p「eSeⅣ einforrna七 ionSecuritywhenexecu七 ingchanges.
盼帥
於 執 行 變 更 時 ,保 護 資 訊 安 全 。
◎ 下C︳ C 2-2S︳ :de305
躍鑯〞
躍
— —
錢黤 攤谽 鑼 鑈黝 紛饑 ¢
A_ 8_ 33下 eSt infoΓ ma∥ on測 試 資訊
措施
Cont「 o︳ 控 帝︳
Test inforrΥ ╮
at︳ on sha| |beappΓ opr︳ ate︳ yse︳ ected,p「 otectedand
銹籛 筠 本
managed.
筠攤 坤
應 適 切 選擇 、保 護 及 管 理 測試 資 訊 。
籤心銹黰鋪妳攤鷬 擊罨 夥壁聶鍋 瞞華蹬對 當 鎀螂
d控 制措 施
C錐 電ξ
ㄒe$走 後$孔 毯︳
d撥 之 君豁e$e︳ e♁在 y,pξ ♁發
e心 G往 re了 功|
含 ed
♁c愛ed往 ndCon七 r0善 ︳
應 小 心 選 擇 、保 護 及 控 制 測 試 資料 。
紛師
◎ TC︳ C 釳 S︳ ide306
A.8下echno︳ og:ca︳ contro︳ s技 術 韹〨帝︳
鐒黤鑰蛜 鑼 翰黮銵鷂 外
A.8.33下 eSt infomauon測 試 資訊
鏘飄鏺 再
#In竹 gri中
鐒靂嗨
PurPose目 |
餓本
玓
確 保 測試 之 關聯 性 並保 護 用於 測試 的運作 資訊 。
砏師
◎ 下C︳ C
de307
2-2S︳ ︳
好蟲口
π
— —
鑰驤銹嬐 齺 鍋驤妢鑞 “
A.8.3η P「 otection ofinfoΓ rnation syster【 ╮
SduΓ ︳
ngaudit teSting
稽核 測試 期 間資訊 系統 之 保護
ContΓ ol控 制措 施
鑈雝鐒 永
operationa︳ systemSSha︳ ︳
andappropriate!﹁ anagement.
鱵如鑈纖鐱師銥各姊寧露學竅蕛銹磁彈姓ㄏ— ♁姊
營運過程 中斷降至最低 。
◎ 下C︳ C
2-2S︳ ide308
一
A.8Techno︳ ogica︳ S技 羽 韹〨帝!
contr● ︳ 旗齺用齺齖 #
靂兙罈
蠮灘 翰鬱 蠮 鎀薙皤饑 才
A.8.3碎 P「 otection sduringaud︳ tteStin9
ofiΠ fo「 rη ation systerΥ ╮
稽 核 測 試 期 間資訊 系統 之 保護
狒飋 坲 巧
比mr妳 p四 peA拍 s CO且 Cepts capa打 社:ues
#Pre碑 雄打e #Con出 de婊 i安 lit}/ #Protec七 #野 st出 比a㏕ _ ne七 的 k #Governance_ 爸nd一
銹黤 螂
#l1︴ tegr打 ∫㏄ur坤 EGosysteⅢ #PrOte←
$出 y
#A確 法 #In拓 rm浪 iOnprOt㏄ tiOn 往On
鈜竹
i︳ i七
紛帥
◎ 下C︳ C de309
2-2S︳ ︳
β戤 露
— —
鋪籮 鋪緞 鎞 鑼黮 ♁鐖 府
Anyques七 :OnS?
銹齷 鈐 外
鍋麰 姊
瓶市鑰籛銹砵航$聖 敢 囉移鍜選協 瞞踄玲外 音 翰郴
Thankyou ●
Ⅲ erc︳
紛師
靂颻 躍
— —
錛籛 鐑鎗 衊 彿麶 鎗鐖 小
′′ ‵
$╮
ˊ
ˊ
﹉
鐒難拗 〝
Modu︳ e-3
銹鍵 師
皴〝
資安標 準-Add一 On
鋒籛 媰啷插各醉移缽錯嗧鍛確解
銹 缽器路野 甘 谽螂
谽師
◎ by了 C︳ C Modu︳ e3S︳ ide一
一
)
鏺羻鑰餩 嬾 齡霞 錯鐖 ︷
銹齉 鐑 出
SMS
鋒羻 姆
特 定領域 之 ︳
籤心鍋籦 翰帥欺餒 奪礒 夥窮霹 齡 磁蹈玲野 子 ◇師
實施 與驗證 方 案
U
琺外
錐罷 佛鉹 囀 彿靆 鐒幾 依
鰳錢 聯 打 籤㏄
鐑黦 郎 鍋雛 烿螂欺錤 移城熪驚簌囉φ鈐 落第路玲 多 妢郴
鎊師 銬幾鎀鎀 鐪 嫋籛 鯓齡 外
鏘靆 呦 本 觬妳
鐒籛 榔 佛籛 銬仰磁路蜥罕露弩窔舞銵 蹴獼聹好
╮
轉
▓▊▌▊▊
躎齺礉鑼蹳龘
特 定領域 (如 個 資保護)的 資訊 安 全 管理 系統
■■▆Ξ鑯我飂▊▋■
飋離飋癱龘 麤鑼蹤覷飋躕
颱颱颱口
颱颱夒▋
▊▆▅▓
麤龘麤飌豳鑯
麤鑼驤澱颱 龘龘龘驤 龘龘
飋齺
瀰鑼殿鑼
一般 企 業/組 織 的 資訊 安 全 管理 系統
麤飋濺鑼
麤麤躖颱龘
魕龘飀躥
攤齺
颱颱懼 麤 鼆 龘躝
颶颶
▋琿
◎ byTC︳ C
◎所 了C| C
SMS實 作 方 案
一般 與特 定領域 可 選擇 的 ︳ 儕 出
晝乳 靂
′
一‵ˋ 錫
、 坌了90名 ′
盆了$♁ 之}
霧癢度
一皺 企 /組 織
\
\
\
\
ˋ
ㄟ
\
ˋ
\
ˋ
ˋ
\
ˋ
◎ byTC︳ C de5
‵ Modu︳ e3S︳ ︳
山
ˊ
— —
銹籛 聯齴 聯 搦籛 鎀籛 坊
▆︳ EC2了 00可 十 ︳
SO′ ︳ EC2了 009(Sector一 Spec而 c
SO′ ︳
RequirementS特 定
aPp︳ icat︳ on of︳ SO/| 巨C2700﹁ 一
SO月 EC2了 00﹁ 的要求)十 ︳
領域應用| S。 2了 SSS(如 :
雲安全保護︳SO2了 “了.‥ )
呦雞 佛 研
巷♁′
技 在
Se蟲 卜§pec:ficapp| 〡 用巨C坌 700︴
教密
:時♁於╮接才
君o再 teC乩 no︳ o9y… S守 兮uAty七 ee乩 n:吼 Ⅱ爸S— ◆a再 °Rㄑ好 ︳
Sㄈ 》 —
—
—
鐑黮 協艸欽覤 學姊
re路 en抵
Req旺 念
H煔 r你aU° n
色 ne6λ ︳了
路鵿箜舞齡 筋瑟凎許 多 ◇姊
\︶ /
鬱外
鐒雞佛銹 孋 鏘雞劮鐖 沐
紉
鎀鐱齺 小
鑰巍姊
帥 竹 女﹍ 鞋舍無輯在找 琦憋各雖:撥 井鞋 命將 扣群發無 雄 好′簽確名甚
眾要 棘 賺 奄崩挫
籤咚螉羰鑰艸疑錣 翠竑緇犖選確螂
一
﹉
紉
一一
嗯
麚
聲聲
薰
聲餮
馨巖
麔
麛鼾 :
狒 駥器路許發 鐒螂
一 一
一
﹏ 錶︴ 扑蠍
邵 報鞋神 發 岑群 單 份鞥 森安本常↑宙ψ印 串睪年 婁燕年齡 毒
撥岑離#啥
鬱帥
一
◎ by下 C| C
Source:︳ SO27009 de7
Modu︳ e3s︳ |
︳ SMS延 伸 驗證
SO組 織發展 的| 十
spec市
特定領域{ S ec蜜 倚〕
嫋
妙
鑗 銵攤谽鑰 扣
佛玀鱗 ︿
鐑籬姊
兟“呦籛蠮師繳鏢
S● ●︴
●r_s° ●●
27@° ︴
﹂
一
◎ by了 C︳ C
Modu︳ e3§ ︳
:de8
lSO組 織發 展 中的特定領 域 資訊 安 全驗證 口2
▋︳
S。 ′
︳EC27000:20可 8〔 2° η
8-02J 鈴
它7岱 6$
之96∮ δ 乏?$♁ ㄢ
它ˊQ住 各 27∮ 芒瑋
幽 ㄠ了 之〦
l》
ㄠγe參 ㄨ 29$║ X
劬
扭
◎ by 下C| C
Source:︳ SO Modu︳ e3s︳ ide9
SO國 際標 準 架構 的 P| MS驗 證
︳ ﹏
靂籈 靂
— —
銹盤甥 砂 餾 奶邏 劫鑰
SMS
●︳ ◆ 加代
I〔S十 P{ AΛ S 俄
$塕
雞佛 ㏄
鑞簃 撥 外
銹簸 銵鄉筑課 鞏籮 孝谽簜 齡 竑麥琀許 多 ◇姊
\一′/
、
翰帥
◎ by下 C︳ C
Sowce=︳ SO及 TC︳ C描羔整 ModV︳ e3s︳ ide-0
G︳ oba︳ Con七 e〤 七′other︳ SStandards
其 它 資安標 準
鱗激鐱紛 蟣 鐒黤♁鎩 ︴
SO/︳ EC27000,2700碎
▅︳
媰籛鑈 竹
鑰簸林
▅︳ EC29η 00,29η 3碎 ,29η
SO′ ︳ ,2770η
餓本
5η
艙帥
◎ by下 C| C
Modu︳ e3s︳ ideㄇ η
Systema║ cs分 布表
銹簸齺♁ 鑼 鑰籛盼籤 節
SO270﹁ η
︳
錄研縐靆協卹欽餒 幾拼擺路餓舞 齡 磁發憩好— 鉹︴
So270﹁ 7
︳
SO270η 8
︳
SO﹁ 5碎 08
︳
PΓ oductre︳ ated
◎ by了C︳ C
M° du| e3SHde﹁ 2
SO月 巨C27000標 準 簡介
︳ 籚舐 靈
出
— —
鐫驤佛銹 鑼 鑰靆妙鐖 竹
╮ ▅Preparedby︳ SO/︳ 巨CJTC﹁ /SC27
銹籛協 小
systernS— — 《DVeⅣ ie執 ′緻ndV♁ C缺 紐以|爸印
筠黮妳
籤必
Shedon the20﹁ 8-02
鐑籛鎀姊戔錣 琌臹擺學餞鑼魽
▓ Fou㏄ hed︳ on pub︳ ︳
t︳
銹 瓶雀婬〃才 鉿郴
secuⅡ tymanagernent$ys在 emS一 Wh比 hform七 he
he︳ SMS掐 m:| yo了 $七 andaFds,andde﹏ ne$
S吐 切ec追 O了 七
ed七 er了 ╮
re︳ 接七 $andde了 in︳ 之|
onS刀
姼師
◎ by下C︳ C Modu︳ e3S︳ ide可 3
SMSFam:︳ yofStandards
︳
Re︳ at︳ onSh︳ ps
云ˊ♁¢♁
2ˊ $王 往 盆7$主 存
瞴 ㄠ
=a多
有
安9¢ 3久 才 $磁
鎀
外
呦籛鈐谽 罐 銹龘鈔饑 ︴
▊PreParedby︳ SO/︳ ECJ下 Cη /SC27WGη :︳ SMS工 作 組
■下 e一 ︳ it︳ y
nfor︳﹁at︳ on七 echno︳ ogy— _ S● cur︳ 七
七echn︳ ques— ︳
— onSecu出 ︺ 竹anag6ment
nfor▌ Ⅵa七 ︳
銹黤鑰 小
一 Ⅲ°几︳ 七or︳ ng,m6asur3men扎 ana︳ ys子 Sand
鏘銦林
eValua伍 on資 訊 安 全 管選 系 統 ▅監 督 ,量 測 ,分 析 及 評
餓琳
估
鏺龘銹螂玫餵 路缽鑼幾熅緇帥
▊Secondedit︳ Onpub︳ ishedon the20可 6一 η2一 η5
鑰 城雀翌﹃︴ 妢轉
nfor︳nat︳ on secur:m◤ pe好or︳nanceandthee竹 ec║ Veness of
︳
ty了 ηanagem6nt
an in〡or︳Ⅵat| on socu「 ︳ sys七 em in order to了 u| ︳
f︳
姶師
◎ 盯 TC︳ C
Modu︳ e3s︳ ︳
de﹁ 5
5. Rat子 ona| e理 論 基礎
觝﹌
AnneXA(inforrΥ ╮
auve)An infoΓ maUOnsecuhtyrneaSurernent mode︳
資訊安全量測模型
AnneXB← nfoΓ mative)Measure了 nentConstructexamp| eS
量測構造實例
AnneXC(:n了 ormauve)Anexamp| eo了 free一 textform measurement
妙外
construcjon 自由文字形式量測構造實例
◎ byTC︳ C M° du| e3S︳ ;de鬥 6
SO/︳ 巨C2700碎
︳ 躪 鰗 翔 齺 齷 韓
彿籛 銹谽 躤 彿籛 谽籛 ㄍ
鎀籛 銬 小
銹雛 郴
鈚站搦籛 錫奶戔覣 簃航器擺幾簽妒
銹 筋灪跨鄉 香 縍坤
谽師
才9g扶 牙一 幼巷,臉 #發 守俄r兮 雖 令班t〕 我佐發尹
肚 份找i6台才方 李 #球 d告V磁 u各 守子
.砪 ︳ 令球 p∵ σ兮犖串芋令今
=辛
◎ byTC︳ C
Source:︳ SO2700碎 :20η 6 Modu︳ e3S︳ ide﹁ 7
SO/︳ EC2700碎
︳ 中
︸ — —
手
訂︴ 吝
銬籛蠮盼 鐋 鈞籛鎊籤 跡
!
﹁
竹 中
子至 手
古
抽驟辮機器 聽
竹 如“銘 ㄜ∞ 辛 6h妨
燕嶺帥 喜子
華
筠雞僯 然
#蚣
銹難奶
π啦 好4無 辦 “銘幣
魏泓
班 色甚β社r台 確 母無竹
佛羻鐋螂籃齷 竿籮犖簽發 鋒 筋蛋玲珅呂 鬱郴
血 心且批筵ri廷 每
啷
屾
恥卅
69γ m了 〔
l#k》 無 “ 本
┤9無 舛才必﹏甘 斤求︴
“#︴ 砍
一
一
Source: 加 … $W竹 竹 ﹏ 才 ﹏ 巾
╮
翰外
F
|SO2了 00碎 :20η 6 ︳
博就兮
:牡 — —
|
︳ 爭
銹黰鑰鬱 鑼 鐒讓盼鏹 ︻
SC27
▊Preparedby︳ SO/| ECJ下 Cη ˊ
銹籛鍋 ㏑
techniques— —Codeo了 prac七 ︳ce了Or in了oF子╮atiOn
EC27002了 Or
secur︳ tycontro︳ sbasedon︴ SO′ ︳
鏻黤林
籤〝
c︳ oudServ| ces
鑰黤銹螂欺餵 帑鎡擺犖盟姆螂
雲服 務 擴 增 的 資 訊 安 全 控 制 措 施
鑰 就冷路羚— 鉹姊
OnSecu川 tycontrolS拓 rc| oudserv比e
:n了 Orrna出
谽外
◎ byTC︳ C
Source:︳ S° 2了 0{ 了:20η 5
Modu︳ e3§ Ⅲ
de月 9
π出 π
— —
鰳雞鑰翰 鎦 壣麰盼鑰
FoΓ eWOrd前 言
0.︳ ntΓ oduct︳ on‘ 什紹
η.Scope適 用 範 圍
2.Norrna小 VeΓefeΓ ences引 用標 準
3.DeⅡ nㄦ | onsandabbΓ evia小 onS定 義與縮 寫
$蠮
羻銹 ︿
碎.C︳ oudsector-specificconcepts雲 服 務 安 全 概 念
鋒籛郎
◎ by了 C| C
Modu︳ e3s︳ ide20
SO/︳ EC270可 7:20η 5目 錄
︳ 孻蹓朔躎解 ﹏
靂舐 靂
彿雞鈐鎀 樼 鐒黮 妙鑯 ㏄
︴3.Cornrnunicauons security主 昱萿 孔嶺 {釘
η碎.SysteΠ ╮acquiSition,deVe| opmentandr了 ╮ ain七 enance
系統獲 取 、發展 與 維護 一
︴5.Supp︳ ie「 re︳ auonships供 應 商 關係
ent資 訊 安 全 事 故
aⅡ onSecuHtyinc心 ent rnanagerΥ ╮
可6.︳ nforr︳ ╮
齡鑼鎀 符
管理
η7.lnfOFrΥ ╮a竹 onSecu∥ tyaSpects o下 buSineSsconⅡ nuity
鑰籩鰶
man ag ernent營 運持續管理 的資訊 安全方面
鈚林
︴8.Corn p︳ ance遵 循性
關於 雲運 算 資 訊 安 全風 險 的參 考 資料
鈖粹
◎ by下 C︳ C Modu︳ e3S︳ ︳
de2鬥
S○ 27002:20可 3
︳ So270︴ 7:20η 5
︳
條 款
6 y資 訊安全之 組 織
organi2aHOnofinforrna甘 nSecu市 七 2 ︴ η
。
7 HumanΓ esouΓ cesecuHty人 力 資源安全 η
8 AS比 tmana9ement資 產 管理 3* ﹁
9 AcceSscontΓ d存 取控 制 7 ║ 2
可0 CryPtogΓ aphy密 碼 學 2
Physica︳ andenviΓ onrnenta〡 securityj寄 攤助史瑏之
︴竟唼 6釘 ︴
— —
銹籓銹鈔 鑼 鐒籬♁鑯 ︴
巨CJ下 Cη /SC27
█PreParedby︳ SO′ ︳
銹難蠮 〝
peFsona| ︳
y;denti戈 ab︳ e:nfΘ rrⅥ at:On(P| |
)| r︳ pub比 c
螉黫姊
oudsact| ngasP︳ ︳proceSSors
c︳
籤咑
雲端 運 算 之 公 用 雲擴 增 的 資 訊 安 全控 帝ll措 施
鎗擗
ngenv;Fonment.
cc︳ OVdcornpu七 ︳
29﹁ 00了Or在 hepub︳ |
◎所 TC︳ C
Modu︳ e3§ ︳
;de23
η.Scope適 用 範 圍
2.NoΓ ma小 VeΓ efeΓ ences引 用標 準
翰黤鍋 ㄍ
7.HumanresourceSecuHty人 力 資源安 全
8.AS比 trΥ︳ anagement資 產 管理
9.AcceSScontro︳ 才 子取控 帝|
可0.CΓ yptogΓ aphy密 碼 學
ηη.Phy由 ca︳ andenⅥ Γ onmenta︳ secu〢 ty實 體與環 境安 全
η2.operajons比 Cu山 ty作 業安 全
盼盯
◎ byTC︳ C
Modu| e3S| ide2ㄥ
SO/︳ 巨C270η 8:20﹁ 9目 錄
| 躪 鑭 翻 齺 齷
靂瓶 纓
啦
齡簸錀鈔 躤 鈐籛鬱鐖 ︴
╮ 可3.COrΥ ╮rnun怡 a小 0nSSecu山 ty通 訊 安 全
可碎_SysteΠ ╮acquisit︳ on,deVe︳ oprnentand【 Ⅵaintenance
系 統 獲 取 、發展與 維 護
可5.Supp︳ ier「 e| aHonships供 應 商 關係
銹雛蠮 幻
可6.ln了O「 rnajon secu山 tyinddent rΥ ╮ ent資 訊 安全 事 故 管理
anagerΥ ╮
可7.︳ nforma竹 onSecu山 tyaSpec七 SofbuS︳ neSScon小 nuity
銹皺協
management營 運持 續 管理 的資訊 安全 方 面
鈚永
︴8.COr!╮ p︳ iance遵 循 性
鐒麰鎀啷甄鐉 鬱插磯路鑨鑼帥
AnneXA(norrnajve)Pub︳ icc| oudP︳ ︳proceSSoreXtendedcontro|
setforP| ︳ protec∥ on公 用雲P︳ ︳處 理者針對
P︳ ︳
保護 的擴增控制措 施
鎗 磁鈐跨外安 鎕蝷
鎀外
◎ by下 C︳ C Modu︳ e3S“ de25
SO27002:20﹁ 3
︳ So270{ 8:20η 9
︳
條款 名稱 擴增指 引
8 ASSetr了 ﹁anagement資 產 管 理 0
9 Accesscontrol才子取控帝心 3
η0 CΓ yPtography密 碼學 η
{3 y並 監常
Comrnunicat| ons secu∥ 七 瓶安 全 ︴
◎
可6
M︹ ┤ I
SO270η 8:20η 9依 ︳
︳ SO29可 00之 pr| VacypΓ inc︳ es新 增 控 制 措 施
p︳
條款 名稱 新增控 制措 施
A.2 Consentandchoice〡 司斥
款及 選擇 η
A.3 圴適 法 〕
PuΓ pose︳ egitimacyandspecification 目| l生 及 規 定 2
A.ㄥ Co| ︳
ec市 on︳ im比 a小 on蒐 集 限制 0
A.5 Datamin︳ miZaHOn資 料極 小化 η
A.9 c︳ pationandaccess個 人 參 與 及 存 取
ndividua︳ pa㏄ ︳
︳ 0
A.η 0 Accounta研 ︳
|
ty可 歸責性 3
A.η auon secuHty資 訊 安全
{ ㏑foΓ ╮rΥ η3
— —
,個 人可識別資訊)W比 h:n
盟
轟
:nformaⅡ onandcornmunica山 on techno︳ Ogy(︳ C下 )Sys七 erΥ ╮
S.︳ 七
鐒
鬱
翰
帥
◎ by了 C︳ C
Modu︳ e3s“ de28
SO/︳ 巨C29可 00一 ContentS
|
銹餮狒姶 嬏 銹黤盼饑 公
FOreWOrd
0.︳ ntroduc甘 0n簡 介
可_ Sc。 pe適 用範 圍
2.了ermSanddehnMons用 語及 定義
鋪雛鐒 ”
3.Symbo| sandabbreviatedterms符 號及 縮 寫
碎. BaS︳ ce| erΥ ╮
ents ofthepriVacyfrarnework
钃籬螂
隱私權 框 架 之 基本 元件
兟
5. 了hepΠ vacypmncip︳ eS0了 ︳ 巨C29η 00隱 私權原 貝吋
So′ ︳
A錉
龘銹姆篾餵 擊簼嗧餓鑼帥
AnneXA ndencebe師 een︳ SC)/︳ EC
29可 0 ∫
噁 珥沒落|
菇R皂C27000concepts
銹 磁雀韹好且 鉿挪
谽外
◎ 盯 下C︳ C Modu︳ e3S︳ ide29
銹籛蠮嬐 鑗 銹籛鎗鐱
█下hefo︳ |owingcornponents re︳ ateto privacyand
theprocessingofP︳ ︳ (Persona︳ ︳
y︳ dent︳ fiab︳ e
一 actorsand「 o︳ eS;行 為者 及 角 色
#蠮
雞 辮螂欽鍰 鞏希
一 inte「 actions;互 動
一 recogn︳ z︳ ngP︳ ︳ 我P︳ ︳
;夢 洋當
確離鞋讓鱗 騙姦啥沖各 鎗拂
β出 r
下hepriVacypr︳ ncip︳ esof︳ SO/︳ EC29η 00 —
—
銹讓鑰熪 鑼 銹黮姼鎩 溶
/
項次 名稱
η COnSen七 andchoice同 意及 選擇 一
2 PurP㏄ e︳ egㄦ imacyandsPeciⅡ cajon目 的 適 法 性 及 規 定
齺黤鐪 妳
3 ecHon︳ im㏄ a小 0n蒐 集 限制
Co| ︳
鋪黤妳
碎 Datamin㏑ 眨auon資 料極小化
敘︴
Use,retenuonanddisdoSur田 im比 a小 0n利 用 、持 有與揭 露 限
鋒鏵齡蚱爽覣 擊羅路娥碫卹
5
制
6 Accuracyandqua︳ ity準 確性 及 品 質
7 o昨 nneSS,t「ansparencyandno七 ice/ㄙㄟ子
琄 、透 明及 告知
8 ndiVidua︳ pa㏄ icipationandacceSs個 人 參 與 及 存 取
|
鑰 貓器路終求 盼蟀
9 Accounta研 ︳
ity可 歸責性
︹0 ︳
nformauon secu山 ty資 訊 安全
P一 Vacycomu治 nce隱 私遵循
鉹外
◎ by下 C︳ C
Modu| e3S︳ ︳
de3﹁
︳
SO/︳ 巨C29﹁ 00一 AnnexA(informative) 中
鏺
璐
t球 #〡 色來
一一— 外交¢
{革→
色lSφ ′
!。 牟
6一?。 |
﹍ ↑﹉ ●﹏→
φ● 兮出︳
食安¢!#° 工
〡三$2了 §母
β●¢ 千
李 守
扮在 :|
|S° 才
lㄥ ¢′
路竹●$↓o沁 心σ
$女 o ●心亡
由守●心好心ㄜH小 甘﹏工
︴︽〡
甘●︳
| 兮心$心 心持¢∞︳
心
=6:才 一
#站 昨 呼 令盜堆 竹 舒 一 :球 王
眾攤 h● :¢ 色r
#乎
— 淇
一﹏竹 ↑子F革 岑
?︴
:φ
Fr汁 a→ y一 H玄 ¢
aC無 h君 °
︴ n︴蔑出o十 ;6兮爸牡r比 y:無 ●
就李n之
γ●q↑ 受
Pi;V← ︳ 才¢| —
e● 外守
坤r
一 —
P一 打出時 俄念好 R子 故
一
kⅥ ﹏
叩色兮 ︴
!卸
ㄚ
●呼 #旅 琦﹏再
g¢ m年 球 :嵙 食 φ兮﹏
。
螂 推ψ
﹏押︳ 啦→
晦於出 姊竹 ●啦〡
ψ碑 寸
。 坤中
一
一
塞 轟 齡 描發 娌 好
一
一
)
師
盼外 :♁
◎ byTC︳ C
de32
Modu︳ e3s︳ ︳
S0用 巨C29可 3碎 :20可 了標 準 簡 介
︳ 紀
畫乩嶭
霪
再
銬簽 鈐銬 嫋 彿籛 妽鍛 休
︵ ︳
s° 29η 3再 是 全 球 首個 適 用於 一毇 鱋纖 的隱私衝 華評 鑑 的 國際標準
鈶籛聯 何
VacyimpactasseSSment
for pΓ ︳
銬籩 螂
鈜扒
▇ Stage:60.60
銵籛 銹抑輓黐 移航餞移餓熪魽
豳 加 拿 大 的 P︳ A為 重要參 考 文獻 之 一 :
鎗 瓶鼙殄跡 食 鉿榔
「
rnpactAsseSSrnents
|
抽故β:〃 蛾 V$館 .七 bS$破 .qc.c緻 ′p♁ 〡
′〡nc。 雄$紗 子c燄 °Ⅵ$?| d可 ︴830$
鎀帥
一
◎ by 下C︳ C
SouΓce:︳ SO
Modu︳ e3s︳ ide33
鐒籛 眑鈔 鑼 瑚籛 銹鐊 小
竮篛 佛 ㄍ
銹籛 師
兟跡佛籛 佛螂疑採 寧蓩 移戰略卿
蠮何聯
器鬱珅 子 鬱拂
鬱竹
◎ by下 C| C
Source:︳ SO29η 3s︳ de3玲
︳
Gu︳ danceon七heProcessforconduc市 ngaP︳ A-2η
ePS關 於 進行 PlA過 程 之站 引 -2η 個 步 驟
↓
S七 β監 β
— —
銹羻 錐谽 皤 鐱難 站鐖 〝
A鑈
籛 銹轉欽顏 幹鎡鑼帑盟鑼姆鑰靆 鑰 節
銹籛 仍
籤
鑰 城潑跨游 子 妢妳
鉹外
◎ by下 C︳ C
SoHrce:︳ SO29η 3S| :de35
— —
鐒籛 銵翰 擺 眑黫 唅鐖 砵
心S令 r
娃♁ll@出 ㄗ工
f :Co上
:密 t生 P玉 王 P┤∥好d§
媰籮 鑈 ㄨ
P且 !
§的好
各抽坤
鍋籲 哪
令︴
了
籤
PI任
S兮 Pu故 £
USe
*呦
C¢ 無§廿強e Υ!ε 尹Γ
oε e$含
羷 鏘螂欺餵 夥羅 器餓轟 鍋 械雀超行— φ抑
井︴
女
℉雄 n§ 掐r ℉假耳谷
來了 笭嘟 胡陋了 P干 1
只兮怜 i碑
}
引時
$兮 ︴ Dda盜 D兮土
館e
盼外
Pl︳ 處 理 的工作 流在 {
w。 rkf︳ °w〕 範例
◎ byTC︳ C SoU「 ce:︳ S° 29η 3#
Modu| e3S︳ ide36
S0用 巨C29︴ 3再 :20可 了標 準 簡 介
︳
鐒簼 錐鬱 躤 鏘籩 軂鐖 小
七亡Ve君 ♁t
:!女 p全 Ct
睡!芭 uㄤ h° Υ比ed
出心C心 甘§
路←如
呼 再6#
&X吝 芷 抽
=放
鈐錢協 ︴
錼攤 螂
各.吝 ig↓ 主
出εa比 t
又丘a| lε 心寧β
°ξPll 、一
¢r6ohgonㄝ
1.N§ 薛王
舒hle
Li妳 〕
王ikood
Ne呂 妳舒bl兮 〞︴Li通 主
竹爸 爸(S炫 $主 且兮詠ht 在.阿 且k工 故〝m
姼外
1.
p∥ vacyHsk map)的 朮例
應私風險地田{
◎ by下 C︳ C Source:︳ S。 29▅ 3ㄥ Modu︳ e3S︳ ide37
SO用 EC2770η 標 準 簡介
︳ 靂颻 露
中
— —
聯籛 聯餩 蹓 鐒雞 銹鑰 坤
S。 用EC2了 了0可 國際標 準
︳
︳nforrnat︳ on七echno| ogy_ —SecuritytechniqueS— —巨XtenSion to
So/| 巨C2700可 and︳ SO/︳ EC27002for pHVacyin了 orrl╮ auon
|
managemen七 一Requiremen七 Sandguide︳ ines
鐑難 鍋 妳
(GDPR)
範才拂黮 銬螂數謠 筆功
r戰 β
— —
鑰籛 鑰幼 鑼 餓驤 劮錢 ‵
C︳ ause5:擴 充|SO2了 00︴ 的要求
C︳ ause6:擴 充︳SO27002的 實作指 引
Clause7:新 增 P︳ Ⅱ
llS中 P︳ ︳
控制者 的實作指 引
C︳ au比 8:新 增 P︳ Ⅱ
llS中 Pl| 處 理者 的實作指 引
鋊雞鍋 中
AnneXA(強 制性 ):日 MS的 控制 目標與控制措施 (P︳ ︳控制者 )
AnneXB(強 制性):日 MS的 控制 目標與控制措施 (P︳ ︳處理 者
錀籛 林
AnneXC(參 考性):與 EUGDPR控 制的對照表
鑰 城發超╭
︳SO27002
SMS十 Pl氏llS)即 已 包含 ︳
SO2了 了0可 SO2700︴ SMS),
#妢
驗證 ︳ (︳
晦
(︳
銹外
並 包含個 資保護(P︳ MS).| n在 心gΓ a出 onbyDe出 gn!
◎ by了 C︳ C
odu!e3s︳ ide39
山Π
ˊ︳
SO2了 了0﹁ 對︳
SO2了 00η (要 求)的 擴 充 :6項 鐋霧鐪翰 鑗 錛黫 劬饑 帝
ˊ︳
SO27了 0﹁ 對 ︳
SO2了 002(實 作指引/其 它資軸 的 擴 充 :32項
ˊ︳
SO2了 70﹁ 的新增P刪 S實 作指引與控制措施(要 求)
媰鑼 鑰 ︿
▅P︳ ︳
控制者 :3{ 項 SO2770η 附錄A) (︳
▓P︳ |
處理者 :η 8項 SO2770η 附錄 B)
鑈籬 師
(︳
鏃“鏘灘 蝴螂欺餵 罕斑
SO27了 0可
驗證| (︳ SMS+P朋 S)即 已 包含
SO2700可 SMS),並 包含個 資保護(P朋 S).
︳ (︳
0)
ˊ|SO2700︴ 附 錄 A
ˊ︳ So2了 00〡 (要 求)的 擴 充 :6項
SO2了 了0︴ 幹︳
ˊ︳
S0坌 了了0︴ 的新增P湖 S實 作指引與控制措施(要 求>
■日︳
:妙
▋日︳處理者 :η 8項 SO27了 0︴ 附錄 B)
(︳
◎ byTC︳ C
Modu︳ e3s︳ ide替 0
SO伍 ●0可
︳ A︳ MS簡 介 中
靂舐 靂
— —
銹齉鎀鎀 鑴 鎗雛鈔鐖
0.︳ n七 Oducjon簡 介
「
﹁.Scope適 用範 圍
2_Normat;Vere怡 ences引 用標 準
「
3.下 errnSandde∥ n山 on用 語及 定義
P︳ an一 DO一 Check
A蠮
heΘ Fgan:2a報 on組 織 全 景
皺蠮 ”
雄βG♁ n七 eX在 o了 七
eadersh〡 p領 導作 為
銹難姊
5︳ ∟ 紵
一
瓶ㄨ
6.P︳ ann;ng力 私 畫寸
銹攤鎀師攤韻 鉹磁館雀端確卹
了.S印 ” 支援 r七
8一 0紂 e絡牧 On運 作 銓
9.P研拓rrnance° Va︳ uaho∩ 績 效 評 估 C
η0.︳ rnProVemen七 改 進 月
銹 跡璱路黔宮 鎀螂
An俄 鋅X茂 φnformauve)A/lSSforA| Contro︳ S
A俄 m會 X8(︳ nforr!╮ atiVe)Poss︳ b︳ eA︳ 一re︳ atedorganizaⅡ ona︳
鬱妳
oㄐ ect︳ veswhen rnanaging〢 sks
◎ by下 C︳ C M° du| e3SⅢ deㄥ ﹁
)
S。 再2● ●{ A︳ MSAnne〤
︳ A
一
ⅢSS竹 ΓA︳ Con七 Γ
o︳ S 銹鍵銹砏 蠮 齡籛鉿鑰
C| ause COn七
「
O︳ DOrna㏑
A.3 ︳
nterna| o「gan︳ zation
鑰籮姊
A.猝 Resou「cesforA︳
籤本
了C:C整 理
◎ bytC︳ C deㄔ2
Modu︳ e3S| ︳
SO42● ●可 A︳ MSAnn● 〤 B
︳
錛讓鑰紗 鑼 鋊籛φ鏺 ︴
re︳ atedorganizat:ona︳ oㄐ ectiveswhen了 nanag︳ ng
PoSSib︳ eA︳ .
risks
C︳ ause or9ani2a小 ona︳ oㄐ echVes
B.2 ness
鎙雝協 心
Fa︳
「
B.3 Secu一 寸
銹黫帝
B.碎 Safe︶
戲‵錐蘿銹坤紫餵 Ψ露苓簽磚輕
B巧 Privacy
B.6 Robustness
B.7 TransparencyandeXp︳ ainabi︳ ity
B.8 Accountabi| ity
$≡ 彿
B.﹁ 0 Maintainabi︳ i打
霪╓法 鎗郎
B.可 η Avai︳ abi︳ ityandqua︳ i︶ oftrainingdata
φ╟
B.η 2 A︳ eXpe斑 iSe
◎ byTC︳ C TC| C整 理
de可 3
Modu︳ e3S︳ ︳
AI風 險 管理 與管理 系統
ˊ A︳ 風險管理 SO2389碎 Λ,基 於 ︳
S0田 000的 A︳ 增項風險管理標 準_
:︳ 銹麰錐妙 鑼 姆踐盼餓 ︴
ˊ Al管 理 系統 S0碎 200η 化基於MSS(管 理 系統標準)的 A︳ 管理 系統
:︳
(A︳ HS)標 準 .
▼A︳ MS §
兮§6
SkmaΠ ag● mentPΓ ocess:
姆黰躌 ︿
R︳
S。
︳ 3▋ 00● 用So2389再
Λ
銹籬螂
︳
MS§ 6§ 8
瓶“坲飄 昲姊毀餵
MS§ 了
S§ 9
孽 羅 夥瑤疊 搦 站華冷野 吝 φ 朽
MS§ 6§ 8 ex A ′
╯
代
A| llS§ 7
盼阿
◎ by下 C︳ C
Modu︳ e3S!︳ de冷 ㄔ
Cy比 rSecuHtyMatuⅡ tyMo由 ︳
Cer山 何caHon(CMMC)ProgΓ am
中
釐颻 露
— —
鋪簸銹谽 鐖 鎀黮♁鐖 公
DoDin比 ;a小 VetOVe一 fydefensecon七 ractors’ cybersecu︻ 七
y
p「 epa「 ednessande帝 ectiVeneSs.
Program七 0S七andardiZecybersecuri七 yi了 np| er【 ╮
entationacross the
D| B.
齡籛鋒 師
Providesassurancetha七 七 heD︳ Bcan protec七 on
SenSit︳ ve︳ nforrna七 ︳
Wi七 hinacomp心 XsupP︳ ychain查
銹黤妳
餓竹鏺皺嗡抪欺鎖 鞏羅琌強選撥 林箜理η— 鎗坤
CⅣⅣ ICPro6乏 mKh㎞ f CMMCModel20 DoD㏑ 咖
心l㏑cludeaC、 mE
All new● on仁aCtS” Ⅳ
released ㏎ cs
冷quiβ ment
盼抔
◎ by下 C︳ C
Modu︳ e3S︳ ︳
de碎 5
銹籛銹妙 鑴 銹籛谽鑱 一
Sens︳ t:Ve︳ nfoΓ ︳
Υ︳at:on:
|n…orrΥ ╮ationWherethe︳ osS,misuse,orunauthoΓ izedacceSsoF
nterest or七 he
rnod| ficat| oncou︳ dadverse| ya帝 ectthenationa︳ ︳
conductoffedera︳ prograrns,or七 hepr:vacytowhichindiV:dua| s
areent比 ︳ edunder5U.S.C.Sect︳ on552a(thePrivacyAct).
鐑鏺鑰 再
銹籮螂
瓶︴鋒雞錀姊欽磥 罕霉聚簽舞 銹 出發輊π子 鈐娣
(adaPted))
◎ by下 C︳ C
de46
Modu︳ e3s︳ ︳
FC︳ VS▓ CU︳
靂颻 彈甈
—
— —
皒邏彿鎊 蜷 彿灘熪鑨 林
●
鎀籛鐒 ㏑
.
鏘撥郴
餓
●
CU︳
A銹
籲鎀阿幾餵 罕露輍釜舉 瞈 城發霉╭安 鎗郎
Sensitivecatego╮ √ofdatathatdea︳swith p| eS:
ExarΥ ╮
designS,pe祥 0rrnance,r了 |
anVfacturingor / B︳
′ nts/schemat心 S.
uep「 |
othe「 oretechnica︳
r﹁ detai︳ sofcoVered /
︴ lVateΓ assessments.
systerns. 、
γ Hea比 hin了o「 maHon.
CM〝 /lC∟ eVe︳ s2and3. / PeΓ Sonne| eco「 ds.
︳
「
DefinedbyExecutiveOΓ deΓ η3556, Basec︳ vi︳ en9ineer| ngmaps.
32CFRPa比 2002,andDoD| nstruction 一
5200.碎 8.
鎀師
◎ by下 C︳ C
╮
田odu︳ e3s︳ ide今 了
eW
CMMC2_ 00veⅣ ︳ 中
β瓶 舜
— —
|心 !l臼 .︳
妳6在 ε
〔 A$e$Π εn七
妢
阿
◎ by下 C︳ C
Modu︳ e3s︳ ;de冷 8
下SEC/CC/︳ So﹁ 5碎 08
︳ 靂颻 靈
于
— —
瞈黰 鑇鈔 辮 鑰雞 鉿鐖 本
on rnode︳ for︳ ┐ productsand
▊ deScr︳ beSeva︳ ua七 ︳
「
systernS︳ nregardto secur:tycharacter︳ sticS
銹籛 錛 扑
「
SySter!╮ sWhop︳ anuSage︳ nsecu山 tysenS比 iVe
塕籛 拂
areas
下S巨 C
︳ Eη 巨2 E3 E碎 E5 E6
劬打
◎ byTC︳ C Modu︳ e3s︳ ideㄔ 9
β甀r餒
—
—
—
鐒籮銹鎀 囓 錫籩 妢鐱
°hS?
AnyqUes七 ︳
h銹
黮銹 ∞
錐黮 妳
瓶 $縐
簸 鐖螂欺韜 牟蟊 彈盤轟鑰 磁勞憩好吝 谽路
下hankyou ●
Merc︳
皊打
◎ by了C︳ C de50
Modu︳ e3s︳ ︳
﹏
靂舐纋
— —
塕籛狒艙 鐋 塕黫紛鐖 必
╮
錛籛銹 ︴
Modu︳ e一 碎
鐒繳螂
籤岱鑰簸鏺坤籃黐 翠妳
管理 系統稽核
r工
妙郎
幼帥 路硌盬鐒鏺 航空琺
◎ by下 C| C Modu︳ e冷 S“ de{
)
大綱
﹏
β我rβ
— —
ˊ稽核 要 素 錢 黮 錐♁ 鑼 鏺 簸 盼 鑯 銹 黫 塕 鑰 雞 姊
ˊ稽核原 則
、
ˊ 管理 稽 核 方 案
ˊ 稽 核 員之 適任 性 與評 估
瓶 塕 籛 筠 巾竑♁輛 寧 羅 蹈堪 轟 鐒 描華。野 工 幼 師
一
ˊ 管理 系統驗 證 機 構 認證 規 範
V
♁抔
′出 β
— —
︴
ˊ
鎗黦艙鑞 鑼 鑰鏺紼¢鑰黤 螂
籤∞鋒簸鑈姊激韻 朁露苓餒路妒
錀磁壁超ㄏ可 盼娣
盼阿
◎ by了 C︳ C
Modu︳ eㄥ s︳ de3
︳
\
稽核 的定 義 ㄏ找 π
﹏
彿籛縐♁ 鑴 鑰讓♁餓 一
稽核 為
有 系統 、獨 立及 文 件 化
systemat︳ c,independenta nd
documen七 edp「ocess
齡黮眑 外
躌籦坤
甐、
獲 取得 客觀 證 據
鑰籛銵一鐑鍰 舉爾路簽器鑰 插再冷野任 紛一
for obtaining
VeeV︳ dence
o切 ec七 ︳
並客觀評估 以決定
稽核準則滿足程度的過程
ande︶ a︳ uatingit o●ject︳ ve︳ yto
deter了 ninetheextent toWhich
theauditcriteΓ iaa「 efu︳ ︳
fi︳ ed
◇帥
齡雞攠鎀 磻 塕黫谽鎞 妳
╮ ˊ檔 核 方 案(aud比 Programme〕
一針對特 定 時程 內並具有特 定 目的 ,所 規
劃一個 或 多個稽核 之組合安排 。
arrangementsforaSetofoneoΓ more
鎀攤鐪 球
au山 tSplannog絲
雄#′ 單
眑雞螂
frameanddir c而 c
颻外
purpose
錀黫鏺坤筋路嗨寧筋熪學餵擺帥
ˊ 棺 核 計 畫{
aud比 p︳ an〕
一稽 核 的 活 動 安排 與 描 述 。
鋒 就學翌好工 幼姊
descr︳ pt︳ on oftheact| vitieSand
aΓ rangements了 oranaudit
鍛帥
◎ by了C︳ C 資料 來源 :︳ So︴ 90η 可之0η 8,CNS﹁ 碎809:2020 de5
Modu︳ e4s︳ ︳
稽 核 準則
Auditcriter︳ a
鑰籩 鏺鎀 鑼 錀籩谽钀 一
ˊ 用 以 與 客觀 證 據 作 比 對 的參考 基 準 之 η組 要 求 事 項
setofrequ︳ rernentsusedaSarefe「enceagainSt
Whichoㄐ ec山 VeeV︳ dence心 cornpared
鎀黤 鐒 小
一 備 考 可.若 稽核 準則 (包 括法令或法規)要 求 ,則 稽
“
或 娜 之 。
鑰麰 妳
Γ
egu︳ ato呼 )requirer!╮ ents,theW0Γ ds“ cor!╮ p︳ :ance” oΓ
銵籩 鐒抑欺鍰 聲 路閣簽璣 銹 瓶夥跨野 君 鎗坤
“ ’
non一 comp︳ iance’ a「 eo及enuSed:nanauditfinding
/ζ 堪望 士 要 求可 以 色括 政 策 、程 序 、工 作 指 導 、法律 要 求事
項 、合 約 義務 等 。
Requirements may:nc︳ udepo︳ :c︳ es,pΓ ocedures,wo「 k
equ:rernen七 S,con七 ractua︳ ob︳ ︳
nstructions,︳ ega︳ Γ
︳ gations,
etc.
♁師
oㄐ ect︳ veevidence — —
攤籛 鑰紛 鑴 躌雞 鋒鑯 ︴
ˊ 支 持 某 事 物 存 在 或 真 實 性 之 資料
datasuPportingtheeX︳ stenceorver︳ tyof
something
口客觀證據可經由觀 察 、量測 、試驗 或其它方式而取
鑰鏺 鏺 法
ㄔ箏γ
齡羷 坤
鏃小
_
屭瘴V騩現謊鸀 平通常色緻稽 核
準
鏺錘 鐱抪玫鎖 寧崩
則相 關且 可查證之紀錄 、事實陳述與其它資訊 。
︳
出:避毛 :撒,縱丮::想 苓早 基準3躍
y geneΓ a︳
播苓錶選鑈 磁壁蛪︴‘ 劬姊
ationWhi● haΓeΓe︳ eVantto
inforrΥ ╮ teriaand
theaud︳ tcΓ ︳
Veri了 iab︳ e.
一 一
谽外
◎ byTC︳ C 資料來源 :︳ SO︴ 90η η:20{ 8,CNS可 碎809:2020 Modu︳ e6s︳ ide7
稽核 證 據 π也.β
﹏
瞈驪鋪妙 鑼 鏺黫盼鏺 一
ˊ 與 稽 核 準 則相 關且 可 查證 之 紀 錄 ,事 實 陳
述 或 其 它 資訊 。
recoΓ ds,statements offact or otheΓ
縐黮鐒 外
彿黮 塕盼 鑴 鎀羷繚鑯 鏺 雛 錐
∩ ˊ 將 所 收 集之 稽 核 證 據 對 照稽 核 準則 之 評
估結果
ectedaud| tevidence
theeVa︳ uat︳ on oftheco︳ ︳
resu︳ ts o了
againstauditcr︳ teria
一 備考 ﹁.稽 核發現指 出符合或不符合 。
$鑰
攤螂
Aud比 兩ndingSindicateconforrΥ ︳yor nonconfoΓ rnity.
i七
皺各
一 備考2.稽 核發現可引導鑑 別風險,改 進機 會或記錄 良好
塕籦 銹窩 崖沖譭 攝犖鍰舉 塕 磁舞 萍 手 幼柄
實踐 。
nofrisks,oppor七 unities
Audit了 indingscan︳ eadto theidentifica七 i°
forimproVement oΓ recordinggoodpractices.
備考3.若 稽核準則是法 法 )要 求 ,
則稽核發 現 中經 常使用
ftheauditcriteriaaΓ ese︳ ectedfrornStatutoΨ
︳ eq ments or
「
regu︳ atoΓ yrequirements,theaud比 findingis te「 rnedcomp︳ ianceor
non一 comp︳ iance.
幼外
◎ byTC︳ C 資料 來源 :| SO︴ 90︴ 可:20︴ 8,CNS可 猝809:2020 Modu︳ eㄔ S∥ de9
稽 核 結論
Aud︳ tconc︳ us:On
鏺籛 鋒鬱 鑗 鑰籧鐒鑰 ︴
oftheaud:to° jectivesanda︳ ︳
audit
塕籦 撫
巍打
findings
錐繳錀師欺鍰 寧簼 夥淼發 鑰 筋雀蛪╓莒 紛啷
U
鎗粹
攤纖鑰紛 鑴 鑰讖錼鐑 趴
存在客觀性
Presenceofo切 ect︳ v:ty
備註 可 :
鎀黤 鍋
一客親性(O切 ecu切 打)意 謂著利益衝突(con刊 ic七 So了
interes七 )並 不存在或 已予以解決 ,因 此不會對驗證機構
$蹸
灘垹
之後續活動產生不利影響 。
鈖帥
◎ byTC︳ C
資料 來源 :︳ SO︴ 702仁 ︴:20η 5 M。 du︳ e兮 S︳ ideη ︴
\
稽 核 分類 Aud忙 VpeS
鐕籛鑈妙 皤 鏺籦谽鑈 才
.稽 核 Aud︳ ts
銹靉銹 小
鑈雞妳
巍十
◎ by
M。 du| e碎 S︳ deη 2
︳
內 部 稽 核 與 外部稽 核 靂允好
籚
#
鑱簸狒啥 璐 瞈錢鎖鑯 筑
疋 疋
展
現
. 內部稽核 .供應商稽核
錀籛銹 ﹌
. 客戶,上 級單位
據
依
●} 第三方稽核
狒黤螂
.驗 證 稽 核
航“
p 包
鑰劉鏺師激黐 路筋瑙犖錶罐姆
︳S° 9● 0{ ︳So900η
︳So▋ 再00{ ︳S。 {#00{
︳S。 2了00{ ︳ 2了 00研 2了 °0了
S。 2了 00▋ ′
EC62留 3-2一 η
︳ EC62留 3-2日
︳
︳S。 ▋90▋ { ︳S。 {9。 {{
仙 θ
躋 城器雄野工 妙姊
╭ 莒 兩個 管理 系統合併 驗
證 時 ,例 如 :品 質管理
系統 SO900{ )及 資訊
(|
安全管理 系統 So
鎗外
(︳
2700一 )一 起驗證 」
◎ byTC︳ C
《合併稽核{ 〕》
c° mb:nedaud︳ 七
M。 du︳ e碎 SΠ de﹁ 3
內 部稽 核與 外部稽 核 餫曦▼
露
中
自我符合聲明之基礎 。
ˊ 外部稽核 包含 第二 方(Second一 pa㏄y)稽
鑈籦抑
颻琳
核 以及 第三 方(third一 pa㏄y)稽 核
齡簸協坳跡爸聖崔 播夥錄瑋 鋒 插器玲帥 常谽坤
/第 二方稽核指的是與組織有相 關利益的
單位(如 :供 應商 、客戶 、上級 單位)所
丸行 的稽核 活 動
幸
U ˊ 第三 方(th:rd一 pa比 y)稽 核 為 由一個 獨 立於
客戶與使 用者 之 外的稽 核機 構 進行 的稽
核 ,以 驗證 客戶的管理 系統 為 目的
盼將
係管
關的
鋊驊鑰幼 鐖 齡靆谽饑 “
ˊ稽 核 由一個 獨 立於 客戶與依賴驗 證 的
人之 外的稽核機構 進行 ,以 驗證 客戶
理 系統 為 目的
備 註 η 「稽核 」一詞被用於 簡稱第三 方驗證稽核 。
:
彿黮鋪 〝
備 註 2: 驗證稽核 包括初次(CAl、 追查(suⅣ ei︳ ︳
ance,
SA)與 重新驗證稽核 e一 ceλ 而cauonaud比 S,
鐑雞艸
(Γ
稽 核 同一 客 戶 。
備註 5 同時依據兩 個或
以上 嬲 琴女 鞏鞶齒 核 同 一 客戶 。
爭
備 註 6:
騖宿葔望努理菩蟞輩盅 甯 華望輩蕮 廚說 磊羿 二
的 管 系統 ,並 根據 個 以上 的標
紛外
個 單一 一 準
接 受稽 核 。 η
◎ byTC︳ C 資料來源:SO可 702﹁ 一:20︴ 5 deη 5
Modu︳ e6s︳ ︳
錛籦谽鑯 鑼 鏺黤齡沐鑰黫師
餓蹄鑰黫鐱咘欺餵 學就擺路離矮妳
餟 出路玲黔子 鈔妳
紛昨
◎ 打 下C︳ C
Modu︳ eㄔ S︳ ideη 6
霿核原則 /2) (可
Princip| eSOfauditin
鏺籛鐑繚 鑼 錛羷谽鑯
SO﹁ 90η 可
依據︳ 稽核有7項 重要原則
a)正 直 ntegHty):
(|
b)/ㄙㄟ
A鎙
籛鐒 本
平陳述(FairPresentat︳ on):
齡簸嗨
交
真實 且正 確 地 報 告 之 義矛
力
籤外
heOb︳ iga七 ︳
七 on to repoΓ 七七 yandaccurate︳ y
ru七 hfu︳ |
鐖籛鑰聊欺磁 嗧筋舉笒嗧路聊
c)盡 心履行專業關注(Dueprofes山 Ona︳ care):
在稽核 時善用敬 業精神與判斷力
genceandjudgement︳ nauditing
theapp︳ ica七 ion ofdi| ︳
錀 筋牽聚彳工 鈔妳
d)保 密性Confiden山 a︳ ity:
資訊 安 全 維護 secuHtyof︳ nformaUon
幼師
資料來 源 :︳ SO︴ 90η ︴:20可 8,CNS︴ 碎809:2020
◎ byTC︳ C Modu︳ eㄔ S︳ de鬥 7
︳
稽核原則(2/2)
PΓ ︳
ncip| eSofauditing
鈐羻 鋊♁ 鑴 鏺繳 鈔鑰 打
e)獨 立性 ndependence):
(︳
稽核 公正性與稽核結論客觀性之基礎
thebasisfo「 the︳ rnpa比 ia︳ ityoftheaud比 andoㄐ ec打 ityof
縐纖 筠 兮
theauditconc︳ uSiOnS
銹籛 竹
理方法
the「ationa| rnethodforreachingre︳ :ab︳ eandrepΓ oduc:b︳ e
auditconc︳ uSions inasysternaticaudit pΓocesS
β蟲 β
— —
鎀籬鍛鎩 鑼 鍋蠿鑈好錛黦 螂
餓“鑱殷鍋轉文餒 寧羅學生舞 錛 磁發理〃音 幼︴
艙盯
◎ by下 C︳ C
Modu︳ eㄥ s︳ ideπ 9
稽核 方 案 J也.r
﹏
Aud︳ t prograrnrne — —
︳ 針 對特 定 時程 內並 具有特 定 目的 ,所 規 劃 一 個
或 多個 稽 核 之 組合 安排 。
▅ 稽核 方 案 包含 規 劃 、編 組及 執行稽核 所 有 的 必
紛黮躌 “
要 活動 。
▆ 不 一 定 需要提 供 給 受稽核 的 組 織 。
鏺簸曲
籤市
▓ 稽 核 方 案範例
紼黫餓咘激環 雀邱
汁 包含 當年度 全 組 織 的 資
霸 奎 銎 窨崟 寥 黎
汁 關鍵 產 品 的潛在供 應者在 六個 月 內執行 第
報聚餘發 鐒 插策男 — 幼姊
二 方 管理 系統 稽核
洪 由 第 三 方驗證 機構在 與 客戶 問的協 定期 間
內 ,執 行 對 資訊 安全 管理 系統 的驗 證 與 追
查稽核
紛好
◎ by下 C︳ C
M。 du︳ e冷 S∥ de20
稽核方案之管理流程 (η /2)
Processf︳ oW了0rthernanagement ofanaudit prOgr?Π ╮
︳Ⅵe
塕皺銹谽 鑴 齡籛繚鑯 研
PLΛ N }0
王 tHtCK ΛC↑
╮
S.之 有$各 球 #g
$田 $在 安
出ud;七 伊← ◆每出除m●
φ 於心t:收 甘
1步
銹黫彿 〝
銹鸆 抑
$.3→ e6¢ !<h︳ |
法|m專
籤外
出udit● !埡 母憾m推 e a向 〔
︳;mp︴ bv6n$
一
鐊籩銹抑幾齵 緇鎡勝犖窈姆帥
!:∮ k令 爸出心 令t!d店 t︳ }
F¢思|
n{ Ⅱ
︳:“ 恐
φpu↓ t依 ︳出了在6g
在ud:t
)r° g路 mWe
︳
齡 航舝餵←毒 銹妳
本!冬 子
磁9!e出 φⅡ伍珴普 5‘ 6比 ¢Ⅱim◤ ;碑
么㏕ | 仁 δΥ寸i守
p外 6r改 m出 ︳
6 }附日治︳↓↓ md
幼鄉
◎ byTC︳ C 資料來源 :︳ Soη 90︴ ﹁
一η:20可 8 Modu︳ e6S︳ :do2鬥
D
稽核方案之管理流程(2/2) 露蟲↙
β
十
鏺雞鋒鎗 鑼 鑼蜀紛鑰 、
蹸黤齡 小
在.Σ !缸 i七 出球m答 ㄊㄝ
工 ︳心t
一
鏺籩師
兟︴
_ 各
_
╮
銹攤鐒眸茹侈型翟 嗧瑚崔霸鏺 磁雄玲押言 谽的
)︳
︴
∟ 」
V
心;各 甘i莊 u在 ing法 以球竹
一 舌 (甘 〔
t︳
伸〞γ﹏
盼抔
牙班 好 多o CkECK 燈
鑈驆鐖紼 鑴 鑰羻紒饑 杏
ˊ針對 完整 的驗證 週期 之 稽 核 方 案應被
發展 ,目 的是 清楚 地 鑑 別所 需要稽 核
活 動 ,以 展 現 客戶 管理 系統 符 合 所選
鈖繖鋊 泳
擇 的標 準 或其他規 範 性 文 件 要求 。
鐒錘螂
ˊ驗證 週期 的稽 核 方 案應 涵 蓋完整 的 管
紛外
◎ 盯 下C︳ C
資料 來源 :︳ Soη 702仁 ︴:20可 5 Modu︳ eㄥ S︳ ide23
稽核 方 案
Audit prOgrarnrne
ˊ初 次 驗證 的稽 核 方 案應 包括 兩 階段 的 鐱黦 錛鎀 鑼 鑈籧盼鑯 打
初 次 稽 核 、驗證 決 定 之 後 第 一 年與 第
二 年 之 追 查稽 核 ,以 及 第三 年 之 驗證
協簸 狒 外
有 效 期 限 到期 前 的 重新 驗 證 稽 核 。
鑰羷 轉
ˊ首 次 三 年 驗證 週期 始於 作 成 驗證 決 定
籤功鐒犩 協師欺齵 寧簼 帤聚轝 鈐 城翜 解 ︴ 幼師
之 時 。後 續週期 始於 重新 驗證 決 定 。
ˊ稽 核 方 案之 決 定及 任 何後 續 之 調 整 ,
應 考慮 客戶 的規模 ,其 管理 系統 、產
品與過程 的範 圍與複 雜性 ,以 及 所展
現 管理 系統 有 效性 的水 準與 任 何 先 前
妙外
稽 核 的結 果 。
◎ by了C︳ C
資料 來源 :︳ So{ 702仁 可:20可 5 Modu| eㄥ s︳ ide2ㄥ
稽核與驗證過程的典型流程圖 (η /3)
初坎驗證決定/
驗 證 多l!難
重新驗證法定 三 年驗 證避期
持缺的進重行動
驗證 前的活 筋
客戶 與驗證 選擇並捲 派具
撫構 交換 資 能力的第 一階
訊 、級
確認 關 切 的範圈 重新驗 證
執行 第一
並要求額 外資料 稽核 計 畫
階段稽核
若適 用}
〔
稽核與驗證過程的典型流程圖(2/3) 鍕觝◤
嫠
﹏
— —
確認 關 坊的範 罶 重新驗證
執行 第一 擋核許畫
並要求頭 外資料 階段確 楌
落適用 〕
〔
典 第一 瞭段 確認擋核方案並知 會客戶
發 康擋 出現 的疑
核 方案 路 適用}
驗證 提 笨
牡確 認稽 確認/指 派具能力的稽核小組
核 方
執行 第 二 階 執行邁 執行 畫新
段 糟核 查糟 核 驗證 稽核
— —
執行 第二 階 執行 追 執行 重新
段稽核 查發核 驗證特 核
解 決 第二 階段 解 決追查稽核 解決重新驗證
稽核 出現 的疑 出現的疑慮處 稽核 出現 的最
慮處 〔若 適用〕 若適用〕
〔 慮處 傍 適 用〕
初 次驗 證 道 直稽 重新驗證
豬核 結論 核結論 稽核 結論
重新驗 證 決 定
獨 立驗 證 客
如需要}
查〔
核 准蜜新驗 證
與核發 驗證 文
件
◎ by下 C︳ C
資料 來源:︳ SOη 702η 一
η之0︴ 5 Modu︳ eㄥ s︳ de2了
︳
稽核 方 案
Audit prograrnrne
鋊籬鐒妙 鑼 鐒讓妙鑞 外
備 註 可:割 〣e25-27提 供 稽 核 與 驗證 過程 的
典 型 流程 圖 。
備 註 2:以 下表 列 包含發展 或修 訂 稽 核 方 案
時可納 入 考 量 的增 列項 目 ,在 確 定
佛雞鎀 外
稽 核 範 圍及 擬 定稽 核 計 畫時也可能
鑰籛姊
餓 鎀鑫齡蜘蓻命聖緊 聯路簽蕼 縐 磁母跨抑︴ 紛螂
需要 加 以考 量 :
一 驗證 機構 收 到 關於 客戶 的抱 怨 ;
一 合 併 、整合 或聯 合 稽 核 ;
一 驗證 要 求 之 變更 ;
一 法 規 之 變更 ;
一 認證 要 求之 變更 ;
◇外
◎ by下C︳ C
資料 來源 :︳ So︴ 了02η -η :20η 5 Modu︳ eㄔ s︳ ide28
稽核 方案
Aud:t prograrnrne
銹籛躌繚 鐋 鐖麰谽羻 ㏄
一 組織 的績效數據 (例 如缺 失程度 ,關 鍵性
績效指標數據);
一 相 關利 害關係者之顧 慮 。
鑈籦鰳
備 註 3:如 果特定產業的驗證 方 案有規定 ,
驗證 週期 可能不 同於 三 年 。
$鐒
籛螂
瓶外瞈黰塕鄉欽鍛 期赫絡移谽基鶈 插銘路珅告 幼瑯
錯帥
◎ by下C︳ C 資料 來源 :︳ SOη 702ㄔ 一
η:20可 5 ide29
M。 du︳ e碎 §︳
稽 核 方案
Aud︳ t prograrnrne
年應 進行 一 次 追 查稽 核 。初 次驗證 之
後 第一 次 追 查稽 核 的 日期 ,自 驗證 洪
$瞈
定 當 日起 不應超過 可2個 月 。
黮銹 心
鐱靉轉
瓶坊鐊鍐鰳坤喪錣 學擺璐鍰讓鑰 林謻冷許言 鎗的
齡靆攤鍛 鐖 鑰議谽鑯
ˊ驗證 機構在 考慮 客戶 已經 由另 一驗證 機構
執行 稽核 以及 授與驗 證 時 ,應 針對任 何不
符合項 目取得 並保存 充分的證 據 ,例 如 矯
正措 施 的報告 及 書 面證 明 。書 面證 明應佐
A紛
籛鑰 永
證 履行 此部 分之 ︳SO川 ECη 702η 。驗證 機
鐒黤姊
構應根據取得 的 資料 ,證 明現 有 的稽核 方
鐒帥
◎ byTC︳ C
資料 來源 :︳ Soη 了02牛 ﹁:20︴ 5 Modu︳ eㄥ s︳ ide3鬥
稽核 方案
Audit prograrnrne
的政 策及 目的 。
塕邇坤
娥、銹黳齡師欺餒 朁︴
鍋瑙簽盞 鑰 描雀餵π工 鋒坤
妙擗
一
稽核 方案 蠐
靈舐 靂
AuditPrograrnrne
一
鐫籛銹給 媰 鑰雞谽鑯 扒
ˊ 初 次稽 核 的一般 準備 事 項
▅ 驗證 機構應要求客戶 為存取 內部稽核報告和 資
訊 安全獨 立審 查報告做好 必 要安排 。
▓ 客戶 在 驗證 稽 核 的 第 一 階段期 間 ,至 少應提供
鐱籛 鏵 水
以下 資訊 :
鎀雞螂
a)有 關 | SMS及 其活動所涵蓋的一般資訊
兟無
;
幼帥
◎ by下 C| C
資料來源 :︳ S0用 巨C27006:20{ 5AMD︴ :2020 Modu!eㄥ S︳ ide33
確 定稽 核 時間
銹籛銹紛 齺 鐪譊紛鑰 站
ˊ 驗證 機構 應 有 決 定稽 核 時 間之 書 面化 過程 。
驗證 機構 應確 定每個 客戶 所 需的稽核 時 間 ,
以便 規 劃與 完成 客戶 的 管理 系統 完整與 有
效 的稽 核 。
鐊簸銹 年
ˊ 決 定稽 核 時 間 時 ,驗 證 機構在 其他 各種 事
齡雞蜂
物 中 ,應 格 外考慮 下 列事項
鈚︴
:
鐒議鐒師激齠 單簼珞鎧驥 鏺 赫蓊玲帥守 蟧師
a)相 關管理系統標準之要求 ;
c)技 術上與法規性之情況 ;
d)包 括在管理系統範圍內之任何活動的任何外包 ;
e)任 何先前稽核之結果 ;
餩阿
◎ by丁 C!C
資料來源 :| So︴ 702可 一
︴:20{ 5 M° du︳ e碎 S︳ de3ㄔ
︳
確 定稽 核 時間
躌靆鏺鐒 鐖 翂黤鎗鑼 公
f)場 區的規模與數量 ,其 地理位置及 多場 區之考
慮 ;
鑰雞鎙 ︻
齡驅林
備 註 可:在 計算管理 系統稽核 天數 時不 包括往返稽核 的場 區
颻外鏺黫彿師毀餵 帑磁擺硌箠發鈐
所花 費的時間 。
備 註 2:驗 證機構在 記 載 這些程序 時可使 用 !SO用 ECTS
η7023建 立 的指 導方針 決定 管理 系統的稽核 時程 。
ˊ 凡 針 對特 定驗證 方 案 已經 建 立 的特 定規 範 ,
M蜜
例 如 :︳ SO/TS22003或 ︳
SO/︳ 巨C27006,
韹一辛 紛摔
皆應 適 用 。
谽外
◎ byTC︳ C 資料 來源 :︳ SO︴ 702η 一
η:20η 5 Modu︳ e↑ S∥ de35
確 定稽 核 時間 尸我▼
π
﹏
— —
ˊ 稽 核 管理 系統 的 時程 及 其 正 當性 應 加 以 記 鎙籲鐒鋒 鑼 鑰黤妙鐖 打
錄 。
ˊ非被指派為稽核 員的任何小組成 員 (即 技
眑飄 鎀 小
述訂定管理 系統稽核 之 時程 。
鑰籛縐咘欺鍰 皆撬珃聚舉 齡 站盟憩一在幼一
妙抔
◎ byTC︳ C
資料來源 :| Soη 702牛 {:20︴ 5 M。 du︳ e碎 S︳ ide36
確 定稽核 時 間
翰籛鐱鍛 琚 鑰鍐艕鐋 出
╮ ˊ 驗證 機構應 允許稽核 員有 充分的 時間進行
所 有與初 次稽核 、追查稽核 或重新驗證 稽
核相 關的所有 活動 。整體稽核 時間 的計 算
鋊繳鏺
應 包括 充份 的稽核報告時間 。
SO27006附 件 B來 決 定
ˊ 驗證 機構應使 用 ︳
$齡
雞瑯
釚︴
稽核 時 間 。
谽帥
◎ by了 C︳ C EC27006:20可 5AMD可 :2020
資捫切包源 :︳ SOˊ ︳ ide37
M° du︳ e碎 §|
稽核 時間
Aud比 T| me
鈐籦銹鎀 鑴 鏺黫鈔鑞 打
驗證 機構應鑑別每 一位客戶及被驗證 ︳ SMS的 初次
驗證 、追查和重新驗證 的稽核時間量 。在稽核規劃
階段使用本附件達到 決定適當的稽核時間的一致性
鐒簸銹 外
V
紛外
β也rr
Aud比 下ime — —
姆難 鏺繚 耀 拂籦 餘鑯 本
組織控 制下 的工作 人數
ˊ 確 定驗 證 範 圍 內組織控制下所 有 班別 的總 工作 人
數是確 定稽核 時間的起 點 。
註 :「 在 組 織控制下的工作 人 員」一詞 請 參 照如
鑰攤 鋒
︳SO月 巨Cη 702η 一
η的人 員 。
ˊ 在 組 織控 制下 兼職 工作 人 員對 組 織控制下 工作 人
$坲
簸妳
航外
數 的計算 ,係 依 與在 組織控 制下 全 職 工作 人 員相
稽核 員天數
ˊ 「稽 核 時 間 」是根據稽核所 花 費的 「稽 核 員天數 」
說 明之 。附件 B的 計算 基礎 是 以 一 日工作 8小 時
維帥
為準 。
◎盯taC 資料來源:︳ So/︳ EC27006:20η 5AMDη :2020附 件 B M° du︳ e碎 S︳ ide39
稽核 時 間 ﹏
′已◤
π
Aud比 Ti!了 le
— —
臨 時場 區 鎗鑨 鋊紛 礤 鑰籲 紛餓 密
務 /安 裝場 區 。
籤︴
ˊ 訪 查該 等場 區 的 需要 ,以 及 抽樣 程 度 ,應 依 據 臨
鐒黳協如欺餵 寧”
時場 區所 產 生 的不符合 事 項 導 致 不符合 資訊 安 全
目的 之 風 險 評 估 。
砪毢簽瑋 鐒 薪登餵◤住 妢外
ˊ 所選樣 本場 區須 當代 表 組 織 能 力 需求及 不 同月 艮務
的範 圍 ,並 已考慮 活 動 大 小 及 種 類 ,以 及 專 案 進
展 中各 階 段 。
谽打
靂兙罈
Aud比 下ime — —
媕難 鏻谽 錔 鐱籛 鎗麟 ㏄
遠 距 稽核
ˊ 若係使 用諸 如互 動 式網路協作 ,網 路 會議 ,電 訊
會議 及/或 電子式查證 組織作 業等遠距 稽 核技術做
為與 組織 之 介 面 時 ,這 些 活動應 該在稽 核 計 畫 中
鎙麴 銹 跡
子 以鑑 別 並可被視 為 「現 場稽核 時間 」總 時數 的
塕籩 螂
一部分 。
鐬外
ˊ 若驗 證 機構發展 的稽核 計 畫 ,其 中遠距 稽核 活動
幼外
◎ byTC︳ C 資料來源 :︳ S0用 巨C27006:20︴ 5AMDη :2020附 件 B Modu︳ eㄥ s︳ ideㄥ η
稽核 時間
Aud比 下|
rne
遠 距 稽核 嫋 灘 鎗鬱 璐 鑈 纖 鎀 鑰 鬱 黦 瞈 鑰 雞 坤
ˊ 若 係使 用諸 如 互 動 式 網路 協作 ,網 路 會議 ,電 訊
會議 及 /或 電子 式 查證 組 織作 業等遠 距 稽 核 技術 做
為與 組 織 之 介 面 時 ,這 些 活 動應 該 在 稽 核 計 畫 中
本
子 以鑑 別 並 可被 視 為 「現 場稽 核 時 間 」總 時數 的
外
一部 分 。
甈 齴 籛 銵 坤竑韻聖 翟 鵝夥窪 磊 銻 描券玲許 官 ♁ 帥
ˊ 若 驗證 機構 發展 的稽 核 計 畫 ,其 中遠 距 稽核 活 動
︴
占已規 劃 現 場稽 核 時 間的 30o/。 以上 時 ,驗 證 機構
應 合 理 化 該 稽 核 計 畫 ,並 在 實施 前 先取 得 認證 機
一 明確 的核 可 。
構
錛黫鑰紛 鐇 塕毅鍛鏺 休
ˊ 稽 核 時間表 列 出初 次稽 核 平均 天數 (此 處 及 下述 的
這個數 字 包含初 次稽核 (第 ﹁階段 和 第2階 段 )的 天數 )
為起 點 ,根 據 經驗 顯 示 ,它 對 於 所 定在 組 織控 制
SMS範 圍是適 當的 。經驗也證 實對
鑈颻鐒 妳
下 工 作 人數 的 ︳
於 類似 規模 的︳ SMS範 圍 ,有 些 需要較 多時間 ,有
鑰黤蚱
些 則較 少 。
幼師
◎ by下 C︳ C
資料 來源 :︳ SO月 EC27006:20︴ 5AMDη :2020附 件 B M。 du︳ e碎 S︳ deㄥ 3
︳
稽 核 時間計 算 ﹏
ㄏ出 ′
Aud比 下irneC a| cu︳ ation 一
鋊黦鐒妙 鑼 鑰纖妢鑰 一
嫵 宙崩議辯捱 “$和 或礉堪 站
〔 ︳越含勒 攻撐撠
令
報錢扭制下鞋 特 加希茂 丑曲 舉
之撐棋時週 簼樓時獨 埔 報時問 鐐 撥#殘 撽 時用
安作 ㄦ數 卡
〦
普撥 負天鼓 ! 鐐 扭 受故故︳ 描 長天錢!
l“ !● 色.§ 一三 §∴呂
Ξ‵ 5 寮照 出.B‘ 碎
S
鑈纖鐒 燕
工針 必 路 5.B gj 麥照 B.呂 .再
$ B 呵
甐軒
→” 路 的 娶鼰 B.每 、
鎀籛鰳瑯欺餵 寧簼奪鍛藕 鍋 描曌覝π在 鐒師
6φ 路 年 了 仁1 發敢 B‘ 3.再
86一 i全 呂 9 B 玉Ξ 簽照 β三於
一
〡名印 車9單 各 9 # 發蟭 瞴
女76︸ 三7S p m 玉再 各無 色.B.碎
Ξ了6” 再王6 m 玉生 鉻 喜6
安雜 出‘
姆 ε之S 主守 ︳〞 生§.$ 各雖 B∴ 再
q伊 W多 王工 玉3 J女 田 簽照 B.§ ‘
碎
舒 舒生 艿 岱 在S B
在出亡 發照 B且 ﹏
︴!了6〢 守再乎° 外 玉石 9
玉爭→ 各騄 B一 δ,﹏
♁外
久爭}五 丑●玉百 玉手 〞 〞且 每舉 4
B念 ′
一
◎ by下 C︳ C
迢 7006:。 0︴ 5AMDη :2020附 件 B
資料來源 :| SO用 巨ㄈ Modu︳ eㄔ s︳ ︳
deㄥ ㄔ
稽 核 時 間調 整 因素
銹籛獼鐪 鑩 鐖籛鎗鐖 式
ˊ 稽核時間表不廲 單獨使用 。時間分配也應考慮 到
下列與 | SMS複 雜度相 關因素 ,且 需稽核 ︳ SMS
的成果 :
搦籛鎗 林
風險情況等);
b)︳ SMS範 圍內所執行的業務 類型
齺黲皺 岱
;
f)資 訊系統發展程度 ;
g)場 區數和災難復原(DR)之 場 區數 ;
:唦
坤
谽帥
量和程度依據 ︳ SO川 EC﹁ 702牛 可
規定
◎byTC盻 資料 來源 :︳ S0用 EC27006:20︴ 5AMDη :2020附 件 B Modu︳ eㄥ S“ deㄥ 5
稽 核 時 間調 整 因素
﹏
β覾 彈
— —
十 一→
鋒籛 鋒鎀 鑴 鏺籛谽鑯
紅
-—
一
大 而 簡單 大 而在 雜
多場 區 多場 區
◆— 十組織分佈 ㄒ上▼
$齡
簸齡 外
程序少 程序 多
鑰籛 坤
小範 圍 大範 圍
鬾→
重複 性程 序 獨 特程序
鐒籛 銹螂欺鑑 孥籀眵璀轟鐪 城鉹玲許 ︴ 蟧扣
|社 ﹂ 高風 險產 品/程 序
稽核 時間
表 的起 點
程序少 程序 多
v
小範 圍 大範 圍
重複 性程 序 獨 特程序
高風 險產 品/程 序
妙阿
◎ by
、而簡單 小 而在 雜 Modu︳ eㄥ S︳ ideㄥ 6
稽 核 時 間調 整 因素 β已 ㄏ坻
— — —
鑰雞 鑰幼 鑼 錛纖幼鑼 必
ˊ 附件 C提 供 如 何將這些不 同 因素列入 考 量 ,以 計
算稽核 時間的範例 。
ˊ 下列例外 因素 ,需 要額外的稽核 時間
鏺簼 鏺 淋
:
坲黫 螂
颻外
雜後勤作 業 ;
幼帥
◎ by下 C︳ C 資料 來源:︳ SO用 EC27006:20{ 5AMD︴ :2020附 件 B Modu︳ e冷 S︳ ide碎 了
稽 核 時 間調 整 因素
彿黤鏺♁ 鐖 鏺籛紛鑯 ︴
ˊ 允 許縮 減稽核 時 間之 因素有 以 下範例 :
一 無 或低風 險 的產 品 或 流 程 ;
一 流 程 涉及 單 一 的 一般 性 活 動 竹︳如 只 有 服 務 );
銵黮鑰 無
一 在 組 織 控 制 下有 高 比例 工 作 人 員執行相 同工 作 ;
一 對該組織先前的瞭解 (例 如 ,組 織 已經由相 同
娥黫姊
驗證機構 以另一標準驗證);
籤、媰錘鎀︴蜁鍰 擊簼聯簽邊鑰 磁母冷并在 谽坤
一 客戶對驗證做好充分準備(例 如 ,已 由其他 第
三方的方案驗證 或認可);
一 管理 系統已具高成熟度 。
谽抑
靂舐 嫠舐
— —
躌黮 鑰谽 齺 鐱麰谽鐖 氓
ˊ 在 驗證 客戶 或被 驗證 組 織在 臨 時場 區提供 其產 品
或服 務 情 況 下 ,將 這些廠 區 的評估 納 入 驗證 稽 核
和 追 查計 畫 內極 為 重 要 。
鍋幾 鋒 ︿
ˊ 應 考 量 以上 因素 ,並 針對這 些 因素調 節增 減稽核
塕黤 螂
時 間 ,以 達到有 效 稽 核 。增 加 時間的 因素 可 以被
鐪帥
◎ by下 C︳ C 資料來源 :︳ S0用 巨C2了 006:20︴ 5AMD{ :2020附 件 B Modu︳ eㄥ S︳ ide69
稽 核 時 間差 異 限 制
較 結 果 ,稽 核 時 間表 上 所提供 的稽核 時間
不應 減少超過 300/o。
銵黦協 外
佛纖郎
◎ by下 C︳ C
資料來源 :︳ So” EC27006:20{ 5AMDη :2020附 件 B M。 du︳ e碎 S︳ ide50
稽 核 時間差 異 限制
鑼籬 鑰鎗 鑼 塕羷 谽鑯
ˊ 為 了確保幸
丸行 有 效 稽 核 及 確 保 可 靠與 可 比
較 結 果 ,稽 核 時間表 上 所提 供 的稽核 時 間
不應 減少超過 300/o。
A鰳
黫鏺 〝
瞈黤 瑯
ˊ 時間差 異之 正 當理 由應 做 成 書 面紀錄 。
-
現 場稽 核 時 間 r
r已▌
— —
齡羻 彿♁ 鑼 錛黫紛鐖 →
ˊ 原則 上計算 規 劃和報 告撰 寫合 計 時間 ,基
本 上 ,不 應將現場總 「稽核 時 間」縮減 至
少於 稽 核 時 間表 上 所 示 時 間的 700/o。 凡 為
轔黦 銹 外
作 為減少 現 場稽 核 時 間的正 當理 由 。稽 核
h鐒
甀
員差旅 時 間不 包括在 這項 計 算 中 ,而 是 外
籛鐒郴欺餵 寧簼路崟聶鐒 掰登嫂╭甘 幼︴
加 入 表 中所 述稽核 時 間 。
SMS稽 核 經驗 之 因素 。
註 :70o/o是 根據 ︳
谽師
靂甄 靂
— —
銹籛塕鐪 鐪 錫籛谽鑰 研
稽 核 週期 中 ,對 某 組 織 的追 查 時
問須與其初 次 稽 核 所 需時間成 比例 ,每 年
鉾籛鏺 臥
追 查所 需全部 時間約為初 次稽 核所 需時間
銹黮螂
的η /3。 所 規 劃 的追查稽核 時間須隨時審 查
谽帥
◎ by下C︳ C 資料 來源 :︳ S0用 EC2了 006:20{ 5AMDη :2020附 件 B Modu| e碎 S︳ ;de53
重蘛 籃 證 稽 核 之 稽 核 時 間
﹏
彈籤〔
嫠
— —
鋒繼 鏺鬱 鑼 銹籛 谽鑰 井
ˊ 執行 重新驗 證 稽 核所 需總 時 間應 依任 何 先
前稽核 結 果 而 定 。重新驗證 稽 核 所 需時 間
翂簸 鑰 外
量應 與 同一 組 織 初 次驗證 稽 核 所 用 時 間成
比例 ,且 至 少須 為 同一 組 織 初 次驗證 稽 核
銹籮 抑
兟封
所 需時間的 2/3。
r宮
鐒妳
艙帥 鐒籩銹抪欺鍰 帶箍鑼夥簽舞 銹 插發婬
◎ by了 C| C
資料來源:︳ SO用 EC27006:20η 5AⅡllD﹁ :2020附 件 B Modu| eㄔ s︳ ide5ㄥ
多場 區 的稽 核 時間
錛齉 錛谽 旛 齡灘谽齺 站
ˊ 按 照程序計 算 出驗 證 範 圍的現場稽核總 人
ˊ
天數 ,應 根據各場 區與 管理 系統 的關聯性
及 已鑑 別 出的風 險 ,將 人 天數 分 配 到不 同
鑰籛 鐒 ㄨ
場 區 。驗證 機構應 記錄 分 配人天數 的理 由 。
齡齻 螂
皺岱錛靉 鑰坤毀齰 緇械路夥鎧璘鏻 臨麥赳好子 盼軸
ˊ 初 次 稽 核與 追查稽 核 所 花 費的總 時間是每
一場 區加上 總 部所 需的時間總和 ,並 且 ,
谽帥
◎ byTC︳ C 資料 來源:︳ S0用 EC27006:20η 5AMDη :2020附 件 B M。 du︳ e碎 S︳ de55
︳
稽核時間計算方法(參 考用) r
β蟲〔
︳
ˊ 以 下範 例 說 明驗 證 機 構 如 何 運 用 B.3中 所 述 因 素 鑼黮 銹紗 鑼 鐪黫谽鏺 打
以 計 算稽 核 時 間 。以 下 範例 的稽 核 時 間計 算 方 式
作 業如 下 :
(︳
各類 因素適 用 等級並 總計 結 果 。
齡籛 翰師癡錣 寧羅帑簽聶 鑰 球壁超π— 紟師
步驟 3:根 據 上 述 步驟 ﹁和步驟 2的 結 果 ,選 擇表
C.碎 中適當項 目以鑑 別影響稽核 時間的 因素 。
步驟 碎:最 後 計算 :運 用稽核 時間表所定之天數乘 以
步驟 3產 生的係數 。若使 用 多場 區抽樣 ,則
根據執行 多場 區抽樣 計畫所 需工作量加總 已計
算的稽稽核 天數 。
ˊ 這項 結 果 即是 最 定 案 的 稽 核 天 數 。
谽師
佛雖徬年 嬸 彿雛 掰繲 依
﹉
紛期 鈐 ㄙ
準及琶複 性 的標 準 ;在 組 織控制 下 工
的大量 人 員從 事相 同的平作 ;少 數產 品 或服務
鎀鞍 艸
?:標 準但非 重複性流程 ﹉
鈚本
3:複 雜流程 大量產 品 和服務 ﹉ 許:多 業務 單6立 包含
佛雞 翰梆銘覯 聬笏鐋笱簽繆辦
在驗證範圍內 一HSΨ S滑 蓋高度複雜﹉ 的流程或相當大
一
佛 筋筆韹 言 觔坤
劬抑
◎ by下 C︳ C 資料 來源 :| SO/︳ 巨C27006:20︴ 5AMDη :2020附 件C odu︳ e碎
山竹 S︳ ide67
與︳
下環 境有 關的 因素
﹏
表 C█ 3一 靂舐 靈
— —
鈶籛 鐒紛 琚 鈶籛 鬱銹 斗
搦雞 齴 密
鑈皺 奶
魏功彬皺搦的欺搦 鱀 將郛環髏 銬 一
﹉
︴j很 少或本仰 賴 外 包或供﹉ 應商﹉ ﹉﹉ ﹉
﹉﹉
一
2一 有些 仰賴 外 包或供應 商
,部 分有 關但 非 金是 重要
業務 活一
動
磁翁冷鈃 言 翰師
鈖師
佛
$螂
鈖餘
鎞 鑰 造 錄 鐖 錛 驤 鋊 翰灘 螂
㏄ 沐
城 塕 繳 錛 跡琳 $蜘 蹋城錫瑙鑑豬盼鐱 紘肇 赻 〃宮 妙 坤
然
鍛外
◎ by了 C︳ C 資料來源:︳ SO用 EC27006:20η AMD{ :2020附 件 C Modu〡 e{ ide59
°
S︳
哦
稽核時間計算方法( 考用) 靂珮 靂
﹏
範例 可 :欲 稽 核 之 組 織 員工 ,因 此根 據 銹籛 匆♁ 齺 銬繳紛娥 ㄞ
勞趯 獸 鑢 箋
奢靠簳努
帤鷤
鎀騶 齡 妳
一
鑰貔 轉
料庫 但 廣 泛使 用外 包 。組 織 沒 有 內部 或外 包開發 。
甄打
C_ 3, 得 知 與 ︳
下環 境 有 關的 因素為
鐒攤 聯郎軟摫 肇裼 糑錄軬 鎙 鎡錫玲釙 官 鎀帥
| 十 十﹁=5。 用表 C.碎 ,得 知 無 需調 整 稽核 時 間 。
範例 2:同 上 範例 的 組 織 ,除 了若 干 管理 系統 已經 建
立且 ︳ SMS也 完善建 置 。依 據 表 C.2的 計 算 變成
﹁+η 十仁 3。 依 據 表 C.碎 ,得 知 可 縮 減稽核 時 間 5o/。
至 η0°/o,亦 即 ,稽 核 時 間會減 少 ﹁至 可.5日 ,總
鎀師
計 未9η 6至 ﹁6.5日 。
◎byTC陀 資料來源 S0月 巨C27006:20η 5AMD︴ :2020附 件 C
:︳
Modu︳ eㄥ s︳ de60
︳
多場 區抽樣
瀰豳比豳齷
靂珮 靂 一
銹籛鐱錯 璐 鐱籛鐪鐖 再
╮
一 ˊ 多場 區
客戶 管理 系統 之 稽 核 包含在 不 同地理 位
置 之 相 同活 動 時 ,如 果使 用 多場 區之 抽
一
鑈黦鎊 溶
樣 ,驗 證 機構應制 定抽樣 方 案 ,以 確保
拗籛螂
管理 系統 之 適 當稽 核 。驗證 機構應針對
颻外
每 個 客戶將抽樣 計 畫之 合 理 性 予 以 書 面
彿鑼鎙螂筋奄聊學林擺緇簽轟鋨 赫華廷η言 ♁姊
化 。某些 特 定的驗證 方 案不 允 許 抽樣 ,
且 若 已針對特 定驗 證 方 案建 立 特 定的規
範 ,例 如 ︳SO/下 S22003,應 一併 適 用 。
備 註 :非 涵 蓋於 相 同活動的 多場 區 ,抽 樣
鎀外
並 不恰當 。
◎ byTC︳ C 資料 來源 :︳ So︴ 了02η -﹁ :20可 5 mΠ odu︳ e4s︳ ︳
de6∥
多場 區抽樣
銹雞 錐鎀 鑴 鑈繳幼鑞 掛
ˊ 多場 區(︳ S9■ η_
5)
▇ 若客戶有符合下列 a)至 c)項 的數個場 區
搦籛 銵 “
多場 區驗證稽核 :
籤功
′a)所
有場 區老汗 在 中央管理及稽核 的相 同
鐒雞 協的欺鍰 帶描緇幾鍰軬 銹 赫舉玲帥 守 鎗的
SMS下 運作 ,並 由 中央管理審 查
︳ ;
r色′
— —
鑗雞 錛鍛 鑼 鑰纖 谽鏹 代
█ 希望採 用抽樣 法之驗證機構 ,應 備 有確 )
保下列事項之程序 :
鋊蘿 鐒 本
場 區間的差異 ,以 決定適當的抽樣水 準
銹邏 坤
b)驗 證機構採樣場 區代表樣本數 時 ,應
η)總 部及各場區的內部稽核結果 ;
2)管 理審查之結果 ;
3)場 區大小之差異 ;
6)工 作實務之差異
幼帥
;
多場 區抽樣
十
〃已 ㄏ
— —
7)所 從 事活動之差異 ;
鉚靆 錛妙 鑼 鑈雞♁饑 、
η0)任 何不同的法律規定 ;
鐱雞 姊
η2)場 區的風險處境
餓鏺錛︴鱉餵 寧碼幾簽盞 鍋 磁聲娞好— 砏坤
﹁3)特 定場 區的資訊安全事故 。
c)從 客戶的 ︳SMS範 圍內所有場 區選 出
代表樣本 ;這 項挑選應是基於足 以反
映上述 b)項 所述要素 以及 隨機 元素之
判斷所為 。
妙妳
◎ by下C︳ C
資料來源 :| S0用 巨C27006:20{ 5AMDη :2020 Modu| e↑ S∥ de6{
多場 區抽樣
”
靂齟 靂颻
— —
銹麶燐谽 璐 鑰籛鎗鑯 ㏄
d)︳ SMS範 圍內每個面臨重大風險的場
區 ,均 要在發證 前加 以稽核 。
e)麗
暨重蠱是 寄吾
鼞惿焉
ξ讓鏧
靈齒蚤
錀簼鏺 琳
坳黝姊
代表樣本 。
鈚〝
f)不 論是在 總部 或單 一場 區發 現不符合
鏺黫鈐螂筋玲帥舉竊播笒箍器鏺 贆犩建好在 盼鄉
事項 ,矯 正措 施 程序適 用於 總部和 證
書所 涵 蓋的所有場 區 。
■ 稽核應針對客戶的總 部 活動 ,以 確保 單
一︳SMS適 用於 所有場 區 ,並 在作 業層
面實施 中央管理 。稽核應針對 上 述所有
谽外
議題 。
◎ byTC︳ C (源 :︳ S0月 EC27006:20﹁ 5A〝 llD{ :2020
資料 多 Modu︳ e冷 S︳ :de65
多 重管理 系統 露
躍俄了
Mu︳ tip| ernanagement systemsStandardS — — —
彿麶鋒♁ 鑼 鏺黫妢鑰 ︴
▅ 驗證 機構提 供 多 重管理 系統之驗 證 時 ,
稽 核 的規 劃 應確保 適 當的實 地 稽核 ,以
提供 驗證信 心 。
鎀簸銹 心
鐱雞師
籤才鐒黫協坤欺覝 擊羅聯接翟銹 描器玲鉾— 幼邶
U
谽抑
彿讖鑰紛 鑼 錛灘紛鐖 ㏄
ˊ ︳SMS文 件 及 其 它 管理 系統 文 件 的整合
只要是 |SMS可 以清楚鑑別 ,且 與其他系統具適當
的介面 ,驗 證機構即可接受合併文件 (例 如有關資
錛纖鐒 ︴
訊安全 、品質 、健康與安全以及環境 )。
鑰黫睥
餓再
ˊ 結 合 管理 系統 稽 核
幼外
◎ by下 C︳ C
資料來源 :︳ So/︳ EC27006:20η 5AMD︴ :2020 Modu| eㄥ S︳ ide67
確 認 稽 核 目標 、範 圍與規 範 ﹊
π出 ㄏ
— —
ˊ 稽 核 目標 應 由驗 證 機 構 決 定 。稽 核 範 圍與 鏺鑨銹♁ 鑼 鎔籩紛鑞 ︴
規 範 ,包 括 任 何 變 更 ,驗 證 機 構 應 與 客戶
討 論 後確 定 。
ˊ 稽 核 目標 應 說 明稽 核 完成 的項 目 ,並 應 包
銹黤翰 外
錛羷師
括 以 下 內容 :
籤一
符合性 ;
律 、法規及合約要求 ;
待達成其訂定的 目標 ;及
d)如 果適當 ,鑑 別管理 系統潛在 改善的領域 。
妙帥
|
◎ by下 C| C
M。 du︳ eㄔ s| de68
︳
確 認 稽 核 目標 、範 圍與 規 範
鏺麵擁谽 嬸 鐫麰谽鐖 然
ˊ 稽 核 範 圍應 說 明稽核 的範 圍與界 限 ,例 如
場 區 、組織單位 、受稽 核 的 活動 及流程 。
如 初 次 或重新 驗證過程 包含 多個 稽 核 (例
齡籛銹 恥
如 包含不 同場 區 ),個 別 的稽核範 圍可能
塕雞鐵 無
未 包括 全部驗證 範 圍 ,但 整體稽核應符 合
鑰雥鋪螂輹鵡 犩鱷
驗證 文件 中的範 圍 。
ˊ 稽 核規 範應做 為確 認 符合性 的參 照 ,且 應
鐊笒鐶選齏 插繫 涔 車 鈔拂
包含 :
一 管理 系統規定的規 範性 文件 之 要求 ;
谽帥
◎ by下 C︳ C M。 du︳ e碎 S︳ ide69
拂鑼黺鐖 鑼 螉黤齡水鐖籛略
饖→鋪黫紛坤欽餵 窣露移琺餒抑
稽核 評估
鋒 滋路跆黔甘 谽姊
艙帥
◎ by下 C︳ C ide70
Modu︳ e玲 §︳
稽 核 師 ;稽 核 團隊
Auditor;Aud︳ tteam
繗籛鑰緗 鑼 躌鼵 盼鑯 研
ˊ檔核 員 或 檔核 師{aud比 or〕
一有能力(competence)執 行稽核的人 員
ˊ稽核小組{ aud比 七
eam〕
鏺籲 鐒 琳
一 個 或一個 以上稽核 師執行稽核 。
齡驤 螂
—
.註﹁.稽 核小組通 常任命 其 中一位稽核 師 ,為
擔任稽核小組 中的稽核 員 。
.註3.觀 察 員(obseⅣ er)可 陪同稽核小組 ,但
錯帥
不可視為其稽核成 員之 一 。
◎ byTC| C
Modu︳ eㄔ s︳ ide了 ︹
稽 核 小 組 的選 擇 與任務
及 公正 性 之 要 求 ,應 有 一 套 流 程遴選 及 指
派稽 核 小 組 ,其 中包括稽核 小 組 長及 所 需
佛黤銹 知
的技術 專 家在 內 。若僅 有 一 名 稽 核 員 ,其
鑰簸螂
應具備 該 稽 核 之 稽 核 小 組 長所 需執行職 責
城市
的能力 。稽 核 小 組應 具備 認 定的整體 能力 。
師
φ舯 #幼 銹籛銹師欺鍰 擊竹
鑮率簽舞 鐒 筋孝取π
錢攤鐖鎀 蠮 鐫雛谽織 ㏄
╮ ˊ 在 決 定稽 核 小 組 的規模與 組 成 時 ,應 考 量
以 下 幾點 :
鋒籛銹 水
b)該 稽核是否為合併 、聯合或整合稽核 ;
佛黫螂
;
蝕外鑰鑼鐒螂繳錣 寧械路苓嗧捲幹
要求);
e)語 言及文化 。
備 註 :合 併 或整 合 稽 核 的小 組 長 至 少對 於 其 中一種
齡 械鞏鎪好子 盼跡
標 準要 有深 入 的認 識 並知 曉 該 項特 定稽 核使
用的 其 他標 準 。
谽師
◎ by了 C︳ C 資料 來源:︳ SO︴ 702仁 ︴:20︴ 5 de73
Modu︳ e4s︳ ︳
稽 核 小 組 的選 擇 與任務 靂籈 慶
﹏
— —
可 由在稽 核 員指 示 下運作 之 技術 專 家 、翻
譯 員及 口譯 員 ,予 以補 足 。凡 使 用翻 譯 員
塕籬齡 外
或 口譯 員時 ,其 挑 選原 則應 不 會對稽 核 造
銹靉坤
成 不 當影 響 。
籤再錫攤協師繳群 擊籀路鍛麗坲 貓器玲帥莒劬師
備註 :技 術專家的選擇規範 ,依 據稽核小組與稽核
範圍的需要 ,依 個案處理予以決定 。
ˊ 只 要有 一名 稽 核 員被 指 派 為評 估 員 ,受 訓
中的稽核 員便 能 參與稽 核 小 組 。評 估 員應
有 能力接 管職 責 ,並 對 受訓 中稽核 員的活
◇抔
動與稽核發 現 ,負 有最 終 的 責任 。
◎ by下 C︳ C 資料 來源 :| Soη 702︴ 一
︴:20{ 5 Modu︳ eㄔ S︳ ide了ㄥ
稽 核 小 組 的選 擇 與 任 務
鑰黤鑰劬 鑼 鑰籧餘鑯 〝
ˊ 稽核 小 組 長須與稽核小 組商討 ,並 應分 配
每位 小 組成 員稽核特定 流程 、功能 、場 址 、
區域 或活動 的 責任 。該任 務指 派應 考 量能
鑰籮鐱 球
力的 需求 、有效 且 有效 率地 運 用稽 核 小 組 ,
齡雞聊
以及 稽 核 員 、受訓 中稽核 員與技術 專 家 的
鏃如
不 同角色及 責任 。在稽 核 流程 中 ,可 以 改
谽外
◎ byTC︳ C 資料來源 :︳ Soη 702仁 ︴:20︴ 5 °du| e今
和︳ S︳ ide了 5
陪檢 員,觀 察 員 J出 β
﹏
Gu︳ de,ObSeⅣ er —
—
一 客戶指 派協助稽核小組之人 員
perSOnappointedbythec︳ ient to
銹灘齡 兮
aSsiSttheaudit team
鑰黫姊
甐︴
ˊ 觀察員{
obseⅣ eΓ 〕
鰳籧齡 城命竺翟 鵝聯鎖譐 銹 掰崔蛪好崔 ♁抪
一陪同稽核小組但 不執行稽核之人 員
personwhoaccom° anieStheaud︳ t
teambutdoes notaudit
φ好
鑰籛鑰谽 鑴 鑰籛谽矲 ㏄
∩ ˊ技術專家,促 進員
techn:ca︳ e〤 pe∥ ,fac:︳ :tator}
{
一提 供 特 定 知 識 與 專 門技術 子稽 核 小 組之
鑰黮鏺 阿
人員 。
鐊灘螂
.註η.特 定知識或專門技術 包括在 組織 、被
飢外
稽核的過程或活動 ,抑 或是語言或文化有
鐒帥
◎ by了 C︳ C M° du︳ e再 S︳ ide7了
管理 系統顧 問 β找〔
β
﹏
— —
.範例 2對 於 制 定與 實施 某管理 系統 給 予具
鑰籩瑯
體 之 建議 、指 導或解 決方 案 。
簸才鐒籩蚴坤磁帶堅翟 擺舉鍛轟 鏻 薪發餵
C
◎ by孔 ︳ 資料 來源 :︳ SO{ 702仁 什20可 5 Modu︳ eㄔ s︳ ;de78
管理 系統顧 問
攤灘 佛谽 鑩 錛籦 餘鐖 武
備 註 2:提 供 一般 資訊 ,但 不 是 針對 流 程 或 系
統之 改 善為特 定客戶提供 解 決 方 案 ,不 視 為顧
問 。這類 資訊 得 包括 :
一 解釋 驗證 規 範 之 意義及 意 圖
鐱驤 鈖 ︴
;
一 鑑 別 改 善機 會 ;
齡簸 瑯
一 解釋相 關理 論 、方法論 、技術 或工 具
瓶〝
;
一 被 稽 核 的管理 系統 未 涵 蓋 的其他 管理 層 面 。
r子
蟧林
紛鄉
◎ byTC︳ C
資料 來源 :| Soη 702η -η :20η 5 Modu︳ eㄥ s︳ ide79
觀察員 ﹊
r
π出◤
— —
進行稽 核 前得 到驗證 機構 及 客戶 的 同意 。
稽 核 小 組應確保觀 察 員不會無 故 影 響或干
齡貗 鏻 小
擾稽核 過程 或稽核 的結 果 。
錛籛 師
瓾一
備 註 :觀 察 員可 以 是 客戶 組 織 的 成 員 ,顧 問 ,見 證
齡鏺 拗中欺餒 罕竹
的 認 證 機構 人 員 ,主 管機 關或其他 具 正 當 理
由之 人 士 。
用印姦瑋 銹 站今冷掛 — 鎗︴
ψ打
◎ 町 下C︳ C
資料 來源 :︳ So{ 702可 -η :20{ 5 Modu︳ eㄥ S︳ ide80
技術 專 家
銹籛 翰谽 鑴 翂鏈 谽鐪 么
‵
↗
ˊ
、
_
—
)
ˊ 稽 核 活動當 中技術 專家的 角色應 在 進行稽
核 前得到驗證 機構 及 客戶的同意 。技術 專
家不得擔任稽核 小 組 中的稽核 員 。技術 專
聯黫 銹 溶
家應 由稽核 員陪 同 。
眑籛 螂
兟外銹籛 鏺抑籃齲 瑤缽聬移駕擺帥
備 註 :技 術 專 家可就 準備 、規 劃 或稽核 向稽 核 小 組
提供 建 言 。
螉 航犖婬好吝 鬱姊
錯帥
◎ byTC| C Modu︳eㄥ s| ︳
de8鬥
陪檢 員 ﹏
嫠觀 釐
— —
鐒犩銹幼 鐖 銹籛黺鑰
ˊ 除 非稽 核 小 組 長 及 客戶 另外協議 ,每 位 稽
核 員應 由陪檢 員陪 同 。陪檢 員被 派 往 稽 核
小 組 協助稽核 。稽 核 小 組 應確 保 陪檢 員不
$銹
黤銵 外
會影 響 或干預稽 核 過 程 或稽核 的 結 果 。
狒鑊坤
備註 η:陪 檢 員的責任可包括
籤本
:
鐒籛鐒姊欺餒 聲 攜路鍰舉銹 筋路玲帥宮 鍛碎
a)面 談的接洽及約定時間 ;
d)代 表客戶見證稽核 ;
員 。
坲羷 鑰紛 鑼 鐱讓鎗鑯 ㏄
︳ on
nfor「 na七 ︳ Qua︳ ity
共通 性
Secu山 ty 品 質管理 系統
知 識與技能
資訊 安 全 管理 系統 KnoW︳ ed9e 稽核 師特定的
錛雞 鐒 添
稽 核 師特 定 的 and 知識與技能
capabi︳ jtieSof
知 識 與技 能 Qua︳ ity
a9ene「 a︳
齡龘 坤
lnfoΓ maⅡ on secuhty specifjc
natu「 e knOW!ed9eand
Spec| 何c
籤︴
knoW︳ edgeand capabi︳ itieS
學歷 工作 經驗 稽 核 師訓 練 稽核 經驗
Educa七 i° n VVorkp︳ ace AVditor Audit
eXper︳ ence training ence
eXpe「 ︳
個 人特 質
PeΓsona︳ attΓ ibutes
劬帥
SOη 90可 η,CNS何
︳ 809一 能 力 之 概 念 (C。 ncept。 fqu割 而cau。 n)
◎ by下 C︳ C
M° du︳ e可 S︳ ide83
期 望 的個 人行 為 ﹏
之 重要個 人行 為範例 :
d)合 作 ,即 有效地與人互動
h銵
鈱
籦 錛市紮鍰 罕竊帤鎧舉 鐒 描年玲野 — 錯坤
◎ byTC︳ C
Modu︳ eㄥ s∥ de8ㄥ
期 望 的個 人行 為
(個 人 特 質 比 rSOn到 a杜 Hbutes)
銹雞 娥谽 錔 鐒籛 谽饑 ㏄
╮ j)自 信 ,即 獨立地行動與執行工作
k)曇 、誠實及符合工作場
馫一是痵愛津犀 尹
)道 德 勇氣 ,即 願意負責任與符合道德性行動
︳
鐱驤 鑈 妳
即使這些行動可能並 不是 常見且 有時可能
鈐黤 螂
導致分歧或對立
行 為 的 決 定是 情 境 ,而 缺 點 可 能 只 在 特
定 的 背 景下 才 會 變 顯 。驗 證 機 構 須 針 對
任 何 對 驗 證 活動 有 影 響 的 已鑑 別 缺 點 ,
採取 適 當的行動 。
紛帥
◎ byTC︳ C ide85
M。 du| e玲 §︳ ‵
訓 練 ,現 場 工 作 經驗 ,稽 核 訓 練與稽 核 經驗
下 台ining,workp︳ aceexperience,aud| tor tra| ningandauditexperience
「
鎀籛 銹谽 鑼 鏺飄 翰鑯 打
考 核 師 lAud比 or〕
▅ 須 完成 足 夠 的教 育 以 取 得 稽 核 師 必 要 的 知 識 與 技 能 。
▆ 須 具備 相 關技術 的 或 管 理 的 工 作 經驗 ,部 分 工 作 經
驗 須 是在 職 位 上 從 事 活 動 以 增 進下 述 知 識 與 技 能 之
銹黦 鎀 小
發展 :
鋊簸 坤
一 針對品質管理 系統稽核師的品質管理領域
餓、
一 針對環境管理 系統稽核師的環境管理領域
協籛嫋坤竑帶聖聲 路翠鎧雜 鋪 插鉹冷帥 工 綸的
。 針對資訊安全管理 系統稽核師的資訊安全管理領域
▓ 須 完成 稽 核 師訓 練 ,此 訓 練 可 以 是 由稽 核 師隸 屬 的
組 織 所 提 供 的 內部 訓 練 或 外部 訓 練 .
須 有相 關稽 核 經驗 ,這 些 經驗 須 受到在 相 同領 域 下
具 主 導稽 核 師 能 力者 的 帶領 與 引 導 下所 獲 得 。
一
紛粹
′俄躍
Training,wOrkp︳ aceeXpe「 ience,audi七 0Γ trainingandauditeXperience — —
轔麶 攠劬 礔 鏺籧 餘鑯 林
主 專豬 核 師仁eadAud比 or}
▋ 主 導稽 核 師須取得 更 多 的稽 核 經驗 以發展
所 需 的知識與技能 ,這 種 更 多的經驗 須透
縐攤 鋊 冰
過 在 另 一位 有 主 導稽 核 師 能力之 稽核 師 的
齡難 螂
斂外
帶領與 引導下練 習扮 演 主 導稽核 師 的 角 色
評 估 階段 ﹏
π出 r
PhaSeSOfeVa︳ uation
— —
紛黫 鏺◇ 鑼 鑈繳 鈖鑰 ︴
持續發展
不符合 準則
啟 始評估
銹黮 佛 岱
效之持續
鐖籛 坤
符合 準 貝!
符合 準則
鈚︴拗蘺鑈︴臨鏤聖翟 用閣辯華 鏺 描登餵〃在 ψ師
稽核 師 需進 一 步發展
能 力之 維持 與 改 進
串色選稽核 小組
♁打
稽核
◎ by丁C︳ C
Modu︳ eㄔ s︳ ;de88
主 導稽核 師 的知識與能 力 古
籚瓶 靂
Genera︳ knOW︳ edgeandcapabi︳ itiesof︳ eadaud︳ torS — —
鐋籛錛盼 擺 嫋雞谽鐑 批
主 導稽 核 師在稽 核領 導上 ,須 具有額 外的知
識 與技 能 以促 成 有 效 率與有 效 果 的稽核 之 執
行 ,主 導稽 核 師 須 能 :
鈶雞銹 ﹌
丸行稽核計畫安排 ,並 在稽核時有效運用資源
▓章
齡雛瑯
▊代 表稽 核 小 組和稽核委 託 者與 受稽 核者 溝通
谽帥
◎ by下 C︳ C
”Π
odu| eㄥ S︳ de89
︳
訓 練 ,現 場 工作 經驗 ,稽 核 訓練與稽 核 經驗 之 指標
aceeXpeΓ ience,audi七 0Γ trainingandauditeXper| ence
Training,work° ︳
鐒雞鑈鎀 鑼 鐪雛鬱鑱 才
5年 中至 少有 2年 2年 於 第二個領域 同稽 核 師
鎀簸仰
繳︴
時韌〡
練
在 具 有 主 導稽核 師 在 具 有 第 二 個領 在 具有 主 導稽核
能力 的稽 核 師 帶領 域 主 導稽核 師 能 師 能力的稽核 師
與指 導下 ,培 訓 中 力 的稽核 師 帶領 帶領 與指 導下 ,
稽核 師 完成 四坎 完 與指 導下 ,完 成 扮 演 主 導稽核 師
整 的稽 核 ,且 不得 三次 完整 的稽核 ,
完成 三次 完整的
少於 20天 稽 核 經 且 不得 少 於 η5天 ,且
稽核-5天 不得 少
驗 稽核 經驗 於 稽核 經驗
上 述稽 核 應在 連 續 上 述稽核 應在 連 上 述稽核應在連
紛師
錛籛塕鋒 蠮 錛黤 谽鑯 ㄨ
▊倘若 已完成適當的高中(職 )畢 業後之教 育 ,
該教育得減少工作經驗 年數 η年 。第二領域
的工作經驗得與第一領域的工作經驗 同時取
鈐飄 鋊 休
得第 法 完階
齡灘 坤
。
二領 域 的訓 練是指 獲得 該 領 域 的相 關標 準 、
塕 貼舝製〞單 盼郎
全 部 的稽 核 經驗 須 涵 蓋整個 管理 系統標 準 。
繚帥
◎ by丁 C︳ C
M。 du| e可 S︳ ide9鬥
ㄏ
π已口
稽核 員訓練及稽核經驗 SO2了 006汁 η (|
— —
鍋黮 鐒紛 鐖 鏺黰♁餓 ︴
>︳ SMS稽 核 員遴選時,應 確保各稽核 員
a)具 備專業教育或與大學教育同等之訓練 ;
核及稽核 管理
織︴
SMS稽 核之經驗 。
銹繳 拂師瞞命聯翠黐帑鍰舞鏺 協營超好在 紗坤
”Tqc次 頁備註)
◎ Modu︳ eㄥ s︳ ide92
SMS稽 核 員必備之教育程度 、工作經驗 、
︳
稽核 員訓練及稽核 經驗 SO27006汁 2 (︳
躌黰鐫鎀 琚 銹攤錼籛 出
╮ e)具 備合 宜且及時的經驗 ;
f) 透過持續專業的提 昇 ,保 持在資訊安全及稽核 方
面的最新知識與技能 。
9)具 備依據 | SMS稽 核的能力 。
SO月 EC2700η 執行 ︳
鑈纖銹 淋
鎀齉螂
技術 專家應符合 a汁 b汁 及 e)的 規範 。
皤帥
;
釐籈 罈
稽核 員訓練及稽核 經驗 SO2了 006汁 3 (|
— —
鏺騶 鑈♁ 鑼 鋒黦盼鐊 才
洪 除 了稽 核 員的要 求外 ,遴 選稽 核 小 組 長 之規 範 應確
保 該稽 核 員 :
SMS稽 核 。此之 參與
a)積 極 參與 至 少 3件 完整的 ︳
翰黮 鎀 分
鑑 ,執 行評 鑑和 正 式的稽 核報告 。
兟“鐊龘搦螂軟鍰 擊籀 夥鑑轟 鏺 械券冷抑 宮 緲師
鬱粹
◎ by下 C︳ C
odu︳ eㄥ
山心 s︳ id。 94
稽核小組的能力 SO27006)一 η
(︳
π舐口
β
一般 要求 — — —
鑰簸錛鍛 鑼 鑰黤綁鐖 妳
汁 稽核 小 組成 員背景經驗 、特定訓練 或簡介 之 規 範 ,
至 少確保 :
a)對 資訊安全的知識 ;
b)對 受稽核活動的技術知識
鏺黤鑼 〝
;
c)對 管理 系統的知識
塕黤輕
;
d)稽 核原則的知識
颻小
;
.
l任 b)項 除外
,它 可由稽核小組稽核 員共同分擔之 。
汁 稽核小組應有能力從 客戶 ︳ SMS資 訊安全事故指標
回溯至適當的 ︳ SMS項 目 。
幼外
◎ by下 C︳ C
M° du︳ e可 S︳ de95
︳
稽核小組的能力 SO27006)-2
(|
一般 要求
彿籛鎀妙 饑 鑰黤盼鑰 本
汁 稽核小組應具上 列各項的適當工作 經驗及其實務應
用 (這 不表 示稽核 員要有資訊安全各領域之 完整經
SMS稽 核範圍
驗 ,.l隹 整個稽核小組 ,應 具備 涵 蓋 ︳
鑰簸齡 岱
的充分瞭解及經驗 )。 .
h鐒
鑈雞坤
籤
黫鑰︴竑♁聖黧 攤舉餵霹 鐒 赫猙玲許在 幼瑯
幼帥
◎ by下C︳ C
Modu︳ e↑ S田 de96
稽核小組的能力 SO2了 006汁 3 (︳
銹籛塕移 鑴 鐱籛鉿鑯 研
稽核小組全體成員均應具備下列知識 :
鑼攤鈐
c) 資訊管理風險評估和風險管理 ;
SMS之 程序
d) 適用於 ︳
#齺
鷻螂
;
鈜外
e) 可能與 資訊安全相關之現有技術或議題 。
鎗籛鏺坤鍍齵 寧崩
每一位稽核員都應滿足 a),c)和 d)項
繙移碳舞鑰 鎡器路黔≡ 谽攤
翰帥
◎ byTC︳ C Modu︳ eㄥ s∥ de97
稽核小組的能力 SO27006)一 猝 (︳
β舐uβ
﹏
資 訊 安 全 管理 系統 之 標 準和 規 範 文件 — —
鐒繳鑈妙 鑼 鏺籙銹鑨 、
參與 ︳ SAllS稽 核之稽核 員應具備下列知識 :
稽核小組全體成員均應具備下列知識 :
增加特定標準之部分)以 及其實務 ,包 含
鑰羻鄉
η)資 訊安全政 策
籤市
;
協籛齡坤瞞雜聖崔擺寧簽轟 鑈 筋弊玲紳工 黺卹
2)資 訊安全組織 ;
3)人 力資源安全 ;
碎)資 產管理 ;
6)密 碼學 ;
◎
byⅢ 語 ,等 同CNS2700┤ 之︳ 控制措施︳ Modu︳eㄔ sⅢ de98
稽核小組的能力 SO27006汁 5 (︳
簽瓶了
π
資訊 安全 管理 系統之標 準和規 範 文件 — — —
鑰黤鑰鍛 鑴 鏻雞鍛鑯 ㏄
7)實 體和環境安全 ;
8)作 業安全 ,包 括 ︳
下一服務 ;
錛籦鏺 沐
;
η
η )供 應商關係 ,包 括外包服務
鈐羻轉
;
2)資 訊安全事故管理
﹁
繳外
;
們)符 合性 ,包 括 資訊安全審查 。
幼外
◎ by了 C︳ C
MOdu︳ eㄔ S∥ de99
業務 管理 實務
彿籛銹眕 鑼 鑰黰紗鐖 一
的和結果問之相互 關係 ;
鉞︴
d)管 理流程和相關術語 。
銵籛鐒師站路聖絮 攤路簽瑋 鑈 筋貴鐸 崔 ψ坤
註 這些流程也 包括 人 力 資源 管理 ,內 部和 外部 溝
通 以及 其他 相 關支援 流程 。
¢師
◎ by了C︳ C
M° du︳ e可 S田 deη 00
稽核小組的能力 SO2了 006)-7
(| 碅瞴〞孋解 ﹏
靂甄留
靂
客戶 之 業務
齡籛鑰谽 璐 鑰鏈谽鐖 研
參與 ︳SMS稽 核之稽核 員應該具備下列知識 :
鑰繳銹 打
註 :法 律和法規要求知識並不 意味 需要深厚的法
鎀灘瑯
律背景 。
b)與 業務相 關的資訊安全風險
颻‘
;
錀簸鐖螂插路啦移瓶錫移箠舞齡 城鼙理好‘ 幼郎
c)與 客戶業務相 關之通用術語 、流程和技術 ;
a)項 之規範可由稽核小組共同分擔之 。
鍛帥
◎ by下 C︳ C M° du︳ e碎 S| ide﹁ 0︻
客戶 產 品 、流程和 組 織
鋒黦鎙♁ 鑼 鏺黰谽鑯 井
SMS
a)組 織型式 、規模 、治理 、架構 、功能與 ︳
鐪雞銹 外
發展和實做及驗證活動問關係之影響 ,包 括外包 ;
塕邏攤
b)宏 觀地觀察複雜的作業 ;
颻“
c)產 品或服務所適用之法律和法規要求 。
銹籧協抪竑鍛聖翟 鑼翠鍛幾 鑼 跡棗蹈 言 谽帕
谽師
SMS稽 核 小 組 長 之 能力要 求
︳
蹐雞 坳錯 孋 錀鍐 鎗饑
汁 除 了 上 述 要 求 外 ,稽 核 小 組 長應 符 合 下 列要 求
這些 要 求應 在 指 導與督 導 下所 做 稽 核 中加 以證
明
A鈐
:
黮鑰 淋
a)管 理驗證稽核流程和稽核小組之知識和技能
狒雞 螂
;
b)證 明在 口頭和書面兩方面具有效溝通之能力 。
π&口 ㄏ
一
齡黫妢鑯 鑼 鑰匙塕小錛籦 螂
管理 系 證 規範
餓→鈐黫 鏻嫵欺胡 寧罨 夥餒路坤
及
Mandato 呼
{ en七 S〕
拂 球分冷外 可 ♁球
♁好
◎ byTC︳ C
Modu︳ eη s㏄ de鬥 0碎
★︳SOη 702可 一 可ConfoΓ mityaSSeSsrnent— —Requirer【╮ entsfo「 bodieS
en七 Systems-Par七
anagerΥ ╮
provid| ngauditandcertification ofr︳ ╮
﹏
靂舐 靂
︴:RequiΓ ements符 合 性 評 鑑 一 管 理 系統驗 證 機 構 認 證 規 範 — —
撥
╮
臣態薳歹$窆 垂﹏
′怪 優基乏撥選盔
曲 我批 rm6野 &$$爸 $$路 e破 一 毆eq磁 甚確 無 e九 撫 範 ξ紐$由 佳$
封ca球 ♁出6ξ 維在n在 g兮 m守路七
在旗n建 它e踐 ≡
pr♁v≡ d:m各 a↓ 益子
Ⅶ 哦 兮路 〦 一 Pa雄 交:艮 兮件球:雖 m兮 外在$ 管理 系統驗證 璣構
認 證 規 範
(| s。 ′
| °
Ec︴ 了2︴ -竹 2° ︴
S〉
緞
A呂S了 又AC了 P剛 助
hp各 比;爸 〔
ε Ⅱε;每 在enεy母 nd| | ≡ n各 在ud;七 守﹏dCe茂 j再 εa︴ ︴
tyoξ bod| eSp↙ oγ 心︴ oΠ oΓ a︳ ︳七
y伊 es
。
女 人
鈇年
李毋
蘿
邁
蜜
盆祥
法 氏
兮
鉣 中
人
°了mε 舟守喜emε n七 Sys掐 的 S.
。
才
一
一
◎byTC| C Source:&奇 毛p$ :〃絲內Ψ四|
子$o.eFa′ Modu︳ e#S山 de鬥 05
D ★
︳So2了 006| n了or︳ Ⅵation techno︳ ogy— —SecuΓ ity七 echn子 queS— —
entsfoΓ bodieSproVid︳ ngauditandcertifica七 ion o了 inforrΥ ╮
Requi「 er︳ ╮ a七 ion
ymanagement systemS
Se● u︻ 七
鑈
職
盆$撬 多′
$♁ ′距缸且t$@番 工
丑 透♁乏♁
茂雄毌塵工
e〔 r| t兮 Chn| queg一
!n路 r出 $t| ° mt兮 ε ㄦ 碓 ♁ 紐
一
〦 狂
針 竹
資訊安全管理 森銃
邱
故證機構認證規範
睞
【
兮
幣
ㄑ{ !日 C27°
S。 了 6:2° { SAMD十 2。 2° )
。
﹍
GEHE球 L︳ 雄℃ R鰍了16與 $
﹉
PRⅢ 班
V 承tuS: ° Pub︳ 子
∫在
εd社 :。 n:〕
§︴ed
十 9ut七 :‘本妳o且 速在逸 :20全 6一 o?
ⅣtmjerofP色 各εε:2
谽
谽
粹
第 一 階段 稽 核 工作 重點 一η
Stage一 η lVOrk︳ ngiternS
、
鋒籛 嫋谽 鑼 鑈黮谽鑰 本
ˊ 初 次驗證 稽 核
▓ 管理 系統 之 初 次驗 證 稽 核 應 以 兩 階段 執
行 :第 一階段 與 第二 階段 。
鐑簸 搦 外
▄ 第一階段
鐱羧 鄉
汁 規 劃應確保 可 以 符 合 第一階段 的 目標
城市鋤籦 錫姊欺鋸 寧窈
且 應 在 第一階段 期 間告 知 客戶任 何
「現 場 」活動 。
鵝驚簽璅 鎀 貓第遰彳音 銹的
妙抔
◎ byTC︳ C
資料 來源 :︳ Soη 702仁 η:20︴ 5 M。 du︳ e碎 S︳ ;de↑ 08
第 一 階段 稽 核 工作 重點 一可 躝睏比齲醒
靂弛躩
#
s
ⅣorkingiteⅣ ︳
Stage一 η札
鑮灘佛紛 鐋 齡黫 鎀鵝 “
ˊ 第一 階段 稽核應幸 丸行
a)審 查客戶之管理 系統文件化 資訊 ;
鐒攤 鏺 跡
人 員討論 ,以 決定第二階段稽核的準備事項
c)審 查客戶之狀況及對標準相關要求之 了解
瞈羻 姊
,
籤妳
特別是關於 管理 系統的關鍵績效或重大事項
鐊籛 銹螂數鍰 翠露 夥鐋嬸帥
過程 、目標與運作之鑑別 ;
一 客戶 的場 區 ;
彿 缽舝饉〃君 嬐榔
一 使 用 的流程 及 設 備 ;
鍛帥
◎ by下 C︳ C 資料 來源 :︳ SO︴ 了02仁 ︴:20可 5 Modu︳ eㄥ s︳ ide可 09
第一 階段 稽 核 工作 重點 -2
Stage一 可$Ⅳ ork︳ ng| tems
銹黰 銹鎀 鑼 銹黫盼鑱
e)審 查第二階段稽核 資源之配置 ,並 與客
戶協定第二階段稽核之細節 ;
管理 系統及現場運作情形 ,以 便為規劃第
鑰邇 坤
二 階段 稽 核 提 供 重點
魏市
備註 :如 果 至 少部分第一 階段 是在 客戶 的現
丸行 ,比 舉 有 助於 達成 上 述 目標 。
場章
♁帥
◎所了
C℃ 資料 來源 :︳ SOη 702︴ 一
{之0{ 5 Modu!eㄔ S“ de︴ ︴0
第一 階段 稽 核 工 作 重點 -3
Stage一 η\Ⅳ orkingiterns
鐑黫繗鎗 蠮 錛籛縩鐖 八
ˊ 關於 達成第一階段 目標及 第二 階段就緒狀態的
書面結論 應傳達 給 客戶 ,包 括鑑別在 第二 階段
期 間可能被 歸類 為不符合項 目的任何相 關領域 。
鑈繳 鐒 熟
ˊ 決定 第一階段 與 第二 階段 稽核 間隔之 時間時 ,
蹸黮 忡
應 考慮 客戶解 決 第一階段稽核 時 ,所 鑑 別 引起
籤↑
關注領域 之 問題 的 需要 。驗證 機構 也可能 需要
谽帥
◎ byTC︳ C 資料 來源 :︳ SOη 702{ 一
{:20﹁ 5 Modu︳ e4s︳ ide﹁ Hη
第二 階段 稽 核 工 作 重點 一可 十
β也.β
Stage-2∼ Ⅳork:ngitems — —
鏺齬鑈炒 鑼 鏺讓盼鏺 、
ˊ 第二 階段之 目的 ,在 評 估 客戶 管理 系統之 實
施 情形 (包 括 有效性 )。 第二 階段應在 客戶
的現場 進行 。其 至 少應 包括 稽 核下 列事項 :
翰簸蹸 外
文件之所有要求的資訊與證據
颻寸
理 系統標準或其他規範性文件之期望一
致 ),執 行監督 、量測 、報告及審查 ;
d)客 戶過程之作業管制 ;
鎗擗
Stage-2札Ⅳork| ngitemS — —
鑇黮塕谽 鑴 鎀雛谽鑨 公
e)內 部稽核及管理審 查 ;
f)客 戶政 策之管理職責 。
鎀黤鐒 村
鈐攤螂
皺妳鐖蘿塕的箋鑑 穻霧犖鍜餾帥
鏺 插犩蛪﹁子 鈖妳
紛仲
◎ by了 C︳ C 資料來源:︳ SO┐ 702牛 η:20η 5 Ⅳlodu︳ eㄥ s∥ de鬥 可3
追 查稽 核 工 作 重點 中
彈舐u鍕
SuⅣ ei︳ |
anceaudit札 ⅣOrk:ngiterns — —
ˊ 重新 驗證 的 年 度除外 ,至 少每 個 日曆 年應 鏺籩 鏺翁 鑼 鐒黤鈖鑰 一
進行 一 次 追 查稽 核 。初 次驗證之 後 第 一 次
追查稽核 的 日期 ;自 驗證 決定 當 日起 不應
銹鑼 眑 ︴
超過 η2個 月 。
銹籦 珅
ˊ 追 查稽 核 是 現 場稽 核 ,但 未 必 然是 完整 的
甐︴
系統 稽 核 ,其 應與其 他 追 查 活動 一併 規 劃
鐒繳 齡坤竑鋡聖霍 播路聚轟 鑈 城騴冷許 宵 緲師
以便 驗證 機構 能夠 對 客戶 已驗證 管理 系統 ,
鐫籦鑰鐒 鑼 錛激鍛鑯 〝
ˊ 針對相 關的管理 系統標準每 次 追查 時應 包
括
a)內 部稽核及 管理審 杏 ;
鑰邏鐒 本
b)對 於先前稽核時 已鑑別之不符合事項所採
齡簸螂
行措施 的審查 ;
e)針 對 已規劃之持續改善活動的進展 ;
f)持 續的作業管制 ;
g)任 何變更之審查 ;
鍛外
◎ by下C︳ C 資料 來源 :︳ SO可 702︴ -︴ :20︴ 5 Modu︳ e→ S| ide鬥 η5
重新 驗證 稽 核 之 規 畫︳ 十
′我▌
好
— —
鑼靆鏺鎗 鑼 鐱雞♁饑 必
ˊ 重新驗證稽核 之 目的在於確 認 客戶管理 系統整
體的持續符合性與有效性 ,以 及 其驗證 範 圍的
持續相 關性 與適切性 。重新驗證 稽核應 予 以規
劃及 執行 ,以 評估 客戶持續達成相 關管理 系統
銹麗瞈 何
| 時更新 。
〡
ˊ 重新驗證活動應 包括審查過去的追查稽核報告 ,
}
並考慮管理 系統在最近的驗證 週期 內之 績效 。
ˊ 當管理 系統 、組織或管理 系統運作 之環境有重
大 變更 (例 如法律 上 的變更 )的 情形 時 ,重 新
驗證 稽核 活動可能 需要有第一 階段 。
谽帥
錛籛 鏻翰 鑼 鑰麶 谽鞿 研
╮ ˊ 重新 驗 證 稽 核應 包括 說 明下 列事項 之現 場
稽核 :
銹黤 鎀 然
系統之有效性 ,以 及 其驗證 範圍的持
鐒灘 螂
續相 關性與適切性 ;
籤外
b)展 現 維持 管理 系統之 有效性與 改善
坲籛 鐑姊箋錣 移抾谽緇駕鑼齡
,
以提升 整體績效的承諾 ;
塕 航輩理好子 紛抪
ˊ 至於任 何 主要不符合 事項 ,驗 證機構應訂
定 改正 與矯正措施 期 r艮 。改正 與矯正措 施
鎗外
應於驗證 到期前實施並經確 認 。
◎byTac 5 η:20{
資料 來源 :︳ SOη 702η 一 Modu︳ e4§ ︳
ideη ﹁7
D
重新 驗 證 稽 核
Recertificat| on
現動 期 後 如
ˊ 果 驗 證 機構 尚未 完成 重新驗 證 稽 核 ,或 驗 證 機
鑰雞 坤
構 在 驗 證 截 止 日期 前 無 法 查證 任 何 主 要不符 合 項
籤〦蚴籩 搦師欺銘 擊露 翠建雀 鎙 筋甚砱鉾 — 谽師
目是 否 實 施 改 正 或矯 正 措 施 ,則 不應建議 重新 驗
證 ,且 不應延 長 驗證 的 效 期 。應 告 知 客戶 並 解 釋
其後 果 。
ˊ 驗 證 到期後 ,驗 證 機構 可 在 6個 月 內恢復驗 證 ,
惟汗艮定 已完 成 重要 的 重新 驗 證 活 動 ,否 則 至 少應
進行 第 二 階段 稽 核 。證 書 的有 效 日期應在 重新 驗
證 決 定 當 日或 之 後 ,截 止 日期 應 以 上 一 次驗 證 週
鎗外
◎
”下ClC期 為 依 據 。 資料 來源 S0可 702η 一
:︳ {:20█ 5 ︹
田odu| eㄥ S︳ ide鬥 ︻8
特別稽 核 一增 列驗證 範 圍
Specia| audits一 EXtensions tOscope
鑰羷攤紛 礔 錀黫給鑯 依
ˊ 驗證 機構 應 對 已授 與 驗證 範 圍之 增 列
申請 ,作 出回應 並 進行 申請審 查 ,以
及 決 定任 何 必 要 之 稽 核 活 動 ,以 決 定
鑈靆鑰 熬
齺黤螂
是 否可授 與 增 列 。此項作 業可 與 追查
欸“
稽 核 一併 執行 。
林
幼外 =盼 鏺黫鑰忡饑鏃 學斷路學箠錙鋨 鎡璻礅′
◎ byTC︳ C
資料 來源 :| So︴ 702仁 η:20η 5 M。 du︳ e再 S∥ deη η9
特別稽 核 一臨 時通 知 稽 核 ﹊
π蟲|
β
Spec︳ a| audits一 Short一 noticeaudits — —
鏺鑼鏺紗 鑼 鑰黰鈔鑞 ︴
ˊ 驗證 機構 為調 查抱 怨 或對 變更採取 回
應 或跟催 暫 時終 止 的客戶 ,臨 時通 知
或不 經 通 知 對 已驗證 客戶執 行 稽 核 可
銹難鎀 外
能 是 必 要 的 。在 比 情 形 時
鑰簸抑
瓶
客戶知 悉 ,執 行稽核訪視之條件 ;
◎ by了 C︳ C
資料 來源 :︳ So︴ 702﹁ 一
η:20η 5 Modu︳ e6s︳ ︳
deη 20
暫 時 終 止 、終 止 或減 列驗 證 範 圍 靂颻 靂
﹏
Suspending,withdraWing0r「 educingthescopeofcertification
— —
餩簸 錀劬 鑼 鏺雞谽鑯 衣
ˊ 驗證 機構應有暫時終 止 、終 止 或減列驗證
範 圍之政 策及 書 面化 程序 ,而 且應規定後
續 的措 施 。
縐雞 瞈 ㄙ
ˊ 當有下列狀 況 時 ,驗 證 機構應暫時終 止驗
銹羻 師
證 ,例 如 :
一 已驗證 客戶 自願 請 求暫 時 終 止 。
ˊ 在 驗證 暫時終 止期 間 ,客 戶 之 管理 系統驗
證 暫時無效 。
掰帥
◎ by下 C︳ C
資料來源:︳ S0可 702仁 η:20-5 M° du︳ e冷 S︳ ide鬥 2﹁
暫 時 終 止 、終 止 或減 列驗證 範 圍
SusPending,WithdraWingorΓ educ︳ ngthesc0peofcertificati。
。
ˊ 若 導致 暫 時 終 止 的問題 已經 解 決 ,驗 證 機 鑼雞 鏺鈖 鑼 鐑籦 鎀鑰 叭
問題 時 ,驗 證 範 圍應 予 以 終 止 或減列 。
鋪籦 姊
備註 :在 大多數情況下 ,暫 時終止不可超過六個
籤琦
月 。
鐒籛銹坤插鏤聖幫 璐駂殲騿 鑰 插器玲抔 常 鐒的
要 求 一致 。
◎by丁 C厄 資料 來源 :︳ SO︴ 702可 -︴ :20可 5 ╮
田odu︳ eㄔ S︳ ide可 22
AFDocuments一 Mandato呼
︳ Documents #
強制 文 件 靈薽口
嬋
— —
鑰黮 錛盼 鑴 鑰雞餘鑯 休
AF︳ⅥD可 :20可 8︳ AFMandato呼 D° cument了ortheAud㏄ andCer七 i扎 aHon of
︳ ˊ
a〝 llanagementSyst㎝ opeΓ a七 edbyaMuⅢ -SiteOΓ gan矻 a小 on國 際 認 證 論
壇 對 執行 多場 區組 織 管理 系統 稽 核 與 驗 證 之 強制 性 文 件
︳AFⅢ D2:20η 了︳ AFMandat0呼 DOcumentfortheTransferof
鰳籲 鐒 淋
Accred㏄ edCert︳ Ⅱcajon ofManagementSystems國 際 認繃 痯 對 已
認 證 驗 證 之 管 理 系 統 的移 轉 之 強制 性 文 件
翂驗 拂
︳AFⅢ D再 :2022︳ AFMandato呼 D。 cumentfoΓ theUseoflnfoΓ mauon
鍼小
andCorΥ ╮municauon下 echnO︳ Ogy(︳ C下 )forAud㏄ ing/Assessment
塕籛 鑰郎毀黐 聯竑路嗧簽攤帥
PurposeS國 際認證論壇對應用資訊及 通訊科技 C下 )於 稽核評鑑 (︳
用途之強制文件
AFⅢ D們 :20可 3︳ AFMandatoΓ yDocumentforApp| icauon of
︳
SO/︳ ECη 702﹁ 了
︳ ntegratedManagernentSystemS
0Γ Aud㏄ So了 ︳
MS)國 際認證論壇對︳
錀 妳蜜蛪ㄏ— ♁妳
(| SO.| 巨C可 702可 應用於 整合性管理 系統稽
核之強制性文件
AFⅢ D26:2● 22TRANS| 下︳
︳ ONR巨 QU︳ REM巨 N下 SFOR
SO/| EC2700η :2022國 際 認 繃 S○ EC2700可 :2022轉
谽外
| 瘧對︳ /︳
版 要 求 之 強制 文 件
◎byTC︳ C S° urce:#tps:〃|
a了 .nu′ M。 du︳ e可 S︳ de﹁ 23
︳
′&π
區組 理 統 核 驗 證 之 強 性 文件 — —
ˊ 多場 區紅 錢驗 證之 資格 銹黵錛妙 皤 鑰籦紛鑰
▅ 組 織應 具備 單 一 管理 系統 。
▆ 組 織應 定 義其核 心 功能 。核 心 功能 為 組 織 的一
部 份 ,不 得轉 包給 外部 組織 。
#銹
難佛 外
▅ 核 心功能應 有 定義 、建 立和 維護 單 一 管理 系統
鋤雞坤
之組織權 限 。
鉞、
▋ 組織單 一 管理 系統應 為集 中化 管理 審 查 。
壣譊錛螂欺鍰 鞏簼學鍰幾 鏺 描登餵好甘 幼師
◎ byTC︳ C
Source:h故 p$:〃 |
a了 .n田 Modu︳ eㄔ s| ;deη 2ㄥ
AFMD▋ :2● 可8國 際認證 論壇 對執行 多場
︳
區組 核 與驗證 之 性文
齡皺狒谽 鑴 銹籩艕撥 外
ˊ 多場 區組織驗證之 資格
▆ 核 心功能應 負責確保來 自於所有場 區數據 資料
的收集和分析 ,並 應能夠展現必要時有權 限和
能力啟 動組織變更 ,但 不 r艮 於
銹籛鐒 林
:
鈐齷 叫
;
φ→管理審查
鋮小
;
(什 )矯 正措施評估 ;
r子
銹姊
定必須設於 單一場 區 。
幼帥
◎ by下 C︳ C
Source:h投 pS:〃 亡
接手.nu′ 山︳
odu︳ e玲 S︳ de可 25
︳
-8國
AFMD可 :2●
︳ 際認證 論壇 對執行 多場
區組 理 統 核 與 驗證 之 強 性 文
ˊ 取樣 鑰籛 鏺鬱 鐖 鑰籛幼鑰 、
■ 樣 本 中至 少應 25 °
銹籮 坤
█ 考 量 以 下 的選取 外 ,其 餘 樣本 的選取應
皺︴
以在 證 書有 效 的期 間內 ,對 所 選 取廠 區 的差異
鐕雝 齡師鎡鬱堅鯬 錦郛硪讓 鏺 描第跆帥 章 鍛姊
性 是儘 可能 愈 大 愈 好 。
▆ 場 區選 取應 考慮 以下 幾個 方 面 :
洪 有 關抱 怨及 其他相 關矯 正及 預 防措施 事項 之 紀 錄 ;
鎀帥
◎ 盯 下C| C
Sou「 ce:h︴ 七
p$:〃 :嶺 了
.&吐 r M° du︳ eㄥ S山 de{ 26
AFMD仇 2● 化 國際認證 論壇 對執行 多場
︳
餒瓶 靈鬾
才
區組 理 統 驗 證 之 強制 性 文 — —
鐖黤瞈谽 鑴 鐱黤鋒鑯 站
洪 場 區規模有顯著變更 ;
汁 輪班型式及作 業程序 變更 ;
錛激銹 小
;
瞈雞螂
議題及相 關範 圍
颻外
;
洪 文化 、語 言及法規的差異
>地 理 分佈 ;以 及
洪 場 區是否為永久性 、臨 時性或虛擬 的 。
▋ 樣 本選 取 工 作 不 必於 執行 稽 核 過程 開始 時完成
,亦 可在 完 成 核 心 功能 之 稽核 後 完成 。在 任 何
情 況 下 ,均 應將選取作 為樣 本 之 場 區告 知 核 心
功 能 。告 知之 方 式得採 臨 時 通 知 ,但 仍應 為稽
鉻師
核 準備 預 留之 充分 時 間 。
◎ byTC︳ C
Source:h社 ps:〃 |
a了 .n$′ 山︳
odu| eㄥ S︳ :de︹ 2了
-8國
AFMD可
︳ :2● 際 認證 論 壇 對執行 多場 ﹏
β找口
π
區組 理 統 驗 證 之 強制 性 文 — —
ˊ 樣本 規模 鑈黦鰳妙 鑼 鑰邏紛鑯 ㄞ
▅ 每 次 申請每 多場 區 的取樣 時 ,驗 證 機構 應 子
以 記 錄 ,並 證 一
明該 組 織確 實根 據 本 文 件運作 。
▅ 每 次 稽 核 之 場 區 最 少數 目如 下
鐊灘鑰 外
汁 初 次 稽核 :樣 本規模應等於場區數 目之平方根
鑰籧坤
汁 追 查 稽 核 :年 度追查之樣本規模應等於場 區數 目
之平 方根乘以 0.6(y=0.6弦 ),且 無條件向上進位 成
至 整數 。
汁 重 新 驗 證 稽 核 :樣 本規模應與初 次稽核相 同 。但
若 管理 系統在驗證 週期內證 實 已發揮其效果 ,則 樣
本規模可減為 :y=0︳ 8依 ,且 無條件向上進位 成至整
u毒
幼坤
數 。
紛師
◎ by下C︳ C
Source:h投 ps:〃 工
a了 .n﹏ ′ M° du︳ e可 S︳ ideη 28
AFMD一
︳ 可8國 際認證論 壇對執行 多場
=2●
邇騮翔豳麟 ψ
籚颻 靂
區組 理 統 核 與 驗 證 之 強制性 文
瞈雞銹谽 鑴 錛夒谽麟 本
▌ 核 心 功 能應 在 初 次驗證 及 每 一 次 重新驗 證 稽 核
時進行 稽核 ,且 至 少每 一 日曆 年 進行 一 次 ,做
為 監督 的 一 部 份 。
■ 如 果 經驗證 機構針 對 申請 驗證 之 管理 系統所 涵
鋒鑼鎀
活 動 進行 風 險分 析 後 ,發 現 在 下 列 因
蓋 之 流 程′
$塕
鸂螂
素 中出現任 何特殊 狀 況 ,應 增 加 樣本 規模 或頻
洪 作 業方 式變動(例 如輪班 工作 );
>所 採取 流程/活 動之 變動 ;
洪 任何 多國性 質之考量 ;
谽押
◎ by下 C︳ C
Source:h音 七
ps:〃 了
…n吐 ′ Modu| e6S| ︳
deη 29
=爸
β舐口
好
區組 理 統 核 驗 證 之 強制 性 文 — —
▅ 當組織之各分支機構係採取層級式架構 (例 如 鋪黦 鐒谽 鑼 銹繳 鎀鐖 弟
:總 部 (中 央 )辦 公室 、國家型公 司 、區域型
辦公室 、地方分支機構 ),則 每一層級之初次
稽核準用前述之取樣模 式 。
鐑雞 鎀 缶
螉籩 媩
▊ 區域型辦 公 室之 樣 本 必 須 包括 至 少 一個 由各 自
皴︴聯錘齡碎竑雜聖窯 轉蹛窮讓 鐒 插券路掛 宵 妢的
的 國家型 公 司所控 制 之 區域 型辦 公 室 。地 方分
支機構 之 樣 本應 包括 至 少 一 個 由各 自的 區域 型
辦 公 室所控 制 之地 方 分 支機 構 。如 此 可 能造 成
每 個 層 級 的樣本規模 超 過 最 小樣 本 規模 。
♁粹
◎ byTC︳ C
Source:h從 p$:〃 :接 了︴
外↓′ Modu︳ eㄥ S︳ de︴ 30
︳
AFMD伙 互0η 8國 際認證 論 壇 對執行 多場
︳
r蟲嫠蚳
才
區組 理 統 核 驗 證 之 強制 性 文 — —
鐖靉鑰蚡 鑼 鑰灘艙鑯 式
■ 取樣流程應 為稽核計畫管理 的一部份 。任何時
候 (即 規劃追查稽核 以前 ,或 任何 組織場 區變
更其結構 之 時 ,或 獲取新場 區並將該場 區新增
到驗證範圍的情況下 ),驗 證機構應審查稽核
鑈黮鐒 本
計 畫中預知 的樣本 ,以 便在稽核樣本確定前是
齡雞螂
否 需要調 整樣本規模 ,以 達到維持驗證 的 目的
AFMD▅
︳ :2● π8國 際 認證 論壇 對執行 多場
區組 理 統 驗證之 制性文
ˊ 稽核 方案 彿麶鑰妙 皤 鋒纖♁鐑 才
汁 每 一場 區提供 的流程 /活 動
銹籬齡 外
汁 確 定 有 資格被 取樣 的場 區 以 及 不 可被 取樣 的
鐱黫坤
場區
戧︻
;
錛擻協妳琳路聖黧 緇舉錄霹 鋊 協雀蛪γ甘 鍛妳
項 技 術 (參 照 ︳ AFMD猝
S○ 用主Cη 702η 一可及 | ))。
◎byTC︳ C Source:h牲 ps:〃 ︴
a了 .nu了 Modu| eㄔ s︳ de● 32
︳
AFMD可
︳ :2● 可8國 際 認證 論 壇 對執行 多場 蠐 竹
靂兙麤舐
區組 理 、
統 核 驗證之 性文
齡籛鋊鎗 鑼 錛皺谽鐖 Λ
▓ 若任 何 稽核 小 組 成 員超過 一 人 以上之 情 況 下 ,
銹纖鈐 恥
錀籛班
ˊ 計 算稽核 時間
鏚外
▅ 符 合規 範 資格 的 組 織 可 包括 可取樣 的場 區 、不
▊ 除 非特 定方 案 已預 先排 除 ,否 則縮 減每個 取 樣
場 區 的稽 核 時 間應 不得 超 過 50o/o。
谽帥
C
◎ by孔 ︳
Source:h之 走
ps:〃 :a了 .nuˊ Modu︳ eㄥ S︳ ide{ 33
-8國
AFMD什 2●
︳ 際認證 論 壇 對執行 多場
區組 理 統 核 與 驗 證 之 強制 性 文
ˊ 計 算稽核 時 間 銹纖鑈♁ 鑼 錛攤谽鑰 打
▓ 符 合規 範 資格 的 組 織 可 包括 可取樣 的場 區 、不
可取樣 的場 區 或者 兩者 的 組合 。無論 組 織 的 結
構 如 何 ,稽 核 時 間 必 須 充份 以 進行 有 效 的稽核
錀繳銹 年
齡籛抑
▓ 除 非 特 定 方 案 已 預 先 排 除 ,否 則 縮 減 每 個 取 樣
敏打鋒籛鋤轉瓿鋒堅發 鐖嗧鍰舉 鑰 插簽琀掛莒 鎀坤
場 區 的 稽 核 時 間應 不 得 超 過 50°/o。
例 如 :︳ AFMD5所 允許的最大縮 減稽核時間為 30°/。 ,
鎨黮鏺繃 蹸 鑰灘紛鑯 眠
ˊ移轉 驗證
▅ 移轉驗證定義為 ,由 已認證之驗證機構(以 下稱
「接受機構 」)以 核發 自己所擁有之管理 系統證
書為 目的 ,認 可另一 已認證之驗證機構(以 下稱
鑰籛齡 然
「發證機構 」)現 存且有效之管理 系統 。
壣灘螂
皴兮鏺黫鑱姊笑黐 聯磁熪鋒無鐖 錢 筋壨觳〃甘 盼︴
註 :多 重驗證(由 一個 以上 的驗證機構共同驗證
)不 包括於上述定義內 ,且 ︳AF不 鼓勵此
行為 。
Mu︳ tip︳ ecert︳ f︳ cation(concurrent
cert︳ f︳ cat︳ onby!η orethan one
cert︳ ficationbody)does notfa︳ ︳
underthe
nitionabove,andis notencouraged
鍛帥
def︳
◎ by丁 C︳ C
by︳ AR
Source:h蛙 ps:〃 |
a了 .nu′ Modu︳ e4S︳ ide﹁ 35
AFⅢ D2:2● 可了 國際 認 證 論 壇 對 已認 證 驗
︳ ﹏
好戤 π
證 之 理 統 之 強 性 文 — —
鈐攤鏺♁ 鑝 鏺獵紛鐖 才
ˊ最低 要 求
驗證 資格 移轉
▋ 只有 經 ︳AF或 區域 M∟A簽 署者 之 簽署 認證 範
圍 內之 ∟eVe︳ 3,適 用 時 ∟eve︳ 碎及 └eVe︳ 5的
銹驤鑰 外
證 書 方得移轉 。組 織持 有 之驗證 未 包含 於 上 述
鐱雛妳
範 圍者應 視 為新 客戶 。
籤才縐籧鑰螂欺鎖 學籀璣撥舞 鏺 航華跨掛甘 谽郴
◎ by下 C︳ C
Sou「 ce:h故 pS:〃 :a了 .nu/ Modu︳ e{ SⅢ deη 36
AFMD2:2● 可了 國際 認 證 論 壇 對 已認 證 驗
︳
證 之 之 強制性 文 件
齡籛 鐫盼 鐋 塕皺幼鑯 外
ˊ 最低要 求
移轉 前審 查
▅ 接 受機構應有取得 足夠 資訊之流程 以做 成驗證
決定及將 其 流程通 知 移轉 之 客戶 。此提供 之 資
縐籮 蠮 本
訊 應 至 少 包括 驗證週期 之 安排 。
坳雞 螂
▅ 接 受機構應執行移轉 客戶 之驗證 審 查 。此審 查
籤外
應 以 書 面審 查之方 式為 之 ,若 經 審 查後鑑別 出
盼帥
審 查該 驗 證 範 圍之 稽 核 小 組 相 同之 能 力 。
◎盯下C C︳ Source:h址 ps:〃 工
φi↑ 坐
上 Modu!eㄔ s︳ :de可 37
AFⅢ D2=2● 可了 國際 認 證 論 壇 對 已認 證 驗
︳
證 之 理 統 之 性 文
鑈雥鐒♁ 鑼 鑈黤紛鑯
■ 審 查須 涵 蓋下列層 面 ,所 有發 現應 完整 並將 其
書 面化 。
φ)確 認 已驗證 客戶 之驗證 屬 於 發 證 機構 及 接 受
機構 之 已認證 範 圍 內
$齡
;
灘齡 外
◆ψ確認發證機構之認證範圍屬於認證機構之
鐱黤坤
A/l∟ A範 圍
颻︴
◆iψ 尋求移轉之原 因
鐒籛銹師瞞路聖翟 擺聯簽幾鑰 械羷玲所︴ 錯師
(吋 )想 要移轉驗證的場 區持有有效的已認證之
驗證 ;
U
♁帥
◎ by下C︳ C
SOurce:h址 p$:〃 |
砝串.n“ ′ Modu| e冷 S︳ ide鬥 38
AFMD2:20仃 國際 認證 論 壇 對 已認證 驗
︳
證 之 理 統 之強 性 文
槲簸鑰鍛 鐖 鑰黤皴鏹 必
(v)初 次驗證 或最近 一 次驗證之 稽 核報告 、最近
一次之 追 查報告 ,及 所有 由此類 報 告所提 出
之 顯著不 符合 項 目之 狀 態 ,以 及 可行 時 ,驗
證 流程相 關之 書 面化 文件 。若 這些 稽核報告
銹黮鎀 熬
無 法取得 ,或 追查稽 核報告 、重新驗 證 稽核
齡簸碑
報告無 法於 發 證 機構 規 劃 之 稽核 方 案期 間完
觬外
成 ,此 類組 織應被 視 為新客戶 。
(Ⅵ ︳
)建 立稽 核 計 畫及 稽 核 方 案之相 關考 量 。若
可行 時 ,發 證 機構 建 立 之稽核 方 案須 加 以審
杏 。
(Ⅵ i︳
)移 轉客戶 目前在 法律上與驗證範圍相 關對
符合法定機構的義務 。
鍛帥
◎ by下 C︳ C
Sou「 ce:h之 t鉒旦〃工
爸了.nu′ M° du| e碎 S︳ ideη 39
一
AFMD2:2● 可了 國 際 認 證 論 壇 對 已認 證 驗
︳
證 之 之 強 性文
ˊ移 轉 驗 證 鋊攤鍋♁ 鑼 鐒灘◇鑰 ︴
(︳
φ︳)已 接受移轉客戶對次要不符合之改正及矯正
鑰羻坤
措施計畫
籤帝
別 出妨礙移轉完成之議題 ,接 受機構應視移轉
客戶為新客戶 。
▊ 接受機構應將 此類情況之合理理由書面化並 向
移轉客戶說明及保存 紀錄 。
鎗擗
◎ by了C| C
SouΓ ce:h故 ps:〃 工
a了 .nu′ M。 du︳ e碎 S田 deη ㄔ0
AFⅢ D2二 2● 可了 國際 認 證 論 壇 對 已認 證 驗
︳ 淺豳路曲齖 竹
靂甄 靂
證 之 理 統 之 性 文
彿雞僯砏 聯 狒麶鏺鐖 外
▅ 接 受機構 應 遵循 依 據 ︳ SO/︳ EC﹁ 了02仁 η:20▅ 5
銹繳鋒
■ 若 移轉 前審 查未發 現任 何 問題 ,驗 證 週期應 依
$翂
據 原 驗 證 週期 ,且 接 受機構 應針對未 完成 之驗
鑼螂
鈚介
證 週期 建 立 稽 核 方 案 。
鑰麴鐱垹毀黐 璣鎡侈學錯播帥
註 :接 受機構 可於 驗證 文 件 引用移轉 客戶 之 初 次驗證 日
期 ,以 表 明係 於 何 時為其 他驗 證 機構 之 客戶 。
▅ 若 接 受機 構 於 移 轉 前審 查後 須 將 移轉 客戶視 為
新 客戶 ,驗 證 週 期應 始 於 驗 證 決 定 。
銹 航曌建η— 妙跡
▊ 接 受機 構 應 於 追 查 或 重新驗 證 開始 前 即 完成 驗
證 決定 。
谽帥
◎ by了 C︳ C 追ps:〃 君
Source:乩 帝 af.&u′ Modu| e4S︳ ide┐ 碎︹
AFⅢ D2:2● η了 國 際 認 證 論 壇 對 已認 證 驗
︳
靂鬾◤
露
↓
證之 管理 統 之 強制 性 文 — —
ˊ 發 證 機 構 與 接 受機 構 間之 合 作 銻雞銹鎀 鐖 鎙黦劬鑰 升
構 溝通 時 ,則 應 記錄原 因且 盡全力從 其他 來源
籤︴鎀籛鎀師欺齵 擊的
取得相 關資訊 。
▓ 移轉 客戶應授權發 證 機構提 供接 受機構所 需要
的資訊 。若 組織 已通知發證機 構 要移轉 驗證 ,
擺學緩瓖鏺 筋器玲紳言 鎀師
發 證 機構 不應在 組 織 仍 符 合驗 證 要求的情 況 下
,暫 時 終止或終 止組 織 的驗 證 。
鎀外
◎ 盯 下C︳ C
SoUrce:乩 筑p$:〃 :發 了
.n吐 r m〔 odu︳ eㄥ s| de︴ 可2
︳
AFⅢ D2:2● 可了 國 際 認證 論 壇 對 已認證 驗
︳ ︴
蛋紈 釐
證 之 理 統 之 、
制性 文 — —
辮黤 鑰谽 擺 錛靆 給鑯 研
▊ 接受機構及/或 移轉客戶於發證機構發生下述情
況下 ,應 聯絡發證機構之認證機構 :
鐱黮 錛
證
▌ 認證 機構應 有程序 規 定 此 情 況 ,包 括 當發 證 機
$鑯
簸螂
兟兮
構 不與接 受機構合作 ,或 沒 有任 何 理 由暫 時終
!妢
師
劬師
◎ by下 C︳ C
Source:h近 ps:〃 |
爸了.nu/ Modu︳ eㄥ s︳ ideπ ㄥ3
ㄏ&r
通訊科技 ︳CT 於 稽 核 /評 鑑 用途 之 強制 文 件 — —
鑈黮縐鎗 鑴 鑰籛妙鑞
C下 的範例 ,包 括 但 不 限於
ˊ 稽核 /評 鑑 期 間使 用 ︳ :
▋ 會議 ;以 電話 會議 設施 為 工 具 ,包 括 音 訊 、視
訊 與 資料 分 享
▅ 透過 同步 (即 時)或 非 同步 (適 用 時)遠 端存取 的方
$協
灦協 何
式 ,稽 核/評 鑑 文件與 紀錄
鐱黫姌
▆ 利 用磁 卡攝影 、視 訊 或音 訊錄 影 記錄 資訊 與 證
飆打齡籧鑰一竑鬱聖黧 鍋路幾盞 齡 磁器玲討值 谽的
據
▅ 針對遠端 或有潛在危 險的位 置提供視 覺ˊ 音訊 的
存取功能
♁師
◎ by了C︳ C
Source:h投 p$:〃 :a了 .n以 / Modu| eㄥ s| ide鬥 46
AFⅢ Dㄥ :2● 可8國 際認證論 壇對應 用 資訊及
︳
通訊 科技 ︳C下 於 稽 核 /評 鑑 用途 之 強制 文 件
鐖巍銹艕 濌 鐱巍鎀鑈
ˊ 有 效 的應 用 |C下 於 稽核/評 鑑 用途 之 目標 包括 :
▋ 針對 ︳ C下 的應 用 ,提 供 靈活且 非 規 範 性 質的方
法 ,以 提升傳 統的稽 核 /評 鑑 過程 。
▅ 確保 有 充分 的控 管措 施 ,避 免 因為濫用而損 害
A鈖
幾鏺 打
稽 核′
評鑑 過程 的完整性
鈐蘶抑
▅ 保持安 全性 與永續性 的原 則
銹帥
◎ by下 C︳ C Source:h堆 pS:〃 ′ 山︳
odu︳ e再 S︳ de可 45
|
=af.n以
)
AFⅢ D再 :2● ▋8國 際認證論 壇 對應 用 資訊及
︳
一 通訊 科技 ︳C 於 稽 核 /評 鑑 用 途 之 強制 文 件
一
ˊ 虛擬 場 區 鏺籩彿鬱 鑼 銹黮盼鑰 、
■ 客戶 組 織 利 用線 上 環 境執行 工 作 或提 供 服 務 的
虛 擬 地 點 ,允 許 不 同實 體 地 點 的 人 員執行 流 程
蠮羻鈐 本
裝或修 理 。
h銹
籩齡師欺鍰 寧露筠錶繅 鐒 描崔婬拜官 鎗師
鏺雞鑰紛 磻 鑰麗谽鑯 必
ˊ 虛擬 場 區
▓ 客戶 組 織利 用線 上 環境執行 工 作 或提供月 艮務 的
虛擬 地點 ,允 許 不 同實 體 地點 的 人 員執行 流 程
錛籛 鍋 林
備註 η:必 須在 實體環境執行 的流程不能認定為虛擬場 區 ,
翰攤螂
例如 :倉 儲 、製造 、物理 測試 實驗 室 、實體產 品安
鉞小
裝或修理 。
幼帥
◎ by下 C︳ C
Source:h之 道
ps一 〃|
a三 ●u′ ╮
刀odu︳ eㄔ s︳ ideη ㄔ7
▄︳ C下 應 用於 稽 核 /評 鑑 用途 時 ,電 子 或 電子 傳輸
資訊 的安全性 與保 密性 非 常 重要 。
▊將 ︳ C下 應 用於 稽 核 /評 鑑 用途 之 前 ,接 受稽 核 /
$錛
黤齡 外
評 鑑 之 機構 與執行 稽核 /評 鑑 之 機 構 ,雙 方應根
蹸籦師
據 資訊 安全 及 資料保 護措施與 規 定 ,達 成 ︳ CT
餓心鑈讓砩咑欺鍰 瞿羆舉強舉 鑼 描憂餵γ守 谽協
應 用於 稽 核 /評 鑑 用途 之 協議 。
▅ 如 果不執行 這些措施 或不 同意 資訊 安 全 與 資料
保 護措 施 ,執 行 稽核 ′ 評 鑑 之 機 構 應使 用 其 他 方
法 執行稽核 /評 鑑 。
▅ 對於 將 ︳ C下 應 用於 稽 核 ′評 鑑 未達 成協議 時 ,應
使 用 其 他 方法 來達 成稽核 /評 鑑 的 目標 。。
盼外
◎ bytC︳ C
SouΓ ce:乩 投pS:〃 ︳
af.nu′ M° du︳ e冷 S叮 deη 可S
AFMD碎 :2● ▅8國 際認證論 壇 對應 用 資訊及
︳
通訊科技 ︳
CT)於 稽核/評 鑑用途之強制文件
塕籛狒谽 鐋 鑰齻 鎗鐖 研
ˊ 過程 要 求
▅ 每 一次於 相 同條件下使 用 ︳ C下 時 ,機 構 應鑑別 並
記錄 可能 影響稽核/評 鑑 有效性 的風險與機 會 ,包
括技術 選擇 以及如何 管理 技術 。
錛靆 鋒 跡
▊ 提議將 ︳ C下 應 用於 稽 核 /評 鑑 活動時 ,該 應 用之審
瞈黫 螂
查應 包括檢 查客戶與 稽 核ˊ 評鑑機構是 否有 必 要的
籤妳
基本設 備 以 支援建議使 用的 ︳ C下 。
鎀籩 銹坤幾餵 鱀 璆嗧鐘譁 錫 插愛 鄰 君 ♁拂
▅ 考 量所鑑別 的風險與機 會 ,稽 核/評 鑑 計 畫應鑑別
將 如 何利 用 ︳C下 ,以 及 將 ︳ CT應 用於 稽核/評 鑑 用
途 的程度 ,以 提升稽核 /評 鑑 有 效性與效 率 ,同 時
保持稽核/評 鑑過程 的完整性 。
■應用 ︳ CT時 ,稽 核 員/評 審 員及 其他 參與 的人 員(
如 :無 人機 飛行 員 、技術 專 家)應 具備相 當的能力
及 資格 ,瞭 解 及使 用所採 用的 資訊及 通 訊 科技
燄帥
,
希主 。
h鐒
邏齡抪欺鑑 寧罷 蹋鍛旗 鈐 跡璆玲跡 君 鍛外
擬 場 區 已納 入 且 應指 出在 虛 擬 場 區所 執行 的 活 動 。
◎ by下 C︳ C Source:我 之老p$:〃 :接 f﹏ 辟 吐r Modu︳ e碎 S| ide可 50
AFMD們 :20可 3國 際認證 論壇 對 |SO月 巨C
︳
可702η 應 用於 整合性 管理 系統稽 核 之 強制性 文件
齡黤攤紛 鑼 鑰攤鋒鑯 ㄍ
ˊ 本文件為針對驗證機構(CBs)能 一致性地應用
|
SO月 EC可 了02η 於規劃與執行整合性 管理 系統
MS)稽 核之 強制性文件 。
(︳
鎗黮 鑰 然
整合性管理系統)稽 核的要求 ,並 於適當時亦適用於
齡籮螂
對組織管理系統提供兩組或兩組以上稽核準則/標 準
艞外
之驗證 。
r‘
谽碎
谽帥
◎ by下 C︳ C
至§:〃 :af.nψ 了
Sou「 ce:h出 亡 M° du︳ e碎 S| ;de﹁ 5η
理主。
籤︻
▓ 整體 稽 核 小 組 應 符 合驗證 機構 就 刪 S稽 核 範 圍
鐊靉鋒︴激禤 擊籀 舉簽舉 鑰 瞞毋玲師— 谽郎
彬牙。
◎byTC︳ C S。 urce:h七 七
ps:〃 ia了 jnu/ Modu︳ e4s∥ deη 52
整合性管理系統稽核(整 合稽核)
integratedaud:t
蹦籛狒錯 擺 鐑麰 鍛饑 ㄨ
′′
′ 、
)
ˊ 整合性 管理 系統 :
一
在 特 定整合層 級 管理 多層 面組 織績效 以 符 合 一
個 以上 管理 標 準 的單一管理 系統 。管理 系 統 的
範 圍可從合併 系統加 上個 別 之 每 組稽 核 準則/標
準 之 管理 系統 ,一 直到 一個 整合 的管理 系 統 中
鑰黲 鈐
共 用 系統文件 、管理 系統要素與權 責
$齴
籬螂
颻妳錀籩 鑈師數摒 擺航蹯移錯路帥
ˊ 整合層 級
管 標 核的
多 的則 理
系 系 上權
統 統 稽責
理準 準管
:
某 組 織 使 用 單 管理
一 管理
以 符 合 一個 以 上
及 能夠 整合 兩組 或 以
適 當管理 系統要素及
鑰 筋爹礅竹— 鎀挪
鏺帥
資料來源 :| AFM田 ︴:20η 3
◎ by下C︳ C odu︳ e碎
山叮 S︳
jde鬥 53
—
)
整 合層級 露甈u靂
﹏
— —
鋒籦 鑰紛 鑼 鏺籦鎀鑰 路
ˊ 當某組織使 用單一管理 系統管理 多層 面組織績效 時
其整合性管理 系統特性如下(但 不 限於):
﹁_ 組整合性文件 ,適 當時 包括 良好發展層級 的
—
工作說明書(work︳ nstrucⅡ ons);
銹簸 瞈 節
;
瓶一
3_ 內部稽核採用整合性方法φntegratedappro孔 h);
銵籩 銹坤璣錯 孥撬琌簽髏 鑰 插移玲帥 官 鉹的
鑰黦鑰谽 鑼 鑰雞谽鑯 山
蜘
9 乒 王§ 王5 2°
曲
試 ε建 守 執扭崔 各 牽 出
♁ ∫ 在心 玉三 l爭
鉗
錛纖鍋 法
兮 E 且o 王D 工各
蹸灘螂
姆
城外
5 5
廿 心 p o °
°
° 之● ︻● 師 8◆ 主●$
A各 瑚yㄉ β.坤安
俄出竹p坤卸 d改 %
守以
r頂
鎗姊
幼帥
資料 來 源 :︳ AFMD們 :2° 可3
◎ by下 C︳ C
odu︳ eㄥ
山Π s︳ ideη 55
整合 稽 核 減 少稽 核 時 間的 因素 -2 ﹏
β伐Jπ
— —
鑰籩錛鈐 鑼 鑰黦谽鑰 求
▓橫軸 :稽 核 小 組各成 員的合格度 以 比率乘 以 η00
表 示 ,以 便該程 序 能 以百 分 比表 示 。
﹁00{ (Xη 一
η)十 (X2_ η)+(X3一 ﹁)十 (Xn一 η)}
鎀羷鏻 外
2(Y-η )
鏺簸珅
其中
颻帝鐒鷻鐒的欺齵 擊羆璣餘舞 鑰 插雀餵〃— 谽的
‥n為 某稽 核 員對 就 有 關整 合性 稽核 範 圍 內
X可 ,2,3_
具備 資格 的標 準數 目 ;
搦羷翁餩 鐋 鑰羻銹鐖 扒
舉例 :
鈐鑼 鐒 ︿
的 資格 ;一 位 稽核 員具備 兩頂標 準 的資格 ,另 一位
紛黫榔
稽 核 員則具備 一項標 準 的 資格 。
籤外
橫車由所使 用的百分 比數 字為
銹靉鎗螂毀轔 孥露絳錯蹓φ
:
﹁
00{ (3一 ﹁
)十 (2_﹁ _
)十 (﹁ η =50o/。
)}
3(3一 ▅
)
鐱 竑箜超 吾 鈔師
銹抑
Source:︳ AFⅡ llD︴ η:20可 3
◎ byTC︳ C Modu︳ eㄔ s︳ ideη 57
整合 稽 核 減少稽核 時 間的 因素 一碎 ﹏
蛋我〃
嫠
—
—
鑈黮 鏺鬱 鑼 鑈鑫紛鐱 ︴
由於 每 位 稽 核 員具備 一 項 以 上 稽 核 準則/標 準 的能力 ,
而取 得 減 少 之效 率 ,並 以 上 述 公 式計 算 可 能減 少的時
間 。包括 :
銹籛 鋤 年
銹籗 郎
日
鎀攤 銹師欺覝 孝籀嗧坤
手間 ;
3.在 最佳 化 後 勤 中所 節省 的時間 ;
珃讓 鑰 竑鉹玲帥 宮 鏺螂
碎.在 稽 核 小 組 會議 中所 節省 的時 間 ;以 及
5.稽 核 共 同要項所 節省 的時 間 ,例 如 文件 管制 。
盼帥
讓螂
鐵水 $齡
鑈靆鐒
鑰籛鎙坤毀鑑 閣描雄苓簽鑽 鏺 魼爹餵ㄔ爆盼妳
Thankyou ●
Merc︳
幼帥
◎ by下 C︳ C
Modu︳ eㄥ s︳ ide﹁ 59
﹏
靂籈 靂
— —
鐖黮銹谽 鑼 銹纔♁饑
╮
#齺
灘塕 本
Modu︳ e-5
狒黫艸
鈜茁鑰巍鋊師站罃聖鯬 罐移窈獽 鐒 貓分冷沖七 鐒仰
稽 核 規劃與執行
谽外
◎ by下 C︳ C Modu︳ e5S︳ ide﹁
)
大綱
銵颬齡劬 鐇 鈐簸鎗鑞 本
ˊ稽核規 劃
ˊ 執行稽 核
塕雞螉 →
ˊ 訪 談技 巧
銹籛嗨
ˊ 稽 核 結論 與報 告
羬添齡籦狒仲幾餾 翠霧帶餵瑙螂
協 站器跨黔含 谽垹
谽解
β找了
尸
— —
瞈黦妙鑈 鑴 鐱纖鏺
議蜘
餓 w塕
A鑰
黫錛妳毀齵 擊露苓塞轟齡 城壁理〃章 砏坤
妢師
◎ by下 C︳ C
Modu!e6s︳ ide3
規 劃稽 核 工 作 ﹏
鎦黫鐒♁ 皤 齡籩幼鐖
需 求
從 管理 標 準 及
目前 科 技 進 步 水 平
企 業 ′
鰳
查 檢 表
標 準
$齡
黤鑰 必
法 律
法 規
銹黰︴
餓︻齡籦姆螂欺鏃 挐羅帶餘路中
.預 先 繃 一 S七 age 組織管理系統下的
一 資產
2.現 場 稽 核 一
S七age2
各 類 管 理 手
十了干} , 9〡
gg≡
:〕
F:j一 ...
琇 我翠玲珅— 銬的
文 件 化
矯 正 預 防措 施
鎗外
管理系統的
鋤
◎ byTC︳ C
de6
Modu︳ e5s︳ ︳
稽核 計 畫 癥 躪 陷 幽 醒 好
靂兙甲
靂
Aud忙 P︳ an
鏺籛 鎗♁ 鑴 銹纙 鬱鐖 打
╮ ˊ 驗證 機構應確 保在稽核 方 案 中所 鑑 別 的
每 次 稽 核 之 前 皆訂 定稽核 計 畫 ,以 便 與
有 關稽 核 活 動 之 執行 及 時程 的協議提供
縐雞 齡 外
依 據 。此稽 核 計 畫應 以驗證 機構 之 書 面
化 要求為基礎 。
鍇黮 榔
鐬打鑰籛 鎀螂繳鷬 犖擺 夥鑑肆 銹 痲器路帥 黨 鎀師
備 註 :不 期待 驗證 機構 會在 擬 定稽 核 方
案時對每 次稽核擬 定稽 核 計 畫 。
◇粹
◎ by下C︳ C 資料 來源 :| So{ 702︴ 一
︴:20η 5 de5
Modu︳ e5s︳ |
稽核 計 畫 ﹏
釐颻u躍
Aud比 P| an — —
a)稽 核 目標 ;
b)稽 核規範
鑰籛塕 ㏄
c)稽 核 範圍 ,包 括鑑別受稽核的組織上
鑼黰 坤
;
鎀騹 鈐螂塊摞 鞏羅 聯餵路啷
如 果適當時 ,還 包括訪查臨時場 區及
遠端稽核 活動 ;
AuditP︳ an 錚也禕
— —
鑈攤鑰砏 罐 銹黤妙鑰 〦
ˊ 稽核 小 組任 務 的溝通
賦 子稽 核 小 組 冬 任 務 應 予 以 界 定 及 告 知
客戶 組 織 ,並 且 應 要 求稽核 小 組
錛霧鍋 ︿
a)檢 查及 查證與客戶管理 系統標 準有關之 架
瞈靉坤
構 、政 策 、過程 、程序 、紀錄與相 關文件 ;
籤打
b)決 定客戶所預期之驗證 範圍符合全部要求
谽師
◎ by下C︳ C
資料 來源 :︳ Soη 702牛 ︴:20﹁ 5 Modu| e5s︳ ide7
稽核計 畫
AuditP︳ an
鑰雞鑰玅 皤 鐒黰幼鑞
ˊ 稽核 計 畫 的溝通
稽核 計 畫應預先與客戶 組織溝通 ,稽 核 日
期亦應預先取得客戶之 同意 。
$鑰
籛鑰 一
ˊ 稽 核 小 組 成 員 資訊 的 溝 通
鑰雞嘟
鈚林
驗證 機構應提供 客戶 稽 核 小 組每 位 成 員
坳靆鑰螂航琀輛翠箱帶餵擺卹
之姓 名 ,以 及 當客戶請 求時 ,使 其 可獲得 每
位 成 員之 背景資訊 ;並 給 予客戶 有 足夠 時 間
對任 何 特 定稽核 小 組 成 員之 指 派 提 出異議 ,
以及 對任 何 有 效 的異議 ,回 應 重 組稽 核 小 組
鐒 站路玲珅在 妙師
成員 。
妙拊
◎ by下 C︳ C
資料 來源 :︳ So﹁ 702牛 {:20η 5 Modu︳ e5s” de8
稽 核計 畫 蟲
Aud比 P︳ an
錛黮 鑈谽 鶐 鑈籛 幼鑯 媰騸 銹
ˊ 網路 輔助稽核 技術
術 可 包 括 ,例 如 ,電 訊
網路輔 助瑭 核 技
、 互動 式 網路 通 訊 以及 電子
︴
會議 、 網 路 會 議
︳SMS文 件 或 ︳S〝 llS作 業 。該 等
式 遠 距 存 取 ,且 須保
心
塕籛 坤
提 升 稽 核 效 力和 效 率
技 術 應著 重在
鈜 鑼籛協珅滋各聖驚 絡琌 琲銻
持 稽 核作 業的 完整性 。
再
ˊ 稽 核 適 當時機
籦
驗證機構 應與被
筋移跆珋
奏聿害
臂 潺藍孟
隻篳
在 鈔卹
鍛鄉
巨C27006:20可 5AMD{ :2020 M° du︳ e5S︳ ide9
◎ byTC︳ c
艮源:︳ So′ ︳
資捫 月
稽 核計 畫範例 熾
Aud 比P︳ an下ernp︳ ate
鋤黮銹錯 鑴 銹籛鎀鎞 鑰籛鑰 鏺
F° ㏑ N心:裝 單號
「
F。 08
一
然 我 繳娣
範琳銹蠶鐑螂欺韜 奪鑗
縈帶籩稱銹 妨拜琇辨
坤;谽
砏帥
deη o
M° du︳ e5s︳ ︳
◎ byTC︳ C
三
文件
摭 Γ
kin Docurnen七
巨組 員須 審 查 有 孱
鑈籮鑈谽 罐 鑰驒紛鑞 ︻
司
並 準備 必 要 的工 作
一 供
ㄎ 6巳 球 稽 核 發 現 這 類 工
█
。 。
作 檔 可 包括
娥
銹雞協 本
▋記 載稽 核 進
行 中所 紀 錄 的 事項 例 如
鐱驤聊
據 紀錄 稽 核 發 現及 會談 與 支援 證
9
會議 紀 錄
皺︴
▅使 用 查檢 表 與
鏺箸銹再致報 孥南
表 單不 得 限 制 稽 核 活 動 範
因其 可 能 會 因為 稽核 中 圍 9
蒐 集 的 資訊 而 改 變之
ˊ 工作 文 件
包括 使 用 後 所 產 生 的 紀
9
撥路盎擺師
皆至 少 須 保 留到 稽核 完 錄 9
成時
鈐 磁炎男 在 鍛師
▓ 當稽核 計 畫 中
。
所 列 的 各 項 活 動 皆已執
經 核 准 的稽核 報 告 業 已 行 且
分 發 視 為 完成 稽核
谽師
◎ byTC︳ C
檢4
查
M。 du︳ eSs| jde{ ︴
CheckList
ˊ 確 保 稽核 目 拗騶鐒劬 鑼 鏺黫 谽鑼 ︿
標
ˊ 計 劃 的證
據 收集
ˊ 核計畫的流
窄 暢
鑈籛塕 ∞
ˊ 降低稽核
師偏 見
鐒籬蜘
ˊ 記錄現場 況
戤〝
情
攤議鋒螂羝驟 寧講學笨霹 坳描舝 ≡
ˊ 控 制稽核 工
師 作項 目
一一
饅好 谽坤
一一
妙帥
◎ by下 C︳ C
︳
Ⅵ°du| e5s| ideη 2
查檢 表 範例 蠐
蘆屐
鐬靂瓠
竹
琇籬 聯紛 鎞 銵攤 ♁蟣 打
希 Λ螂 筋 鬱懋嶺社 水燕確姦雜
為守含 牡 珞﹏線 中齲 無晦 班 發 耕 守 碎 館﹏時期 功 眸 白吋舑 站南碑 女
子
姦罐 在鞋
韝緻確殘龘難鐵 為踏離靜︻
鏾齺基塞嫵
髏成籐姦 我鞿 璱僻鰳驗擦
擗齺 餲輝
紛議 協 本
考雜群母嫵 $年 群
姼f#嶺 務宙
¢¢希緒
發多年
鐱攤 坤
餯 鯬
排 藤
鋐珃
奢磚 撥
博爹笨守
撥濺市
確 : 戒舞 蠟 摻 攝 鉹 確 琇 :
﹉
將
爭華 撥 撥 僉撥 膝 職 傑 解 換 縛 將
一
紅發矜今
常 君
舒撥 佛
簽游琳
♁密
鑽 餓鼷雄鎩蟲 攤硹
谽妳
#館
再姦
擁 磚蟻簽 縈 鋒鐎 鑫鶴 蓉 鎮 餘 拂体 簽 夥
落 打路等
鋐 頭磅| 峰發琖
撿#砟 安 排#常 務m寸 #玲 李磅瑹路 守﹉
琪幼
#再 路
交 兮 佛′ 才
簽單簽避 兮垚 斜撥錐
一 篠
被旗 各
舉兮砷 華 球ㄔ
排步 碑步廿 舛
◎ byTC︳ C 撥接褲
Modu︳ e5S| ide﹁ 3
查檢 表範例
CheckL心 t下em ate
|
鐒鑈 鎀鎀 嬏 搦籛 鈖鑱 ﹌
$蜂孅 放 $曲 懶 曄 嗲 蚺 年年車 拉 ‘頗 昭 φ
姆¢ 竿 斗 罐 怮 姊機 姊 攤 跢部嶰 韓{
螂
膝 堆斜財鞭 “出 救 齺 *舳 蹦 螂 承妳 哪 岫 躞 乩咖 外
一
出 出 銓 哮 館 出 睡 廠 哦 也吻 曲 出 辛年〧 ﹏←
瓶 廠 嶺 ≠於辣 璘 冬打 年野 姊 擗 瑋 解 哪 媲 Ψ虤 故卸 啪 協 路
弟無路毋想路描螂 子劫好評城 齺 一
義 找才
︴ 羅 鶸 莊籙 攤 撥 射 報 擺
鐫攤 塕 荈
博 eε 戲 薄毋 拉 鞬 琳 七
鐑籛 鎔聊欺飆 擊謠 犖獄舉卿
無‘
5﹏ 李發 攝=舉 發 瓏 華 璋 聲 移 #肆
器﹏患 堆 路 出好撬#紫 推 伶再宮 爸法
多意奄小球餓 留齡〞|
淼拖 發雖 出就報
一
ㄥ母6$弟 放努
選俄 主餓 發雄 路 堪 撥 磁 璐 無 密 齡路 城 功輾 繳 擊 竣發
發耗 發 撥 藕 奪 涍姆 發 錢 攤 ﹏
母勸安全吝印竹李 軍巷 其甘●乎6韓 母 擁 $簽 接每兮無 一
牽妳年時打玲牽雜$路 瑢再毒
善
黮 驄鎞捨鸅辛
窟罷饞 !鑫卷
鞋昆
一 孝
音黤甘
眾 一
臨
逆好 齒 礙 心侈玄甚茫協 師路
籃就撥 盔 鍵 撤 璐 鎔 速
蝴
存…
丸 宜′ ︴
妳舳
協 竑瑀跲黔 吾 谽聊
地研
萬 老發出守…$r
密密 牽琢 發 盎 撓 我璶 巔 煮 發籮
撥 豫 襁露 堆 報一寸撥瀦 路 瑋
一
李串右↑專
守 拷¥ 義 球 蘿 撥 濺 筋:塎 齡 發 落 路
萎蠱 降 →基〡右宙
牪 搖
無子虫ε袖 瑟妥︳接義 吝督好Ⅲt報 努 選放各公
一爸 盩甘
6﹉
紛師
牙留 婊韓珺索舟離心︴名:#平 π儉*發
瓏垂市琺空像雜 密傍乩 #雄 巔“哲佈期
一
才冉站 兮#路 雄 任誰多←出t甘 礯 串甘
哲館 由辛
#γ 瑋卡牽 兮〡迢 季母| 母﹏再品求
◎ by下 C︳ C
Modu| e5S︳ ︳
de鬥 ㄔ
中
π礒了
露
— —
鐒黫鍛饑 鑼 錀雞鰳↓齡黤 螂
餓㏄鏕簸鍋螂笑報 寧籮學塞簽拂 磁壁餵
Con d︳ tS
r再
妙姊
劬師
◎ by下 C︳ C
Modu︳ e5s︳ ︳
deη 5
概述 十
GeneΓ a︳ r也◤
π
— —
鰳飄 鐒妙 嬏 銹雞 紛鑱 坏
ˊ驗 證 機 構 應 有 執 行 現 場 稽 核 之 過 程 。本
過 程 應 在 稽 核 開 始 時 ,舉 辦 一 場 起 始 會
議 ,於 稽 核 結 論 時 ,舉 辦 一場 結 束 會議 。
鑰籩彌 ∞
ˊ若 稽 核 的任 何 部 分係 藉 由 電子 方 式 完成
鑈籦 師
或 以 虛 擬 的 方 式稽 核 場 區 ,驗 證 機 構 應
戤〝齡雞 銹螂玫餵 揫露 帶窮路螂
確 保 由 具備 適 當能 力 的 人 員 進 行 這類 活
動 。這 類 稽 核 期 間得 到 的 證 據 應 足 以 使
稽 核 員 能 夠 據 以根 據 資 訊 決 定 是 否 符 合
要求 。
銹 站學理好子 紛坤
” ∴
備註 :除 了訪視實際地點(例 如工廠)外 ,” 現場 可包
:::一 ::::::’
子場 區 。也可考慮使 用電子方式進行稽核 。
◎”下
C陀 資料 來源 :︳ Soη 了02牛 (:20︴ 5 Modu︳ e5s∥ de﹁ 6
舉 辦 起 始 會議
theo en︳ n meet︳ n
Co nductin
︴
之 負 責 人 員 。起 始 會 議
或 過程
,其 目的係 為 提 供 稽 核 活動
外 黤坤
核 小 組長 進行
,其 詳 細程 度 應與 客
皴才
進行 方式 的簡短 說 明
鏺籛鐒陣蓻鬱豎電鵝琌璱鑼帥
悉 度 致 ,且 應考 慮 下
戶 對稽 核 過程 的熟 一
歹心再氣目 :
a)介 紹參與者 ,包 括其 角色簡述
;
鏻 城器跆′
b)確 認驗證範圍 ;
︹ 燄砷
盼擗
︴ 5
資料 來 源:︳ SO︴ 702仁
:20︴ Modu︳ e5S︳ ide︹ 7
◎ by下 C︳ C
舉 辦 起 始 會議
C onductin theo en︳ n meetin
鋤黮 鈐幼 媰 鈐靉 鉿鑞
畫 (包 括稽核種 類與範 圍 、目標及
c)確 認稽核計
關客戶的安排
規範),任 何 改變以及其他有
,
、稽核 小組及客戶
例如結束會議 的 日期及時間
$齡
雞 鐱 鏺雛 師
管理階層之間的臨時會議
;
∞
通管道
d)確 認稽核小組與客戶 間的正式溝
;
兟然
施之可用性
鐑攤 翰砷爽齷 奪埤
e)確 認稽核小組所需的資源及設
;
f)確 認保密相 關事 宜 ;
及安全程
g)確 認稽核小組的相 關工作安全 、緊急
矲瓖礙羅 齡 琳臻玲珅 吾 徐坤
序 ;
檢 員 與觀 察員的可 用性 、角色及 身
h)確 認任何 陪
份
鎗帥
之方法 ,包 括任何稽核發現的等級 ;
︳
)報 告 SO↑ 702牛 ↑:20︴ 5
資料來源:︳
deη 8
Modu︳ e5S︳ {
◎ bytC︳ C
舉 辦起始 會議
COnducⅡ theo en︳ n meetin
j)有 關稽核可
銹黤 鈐艙 蠮 鑰鷻 砂鑰 “
提前結束之條件的訊.息 ;
k)確 認代表驗證機構的
稽核小組長與稽核 小組 ,
對稽核 負起 責任 ,並 應 管控稽核
計畫的執行 ,
包括稽核 活動與稽核追蹤
鐒雞 齡 〝
;
● 若 適用時 ,確 認先前審查或稽核之
發現 的現況
塕灝 竹
;
rn)以 抽樣為基礎 ,用
鈱出
來執行稽核 的方法及程序
鐒黫 鏺啪欺齰 犖簼 學鈕帶帥
;
n)確 認稽核所使用的語
言 ;
o)確 認在稽核過程 中 ,客 戶
會被告知稽核 進展及
任何疑慮 ;
p)提 供 客戶提 問的
姆 拼貴 齶 毒 谽怖
機會 。
妙師
◎ byTC︳ C
起 始 會 議 內容
Openingrneetin g(Kick一 o仟 mee七
ing)
ˊ ′
| (含 鎗籛鑰Φ 嬾 鈐雞鈔鑈 ︴
家 、觀察員)成 員介紹
徫侄 :隻 ∴盪γ孓暑
|
ernbersφ nc| udingthe
technica| expe㏄ &observer)
ˊ
鐖雞錀 一
守
戶
豕並 確 認 (機 構 名 稱 、地址 、
標準 、
窶 簹伶
鏺鍵蜘
織熱
g馧 a㎡ 2㎝ °耴 Ad升 eS軌
齡籲翰瑯玫飆 鞏露帑鎧舞銵描空足╭
〞 替:︳ 莒 β
ˊ 稽核 作 業程
序介紹 | ntrod比 eaud社 process
ˊ 保 密協議
一 一 一一
agreement
一
;♁
坤
◇外
◎ bytC| C
聯黮撥谽 罐 鏺籛♁鑞 ︴
∩ 玄 ˊ 不符合項 目與觀察事項說明 (類 別 、區分 、
處理)
ExP︳ anationofnonconforrnitieS,obse「 vationand
銹籧鐒 無
area0了 ︳mprovementⅡ ndings(type,grade,
hand︳ ︳
塕蘺螂
ng)
觝打
ˊ 公 平 、公正之 處 理 原 則
谽擗
◎ byTC︳ C Modu︳ e5S︳ ide2一
起 始 會議 內容
Openingmee小 ng(Kick一 o∥ meeung)
ˊ 確 認 稽核 小 組和 客戶 問的正 式溝通 管道 拂籛 銹鎀 鑼 協簸 鎀鑯 燐籛鑰 鐪籛 嗨
,
陪檢 員與觀 察 員的可 用性 、角 色及 身份 及
所 需的辦 公 室與行 政 支援 及 安 全衛 生注 意
菸
事項
㏄
rnun︳ cationchanne︳ S
Conf︳ rrnat︳ on offorrna︳ corΥ ╮
颻︿
betweentheaud︳ 七七 ty,ro︳ eS
abi| ︳
ean孔 theaVa︳ ︳
齡皺 齡抑欺齷 癹蘿 帶環鋒卹
鑰黮 鑰♁ 麟 錛籮 盼鑞 鐒黫 銵 小
ˊ 在稽 核 期 間 ,稽 核 小 組 應 定 期評 估 稽 核 進
度與 交換 資訊 。稽 核 小 組 長應根 據 需要 來
重新 分 配 稽 核 小 組 成 員問的 工 作 ,並 定期
告 知 客戶 稽 核 的進展 及 任 何 疑 慮 。
鐱繳 坤
ˊ 凡 現 有 的稽 核 證 據 顯 示 ,該 稽 核 目標 是 無
以確定適當的行動 。
紛拼
◎ by了 C︳ C
資料 來源 :︳ SO可 702η -η :20η 5 Modu︳ e5s︳ ide23
稽 核 期 間的 溝 通
CoΠ╮
了ηuniCat︳ onduringtheaud︳ t
鰳黤 銵鈐 鑼 銹簸 劬鑼 小
ˊ 這些 行 動 可 能 包括 重新確 認 或修 改稽核 計
畫 、更 改稽 核 目標 或稽核 範 圍 ,或 停 止 稽
核 。稽 核 小 組 長應 向驗 證 機構 報 告所採取
錛黮 塕 我
行動 的結 果 。
鏺雞 師
ˊ 稽 核 小 組 長應與 客戶審 查在 現 場稽 核 活 動
籛 狒螂笑齵 窆黐 帶餵籍輕 h鑈
籤
過程 中出現 的任 何 改 變稽核 範 圍之 需要 ,
並 向驗證 機構報告 。
坳 站器玲珅 孝 妙一
一
刁
◇扞
◎ by了 C︳ C
資料 來源 :| SO{ 702{ 一
﹁:20η 5 Modu| e5s︳ jde2ㄔ
現 場稽 核
on一 Siteaudit
磯籛 鋒♁ 鑼 銹籛 鎀鑰 ︴
克集證 據
︳
Co︳ eq| :ngev︳ dence
by 〔 審 查文件′
紀錄
坲籩 銵 本
二 ev︳ ew
Γ
工 Φ t︹ Φ中‘一一
銹難 坤
嗯 持鯓 喵
documentsˊ records
▲———
訪談
一
eWS
“▋ 一
n七 eⅣ ︳
︳
﹂
挽 察過程及活 動
observa七 :on° f
andac七 :Vi七 :eS
紛妳
◎ bytC︳ C 山竹 de25
odu︳ e5s︳ ︳
資訊 收集程序 β蟲“
釐
↓
SuⅣ eyc0︳ ︳
ectionup toauditconc| usions — —
Sou of:n了oΠηa七 ︳
oΠ 縐雞 齡幼 鱕 銹龘 砏鑱 〝
cd怡 c∥ on}
藉 由適當地抽樣方法克集{
鑰雞 拗 ︴
資訊unforrnaHon)
鏺籛 的
颻水
查割 確認 c a七 ︳ n
齡簸 鋒姊欺餵 癹磚學餵舉卹
r︳ f︳
。
稽核證據lAud社 e㏑ dence)
稽核發現lAud比 F︳ nding)
U
審查 E uat:on
熪帥
◎ by下 C︳ C
Ⅱd ns
de26
Modu| e5S︳ |
藉 由適 當地抽樣 方法 收集 釐蟲 好
— — —
鏺灘紛紛 麟 鑈黦劬鑱 ︻
ˊ 在 有 限 的 時 間執行 稽 核 時 ,要 採 行 考 量風
險 與機 會 的 稽 核 方 法 進 行 適 當 地 的抽 樣 。
包括 :
齺黫齡 ︿
▋ 以核心業務及核心資通系統優先 。
▄ 以高風險項 目優先 。
鑰鸆坤
皺︴
█ 以經 常會執行的工作進行適當地的抽樣 。
鐒靆錛︴欺鎖 寧露路盟砪的
▋ .‥ 等 。
ˊ 記 載稽 核 進 行 中所 紀 錄 的 事 項 ,例 如 支援
證 據 紀 錄 、稽 核 發 現 及 會 談 與 會議 紀錄 ,
鋊 贆登譅ㄔ崔 鋒師
可 用文 件 編 號 或 紀 錄 編 號 取 代 完整 抄 寫 。
註 :查 檢表係提供給稽核 員參考 ,但 如 查檢時發
現部份項 目要做進一步事證 時 ,不 應受限於
谽師
◎ vˊ ︳︶ ︳
稽核 參考 中所列之項 目 。
﹀
Modu︳ e5S︳ ide27
鑑 別 與 記錄 稽 核 發 現
︳
dent︳ 打ingandrecordingaud比 何ndings 好也√
— — —
錛鏕鐪劬 鑼 齡簸鎗鑼 外
ˊ 總 結 符 合性 的稽 核發 現 及 詳 細 的 不符合 事
項 應 予 以 鑑 別 、分 類 並 記 錄 使 能據 以作 ,
成 驗證 的 決 定或 維持 驗證 。
攠齉鑰 山
ˊ 除 非 管理 系統驗 證 方 案要 求 禁 止 ,則 可鑑
鑼騄怖
別 與 記 錄 改 善 的機 會 。然 而 ,不 符合 事 項
籤︿鑰籬翰姊欺飆 寧羅帶簽舉咿
的稽 核發 現 ,則 不應被 記錄 為 改 善的機 會 。
ˊ 不符合 事項 之 發 現應依 據特 定規 定 予 以記
錄 ,且 應 包含 一個 明確 的不符合 事項聲 明 ,
鋒 蹜寧霆〃吾 繚鞠
證據 。
妢狩
◎ byTC︳ C
資料 來源 :︳ SO︴ 702牛 η:20可 5 Modu︳ e5s︳ ide28
鑑 別 與 記錄 稽 核 發 現
︳ yingandrecordingaud社 何nd︳ ngs
denⅡ 了
攤雞鑼谽 鑼 鏺攤鈔鑰 再
╮ ˊ 不符合 事項應與客戶討 論 ,以 確保 該證 據
的正確 性 與該 不符合事項 已被 了解 。但壁
核 員應 避 免建 議 不 符合 之 成 因及 其解 決 方
鐒黮銹 妳
案。
擁羷坤
ˊ 稽 核 小 組 長應 試 圖解 決 稽 核 小 組 與 客戶 問
鈖外
◎ by下 C︳ C 資料 來源 :| SOη 702︴ 一
︴:20η 5 de29
Modu︳ e5S| ︳
′′
文 件 /紀 錄
documents/Γ eco「 ds
服 務 級 別協議 、合 約 。
鏺籩 師
ˊ 陳述實現的意圖 (statetheintent to
鈜
beachieved)。
h坳
籛 塕坤磁珍姊鞏露 帶避路卹
▓ 紀錄(records汁 闡明所達成的結果或提供
所完成活動證據的文件 。(document
Stating eSu〡 tS ach:eved or PrOviding
齡 薪翠啥并 含 鍛坤
「
eV〡 denceofactiv| tiespe吋 ormed)
ˊ 例 如 :稽 核報告 ,事 件報 告 ,訓 練 紀
鉹帥
錄 或會議 紀 要
◎ by了 C︳ C Modu︳ e5S︳ ide31l
常見的文件架構 ︳
— —
鏺灘鏺艙 鑼 鋊黮盼齡 材
抖
一階文件 一 政 策
鐒黤鐒 本
鑰黫姊
皺〦
二 階 文件 一 程 序
銹黤鐒抪欺飆 孝羆路雜確帥
三 階 文件 一
工 作 指 導書/操 作 手冊
鋊描銵冷汁崔 谽郎
四 階 文件 一 表單/
谽林
◎ byTC︳ C
Modu︳ e5s︳ ide3η
鑰黫妢鑯 鑼 鑰黭蠮熬鑰籧︴
黫鐒臨欽餅 寧罨幣餘熪卹h鏺
餓
銵 銥跢冷野子 φ哧
。
╯
盼附
◎ by下 C︳ C
Modu| e5S︳ ide32
稽核訪談技巧
nterview︳ ngtechn︳ queataud︳ tdiScuSSionS
︳
鐪雞鋒谽 麟 鐱雞嗡攤 荈
鐒雞齡 於
要提 問的問題 是什麼 ?
鐱攤郎
WHA下 iStobeinquired?
魏
問題 要如 何安排後提 出?
w鏺
籛鎀卹瓶鋸 孥簼夥鍰鋒娜
H○ WShou︳ dthequeSt︳ Onsbefor︳ ηu| a七 ed?
銹 筋器琀帥 巨 鐒的
討論
劬師
scuss︳ o
︳
執行訪談
iews
Conduct︳ nginte︹ ↙
鎀麗 瞈鎀 鑼 瞈雞 鉹鐖 ︴
ˊ 訪談 為一種 重要的 蒐集 資訊 方 式 ,宜 以 適
應 訪談 的情 況與 人 員之 方 式施 行 ,可 面對
面 或透過 其 他 溝通 方 式 。然 而 ,稽 核 師 宜
鐫籛鑰 ¢
考 量下列事項 :
鋒籦 啪
(a)宜 與實施稽核範圍內的活動或職務之適當階層
魏︿蠮籬 搦師繳齵 癹蘿 帶鑑鉹卹
與部門人 員進行訪談 。
(b)通 常宜在正 常工作時間中 ,且 可行時 ,在 接受
訪談的人 員之正 常工作 地點進 行訪談 。
(c)訪 談之 前與當時 ,嘗 試使接受訪談的人 員感到
銹 城為玲珅 安 谽螂
自在 。
(d)訪 談之理 由與任何註 記 事項宜予以說明 。
鐒帥
一
執行 訪談
ConducunginteⅣ 心WS 釐戤 β
— — —
鑰黤 鏺谽 鑼 鑰議♁鐱 心
(e)訪 談可先藉要求人 員描述其工作著手 。
(f)小 心選擇使用的問題型式(例 :開 放 式 、封閉式 、
引導性問題 、激 賞式詢問(appreda打 e
齡黫鐊 ︿
inquiry)汁
鑰黫攤
(g)體 認到虛擬環境◆nⅥ 比ua︳ SetHngs)中 非語言
皺打
)交 流是有 r艮 的 ,反 而宜 關注在使
(non一 ver比 ︳
鑈黫鰳師欺報 鞏羅路幾確師
用何種問題類型以尋找客觀證據 。
(h)訪 談所得結果宜對接受訪談人 員總結並予以檢
討。
鋒 就舉玲野︴ 鎗蟀
φ)宜 感謝接受訪談人 員之參與及合作 。
劬師
◎ by下C︳ C 資凋├
月k源 :︳ Soη 90η 可:20-8,CNS﹁ 猝809:2020 Modu︳ e5S︳ ide35
提 問的 方 式 ′色 r
﹏
PuttingthequeStionsattheon一 siteaud︳ t — —
鐒黫鐒勘 鑼 瞈羻鎗鑞 外
ˊ 開放 式
” ” “ ”
一這類 問題 需要 比答 是 或 不是 更詳細 的
答案 。例如 :
躌簸鑰
.請說明貴單位如何管理 資訊安全 。
ˊ封 閉式
h銹
繳螂
” ” “ ”
籤沐
一這類問題 只 需要 回答 是 或 不是 的答案
齡靆齡抑欽鎖 奪籀犖餓羅娜
一 這類 問題使被 稽 核 者 快 速 回 答 問題 。例 如 :請
提供 貴單 位 的 組 織 架構 圖及 網路 架構 圖 ,並 說
明 資訊 安 全 分 工 。
盼師
◎ by下C︳ C
山︳du︳ e5s︳ :de36
。
激賞式詢問(欣 賞式探詢)
rec︳ at︳ vein u︳
鐱黮 拂紛 嬙 鐱纙 鎗鐊 〦
r瞴 篎瑚 姊 令
路 棘研
籃 分緻加爾呼
齡虃 協 本
錛籩 螂
籤一
确 路 堆狂玻 抽 故蟻
銹籩 鎀姊欺齵 犖筋
尹
路幾蹉驥 鈐 航鉹跨掛 守 劬如
趨緅
畔
嬐肺
繡 螂 紜 各銘 本機 航 躤 娸 找嬲 鰳 齥 蝴 維 就 絲 鍛 期蹴 轉 K坳 哪 轠 餓
正 確 的提 問 方 式 露嵐u靂
﹏
Puttingtherightquestionsattheon一 s︳ teaudit — —
坳邏 齺鎀 鑼 鏻籦 鬱擺 於
N。 七
.
gan:2ation..
. VVhat’ sthe° Γ
鐒籧 師
.
DOeS七 hiShave七 beChecked .
VVhat:s七 heWayofevidencingth︳ S...
。
艞︿
o「 not...?
What︳ sthewayofenSuΓ ;n9that...
.
齡鑨 鑰郎航鬱缽翠蘿 學麮鋒卹
錛激鑰谽 鑼 鑰黦鎀雄
ˊ您如何(How)進 行 日常的機戶方檢查工作 ?
ˊ您 曾經處理過那些(VVhat)印 象比較深刻
的 問題 ?
w鐒
黤銹 ︿
ˊ貴單 位 對 於 通行 碼 (password)的 要 求
鑰邏仲
蝕打
lVhat)為 何 ?如 何(How)確 保同仁能落實 ?
ˊ管理審 查中委員為什麼(Why)會 有Ⅲ 的
提案 ?
ˊ貴單位何時(When)會 進行弱點掃描 ?由
誰(Who)來 執行 ?
◇軒
◎ byTC︳ C
Modu| e5S∥ de39
現 場 的提 問 方 向 r
J我 ▌
〡
銹靉鐊紛 鑼 銵黮鎗鑞 烋
ˊ正確的安排(Correctarrangement)
一 你 如 何 進行 … ?
一那 些指 示 你要遵循 ?
躌籛鑰 “
ˊ瞭解(Understanding)
鏺黰︴
數外
一您 如 何 瞭解這項指 示 ?
攤籛齡螂數鎖 鞏轟帶幾齡卹
一請 說 明你 如 何 進行後 續行動 ?
一 這項指 示 要完成 那 些 事項 ?
ˊ正確的執行(CoΓ rectexecuuon)
翰 瞞華是好預 嬐珅
一您 如 何 依 這指 示 執行行 動 ?
一 您 必 須 考慮 到什麼 ?
妢外
一 您 為何 必 須執行 這些行 動 ?
◎ by丁
Modu︳ e5S︳ ;deㄔ 0
現 場 的提 問 方 向 靂鬾呂
靂
﹏
鈐灘 鑈砏 鑼 鋊議砂癱
ˊ 有 效 性 (E仟ec打 eneSS)
一這項指 示有什麼(What洋 戶
份被達成(孔 h啗 Ved)
了?
#齺
黫鎀 本
一如果這項行動沒有被實施φrnp怡 men七 ed),將
鐱雞坤
發生什麼事(What)?
皺、鑰黫 鏺師欺齵 犖茄
一您能否提供這次行動的有效性證據
(evidence) ?
一差錯(rn心 takeS)是 否發生 ?
錎筠殲瑙 鏺 筋器玲帥 章 鍛妳
一什麼(What)差 錯發生 ?
一差錯是哪一項(wh心 h)是 否被記錄 了?
谽帥
◎ byTC︳ C Modu!e5S︳ :deㄥ 可
肢 體語 言 r爞uβ
﹏
BOd Lan ua es — —
銹籦 筠幼 鑼 銹翳 幼鑯 熱
W社hCon可 由 nce信 心 十 足
齡鏺塕 燕
鑼繳 郎
餓描蠮靆 鏺螂疑摞 寧蘿 帶錄擺艸
〔己 ′
,
埤
妢外 ;谽
鐒 餓毒啥并
lVit — —
紼籛鑰谽 鑩 錛颻盼鑰 “
、
ˊ 客戶信 心十足通 常表 示客戶準備充
足 ,這 有利於稽核證據 的收集 。
鑰繳鐒 本
ˊ 通 常可 以取得符合 或優 點(正 面發現)
塕籛坤
的證據 。
肢 體語 言
BOd ∟an ua es
坳籦坳砂 蹓 銹籛幼鑱
Confusing疑 惑
$撥
蠿狒 ㏄
鏺纖坤
娥︴鑰黤齡坤欺餵 寧籀帶餒路螂
銹 站華是好礗 鎗坤
¢外
◎ by下C︳ C
Modu︳ e5S︳ ︳
deㄔ ㄔ
疑惑 鐉颻 靂
竹
Co — —
銹離 銹谽 鑴 鐒黫 紛鑰 一
ˊ 客戶表 示疑 惑時 ,可 能表 示 客戶對您提 出
的問題不 太 清楚 ,稽 核 員需要 用 引導的 方
式進行提 問 ,逐 步讓 客戶瞭解 您的問題 。
齡籛 瞈 外
ˊ 例 如 :當 您詢 問客戶 「對外月
塕麰 抑
艮務 之核 心 資
籤升
通 系統 ,是 否有應 用程 式 防 火牆 ?」 時
如 果受稽 人 員表 示疑 惑時 ,有 可能是 此 客
戶不適 用 ,或 是受稽 人 員不是客戶的資通
安 全 專責人 員 ,或 是受稽 人 員剛接 手 ,對
資安 法 的相 關規定還 不 清楚 ,稽 核 員要有
更 多說 明 。
紛帥
◎ 所 下C︳ C Modu︳ e5s︳ ide碎 5
疑惑
Co
銹雞 鈐盼 鑼 搦雖 紛鐖 本
ˊ 因此 ,問 此類問題前 ,稽 核 員可 以先確
認 客戶是否屬 資通安 全 責任 等級 A級 或B
級機 關 ,因 為C級 (含 )以 下機 關是 沒有
錢籛 鑰 “
這項要求 。
鑰籛 坤
籤〝
ˊ 但如 C級 (含 )以 下機 關提 出相 關佐證
塕簸 鏺師玫飆 犖簼 帶綴鋒卹
則可 列為正 面發 現 。
銹 城奉題﹃吝 紛妞
谽外
◎ by了 C︳ C deㄔ 6
Modu︳ e5S︳ ︳
肢 體語 言 β蟲▌
犛
Bod ∟an ua es — — —
鐱鑫 鐒鉿 鑮 鑰議 妙鐑 ︴
Worr川 ng擔 心
鑰雞 鐒 ︴
齡黮 妳
I╮
P‵:j一
﹏
ㄏ出 ′
— —
鑈灘 銹黺 嬏 銹簸 紛 鑼 鑰 籛 鑰 綹 雞 姊
ˊ 客戶 表 現 出擔 心 時 ,可 能表 示 準備 不足 ,
或是有壓力 ,一 旦被 開立 不符合 事項 時 ,
可能 會有個 人 的懲 處 。
淋
ˊ 稽 核 員要 先舒 緩客戶 之 情 緒 ,提 振其信
¢
心 ,如 此 才有利於 稽 核 證 據 的收集 ;如
缸 ︿
鏺 籛 鑈 林欺 鍰 鞏 礵 帶籃將螂銹 站發 定 Γ— 盼 姊
◎ byTC︳ C
Modu︳ e5S︳ :deㄔ 8
肢 體語 言 靂颻 靂
#
Bod ∟an ua es — —
銹籛鑰妙 鶐 銹黮谽饑 ︴
W比 han9er生 氣
眑雞艣 本
鑰黫螂
、
籤Ⅵ鑞黫銹的欺報 學撬學蛋錯解
鑈 筋器琀帥宮 谽師
谽擗
◎ by下C︳ C Modu︳ e5S∥ deㄔ 9
生氣 釐戤 露
︺
VVit — —
撥鑨 銹玅 鑼 塕簸 鈔鑰
ˊ 客戶表現 出生氣 時 ,可 能是 對稽 核一
員的
詢 問或發 現 表 示 不滿 。
ˊ 稽 核 員要 先舒 緩 客戶 之 情 緒 ,如 果 沒 有
$鑰
簸鑰 ∞
效 果 時 ,稽 核 員要與稽 核 小 組 長或領 隊
鏺黳 師
討 論 此 一議題 ,再 進 一 步 進行 溝 通 ,或
籤本鎀黤 鏺娣筄飆 鞏露 學鍛路蝍
由其 它 人 與 受稽 人 員進行 溝通 ,避 免產
生對 立 。
齡 瞞孝霆〃安 谽抑
盼帥
不 符 合 項 目,簡 稱 NC ㄏ〦 ㄏ
NOncon了orrn︳ t︳ eS,NC — — —
一未達 成 某項 要 求 。
non一 fu︳ ment ofarequiΓ ement
fi︳
齡黮塕 ㄍ
鑰羅蜘
nonconfoΓ !了litieS
一不影 響 管理 系統 達 到 預期 結 果 能 力 之 不
符合 項 目
nonconform︳ tythatdoes nota帝ectthe ㄟ V
capabi| ityofthernanagement systern to
ach︳ evetheintendedΓ esu︳ ts
鎀擗
◎ by丁 C︳ C
資料 來源 :︳ Soη 702η -可 :20﹁ 5 Modu︳ e5S| ide52
主要 (第 一類)不 符合項 目定義
Λ
ll刮 or nonconf。 rrn︳
es t︳
鎀黮 齡谽 鑴 鑱簼 鬱鸏
ˊ影 響 管理 系統達 到預 期 結果 的能 力之 不符
′‵
′ ‵
\》
/↗
合項 目 。
ityof
︳
nonconforrnitythata帝 ectSthecapab︳
$齴
蘧 鎀 鐱籛 坤
thernanagement system toachievethe
外 城︴
intendedresu︳ tS
鏺麰 銹碎瞞鎖聖絮 幋路豱轟 鎀 筋 冷帥 劬
備註 :不 符合項 目在 下 列情 況可歸 類為 主要 不符合
項目 :
,或 者產 品或月
艮務符
ˊ 如果對 已就位 之 有 效 流程控 管
合指 定之要求有 明顯疑慮
;
鶢
目
ˊ 與 同一要求 或議 題相 關的數個 次要不符合項 會導
官 砷
目。
致 系統化 的失效 ,即 視為 主要不符合項
砏將
可:20{ 5
資料來源 :︳ SO一 了02︴ 一 °du︳ e5S︳ ide5S
山Π
◎ byTC︳ C
符 合 項 目分 級 躥
Categor︳ esOf nonconforrnities
nonconformity)
一 社姭
外
議裔 鬱速翠挲艤本 蠶
↓ 颻
發證 。
#翰
nonconformity)
是 否發 證 。
一待 客戶 完成 改 善後 再 決定後續
論 次 主
目 法 文 ㄔ匕
U 註 :
核 ( fo∥ °W一
多 嬐帥
要不 合項 目 均 到現 做
up audit)。
Modu︳ e5s“ de5ㄥ
◎ by下 C︳ C
不 符合 項 目 報 告 範 例
Nonconforrni ty RepoⅡ 下ernp|
ate 繼
鑰讓 錀給 鑼 鑈擻妙鑯 “
鬱黫鎀 、
鑰讓棘
颻︴銹籦鑰蜘欺錣 罕的
擺幾露確魽
鏺 航麓齶 莒 鎗妳
谽好
◎ by了C| C
不 符合 項 目敘 述 要 有 的 資訊
幾
鍋羻銹翰 鋒 銹黤銵鯔 琳
PaΓ 七
一可
鐖狻坳 “
ˊ 不 符合 項 目
的 事證 ,包 含 相 關文 件 紀
鑈鑼咘
錄 的記
載 。
巍林鐖議媰螂舞鎖 孕礵學鍛轟 鎀蘜登霆好李
upaudit)。
鑆整
樴 路胖
一 一一
ˊ 若 為 M… orNc,客
戶 是 否 已評 估 可於 2周 內
關
閉。
一﹉
艙抪
鉿師
◎ by了C| C
斖珮 靂
鐱攘 錀紛 鑼 鈐籛 鉿蟣 嫋籛 協 鑯簸妳
只e色 含o-/C!軍 ㄐs→
u|
oWn.pe心 aΥ n
i● 匚lW● …●
!!veba§ e(e一 g:︳ aws)
〡用標準√ 要素號 ∴企業標準 。 。 其他法規標準(例如 :法律要求)
SO2700η
︳。 :2022﹉ : 一|
SMS-02-05
一 一 一
C︳ a山 Se一 A.5.︻ 8 一
一
才 〝
帳 號 之 定期審 查 。
ˊ 可 文 件 化 關 閉,且 客戶 已評 估 可 於 2周 內 關閉 。
艙師
◎ byTC︳ C de57
田 du︳ e5S︳ 【
╮
。
主 要不符 合項 目範例
匚Ⅲ …●Υ
V→ ●
令 中 (e:。 !.ws》 鎀鑼 塕盼 鑼 銹灘 鐪鑱 跡
l﹉
「
其他法規標準 (例 如 一 法律要求)
。
一
一 一
鐖雞鐪 ㏄
SO2了 00η
ˊ未 按 〡 3要 求 ,執 行 管理 審 查 。
銹繳 師
9■
範本鎀籛 協聯城翁聖竄 鋒夥幾夥卹
V 措 施 是否有效 。
;谽
坤
翰師
鑰黦鏺谽 鑼 鑞謹紛鑰 打
ˊ 某些稽 核發 現 ,在 當時雖不 會對 系統造 成
重大 影 響 ,但 稽 核 師判斷 可能造 成 管理 系
錫靉錫 〝
統或任 何作 業程序 的潛在 不恰 當與 改 善 空
鐱簸妳
間
皴︴
ˊ提 醒往後 稽 核 時客戶 或稽核 師須 注 意的 事
鎀妳
◎ by了 C︳ C
Modu︳ e5S︳ ide59
Areaof︳ rnprovement,AO︳ ‵ — —
躌籩紛紛 鑼 坳黤谽鑼 本
ˊ於各階段稽核時,可 開立 「改進機會」(AΓ ea
of︳mprovement,AO︳ or opportuni∥ eS了or
improvement)事 項,但 不應涉及改善方案
錢錪齡 ㏄
(︳ mpΓ ovementAcHons)
鐒黤抪
籤跡
ˊ 公 眾或一 般性可取 得 資訊
一一♂
‵′/
ˊ 非針對特 定 之 客戶 之經驗
幼擗
塕靆 鋒紛 皤 鎀幾 盼鑯 ︴
|
╮ 基 於 稽 核 小 組 長 的職 責 ,在 結 束會議 之 前 ,
稽 核 小 組應 :
鎀黫 齴 〝
取得的稽核發現與其他任何適當資料並分
類不符合項 目
鑰籛坤
;
籤由
b)同 意稽核結論 ,將 稽核過程具有的不確 定
c)同 意任何必要的後續行動 ;及
d)確 認稽核方案的適當性或鑑別未來稽核 必
要的任何修 改 (例 如驗證範圍 、稽核時間
或 日期 、追查頻 率 、稽核小組能力 )。
紛外
◎ by下 C︳ C 資料 來源:| Soη 了02仁 可:20︴ 5 Modu︳ e5S︳ ide6η
\
\
′/
舉辦 結 束會議 β亂 慶
﹏
— —
管理 階層 共 同舉辦 ,並 在 適 當情 況 下 ,包
含 受稽核 的功能 或過程 之 負責 人 員 。結 束
會議 通 常應 由稽 核 小 組 長 進行 ,其 目的係
狒雞鑰 ㏄
說 明稽 核 結論 ,包 含 關於驗證 的建議 。任
銹繳師
,
塕難齡螂筋琀姊擎露聲騴鏤卹
並應 同意 回霺 的 時 限 。
備 註 :「 被 理 解 」並 不 一 定 意味 著客戶 已接 受不
符 合 事項 。
協 瞞器跨拜善 艙姊
皓汁
齡齲鐱谽 鑼 錛靆谽鑰 涕
ˊ結 束會議 也 應 包含下 列要件 。其 詳 細 程度
應與客戶 對稽核過程 的熟悉度 一致 :
a)告 知客戶稽核證據取得係基於抽樣樣本資
訊 ;因 此會有不確定性因素
錐飄鐒 本
;
鑰議姊
等級∴
數、鐒黫鏺抪漁鍰
c)驗 證機構處理不符合事項 的過程 ,包 括任
何有關客戶驗證狀態的結果 ;
#撼
d)客 戶針對稽核 時鑑別任何不符合事項 而所
學簽確帥
提 出改正與矯正措施 的計畫之時限
彿 磁登蛪ㄔ展 紗坤
;
e)驗 證機構的稽核後續活動 ;
●有關抱怨及 申訴處理過程的訊 .息 。
綠妳
◎ byTC︳ C
資料 來源 :︳ SOη 702牛 仁20▋ 5 Modu!e5S︳ ;de63
舉辦 結 束會議 r出 .β
﹏
— —
鐒靉鐒銵 鑼 鐒簸妙鑱 本
ˊ 客戶應 有提 問的機 會 。對 於 稽 核 小 組 與 客
戶 有 關稽核發 現 或 結論 的任 何 分歧 意見 ,
應被 討 論 ,若 可 能 時 ,予 以解 決 。任 何 未
解 決 的分歧 意見 ,應 予 以 記 錄 ,並 提 交驗
姆雛鑰 鏺讓︴
證 機構 。
織︿鑈攤姆姊笑韻 寧轟苓簽錚蚶
銵 城器跨郎‘ 谽市
ˊ
鈖附
◎ byTC︳ C
資料 來源:︳ So{ 702η _
η:20﹁ 5 Modu︳ e5S!︳ de6碎
結 束會議 內容
Fina︳ meeting
鈐籛 銹谽 皤 鎗籛 鬱鑰 ︴
ˊ 致 謝 辭 下hankSSpeech
ˊ再次確認稽核依據並確認 (機 構名稱 、地址
標準 、範圍)
齡籩 銹 本
ReconⅡ rmAud比 ee’ SOrganiZajon,AddresS,
鑰籛 擲
StandardandScope
谽將
◎ by下 C︳ C Modu︳ e5S山 de65
結 束會議 內容 好瓶r嫠
F︳ na︳ rneet︳ ng — —
—
核證據收集係基於抽樣樣本資訊 ;因 此會
有不確定性 因素)
鑰雞鑰 ㏄
ectedwasbasedonasamp︳ eOfthe
co︳ ︳
獬籛銵艸欺餒 奪蘿幾餵鋒卹
.
in了 orrnat︳ on;thereby︳ ntroducingane| er!╮ ent of
unce㏄ ainty)
ˊ確 認觀察事項(若 需簽署)與 不符合項 目均 已
鎀 啦器琀珅— 艙彬
由受稽代表簽署
Con∥ rmedthatobseⅣ aⅡ ons(rrequ︳ redto sign)
andNonconforrn:t:eshaVebeens:gnedbythe
鎗帥
audi七 eerepresentative
◎ byTC︳ C Modu︳ e5S︳ ide66
結 束會議 內容 靂我 β
﹏
F︳ na︳ rΥ eet︳ ng
╮ —
—
鏺飄錛谽 鑼 鑈麒谽鑯 出
ˊ後續跟進事項與未來稽核 之安排
oW-upact︳
Fo︳ ︳ onSandfutureauditS
arrangemen七 S
銹麰鍋 外
ˊ稽核報告說 明 Exuana山 0no比 ud比 repo改
鑰籦砷
ˊ證 書與驗證 標 章之使 用說 明
繳小
Descr︳ ption oftheuseofcertificateand
鑈錘銹師站爸聊寧蘿路鍰鑼帥
certificat︳ on︳ ogo
ˊ 收 回 出席 人 員表 孔 ret〢 eVeattendance| 心tS 9
ˊ邀請與會 人 員提 出問題
鎗 瞞器冷野崔 紛郎
︳
nV︳ 七
︳ngpart︳ cipantsfor quest︳ ons
紛好
◎ by下 C︳ C
de67
Modu︳ e5S︳ ︳
稽核 報 告 β也 ㄏ
十
Aud比 epo㏄
「
(﹁ 用) — —
鑈霯鐒谽 鑼 眑黮谽鑱 熬
ˊ驗證 機構應為每 次 稽 核提供 書 面報告 給 客
戶 。稽 核 小 組可鑑 別 改 善機 會 ,但 是不應
鍙旗雇 中 稽核報告之所
堪慮蛋
奢 靈 湃瓙湒
佛簸坲 必
備確成
並簡 證
應明的
ˊ稽 核 小 組 長應確 保 稽 核 報 告 之 準
鏺黫︴
,、
餓︿
負責其 內容 。稽 核 報 告應提供 正
驗
塕簸坳鄉欺齷 鞏露帶聚雜螂
及 清 斤的稽 核 記 錄 ,使 能 據 以作
u十
決 定 ,且 應 包括 或提 及 以 下 內容
:
a)驗 證機構之鑑別 ;
b)客 戶之名稱及地址與客戶的代表
鈐 竑猙霪ηε 谽竹
一
c) 稽核類型 (例 如初次 、追查或重新驗證稽核 ,
或特別稽核 );
d)稽 核規範
谽盯
◎ byTC︳ C
資料 來源 :︳ SO︴ 702η -↑ :20η 5 Modu︳ e5s︳ ;de68
稽核報告 籚虱龘
#
Audit report(2u) — —
鏺籛 鐱谽 齺 鈐籦 鎀鑰 坊
e)稽 核 目標 ;
鐒黤 鐱 〝
g)來 自稽核計畫的任何偏差及其理 由 ;
h)影 響稽核方案的任何重大議題
鐱灘螂
;
皴︴鐱籩 齡抑漱黐 罕竹
員;
擺夥盟盞 彿 拓多跈跖 牽 鎊的
;
谽師
任何重大改變 ;
稽核報告
Audit report(3J竹 )
縐黫 銹黺 鑼 拂籩 紛鑱 〝
rn)任 何被鑑別出且未解 決的議題 ,;
n)在 適用情況下 ,是 否為合併 、聯合或整合稽核 ;
o)指 出稽核係根據可用資料抽樣過程的免責聲明 ;
塕麗翂 行
P)來 自稽核小組的建議 ;
文件及標誌的使用 ;
齡靉 齡師漱摞 跫礤帑瓏鐇卹
查證採取矯正措施 的成效 。
鐒 就發霆好吾 谽輕
銵附
錛黦 鍋谽 鱗 鏺黤 妙鱗 →
▌ 報 告 也 應 包含 :
齡黫 鐊 小
一 管理 系統符合適用要求與預期結果的能力 ;
塕黫 坤
一 內部稽核及管理審查過程 ;
皴站
b)驗 證範圍適當性之結論
鐒黮鏺師女餒 罕羅 學鍰罈魻
;
c)確 定 已達成稽核 目標 。
錛 拼多冷趶 甘 妙坤
φ外
◎ by下 C︳ C
資料來源 :︳ So{ 702︴ 一
﹁:20︹ 5 Modu︳ e5§ ∥
de7η
稽 核 報 告 目錄 J
π已▌
中
縐簸呦幼 鑼 鐒黮鎀鎞
AHd比 R兮 P● H糟 孩 生
軟告.
:Da進 e〔 落audㄦ 書角笨辯多
弟 館 :. ●
Repa比 da出}寄 芻久
鼓璀千辯夢 ∥
$鑼
籛鑰 〦
一
果三
汙εBn㏑ &竹 每爸
了Ξb| §〔
鑈黫師
一
嘍 6ener盆 留
0竹 五Π立斑︳ 單uFtem下 echn曲 牲ya㏕ 魚Pp出 c威 ;兮 &由曲燉:㏄ 絡
●Π′ 凝
餓
2 o跎 | mpr$出 n鎣
h鐒
路 發 毽 ﹊ … … _ _… … ﹍ … ﹏ ﹏ ﹏ ﹏ … ﹏ ﹏ … ﹏ ﹏ ﹋… ﹏ … … ﹏ ﹏
印 泉
籬齡螂筄黐 寧羅舉聚硌中
一 一 一 一 一 一 一 一 一 一一
— — —
3 眐e發路〔
鈴
6 ε Π 出 路 旺 r鈴 … … ﹍ … ﹍ ﹏ ﹍ …
附 作
一 一 一 一 一 一 一 一
一 一
鈐 臨務跨坷吾紛坤
了 研 詡
谽外
◎ by了 C︳ C
Modu︳ e5s︳ ide了 2
撥籦鏺嬐 鑴 鑈攤谽鑰 一
∩
AnyqUes七 :onS?
鐊颾塕 無
鐱籛仲
餓︴鏺黫鋒姊灘齷 孥蜘
鞿學錢舉 鐒 琳路趁野毒 劬姊
Thankyou ●
Merc:
谽師
◎ byTC︳ C Modu︳ e5S!︳ de73
●
一
V
睜 繲
So2700η LeadAudㄤ °rCourSe
︳ Exe「c︳ se
靂殲爞靂
— —
nde〤
︳
練習 B 風 險 案例評 估
練習 C 風 險 案例對 應 之 控 制措 施
練習 D S爪 llSCaseStudy
稽 核 團隊 的 組 成 及 ︳
練習 E 第一階段稽核 演練
練習 F 稽 核 情境 演練
Page︴
◎ byTC︳ C on:2023一 0︴
巨di七 ︳ of可
資通安 全 管理 法及 子 法 棄編
行政 院
中華 民國 110年 少月
V
目刁
壹 法規條 文 1
二 、資通安全管理法施行 細則 9
三 資通安全責任 等級分級辦 法 15
一
四 、資通安全 事件通報及應變辦法 再5
六 、資通安全 情資分 享辦 法 58
貳 逐條 說 明 6ㄔ
二 、資通安 全 管理法施 行 細 則 77
三 、資通安全 責任 等級分級辦 法 87
一┤
壹 、 法規條 文
一 、資通安全 管理法
0孔
總統令 靈 二
靂 晶蓋 禿◇:b昆 蠹 2母
茲制定 資通安全管理法 ,公 布之 。
總 統 蔡舞文
行政院 院長 賴清德
資饞 安 全 管 理 法
中華民踐 土
♁7車 心角 心出公布
第一章 總則
第 一條 為積極推動 國家資通安 全政 策 ,加 速建構 國家
資通安 全 環境 ,以 保 障 國家安 全 ,維 護社 會 公共利
益 ,特 制 定本 法 。
第二條 本 法之 主 管機 關為行 政 院 。
第三 條 本 法 用詞 ,定 義如 下 :
一 、資通安 全 專 業人 才之 培 育 。
二 、 資通安全 科技 之研 發 、整合 、應 用 、產學
合 作 及 國際交流合作 。
三 、 資通安全產 業之發 展 。
四 、 資通安全軟硬 體技術 規 範 、相 關服務 與審
9
2
驗 機制 之 發展 。
前項相 關事項 之 推 動 ,由 主 管機 關 以 國家資通
安 全發展 方 案定之 。
第五 條 主 管機 關應 規 劃並推動 國家資通安 全政 策 、資
通安 全 科技發展 、國際 交流合作 及 資通 安 全整 體 防
護 等相 關事 宜 ,並 應 定期 公 布 國家資通安 全 情勢 報
戶
告 、對 公務機 關資通安 全 維護計 畫實方 也情形稽 核概
況報告 及 資通 安全發展 方案 。
前項 情勢報告 、實 施 情 形稽核概 況報 告 及 資通
安 全發展 方 案 ,應 送 立 法院備 查 。
第六條 主 管機 關得委 任 或委 託 其他 公務機 關 、法 人 或
團體 ,辦 理 資通安 全整體 防護 、國際交 流合 作 及 其
他 資通安 全相 關事務 。
前項被委 託 之公務機 關 、法人 或 團體 或被複委
託 者 ,不 得 洩 露在執行 或辦 理 相 關事務 過程 中所獲
′
也提供 者 之 秘 密 。
悉 關鍵 基礎 設方
第 七條 主 管機 關應衡 酌公務機 關及 特 定非 公務機 關業
務 之 重要性與機敏 性 、機 關層 級 、保 有或處 理之 資
訊 種 類 、數 量 、性 質 、資通 系統 之規模 及性 質等條
件 ,訂 定 資通安 全 責任 等級之 分級 ;其 分 級 基準 、
等級 變更 申請 、義務 內容 、專責 人 員之設 置及 其他
相 關事 項 之辦 法 ,由 主 管機 關定之 。
主 管機 關得稽 核 特 定非 公務機 關之 資通安 全 維
戶
也情形 ;其 稽 核 之 頻 率 、內容與 方法及 其
護 計 畫實 方
他相 關事項 之 辦 法 ,由 主 管機 關定之 。
特 定非 公務機 關受前項 之 稽 核 ,經 發 現其 資通
安 全 維護計 畫實 施 有缺 失或待 改善者 ,應 向 主 管機
關提 出改 善報告 ,並 送 中央 目的事業 主 管機 關 。
3
第八條 主管機 關應建 立 資通安全 情資分 享機制 。
前項 資通安全 情資之 分析 、整合與分 享之 內
容 、程序 、方法及 其他相 關事項之辦 法 ,由 主管機
關定之 。
第九條 公務機 關或特定非公務機 關 ,於 本 法適 用範 圍
內 ,委 外辦 理 資通 系統之建 置 、維運或資通服務 之
提供 ,應 考 量受託 者 之 專 業能力與 經驗 、委外項 目
之性 質及 資通安全 需求 ,選 任適當之 受託者 ,並 監
督其資通安 全 維護情形 。
第二 章 公務 機 關 資通 安 全 管理
第十條 公務機 關應符合 其所屬 資通安全責任 等級之 要
求 ,並 考 量其所保有或處一
理 之 資訊 種類 、數 量 、性
質 、資通 系統之 規模與性 質等條件 ,訂 定 、修 正及
實施 資通安全維護 計畫 。
第十一條 公務機 關應 置 資通安全長 ,由 機 關首 長指 派
副首長或適當人 員兼任 ,負 責推動 及監督機 關內
資通安 全相 關事務 。
第十二條 公務機 關應每年 向上級 或監督機 關提 出資通
安全維護 計畫實施 情形 ;無 上級機 關者 ,其 資通
安全維護 計畫實方 ′
也情形 應送交 主 管機 關 。
第十三條 公務機 關應稽核其所屬 或監督機 關之 資通安
全 維護計 畫實施 情形 。
受稽核機 關之 資通安全維護計 畫實方 ′
也有缺 失
或待 改善者 ,應 提 出改善報告 ,送 交稽核機 關及
上級 或監督機 關 。
第十 四條 公務機 關為 因應 資通安全 事件 ,應 訂定通報
及 應變機制 。
公務機 關知 悉資通安 全 事件 時 ,除 應通報 上
再
級 或監督機 關外 ,並 應通報 主 管機 關 ;無 上級 機
關者 ,應 通報 主 管機 關 。
公務機 關應 向上級 或監督機 關提 出資通安 全
事件 調 查 、處理及 改 善報告 ,並 送 交 主 管機 關 ;
無 上級 機 關者 ,應 送 交 主 管機 關 。
前 三 項通報 及 應 變機制 之必 要事項 、通報 內
容 、報告 之 提 出及 其 他 相 關事項 之 辦 法 ,由 主 管
機 關定之 。
第十 五條 公務機 關所屬 人 員對 於 機 關之 資通安 全 維護
績 效優 良者 ,應 子 獎勵 。
前項 典勵 事項 之 辦 法 ,由 主 管機 關定之 。
第三 章 特 定 非 公 務 機 關 資通 安 全 管理
第十 六條 中央 目的事 業主 管機 關應於徵詢相 關公務機
關 、民間團體 、專家學者 之 意見後 ,指 定關鍵基
楚設施提供者 ,報 請 主管機 關核 定 ,並 以 書 面通
石
知 受核 定者 。
戶
也提供者應符合其所屬 資通安 全
關鍵基礎 設方
責任 等級之 要求 ,並 考量其所保有或處理之 資訊
種類 、數 量 、性 質 、資通 系統之規模與性 質等條
件 ,訂 定 、修 正及 實施 資通安 全 維護計畫 。
關鍵基礎設 施 提供者應 向 中央 目的事業主 管
′
機 關提 出資通安全維護計 畫實方 也情形 。
中央 目的事業主 管機 關應稽核所 管關鍵基礎
設施提供者 之 資通 安全維護計 畫實施 情形 。
關鍵基礎設 施 提供者 之 資通安 全 維護計 畫實
施 有缺 失或待 改善者 ,應 提 出改善報告 ,送 交 中
央 目的事業主管機 關 。
第二 項 至 第五 項 之 資通安 全 維護計畫必要事
5
項 、實施 情形 之 提 出 、稽核 之 頻 率 、內容與 方
法 、改 善報告 之 提 出及 其他應 遵行 事項 之 辦 法 ,
由 中央 目的事 業 主 管機 關擬 訂 ,報 請 主 管機 關核
定之 。
第十 七條 關鍵基礎 設施 提供者 以 外之 特 定 非 公務機
關 ,應 符合其所屬 資通安 全 責任 等級之 要 求 ,並
考 量其所保 有 或處 翠 之 資訊 種 類 、數 量 、性 質 、
資通 系統 之規模 與性 質等條件 ,訂 定 、修 正及 實
施 資通安 全 維護計 畫 。
中央 目的 事 業 主 管機 關得 要求所 管前項特 定
非 公務機 關 ,提 出資通安 全 維護計 畫實施 情形 。
中央 目的 事 業 主 管機 關得 稽 核 所 管第一項特
定非 公務機 關之 資通安全 維護計 畫實 施 情形 ,發
現 有缺 失或待 改 善者 ,應 限期要 求受稽核 之 特 定
非 公務機 關提 出改 善報告 。
前 三 項 之 資通安全 維護計 畫 必 要事項 、實方 ′
也
情形 之 提 出 、稽 核 之 頻 率 、內容與 方法 、改 善報
告 之提 出及 其他應 遵行 事項 之辦 法 ,由 中央 目的
事 業 主 管機 關擬 訂 ,報 請 主 管機 關核 定之 。
第十八條 特 定非 公務 機 關為 因應 資通安 全 事件 ,應 訂
定通報 及 應 變機 制 。
特 定 非 公務機 關於 知 悉 資通安 全 事件 時 ,應
向 中央 目的事 業 主 管機 關通報 。
特 定 非 公務機 關應 向 中央 目的事 業 主 管機 關
提 出資通安全 事件 調 查 、處 理及 改 善報告 ;如 為
重大 資通安全 事件 者 ,並 應送 交 主 管機 關 。
前 三 項通報 及 應 變機 制 之 必 要事項 、通報 內
容 、報告 之提 出及 其他應 遵行 事項 之 辦 法 ,由 主
管機 關定之 。 ——
)
6
知 悉重大 資通安 全 事件 時 j主 管機 關或 中央
目的事 業主 管機 關於 適 當時機得 公告與 事件 相 關
之 必 要 內容 及 因應措施 ,並 得提 供相 關協 助 。
第四章 罰則
第十九條 公務機 關所屬 人 員未遵 守本 法規定者 ,應 按
其情節輕 重 ,依 相 關規定 予以懲戒 或懲處 。
前項懲處事項 之辦 法 ,由 主管機 關定之 。
第二 十條 特 定非 公務機 關有下列情形 之 一者 ,由 中央
目的事業主管機 關令 r艮 期 改正 ;屆 期未 改正 者 ,
按 次處新臺幣十萬 元 以上 一百 萬元 以下罰鍰 :
第五 章 附 則
條 條
十 十
第 第
一
一
一二
一一
本 法施 行 日期 ,由 主管機 關定之 。
8
二 、資通安全 管理 法施行 細則
中華民國 107年 11月 21日 行政院院臺護字第 1070213547號 令訂 定
中華民國 1上 0年 8月 23日 行政院烷臺護字第 1l00182012號 令修 正
第一條 本 細 則依 資通安 全 管理 法 (以 下 簡稱 本 法 )第 二
十二條 規定訂定之 。
第二條 本法 第三條 第五 款所稱 軍事機 關 ,指 國防部 及 其
所屬機關 (構 )、 部 隊 、學校 ;所 稱情報機 關 ,指 國家
情 報 工 作 法 第三 條 第 一 項 第 一 款 及 第二 項 規 定 之 機
關 。
一 、缺 失或待 改 善之 項 目及 內容 。
二 、發 生原 因 。
三 、為 改正缺 失或補 強符 改 善項 目所採 取 管理 、
技術 、人 力 或資源 等層 面之措 施 。
四 、前 款措 施之 預定完成 時程 及 執行 進度 之 追蹤
方式 。
第 四條 各機 關 依 本 法 第 九條 規 定委 外辦 理 資通 系統 之
建 置 、維 運 或 資通服務 之 提 供 (以 下 簡稱 受託 業務 ),
選 任 及監 督 受託者 時 ,應 注 意下 列事 項 :
,應
一 、受託 者辦 理 受託 業務 之 相 關程序 及 環境
具備 完善 之 資通安 全 管 理 措 施 或通 過 第三
方驗證 。
9
二 、受託者應 配 置充足 且經 適 當之 資格 訓練 、擁
有 資通安 全 專 業證 照 或具 有 類似 業務 經驗
之 資通安 全 專業 人 員 。
三 、受託 者辦 理 受託 業務得 否複 委託 、得複委 託
之 範 圍與對 象 ,及 複 委託之 受託 者應具備 之
資通安 全 維護措 施 。
四 、受託 業務 涉及 國家機 密者 ,執 行 受託 業務 之
相 關人 員應接 受適任 性 查核 ,並 依 國家機 密
保護 法之規 定 ,管 制 其 出境 。
五 、受託 業務 包括 客 製化 資通 系統 開發者 ,受 託
者應提供該 資通 系統 之 安全性檢 測證 明 ;該
資通 系統 屬委 託 機 關之核 心 資通 系統 ,或 委
託金額 達新 臺幣一千 萬 元以上 者 ,委 託 機 關
應 自行 或另行 委託 第三 方進行 安全性檢 測 ;
涉 及 利 用 非 受託 者 自行 開發 之 系統 或 資源
者 ,並 應標 示 非 自行 開發 之 內容 與其來源 及
提供授 權 證 明 。
六 、受託者執行 受託 業務 ,違 反 資通安 全相 關法
令 或知 悉資通安全 事件 時 ,應 立 即通知委託
機 關及 採行 之 補救措 施 。
委託 關係終 止 或解除 時 ,應 確 認 受託者 返 還 、
七、
移 交 、們┤
l除 或銷 毀 履行 契約 而持 有 之 資料 。
八 、受託 者應採取 之 其他 資通安 全相 關維護措 施 。
九 、委託 機 關應 定期 或於 知 悉受託者發 生可 能影
響 受託 業務 之 資通安全 事件 時 ,以 稽核 或其
他 適 當 方 式確 認 受託 業務 之 執行 情形 。
委 託 機 關辦 理 前項 第四 款之 適任 性 查核 ,應 考 量
受託 業務所 涉及 國家機 密之 機 密等級 及 內容 ,就 執行
10
該 業務 之 受託者所屬 人 員及可 能接觸 該 國家機 密之
其他 人 員 ,於 必要範 圍內查核有無下列事項 :
,犯
一 、曾犯 洩密罪 ,或 於 動 員戡 亂時期終止後
內亂 罪 、外患罪 ,經 判別確 定 ,或 通 緝有案
尚未結 案 。
二 、曾任 公務 員 ,因 違反相 關安 全保密規定受懲
戒 或記過 以上行政懲處 。
三 、曾受到外 國政府 、大陸地 區 、香港或澳門政
府 之利誘 、脅迫 ,從 事 不利 國家安 全 或重大
利 益情事 。
四 、其他 與 國家機密保護相 關之 具體項 目 。
第一項 第四款 情形 ,應 記 載於 招標 公告 ‵招標文
件 及 契約 ;於 辦 理 適任 性 查核前 ,並 應 經 當事人 書面
同意 。
第五條 前條 第三項 及 本 法 第十六條 第一項之 書 面 ,依 電
子 簽章法之規定 ,得 以電子 文件 為之 。
第六條 本 法 第十條 、第十六條 第二項 及 第十 七條 第一項
所 定 資通安 全 維護 計 畫 ,應 包括 下列事項 :
一 、核 心 業務 及 其 重要性 。
二 、資通安 全政 策及 目標 。
三 、資通安全推動 組織 。
四 、專 責人 力及經 費之配 置 。
五 、公務機 關資通安 全 長之配 置 。
六 、資通 系統及 資訊之 盤 點 ,並 標 示核 心 資通 系
統 及相 關資產 。
七 、資通安 全風險評 估 。
八 、資通安 全 防護 及控制措 施 。
九 、資通安 全 事件通報 、應 變及 演練相 關機制 。
11
十 、資通安全 情 資之 評 估及 因應機 制 。
十 、資通 系統 或服務委 外辦 理之 管理 措 施 。
一
十二 、公務機 關所屬 人 員辦 理 業務 涉及 資通安 全
事項 之 考 核機 制 。
十三 、資通安全維護 計 畫與實施 情形 之 持 續精 進
及 績 效 管理 機制 。
各機 關依 本 法 第十 二 條 、第十 六條 第三 項 或第十
七條 第二 項規定提 出資通安 全 維護計 畫實 施 情形 ,應
包括 前項各款 之 執行 成果 及 相 關說 明 。
第一 項 資通安 全 維護計 畫 之 訂定 、修 正 實 施及
:、
′
也情形 之提 出 ,公 務機 關經 其上級 或監督機 關
前項實方
同意 ,得 由其上級 、監 督機 關或其 上級 、監 督機 關所
屬 公務機 關辦 理 ;特 定 非 公務機 關經 其 中央 目的事業
主 管機 關同意 ,得 由其 中央 目的事 業 主 管機 關 、中央
目的事 業 主 管機 關所 屬 公 務 機 關或 中央 目的 事 業 主
管機 關所 管特 定非 公務機 關辦 理 。
第七條 前條 第一項 第一 款所 定核 心 業務 ,其 範 圍如 下 :
一 、公務機 關依 其 組 織 法規 ,足 認 該 業務 為機 關
核 心權 責所在 。
二 、公 營事 業及政 府捐助 之 財 團法 人之 主 要服務
或功能 。
三 、各機 關維運 、提供 關鍵 基礎 設施 所 必 要 之 業
務 。
1再
三 、資通安全 責任 等級分級辦 法
中華民國 107年 l1月 21日 行 政 院院臺護 字 第 l070213547號 令 訂 定
中華民國 l08年 8月 26日 行 政 院院臺護 字 第 l080184606號 令修 正
中華民國 110年 8月 23日 行 政 院院臺護 字 第 l100182012號 令修 正
15
第一項 至 第五 項 公務機 關辦 理 資通安 全 責任 等級之提
交 或核定 ,就 公務機 關或特定非公務機 關 內之 單位 ,認 有
另 列與 該 機 關不 同等級之必要者 ,得 考 量其 業務 性 質 ,依
第四條 至 第十條 規定認定之 。
第四條 各機 關有下列情形 之 一者 ,其 資通安全 責任 等級 為 A級 :
一 、業務 涉及 國家機 密 。
二 、業務 涉及 外交 、國防或國土安全 事項 。
三 、業務 涉及全 國性 民眾服務 或跨 公務機 關共 用性
資通 系統之 維運 。
四 、業務 涉 及全 國性 民眾或 公務 員個 人 資料檔 案之
持有 。
五 、屬公務機 關 ,且 業務 涉及全 國性之 關鍵 基礎 設施
事項 。
六 、屬 關鍵基礎設施提供者 ,且 業務 經 中央 目的事業
主 管機 關考量其提供 或維運 關鍵基礎 設施服 務 之
用戶數 、市場 占有 率 、區域 、可 替代性 ,認 其 資
通 系統失效 或受影 響 ,對 社 會公共利 益 、民心 士
氣或民眾生命 、身體 、財產安 全將產 生 災難性 或
非 常嚴 重之影響 。
七 、屬 公立 醫學 中心 。
第五條 各機 關有下列情形 之 一者 ,其 資通安全 責任 等級 為 B級 :
16
用性 資通 系統之 維運 。
五 、屬 公務機 關 ,且 業務 涉及 區域性或地區性 之 關鍵
′
基礎 設 方
也事項 。
六 、屬 關鍵基礎設施提供者 ,且 業務 經 中央 目的事業
主 管機 關考量其提供 或維運 關鍵基礎 設施服務 之
用戶數 、市場 占有率 、區域 、可替代性 ,認 其 資
通 系統失效或受影響 ,對 社會公共利 益 、民心 士
氣或民眾生命 、身 體 、財產安全將產 生嚴 重影 響 。
七 、屬 公立區域醫院或地 區醫院 。
第 /、 條
〦
各機 關維運 自行 或委 外設 置 、開發 之 資通 系統者 ,其
資通安 全 責任 等級 為 C級 。
前項所 定 自行 或委外設 置之 資通 系統 ,指 具權 限區分
及 管理 功能之 資通 系統 。
第 七條 各機 關 自行辦 理 資通 業務 ,未 維運 自行 或委 外設 置 、
開發 之 資通 系統者 ,其 資通安 全 責任 等級 為 D級 。
第 八條 各機 關有下 列情形之 一者 ,其 資通安 全 責任 等級 為 E級 :
一 、無 資通 系統且 未提 供 資通服務 。
二 、屬 公務機 關 ,且 其全 部 資通業務 由其上級機 關 、
監督機 關或上 開機 關指 定之公務機 關兼辦 或代 管 。
三 、屬特 定非公務機 關 ,且 其全部 資通業務 由其 中央
目的事 業主管機 關 、中央 目的事業主管機 關所屬
公務機 關 、中央 目的事業 主管機 關所管特 定非公
務機 關或 出資之公務機 關兼辦 或代 管 。
第 九條 各機 關依 第四條 至 前條 規定 ,符 合 二個 以上之 資通安
全 責任 等級 者 ,其 資通安全 責任 等級 列為其符合 之 最高等
翹L。
第 十條 各機 關之 資通安 全 責任 等級依 前 六條 規定認 定之 。但
第三條 第一項 至 第五 項 之 公務機 關提 交或核 定資通安全 責
17
任 等級 時 ,得 考 量下 列事項對 國家安全 、社 會 公 共利 益 、人
民生命 、身 體 、財產安全 或公務機 關聲譽之 影 響程度 ,調 整
各機 關之 等級 :
18
片
也;其 為 主管機 關者 ,經
備 查後 ,免 執行 該 事項或控制措 方
其 同意後 ,免 子執行 。
公務機 關之 資通安全 責任 等級 為 A級 或 B級 者 ,應 依
主 管機 關指 定之方式 ,提 報 第一項 及 第二項事項之辦 理 情
形。
中央 目的事業主管機 關得 要求所管特 定非 公務機 關 ,
V
⊥9
附表 一 資通安全責任 等級 A級 之公務機 關應辦事項
制度 面 向 辦理項 目 辦 理 項 目細 項 辦 理 內容
初次 受核 定或等級 變更後 之 一年 內 ,針
對 自行 或委 外開發 之 資通 系統 ,依 附表
資通 系統分級及 防護基 準 九完成 資通 系統分級 ,並 完成 附表十 之
控 制措 施 ;其 後應每 年 至 少檢視 一 次 資
通 系統分級妥 適性 。
初次 受核 定或等級 變更後 之 二 年 內 。全
部核 心 資通 系統 導人 CNS2700l或 工 S0
2700l等 資訊 安全管理 系統標 準 、其 他
資訊 安全 管理 系統之 導入 及 通
管理 面 具有 同等或 以上效果之 系統或標 準 ,或
過 公正 第三 方之驗證
其 他 公務 機 關 自行 發 展 並 經 主 管機 關
認可之 標準 ,於 三 年 內完成公正 第三 方
驗證 ,並 持續維持其驗證 有效性 。
初 次 受核 定或等級 變更後 之 一年 內 ,配
資通安 全 專責 人 員
置 四人 ;須 以 專職 人 員配 置之 。
內部 資通安 全 稽核 每 年辦 理 二 次 。
業務持續運作 演練 全 部核 心 資通 系統每年辦 理 一次 。
資安治理 成 熟度評估 每 年辦 理 一次 。
弱點 掃 描 全 部核 心 資通 系統每年辦 理 二 次 。
安全性檢 測
滲 透測試 全 部核 心 資通 系統每年辦 理 一次 。
網路 架構 檢視
網路 惡 意活動
檢視
使 用者 端 電腦
資 通 安 全 健 惡 意 活 動檢視 每 年辦 理 一次 。
診 伺 服 器 主機 惡
意 活 動檢 視
目錄 伺 服 器設
定及 防 火牆 連
技術 面 線設 定檢 視
初玫 受核 定 或等級 變更後 之 一年 內 ,完
成威 脅偵 測機 制建 置 ,並 持續維運 及依
主 管機 關指 定之 方 式提 交監控 管 理 資
料 。其監控 範 圍應 包括本表所 定 「端點
資通安 全 威 脅偵測管理 機制
偵 測及 應 變機 制 」與 「資通安 全 防護 」
|
之 辦 理 內容 、目錄服務 系統與機 關核 心
資通 系統 之 資通 設備 紀 錄 及 資訊 服 務
或應 用程 式 紀錄 。
初 次 受核 定或 等級 變更後 之 一年 內 ,依
政 府 組 態基 準 主 管機 關公告之 項 目 ,完 成政 府 組 態基
一
準 專人 作 業 ,並 持續維運 。 ┤
20
後之 年
初 次 受 核 定 或 等級 變 更
內 完 成 資通 安 全 再罵點 通 報 機 制
主 管
ˊ
ˊ
ˊ′︻︻‵‵‵
導人 作 業 並 持 續維運 及 依
資訊 資 產 盤
﹉ 、
機 關 奇旨定 之 方 式 提 交
)
點 資料
百 十 年 )ㄟ 月
本辦 法 中華民 國
資通安 全弱點通報機 制 日修 正 施 行 前 已 受
核 定者
十 斗
年內 成資
應 於修 正 施 行 後
兀
牙哥點 通 報 機 制 導 作
入 業
通安 全
主 管機 關 指 定 之
並持續維運及 依
方 式 提 交 資訊 資 產 盤
點 資料
次 受 核 定 或 等級 變 更
後之 二 年
羽
制專
內 乃成端 點 偵 測 及 應 變機
及 依 主 管機
入作 業 並持 續維運
測 資料
關 指 定 之 方 式提 交 偵
百 十年八 月
本辨 法 中華民 國
日修正 施 行前 已 受
核 定者
端 點偵 測 及應 變機 制 十
二年內 完 成端
應於 修正 施行後
入 作 業 並
點 偵 測 及 應 變機 制 導
機 關指 定 之 方
持 續維 運 及 依 主 管
式提 交偵 測 資 料 。
防毒軟 體
網 路 防 火牆
具有郵 件伺 服 器
者 ,應 備 電 子 郵
件 過 濾機 制 後 之 一年 內 完
初 次受核 定或 等級變更
入侵 偵 測 及 防禦 施 之啟 用 ,並一持
成各項 資通安 全 防護措
資通安 全 、硬體 之必要 更新
機制 續使 用及適時 進行軟
防護
具 有對 外服 務 之 或升級 。
核 心 資通 系統
者 ,應 備 應 用程
式 防 火牆
進 階持 續 性 威 脅
攻 擊 防禦 措 施 二 小 時 以上之 資
每 人 每 年 至 少接 受 十
全職 能
資 通 安 全 專 職 人 通 安 全 專 業課 程 訓 練 或 資 通 安
員 訓練 。
以 上 之 資
每人 每 年 至 少接 受 ︳、時
資 通 安 全 專 職 人 通 安 全 專 業 課 程 自Ⅱ練 或 資 通 安
全職能
認知 資通安 全
員 以 外 之 資訊 人 甫║練 且 每 年接 受 三 |、時 以 上 資
之 通安
與 訓練 教 育訓 練
員 全通 識 教 育 訓 練 。
三 時 以上 之 資 通安 全
般 使 用者 及 主 每 人 每 年接 受 小
一
管
通識 教 育 訓 練 。
21
初 次 受 核 定 或 等級 變
更後之 年
內 至 少 四 名 資通 安 全
專職 人 員
分 另 各 自持 有 證 照 及 證
l|
資通 安全 專 業證 照及職 能韌〡 書各 張
練 持 續 維 持 證 照及證 書之
證書
有差 遠 乎 一
備註 :
構 證標 誌 。
三 、資通安全 專職人 員 ,指
應全職執 行 資通安全 業矛 交者
力
四 、公務機 關辦 理 本表 。
「資通安全健診 」時 ,除 依 本表
所 定項 目 、內容及 時限執 行 外
亦得 採取經 主 管機 關認可之 其他
,
具 有 同 等或以上 效 用之措施
五 、資通安 全 弱點 通報 。
機制 ,指 結 合 資訊 資產 管理 與弱點 理 ,掌
管 握 整體風險情勢 ,並
協助 機 關落實本法 有 關資產 盤點及
風險評估應辦 事項之 作 業 。
六 、端點 偵 測及應 變機 制 ,指
具備對端點 進行 主動 式掃 描
偵測 、漏洞 防護 、可疑 程 式或
異 常活 動行 為分析 及相 關威
牽程度 呈現 功 能之 防護作 業 。
七 、資通安全 專 業證 照 ,指
由主 管機 關認可之 國內外發證
機 關 (構 )所 核 發之 資通安全
證照 。
.子
﹉ ,一_ 一
!!.:_
︸﹉
22
附表二 資通安全責任等級 A級 之特定非 公務機關應辦事項
制度面向 辦理項 目 辦 理 項 目細 項 辦 理 內容
初 次受核 定或 等級 變更後 之 一 年 內 ,
針對 自行 或委外開發 之 資通 系統 ,依
資通 系統分級及 防護基 準 附表 九完成 資通 系統分級 ,並 完成附
表 十之控 制措 施 ;其 後應每年 至 少檢
視 一次 資通 系統分 級妥 適性 。
初 坎 受核 定或等級 變 更後 之 二 年 內,
資通安 全 專責人 員
配 置 四人 。
內部 資通 安全稽核 每 年辦 理 二 次 。
業務持續 運作 演練 全部核 心 資通 系統每 年辦 理 一 次 。
弱點 掃 描 全 部核 心 資通 系統每 年辦 理 二 坎 。
安 全性檢 測
滲透 測試 全部核 心 資通 系統每 年辦 理 一 次 。
網路 架構 檢 視
網路 惡 意 活 動
檢視
使 用者端 電腦
資 通 安 全 健 惡 意 活動 檢 視
每 年辦 理 一 次 。
診 伺 服 器 主機 惡
意 活 動檢 視
目錄 伺 月艮器設
定及 防 火牆 連
技術 面 線設 定檢 視
初 次受核 定或等級 變更後 之 一年 內 ,
並 持續維 運 及依 主 管機 關指定之
方式提 交資訊 資產 盤點 資料 。
23
二 、 本辦 法 中華民國一 百 十年八 凋二
十 三 日修 正 施 行 前 已受核 定者 ,
應 於 修 正 施 行後 一 年 內 ,完 成 資
通安全弱點通報 機 制 導入 作 業 ,
並 持 續 維運 及依 主 管機 關指 定之
方 式提 交 資訊 資產盤點 資料 。
防毒軟體
網路 防 火牆
具 有郵 件伺 服
器者 ,應 備 電
子 郵 件 過 濾機
制
初次 受核 定或 等級 變更後之 一年 內 ,完
入 侵 偵 測及 防
資通安 全 成 各 項 資通安 全防護措 施之啟 用 ,並 持
禦機 制
防護 續使 用及 適 時進行軟 、硬 體之必要 更新
具 有 對 外服務
或升 級 。
之 核 心 資通 系
統者 ,應 備 應
用程 式 防 火牆
進階持 續 性 威
脅攻 擊 防禦措
施
每 人 每 年 至 少接 受 十 二 小 時 以上 之 資
資通安 全 專責
通 安 全 專 業課 程 訓 練 或 資 通安 全 職 能
人員
韌|練 。
每 人每 二 年 至 少接 受 三 小 時 以上 之 資
資通安 全 資通安 全 專 責
通安 全 專 業課 程 訓 練 或 資通安 全 職 能
教 育訓 練 人 員 以 外之 資
韌〡練 ,且 每 年接 受三 小時 以上之 資通安
訊人員
全通識教 育訓練 。
一 般使 用者 及 每 人 每 年接 受 三 小 時 以上 之 資通安 全
認知
主管 通識教 育韌〡 練 。 一
與訓 練
一 、 初 次 受核 定 或 等級 變更後 之 一 年
內 ,至 少 四 名 資通安 全 專 責 人
員 ,各 自持 有證 照 一 張 以上 ,並
持 續 維持 證 照之 有效性 。
資通安全 專業證 照
二 、 本辦 法 中華 民 國 一 百 十年 八 月 二
十 三 日修 正 施 行 前 已受核 定者 ,
應於修 正施 行 後 一年 內符合 規
定。
備註 :
2再
第三 方核發之驗證證 書應有前 開委託機 構 之認證標誌 。
三 、特 定非公務機 關辦 理 本表 「資通安 全健診 」時 ,除 依本表所 定項 目 ‵內容及 時限執
╮ 行 外 ,亦 得採取 經 中央 目的事 業 主 管機 關認 可之其他具有 同等或 以上效 用之措施 。
四 、資通安 全弱點通報機制 ,指 結合 資訊 資產 管理 與弱點管理 ,掌 握 整體風險情勢 ,並
協助機 關落實本 法 有關資產 盤點 及風險評 估應辦 事項 之 作 業 。
五 、資通安 全 專 業證 照 ,指 由主 管機 關認可之 國內外發證 機 關 (構 )所 核發之 資通 安全
證照 。
六 、特定非 公務機 關之 中央 目的事 業 主 管機 關得 視 實際需求 ,於 符合本辦 法規 定之 範 圍
內 ,另 行訂 定其所 管特 定非公務機 關之 資通安全應辦事項 。
25
↙
附表九 資通系統防護 需求分級原則 一\
╮
防護 需求
等級 馬 中 普
構面
發 生 資通安 全 事件 致 資 發 生 資通安全 事件 致 資 發 生 資通安 全 事件 致 資
通 系統 受影 響時 ,可 能 通 系統受影 響時 ,可 能 通 系統受影 響時 ,可 能
造 成未 經授 權 之 資訊 揭 造 成 未 經 授權 之 資訊 揭 造成未經授 權 之 資訊 揭
機 密性 露 ,對 機 關之 營運 、資產 露 ,射 機 關之 營運 、資產 露 ,對 機 關之 營運 、資產
或信 譽 等 方面將 產 生 非 或信 譽 等 方面將產 生嚴 或信 譽 等 方 面將 產 生 有
常 嚴 重 或 災難 性 之 影 重之 影響 。 限之 影響 。
響。
發 生 資通安 全 事件 致 資 發 生 資通安 全 事件 致 資 發 生 資通安 全 事件 致 資
通 系統 受影響時 ,可 能 通 系統 受影 響 時 ,可 能 通 系統 受影 響時 ,可 能
造 成 資訊錯誤 或遭 竄 改 造 成 資訊錯誤 或遭 竄 改 造成 資訊錯 誤 或遭 竄 改
完整性 等情事 ,對 機 關之 營運 、 等情事 ,對 機 關之 營運 、 等情事 ,對 機 關之 營運 、
資產 或信 譽 等 方 面將 產 資產 或信 譽 等方 面將 產 資產 或信 譽 等 方 面將產
生 非 常嚴 重或 災難性 之 生嚴 重之影 響 。 生有 限之 影 響 。
影響 。
發 生 資通安 全 事件 致 資 發 生 資通安 全 事件 致 資 發 生 資通 安 全 事件 致 資
通 系統 受影 響 時 ,可 能 通 系統 受影 響時 ,可 能 通 系統 受影 響 時 ,可 能
造 成對 資訊 、資通 系統 造 成 對 資訊 、資通 系統 造成對 資訊 、資通 系統
可 用性 之 存 取 或使 用之 中斷,
之 存 取 或使 用之 中斷 ,
之 存 取 或使 用之 中斷 ,
38
\卜
附表十 資通 系統防護基準
控 制措 施 高 中 普
措施 內
構面
容
機 關應 定 義各 系
一、 一 、已逾期之 臨 時 或 建 立帳號管理機制 ,
統之 開置 時 間或 緊急帳號應冊 ll
包含帳號 之 申請 、 建
可使 用期 限與 資 除 或 禁用 。 立 、修 改 、啟 用 、停
通 系統 之 使 用 情 二 、資通 系統 開置帳 用及刪 除之程序 。
況及條件 。 號應 禁 用 。
二、
逾越機 關所 許 可 三 、定期 審核 資通 系
之 開 置時 間或可 統帳 號 之 申請 、
使 用期 限時 ,系 建 立 、修 改 、啟
統應 自動 將使 用 用 、停 用 及 刪
帳號 管
者登出 。 除 。
理
應依機 關規 定 之
三、 四 、等級 「普 」之 所
情 況及條 件 ,使 有 控 制措 施 。
用 資通 系統 。
四 、監控 資通 系統帳
號 ,如 發 現 帳 號
違 常使 用 時 回報
存 取控 管理 者 。
制 五 、等級 「中 」之 所
有控 制措 施 。
採最小權 限原則 ,僅 允許使 用者 (或 代表 無要 求 。
最 小權
使用者行為之程序 )依 機關任務及業務功
!艮
能 ,完 成指派任務所需之授權存取 。
一 、遠端存 取 之 來 源應 為機 關 已預 先 定 義 對 於 每 一種 允 許
一、
及 管理 之 存 取控 制 點 。 之遠端存取類
二 、等級 「普 」之 所 有控 制措 施 。 型 ,均 應先取得
授 權 ,建 立使 用
限 制 、組 態 需
遠端 存
求 、連 線 需求及
取
文件化 。
二、使 用者 之 權 r艮 檢
查作 業應於 伺
服 器端 完成 。
三、應 監控 遠端 存取
39
機 關 內部 網段
或 資通 系統後
臺之 連 線 。
四 、應 採 用 加 密 機
制 。
一 、應 定 期 審 查機 關所 保 留 資通 系統 產 訂 定 日誌 之 記 錄
、
一
生之 日誌 。 時 間週 期 及 留
二 、等級 「普 」之 所 有控 制措 施 。 存 政 策 ,並 保 留
日誌 至 少 六 個
月。
二、
確 保 資通 系統 有
記錄 事 記錄 特 定事件
件 之 功 能 ,並 決定
應記錄 之特定
資通 系統 事件 。
三、
應 記 錄 資通 系統
管理 者 帳 號 所
執行之各項功
能 。
資通 系統產生之 日誌 應 包含 事件類型 、發 生 時 間 、發 生位 置及任
日音志率
己
何與 事件相 關之 使 用者 身分識別 等資訊 ,採 用單一 日誌 機制 ,確
錄 內容
保輸 出格 式之 一 致 性 ,並 應依 資通安 全政 策及法規 要 求納 入 其
他相 關資訊 。
事件 日
日誌 儲 依 據 日誌儲 存 需求 ,配 置所 需之儲存 容量 。
誌與可
存容量
歸 責性
一、 機 關規 定 需要 即 資通 系統 於 日誌 處 理 失效 時 ,應 採 取 適 當
時 通 報 之 日誌 之 行 動 。
處理 失效事件
發 生 時 ,資 通 系
日誌 處 統 應 於 機 關規
理 失效 定之 時 效 內 ,對
之 回應 特 定 人 員提 出
警告 。
二 、等級 「中 」及 「普 」
之所有控 制措
加 乙 。
標準 時間{ GM下 }。
日誌 資 一 、定期備份 日誌 至 一 、應運 用雜湊或 其 對 日誌之 存取 管理 ,
碎o
訊之保 原 系統 外之 其 他 適 當 方 式 之 僅 r艮 於 有 權 限之 使
護 他 實 體 系統 。 完 整 性 確 保 機 用者 。
二 、等級 「中」之 所 制 。
有控 制措 施 。 二 、等級 「普 」之 所
有控 制措 施 。
一 、應將備份 還原
,
一、應 定期 測 試備份 一 、 訂定 系統可容忍
作 為 營運 持 續 資訊 ,以 驗證 備 資料韻 失之 時
計畫測試之 一 份媒體之可靠 間要求 。
部分 。 性及資 訊 之 完 二 執行 系統源碼與
、
二、
應在 與運作 系統 整性 。 資料備份 。
不 同地 點 之 獨 二 、等級 「普 」之 所
系統備
立設 施 或 防 火 有控 制措 施 。
份
櫃 中 ,儲 存 重要
營運持 資通 系統 軟 體
續計 畫 與其他安全相
關資訊 之 備 份 。
三 、等級 「中 」之 所
有控 制措 施 。
一 、訂 定 資通 系統從 中斷後 至 重新 恢復 服 無要 求 。
務 之 可 容 忍 時 間要 求 。
系統備 二 、原服務 中斷 時 ,於 可 容 忍時 間內 ,由
援
備 援 設 備 或 其他 方 式取 代 並提 供 服
務 。
一 、對 資通 系統 之 存 資通 系統應 具備 唯 一識 別 及鑑 別機 關使
內部使 取採 取 多 重認 證 用者 { 或代 表機 關使 用者行 為 之 程序 } 之
用者 之 技術 。 功能 ,禁 止使 用共用帳號 。
識 別與 二 、等級 「中 」及 「普 」
務笠另| 之所 有控 制措
方色。
一 、身 分驗 證 機制應 防範 自動化程 式之 登 一 、使 用預設 密碼
入 或密碼 更換 嘗試 。 登 入 系統 時 ,
二 、密碼 重設機制對使 用者 重新 身 分確 認 應 於 登人 後 要
識 別與 後 ,發 送 一 次性及 具有 時效性符記 。 求 立 即變更 。
攪監另心 三 、等級 「普 」之 所 有控 制措 施 。 二 、身分 驗證 相 關
資訊 不 以 明文
身 分驗 傳輸 。
證 管理 三 、具備 帳 戶鎖 定
機 制 ,帳 號 登
人 進行 身 分驗
證 失敗達 五次
後 ,至 少十 五
分鐘 內不允許
V 該 帳號繼續 嘗
猝1
試 登 入 或使 用
機 關 自建之 失
ˋ
抖
/
敗驗 證 機 制 。
四 、使 用密碼 進行
驗證 時 ,應 強
制 最 低 密碼 複
雜 度 ;強 制 密
碼 最短 及 最 長
之效 期 限制 。
五 、密碼 變 更時 ,至
少不 可 以與 前
三 次 使 用過 之
密碼相 同 。
六 、第 四 點及 第 五
點 所 定措 施 ,
對 非 內部使 用
者 ,可 依機 關
自行 規 範 辦
理 。
|
系統發 二 、系統應 具備發 生 二 、應 注 意避 免軟 體 常見 漏 洞及 實作 必
|
展 生命 嚴 重錯 誤 時 之 通 要控 制措 施 。
週期 開 知機 制 。 三 、發 生錯 誤 時 ,使 用者 頁 面僅 顯示 簡
發 階段 三 、等 級 「中」及 「普 」 短 錯 誤 訊 t惠 及 代碼 ,不 包含詳 細之
之所 有控 制措 錯誤訊 息 。
凝三。
一V
再2
一 、執 行 「滲 透 測 試 」 執行 「弱點掃描 」安 全檢 測 。
系統發
安 全檢 測 。
展 生命
╮ 週期測
二 、等 級 「中 」及 「普 」
之 所 有控 制 措
試 階段
方
色。
,應 一 、於 部 署環 境 中
一 、於 系統發展 生命 週期 之 維運 階段
執行 版本控 制與 變更管理 。 應 針 對相 關資
系統發 二 、等級 「普 」之 所 有控制措 施 。 通安全威 脅 ,
展 生命 進行 更新與修
週 期部 補 ,並 關 閉不
署與維 必 要服 務 及 埠
運 階段
二 、資通 系統不使
用預設 密碼 。
系統發 資通系統開發如委外辦理 ,應 將系統發展生命週期各階段依 等級
展 生命 將安全需求 (含 機密性 、可用性 、完整性 )納 入委外契約 。
週期委
外ㄗ皆段
獲得程 開發 、測試 及正 式作 業環 境 應 為 區隔 。 無要 求 。
序
系統文 應儲存與 管理 系統發展 生命 週期 之相 關文件 。
件
) 一 、資通 系統應採 用 無要 求 。
加 密機制 ,以 防
無要 求 。
止 未授 權 之 資
訊揭 露 或偵 測
資訊之 變更 。但
傳 輸 過 程 中有
替代之實體保
護措 施者 ,不 在
政二!艮 。
傳輸之 二 、使 用 公 開 、國 際
系統 與
幾密性
v〡
通訊 保 機構驗證 且 未
與 完整
護 遭破 解之 演 算
性
法 〔
l
三 、支援 演算 法 最 大
一
長度金鑰 。
四 、加 密金鑰 或 憑 證
應 定期 更換 。
五 、伺 服 器端 之 金鑰
保 管應訂 定 管
理規範及實施
應有之安全 防
再3
護措 施 。
資通 系統 重要組 態設 無要 求 。 無要 求 。
資料儲 定檔 案及 其他 具保護
存 之安 需求之 資訊 應加 密或
全 以 其 他 適 當 方 式儲
存 。
一 、定期確 認 資通 系統相 關漏洞修復 之 狀 系統 之漏洞修復應
漏洞修
態。 測試 有效性及 潛在
復
二 、等級 「普 」之所有控制措 施 。 影 響 ,並 定期更新 。
一 、資通 系統 應採 用 一 、監控 資通 系統 ,
發 現 資通 系統 有被
自動 化 工 具 監 以偵 測 攻擊 與 入 侵 跡 象時 ,應 通
控 進 出之 通 信 未 授 權 之 連 報機 關特 定 人 員 。
流量 ,並 於 發 現 線 ,並 識 別 資
資通 系 不尋 常或未授 通 系統 之 未 授
統監控 權 之 活 動 時 ,針 權使 用 。
對該 事件 進行 二 、等級 「普 」之 所
分析 。 有控 制措 施 。
系統 與 二 、等級 「中 」之 所
資訊 完 有控 制措 施 。
整性 一 、應 定期 執行 軟 體 使 用完整性驗證 無要 求 。
一、
與 資訊 完整性 工 具 ,以 偵 測未
檢查 。 授 權 變 更特 定軟
二 、等級 「中 」之 所 體 及 資訊 。
有控 制措 施 。 二、
使 用者 輸 人 資料
軟體及
合 法性 檢 查應 置
資訊 完
放於 應 用 系統伺
整性
服 器端 。
三、
發 現違 反 完整性
時 ,資 通 系統應
實 施 機 關指 定之
安 全保 護措 施 。
備 註 :特 定非公務機 關之 中央 目的事 業 主 管機 關得視 實 際 需求 ,於 符合本辦 法規 定之 範
圍內 ,另 行訂 定其所 管特 定非公務鞿 關之 系統 防護基 準 。
留
四 、資通安全 事件通報及 應變辦 法
中華民國 107年 11月 21日 行 政 院院臺護字第 l070213547號 令訂 定
中華民國 土10年 8月 23日 行 政院院臺護字 第 上王00182012號 令修 正
第一章 總則
第一條 本辦 法依 資通安 全 管理 法 (以 下簡稱本 法 )第 十 四條 第
四項 及 第十八條 第四項規 定訂定之 。
第二條 資通安全事件分為 四級 。
公務機 關或特 定非 公務機 關 (以 下 簡稱各機 關 )發 生
資通安 全 事件 ,有 下 列情形 之 一者 ,為 第一級 資通安 全 事
件 :
一 、非核心業務 資訊 遭輕微洩漏 。
二 、非核 心 業務 資訊 或非核 心 資通 系統遭輕微 竄改 。
三 、非核 心 業務 之 運作 受影 響 或停 頓 ,於 可容忍 中斷
時間內回復 正 常運作 ,造 成機 關 日常作 業影響 。
各機 關發 生 資通安 全 事件 ,有 下列情形 之 一者 ,為 第
二級 資通安全 事件 :
45
一 、未 涉及 關鍵 基礎 設施 維 運 之 核 心 業務 資訊 遭嚴 重
洩 漏 ,或 一般 公務機 密 、敏 感 資訊 或涉及 關鍵 基
礎 設施 維運 之核 心 業務 資訊 遭輕微 洩 漏 。
二 、未 涉及 關鍵 基礎 設施 維 運 之 核 心 業務 資訊 或核 心
資通 系統 遭嚴 重 竄改 ,或 一般 公務機 密 、敏 感 資
訊 、涉及 關鍵基礎 設施 維運 之核 心 業務 資訊 或核
心 資通 系統遭輕微 竄改 。
三 、未 涉及 關鍵基礎 設施 維運 之核 心 業務 或核 心 資通
系統 之 運作 受影 響或停 頓 ,無 法於 可容 忍 中斷 時
間內 回復 正 常運作 ,或 涉及 關鍵基礎 設施 維運 之
核 心 業務 或核 心 資通 系統之運 作 受影 響或停 頓 ,
或 國家機 密遭 竄改 。
三 、涉及 關鍵基礎設施 維運 之 核 心 業務 或核 心 資通 系
統 之 運作 受影 響或停 頓 ,無 法於 可容 忍 中斷 時 間
內回復 正 常運作 。
第三條 資通安全 事件 之 通報 內容 ,應 包括 下 列項 目 :
一 、發 生機 關 。
二 、發 生 或知 悉時 間 。
三 、狀 況之描 述 。
四 、等級之 評 估 。
碎6
五 、因應 事件所採取 之措 施 。
六 、外部 支援 需求評 估 。
七 、其他相 關事項 。
第二章 公務機 關資通安 全 事件 之 通報及應變
第四條 公務機 關知 悉資通 安全事件後 ,應 於 一 小時內依 主 管
機 關指 定之方式及對 象 ,進 行 資通安全 事件 之通報 。
前項 資通安 全 事件 等級 變更時 ,公 務機 關應依前項規
定 ,續 行通報 。
公務機 關 因故無 法依 第一項規定 方式通報者 ,應 於 同
項規 定之 時間 內依 其他 適 當 方 式通報 ,並 註記 無法依規 定
方式通報 之 事 由 。
公務機 關於 無法依 第一項規定方式通報 之 事 由解除後 ,
應依 該方 式補行 通報 。
第五條 主 管機 關應於 其 自身 完成 資通安 全 事件 之 通報後 ,依
下 列規定時間完成該 資通安 全 事件 等級之 審核 ,並 得 依 審
核結果變更其等級 :
,於 接獲
一 、通報為第一級 或 第二級 資通安 全 事件 者
後 八 小時 內 。
二 、通報 為第三級 或 第四級 資通安 全 事件者 ,於 接獲
後 二 小時 內 。
總統府與 中央一級 機 關之 直屬機 關及 直轄市 、縣 (市 )
政 府 ,應 於 其 自身 、所屬 、監督 之公務機 關 、所轄鄉 (鎮 、
市 )、 直轄市 山地原 住 民區公所與其所屬 或監督之公務機 關
,
ㄥ7
相居
司嵿千卡
封七。
總統府 、國家安全 會議 、立 法院 、司法院 、考 試院 、監
察院及 直轄 市 、縣 (市 )議 會 ,應 於 其 自身完成 資通安 全 事
件 之 通報後 ,依 第一項 規定 時間完成該 資通安 全 事件 等級
之 審核 ,並 依 前項規定通 知主管機 關及提供相 關資訊 。
主管機 關接獲前二項之通 知後 ,應 依相 關資訊 ,就 資通
安全 事件 之 等級 進行 覆核 ,並 得 依 覆核 結 果變更其 等級 。但
主 管機 關認 有 必 要 ,或 第二 項及 前項 之機 關未依規 定通 知
審核 結 果時 ,得 就該 資通安 令 事件 逕 為審核 ,並 得 為等級之
變更 。
第
〦
′
、
條 公務機 關知 悉資通安全 事件後 ,應 依 下列規定時間完
成損 害控制 或復原作 業 ,並 依 主 管機 關指 定之 方 式及 對 象
辦 理 通知 事 宜 :
再8
安 全 事件 之 通報 及 應 變作 業 ,應 視 情形提 供 必 要 支援 或協
助〕。
主 管機 關就 公務機 關執行 資通安 全 事 件 之 應 變作 業 ,
一 、每半年辦 理 一次 社 交工程演練 。
二 、每年辦 理 一次 資通安 全 事件通報 及 應變演練 。
總統府與 中央 一級機 關及 直轄市 、縣 (市 )議 會 ,應 依
前項 規 定規劃及辦 理 資通安 全演練作 業 。
第九條 公務機 關應 就 資通安 全 事 件 之 通報訂 定作 業規 範 ,其
內容應 包括 下列事項 :
三 、資一通安 全 事件 之 內部通報 流程 。
四 、通知受 資通安全事件影響之 其他機 關之方式 。
五 、前 四款 事項之 演練 。
六 、資通安 全 事件通報 窗 口及聯繫 方式 。
七 、其他 資通安 全 事件 通報相 關事項 。
碎9
第十條 公務機 關應就 資通安全 事件 之 應 變訂定作 業規範 ,其
內容應 包括 下列事項 :
一 、應 變小 組之組織 。
二 、事件發 生前之 演練作 業 。
三 、事件發 生 時之損 害控制機制 。
四 、事件發 生後之復 原 、鑑 識 、調 查及 改善機制 。
五 、事件相 關紀錄 之保 全 。
六 、其他 資通安 全 事件應 變相 關事項 。
第三 章 特定非 公務機 關資通安 全 事件 之通報 及 應 變
第十一條 特定非 公務機 關知 悉資通安 全 事件後 ,應 於 一小 時
內依 中央 目的事業 主 管機 關指 定之 方 式 ,進 行 資通安全
事件之通報 。
前項 資通安全 事件 等級 變更時 ,特 定非 公務機 關應依
前項規定 ,續 行通報 。
特定非 公務機 關 因故無法依 第一項規定方式通報者 ,
50
,應
一 、審核 結果為第一級 或第二級 資通安 全事件 者
定期彙整審核 結 果 、依據 及 其他必要 資訊 ,依 主
管機 關指 定之 方式送 交主管機 關 。
二 、審核 結 果為第三級 或第四級 資通安 全 事件者 ,應
於審核 完成後 一 小時內 ,將 審核 結 果 、
依 據 及其
他必要 資訊 ,依 主 管機 關指 定之 方式送 交 主管
機關 。
主 管機 關接獲 前項 資料後 ,得 就 資通安 全 事件 之 等
級 進行 覆核 ,並 得 為等級之 變更 。
第十三 條 特 定非 公務機 關知 悉資通安 全 事件 後 ,應 依 下列規
定時間完成損 害控制 或復原作 業 ,並 依 中央 目的事 業主
管機 關指 定之方式辦 理 通 知 事 宜 :
,於 知 悉該 事件後
一 、第一級 或第二級 資通安 全事件
七十二小時內 。
二 、第三級 或第四級 資通安 全 事件 ,於 知 悉該 事件後
三 十六小時內 。
特 定非 公務機 關依 前項 規定完成損 害控制 或復原作
業後 ,應 持續 進行 事件 之 調 查及 處理 ,並 於 一個 月 內依 中
央 目的事業主管機 關指 定之 方式 ,送 交調 查 、處理及改善
報告 。
前項調 查 、處理及 改善報告送 交之 時 限 ,得 經 中央 目
的事 業主管機 關同意後延長之 。
中央 目的事業 主 管機 關就 第一項之 損 害控制 或復原
作 業及 第二項送交之報告 ,認 有 必要 ,或 認 有違 反法令 、
不適 當或其他須 改善之 情事 者 ,得 要求特定非 公務機 關
提 出說 明及調整 。
特 定非 公務機 關就 第三級 或第四級 資通安 全 事件送
交之 調 查 、處理及 改善報告 ,中 央 目的事 業主 管機 關應於
51
審查後送交主 管機 關 ;主 管機 關就該報告認 有必要 ,或 認
有違反法令 、不適 當或其他 須 改善之 情事者 ,得 要求特定
非 公務機 關提 出說 明及調整 。
第十四條 中央 目的事 業主 管機 關就所 管特 定非 公務機 關執行
資通安 全 事件 之通報 及應 變作 業 ,應 視 情形提 供必 要支
援 或協助 。
主 管機 關就特 定非公務機 關執行 資通安全 事件應 變
作 業 ,得 視 情形提供 必要支援 或協助 。
特 定非公務機 關知 悉第三 級 或第四級 資通安全 事件
後 ,應 召開會議研 商相 關事宜 。
第十五 條 特定非 公務機 關應就 資通安 全 事件 之 通報訂定作 業
規範 ,其 內容應 包括下列事項 :
一 、判定事件 等級之流程 及權 責 。
二 、事件 之 影響範 圍 、
損 害程度及機 關 因應能力之評
在 。
三 、資通安
一
全 事件 之 內部 通報 流程 。
四 、通知 受 資通安 全 事件 影 響 之 其 他機 關之 時機 及
方式 。
五 、前 四款 事項 之 演練 。
六 、資通安全 事件 通報 窗 口及 聯繫 方 式 。
七 、其他 資通安全 事件通報相 關事項 。
第十 六條 特 定 非 公 務機 關應 就 資通安 全 事件 之 應 變訂 定作 業
規 範 ,其 內容應 包括 下 列事項 :
一 、應 變小 組之 組 織 。
二 、事件發 生前之 演練作 業 。
三 、事件發 生 時之損 害控 制 ,及 向 中央 目的事 業 主 管
機 關請 求技術 支援 或其他 必 要協助 之機制 。
四 、事件發 生後之復 原 、鑑識 、調 查及 改 善機制 。
52
五 、事件 相 關紀錄 之 保 全 。
╮ 六 、其他 資通安 全 事 件應 變相 關事 項 。
第四 章 附則
第十 七條 主 管機 關就各機 關之 第三級 或第四級 資通安 令 事件 ,
得 召開會議 ,邀 請相 關機 關研 商該 事件 之 損 害控 制 、復原
及 其他相 關事 宜 。
第十八 條 公務機 關應 配合 主 管機 關規劃 、辦 理之 資通安 全 演
練作 業 ,其 內容得 包括 下 列項 目 :
一 、社 交工 程 演練 。
二 、資通安 全 事件 通報 及 應 變演練 。
三 、網路 攻 防演練 。
四 、情境 演練 。
五 、其他 必 要之 演練 。
第十 九條 特 定非 公務機 關應 配 合 主 管機 關規 劃 、辦 理 之 資通
\
) 安 全 演練作 業 ,其 內容得 包括 下 列項 目 :
|
〡
一 、網路 攻 防演練 。
二 、情境 演練 。 |
三 、其他 必 要之 演練 。
主 管機 關規劃 、辦 理之 資通安 全 演練作 業 ,有 侵 害
,應 先 經 其書
特 定非 公務機 關之 權 利 或正 當利 益之 虞 者
面 同意 ,始 得 為之 。
,得 以
前項 書 面 同意之 方 式 ,依 電子簽 章 法之規 定
電子 文件 為之 。
第二 十條 公務機 關於 本辦 法施 行 前 ,已 針對 其 自身 、所屬 或監
,自 行 或與其他
督 之 公務機 關或所 管之 特 定 非 公務機 關
,並 實 施 一
機 關共 同訂 定 資通安 全 事件 通報 及 應 變機 制
年 以上 者 ,得 經 主 管機 關核 定後 ,與 其所屬 或監督 之公務
機 關或所 管 之 特 定非 公 務 機 關繼續依 該 機 制辦 理 資通安
53
全 事件 之 通報 及 應 變 。
前項通報 及 應 變機 制 如 有 變更 ,應 送 主 管機 關 重為 僗
核定 。
第二 十一條 本辦 法之方戶
也行 日期 ,由 主 管機 關定之 。
本辦 法修 正 條 文 自發 布 日施 行 。
9
▌—▼
一
p一
5再