2012-05-07

在整體的ISO 27001資訊安全框架之下，除了導入文件化的管理制度之外，還需要運用包括管理面和技術面的控制措施，才能有效防護資訊的安全，本系列文章完整而詳細地說明了ISO 27001標準中對於控制措施的要求，協助企業組織達成資訊安全的目標。

2012-04-23

上一次談到了雲端運算與組織的經營治理，也就是高階管理階層對於雲端安全問題應有的認知，以及因應雲端部署和第三方的管理建議，本期將探討和雲端運算有關的法律問題與證據蒐集，以及用戶和服務供應商如何因應安全事件的調查。

2012-04-09

經過漫長的修法程序，新版個人資料保護法在2010年5月經總統正式公布，並交由行政院議定施行細則，目前法務部正彙集社會產業各界意見共同研擬修改施行細則草案，各機關和各目的事業主管機關的個人資料檔案安全維護計畫及處理方法的草案也已經出爐，個資法正式上路已進入最後倒數階段，企業應把握時機，及時強化個人資料保護機制以準備因應。本文循序漸進，針對如何進行個人隱私衝擊分析、如何制定個人資料防護計畫、個資蒐集處理利用的注意事項，以及如何評估企業組織的個資保護機制與現況，提供深入且詳盡的實務運作要領。

2012-03-07

上一期提到了雲端運算的基礎架構，說明雲端運算的必要特徵、部署模式與服務型式，對服務提供商和使用者而言，有了一個可以共同探討的知識框架，對雲端服務應實施哪些資安控制也比較能夠達成共識，接下來將討論有關雲端治理與風險管理的重點。

2012-02-15

安全問題普遍被認為是採用雲端服務的最大障礙，但事實上雲端並不會比現有的IT環境更加安全或不安全，所謂的安全強度是基於組織本身所能接受的風險程度，因此必須先了解雲端運算的架構，才能評估可能的風險，最後依此來決定是否採用雲端服務，或是要將何種資訊、流程或服務轉移到雲端之上。

2012-01-05

雲端運算是目前最熱門的資訊科技應用之一，透過無遠弗屆的網路連結與運算資源，讓組織可以獲得過去需要耗費大量成本才能使用的服務。不過，新科技的應用總有其風險存在，想要降低可能的安全風險，就有賴於足夠的認知和正確的應對之道。

2011-11-29

上一期談到ISO 27001中有關如何避免資安問題影響企業營運的要求，以及在發生資安事件之前，應如何建立相關的事件處理應變流程，本期將說明在標準附錄的最後一項，有關法規遵循的控制措施。

2011-09-28

上一期談到ISO 27001中有關資訊系統的安全規格要求，以及在系統開發時，如何導入適當的安全控制來降低系統的安全風險，本期將說明接下來的資安事故管理與營運持續的控制措施。

2011-08-19

上次談到了ISO 27001中有關網路、作業系統、應用系統的存取控制要求，藉由部署適當的控制措施，可降低組織的安全風險，接下來將說明標準中有關資訊系統取得、開發與維護的安全要求。

2011-07-13

上一期談到ISO 27001中有關存取控制的營運要求，組織需要建立存取控制的政策和使用者的存取管理，包括像是註冊要求、密碼管理和確保無人看管設備的安全責任等，接下來將說明和網路、作業系統、應用系統的存取控制要求。

2011-06-05

上一期談到了ISO 27001中有關通訊與作業管理的各項控制措施，接下來將說明附錄A.11存取控制的資安要求，包括了使用者的存取管理與應有的安全責任等。

2011-05-05

上一期我們針對ISO 27001中有關系統規劃管理與網路服務的安全監控，談到了如何降低系統可能出錯的風險，以及網路服務與資訊媒體的控管要求，本期將說明電子商務的安全和系統監控的重要性。

2011-04-05

上一期針對ISO 27001中有關通訊與作業安全的控制措施，談到了監控資訊作業的相關活動和第三方的服務管理，本期將繼續說明在此控制項目中的其他要求，以及在實務方面可以應用的管控作法。

2011-03-05

上一期針對ISO 27001中有關實體安全的控制措施，說明了敏感的安全區域和資訊設備應實施適當的安全控管，以避免因為受到惡意人士的登堂入室，而造成資訊安全的危害，本期將繼續說明有關網路通訊與資訊系統營運的安全作業管理。

2011-02-05

上一期談到了在ISO 27001標準中11個控制領域，關於資產管理和人力資源安全的要求，本期將說明實體與環境安全的控制措施，以協助讀者掌握其重點並進行適當的控管，以降低組織所面臨的資訊安全風險。

2011-01-05

上一期文章內容談到在ISO 27001標準裡，11個控制領域中的安全政策和資訊安全組織，本期將分析說明資產管理與人力資源安全中的要求，協助讀者選擇並實施適當的安全控制措施，以降低可能的資訊安全風險。

2010-12-05

在整體的資訊安全框架之下，除了導入文件化的管理制度之外，還需要運用包括管理面和技術面的控制措施，才能有效防護資訊的安全，接下來一系列的文章，將說明ISO 27001標準中對於控制措施的要求，可協助您達成資訊安全的目標。

2010-11-05

上一期為大家說明個資法中，對於蒐集、處理、利用個人資料的規範與要求，這部份主要著重在個人隱私的維護，例如在蒐集個人資料時要對當事人盡到告知的義務，說明蒐集的特定目的為何，將會使用在哪些用途上；處理時則是要確保眾多的個人資料，經過內部新增、編輯、傳遞、儲存時的安全，避免受到未經授權的竄改，同時還要尊重當事人對於個人資料的自主權利，提供查詢、複製本和更正的服務；在利用時則是要符合當初蒐集時的特定目的，若要做其他目的的使用，除了有適當的法源依據或符合個資法的要件外，否則都必須要重新再取得當事人的書面同意才行。

2010-10-05

在個人資料保護法裡，隱含了二項重要的精神與要求，其中個人隱私維護是首要項目，它是指必須要在個人資料蒐集、處理、利用的過程中確保個人隱私不會受到侵害，其次則是如何善盡個人資料保護的責任，本期將說明相關的注意事項。

2010-09-15

上一期談到個人隱私衝擊分析，其主要目的是要了解組織針對個人資料蒐集、處理、利用的現況，以便能針對屬於高風險的個人資料，提出適當的保護計畫與安全措施，本期將說明如何制訂個人資料檔案安全維護計畫。