摘要
隨著政府機關對資通安全的重視,我國整體資安防護體系之建立與資安防護能力之提升已見初步成效;今(2013)年行政院資通安全稽核作業計畫於2013年9月2日至10月31日,正式將「資安健診」的資訊安全技術項目控制措施之實作納入評分,開啟我國資訊安全管理系統(Information Security Management System,簡稱ISMS)稽核工作的新姿,並納入2013年12月15日「國家資通訊安全發展方案(102年至105年)」的「行動方案」之中。ISMS稽核遵循(ISO/IEC 27006)要求項目中之技術控制與系統測試已涵蓋前述「資安健診」的範疇,根基於此,本文期以中國大陸師法美國,所進行之資訊安全等級保護標準化作業與推動法規規範,闡述其運作過程、技術測評要求等;探討我國ISMS稽核工作項目中「系統測試」的全景,作為完善我國「資安健診」宜建立機制的參考。
參考文獻
(Daniel, M., A. Mayorkas and B. Work (2014) Cybersecurity : Cross Agency Priority Goal Quarterly Progress Update(FY 2014 Quarter 3).).
(ISO (2011) Information technology – Security techniques – Requirements for bodies providing audit andcertification of information security management systems, 2011-12-01.).
(ISO (2011) Information technology – Security techniques – Guidelines for information security management systems auditing, ISO/IEC 27007:2011-11-15.).
(ISO (2011) Information technology – Security techniques – Guidelines for auditors on information security controls, ISO/IEC TR 27008:2011-10-15.).
(ISO (2013) Information technology – Security techniques – Information security management systems – Requirements, ISO/IEC 27001:2013-10-01.).
延伸閱讀
- 樊國楨、黃健誠(2011)。資訊安全護理之三:資訊安全管理系統的連續性稽核初探。資訊安全通訊,17(2),3-26。https://doi.org/10.29614/DRMM.201104.0002
- 楊宸賓、孫嘉明、周芳銘(2016)。資訊安全防護基準與安全組態管理之結合應用。電腦稽核,(34),66-77。https://www.airitilibrary.com/Article/Detail?DocID=2073090X-201608-201608240072-201608240072-66-77
- 樊國楨、黃健誠、林惠芳(2012)。資訊安全管理法制化初探之四:資訊系統分級的技術要求初探。資訊安全通訊,18(4),4-23。https://doi.org/10.29614/DRMM.201210.0001
- 樊國楨、黃健誠、朱潮昌(2013)。資訊安全管理與脆弱性評分系統初探:根基於安全內容自動化協定。電腦稽核,(27),79-101。https://www.airitilibrary.com/Article/Detail?DocID=2073090X-201301-201303080017-201303080017-79-101
- 李沛倫(2016)。資訊安全稽核作業評量輔助系統之研究〔碩士論文,淡江大學〕。華藝線上圖書館。https://www.airitilibrary.com/Article/Detail?DocID=U0002-2601201617401400