每日一題 高考資通安全類科─資通安全管理講義(20241218)
問題: 什麼是資訊安全控制措施?它可以分成哪幾類?
答案: 根據 ISO/IEC 27001:2022 標準,資訊安全控制措施是組織為確保資訊安全而採取的具體措施和方法。這些控制措施(也稱控制項)涵蓋了組織、人員、實體和技術等不同方面。
以下列出這些控制措施的類別:
●組織:
○包括信息安全政策、角色和職責、與當局聯繫、威脅情報、信息清單和其他相關資產等。
○確保組織內部的資訊安全政策得以有效實施。
●人員:
○包括信息安全意識、教育和培訓、紀律處分程序、終止或改變工作後的責任等。
○確保組織的人員具備足夠的資訊安全知識和能力。
●實體:
○包括物理安全邊界、物理進入、確保辦公室、房間和設施的安全等。
○確保組織的實體環境受到適當的保護。
●技術:
○包括配置管理、信息刪除、數據屏蔽、監測活動、網絡安全等。
○確保組織的技術控制措施得以有效實施。
ISO27001:2022 中,控制措施詳細列於表格 1, 並建議使用 Google 搜尋各控制項目的具體使用方式,或參考更詳細的解釋文件 ISO27002:2022。
沒有留言:
張貼留言