1.資產管理與處理:(新增設備(採購流程)、使用中(變更、故障送修、故障更換)、終止使用(報廢流程)、資產盤點(資產清冊)
2.風險評鑑:風險識別、風險分析、風險評估、風險處理、風險控制、風險關鍵績效指標;威脅建模
3. 安全指標量測:資安政策、資安目標、關績效指標(KPI),關鍵風險指標(KRI)、SCO監控、電子郵件社交工程測試
4. 資訊系統開發維運:需求分析、系統設計、系統開發、系統測試、系統上線、系統維運(安全設置參考各項管理規範、變更管理)。DevOps
5. 支援系統建置維運(網路通訊及安全設備、伺服主機):需求分析、系統設計、系統開發(建置)、系統測試、系統上線、系統維運(安全設置參考各項管理規範、變更管理)。
6. 實體環境維運(機房、辦公區):需求分析、環境設計、環境建置、系統測試、系統上線運作、系統維運(安全設置參考各項管理規範、變更管理)。
7. 使用者裝置管理(固定式工作站、可攜式設備):帳號管理((一般、特權)安全設置參考各項管理規範、變更管理)、軟體管理((應用軟體,工具軟體)安全設置參考各項管理規範、變更管理)、教育訓練(資安認知宣導、資安專業技術)
8. 委外服務管理:資訊安全要求(管理性、技術性)、保障性要求(協助資安事故處理協議、依營運持續要求)
9. 緊急應變管理:應變小組、應變程序(識別事件、通報、事件分析、事件處理(備份還原、更換設備、異地備份還原、異地服務啟動)、恢復正常維運;若為資安事故應進行證據保存作業。
10. 備份管理(資訊系統與資料庫、網通暨資安設備組態、其他重要資料):備份紀錄檢視、備份資料還原測試
11. 弱點漏洞管理(自行開發系統、套裝系統):技術性檢測(弱點掃描、滲透測試、資安健診、源碼檢測),安全性更新(病毒碼更新、系統軟體安全性更新)。
12. 法令法規遵循性:組織屬性及業務相關之法令法規符合調查
註:DepOps:Software Development and IT Operations and Quality Assurance
3. 安全指標量測:資安政策、資安目標、關績效指標(KPI),關鍵風險指標(KRI)、SCO監控、電子郵件社交工程測試
4. 資訊系統開發維運:需求分析、系統設計、系統開發、系統測試、系統上線、系統維運(安全設置參考各項管理規範、變更管理)。DevOps
5. 支援系統建置維運(網路通訊及安全設備、伺服主機):需求分析、系統設計、系統開發(建置)、系統測試、系統上線、系統維運(安全設置參考各項管理規範、變更管理)。
6. 實體環境維運(機房、辦公區):需求分析、環境設計、環境建置、系統測試、系統上線運作、系統維運(安全設置參考各項管理規範、變更管理)。
7. 使用者裝置管理(固定式工作站、可攜式設備):帳號管理((一般、特權)安全設置參考各項管理規範、變更管理)、軟體管理((應用軟體,工具軟體)安全設置參考各項管理規範、變更管理)、教育訓練(資安認知宣導、資安專業技術)
8. 委外服務管理:資訊安全要求(管理性、技術性)、保障性要求(協助資安事故處理協議、依營運持續要求)
9. 緊急應變管理:應變小組、應變程序(識別事件、通報、事件分析、事件處理(備份還原、更換設備、異地備份還原、異地服務啟動)、恢復正常維運;若為資安事故應進行證據保存作業。
10. 備份管理(資訊系統與資料庫、網通暨資安設備組態、其他重要資料):備份紀錄檢視、備份資料還原測試
11. 弱點漏洞管理(自行開發系統、套裝系統):技術性檢測(弱點掃描、滲透測試、資安健診、源碼檢測),安全性更新(病毒碼更新、系統軟體安全性更新)。
12. 法令法規遵循性:組織屬性及業務相關之法令法規符合調查
註:DepOps:Software Development and IT Operations and Quality Assurance
沒有留言:
張貼留言