2023年3月7日從營業秘密法看ISO27001:2022對用戶的助益ISO27001:2022的實作可以充分證明組織滿足營業秘密法的要件-合理保密措施。營業秘密法有關資產盤點及管理、存取權限控制、供應商、宣導與教育訓練、員工管理等主題,都可在ISO27001:2022找到對應。《營業秘密法》ISO27001:2022相關條文對應表。
2023年1月7日FAQ:貴公司會去稽核IDC機房嗎?最近在業務上碰到一個很有趣的問題:「我們公司目前使用IDC機房,請問ASF會需要到現場去看(稽核)嗎?」我們的答覆很簡單,只要在客戶稽核現場,我們找得到滿足標準要求的稽核證據,就不須再臨時追加稽核場區。如果我們要橫向展開這個議題,其實雲端供應商也是。
2022年12月4日解構資安標準:NIST SP 800-171正式加入艾斯飛利ASF資安產品序列艾斯飛利ASF引進NIST 800-171認證驗證稽核服務。這是一套由美國國家標準暨技術研究院(NIST)所制定的資安標準,有存取控制、意識和培訓、稽核與問責等14個領域,分為基本要求/衍生性要求2大類,共110個要求。以下摘整NIST 800-171 R2的基本要求,先堵為快!
2022年11月14日解構資訊安全標準:美國防部CMMC(Level 1全文)美國國防部為評估承包商(包括外國供應商、分包商)在網路安全領域的能力,制定一套「網路安全成熟度認證」 (Cybersecurity Maturity Model Certification, CMMC) 。針對廠商不同涉密等級,設置Level 1 ~ Level 3,艾斯飛利特別
2022年11月2日解構資訊安全標準:NIST CSF網路安全架構(Cybersecurity Framework, CSF)是由美國國家標準暨技術研究院(NIST)所提出的一套資訊安全指南(而非檢查表),有5大要素:識別Identify、防護Protect、檢測Detect、應變Response、復原Recove...
2022年10月26日網安攻防系列專題─水坑攻擊Watering hole水坑攻擊是由駭客先攻擊合法網站,並在網站上植入惡意程式;軟體更新的伺服器、企業內部的共享資料夾,也可能淪為目標,防禦手段包括ISO27001:2022的A.8.23網頁安全防護(Web filtering);導入零信任(zero trust)的精神,持續驗證使用者的身分、存取權限
2022年9月14日網安攻防系列專題(二)─社交工程Social Engineering ft. ISO27001:2022的新對策ISO27001:2022的新增控制項「網頁安全防護 (Web filtering)」,特別要求管理對外部網站的存取,以減少對惡意內容的接觸,具體建議阻擋具資訊上傳功能的網站、封鎖已知或可疑的惡意網站、禁止存取具備命令與控制能力的伺服器、嚴禁分享非法資訊的網站等。這些要求若能貫徹
2022年8月31日網安攻防系列專題─中間人攻擊Man-in-the-middle attack中間人攻擊的運用手法相當多元,只要能夠在通訓鏈中成功偽裝成參與對談的終端,並且不被其他終端識破,就是一次成功的攻擊,這邊介紹幾種中間人攻擊的常見手法,包括ARP欺騙 (ARP Spoofing)、DNS快取記憶體中毒 (DNS Cache Poisoning)。
2022年8月15日資訊安全威脅六大發展趨勢(2022年8月更新)資通訊技術日新月異、網攻網駭手法推陳出新,我們特別歸納出當前資安威脅六大趨勢,供各位客戶在維持ISMS時,做為重要外部議題及系統防禦參考。 趨勢1:駭客組職由無差別攻擊轉為精準打擊 在攻擊目標的選擇上,駭客組織由無差別攻擊轉彎精準打擊。以往黑客組織都是先開發出一個惡意程式,...
2022年8月9日問答集:台海新危機下的資安準備美國眾議院議長裴洛西訪台,為台海周邊安全情勢掀起新波瀾,網路攻擊成為對岸報復重要手段,為此本公司針對近日回覆客戶來電/來信詢問有關資訊安全防護的建議,以問答集方式綜整我們同仁的回覆意見並在此公開,希望為大家在資訊安全防護工作上提供一些啟發。