ISO27001:2022改版系列專題(七)─雲端服務與資訊安全(Information security for use of cloud services)
top of page
搜尋
新版ISO27001:2022的A5.23 雲端服務與資訊安全(Information security for use of cloud services)要求建立獲取、使用、管理和退出雲端服務的流程。使用雲端服務的ISO27001用戶,最關心的應該就是針對合約是否有新要求?
- 2022年9月21日
ISO27001:2022改版系列專題(六)─資訊刪除 (Information deletion)
新版ISO27001:2022的A.8.10資訊刪除 (Information deletion)焦點放在應刪除不必要的資料,以免敏感資料外洩;未來組織/企業必須在刪除方法、資訊刪除的證據留存、法遵合規三大面向符合新要求;在合規面《個資法》、ISO27701:2019可以直接對應
- 2022年9月21日
ISO27001:2022改版系列專題(五)─營運持續之資通訊準備(ICT readiness for business continuity)
新版ISO27001:2022新控制項A.5.30營運持續之資通訊準備(ICT readiness for business continuity)即導入ISO27031的內容,希望組織在進行營運衝擊分析時,將ICT回復服務所需的RTO及步驟納入考量,確保ICT可用性。我們直接舉
- 2022年9月20日
ISO27001:2022改版系列專題(四)─資料遮罩(Data masking)
新版ISO27001:2022中的A.8.11資料遮罩(Data masking)要求組織依據法規、業務及不同主題的需要來執行資料遮罩,避免個資等敏感資料曝光;相較於2013年版本,對於敏感資料掩蔽的要求更加具體,更加強調法遵合規的精神,且不難看到GDPR、CCPA的影響力。
- 2022年9月19日
ISO27001:2022改版系列專題(三)─活動監控(Monitoring activities)
新版ISO27001:2022中的活動監控(Monitoring activities)目的主要在於偵測異常行為和潛在的資訊安全事件,透過在網路流量中找到異常的癥候,以達到持續性的防護作為,採取適當的應對措施。具體執行方式可運用先前提到過的威脅情報蒐集與運用循環機制、以機器學習或
- 2022年9月18日
ISO27001:2022改版系列專題(二)─資料外洩防範(Data leakage prevention)
舊版ISO27001:2013中,針對防堵資料外流的要求分散在多個控制項,包括A.13.1.1網路控制措施、A.13.1.3網路之區隔、A.13.2.3電子傳訊、A.8.3.1可移除式媒體的管理等。這次改版中,ISO27001:2022的新控制項8.12資料外洩防範(Data l
- 2022年9月16日
ISO27001:2022轉版系列專題(一)─威脅情報(Threat intelligence)
ISO27001:2013原先要求組織應關注影響資訊安全管理系統的外部議題、與關注方保持聯繫,以及資安事故之學習。 ISO27001:2022新控制項5.7威脅情報(Threat intelligence)完整引進情報學(Intelligence studies)概念「蒐集-分析
- 2022年9月14日
網安攻防系列專題(二)─社交工程Social Engineering ft. ISO27001:2022的新對策
ISO27001:2022的新增控制項「網頁安全防護 (Web filtering)」,特別要求管理對外部網站的存取,以減少對惡意內容的接觸,具體建議阻擋具資訊上傳功能的網站、封鎖已知或可疑的惡意網站、禁止存取具備命令與控制能力的伺服器、嚴禁分享非法資訊的網站等。這些要求若能貫徹
- 2022年9月8日
ISO27001:2022 轉版時程與內容重點解析(公告前)
綜合國內外資訊顯示,ISO27001:2022即將於今年10月發布。 艾斯飛利國際有限公司團隊參考ISO27002:2022內容及國際認證論壇(IAF)最新指導文件,向大家解析ISO27001改版之重點內容,為顧問、持證客戶提供最完整、透明資訊。同時ASF也提供講座、訓練課程,協
- 2022年8月31日
網安攻防系列專題─中間人攻擊Man-in-the-middle attack
中間人攻擊的運用手法相當多元,只要能夠在通訓鏈中成功偽裝成參與對談的終端,並且不被其他終端識破,就是一次成功的攻擊,這邊介紹幾種中間人攻擊的常見手法,包括ARP欺騙 (ARP Spoofing)、DNS快取記憶體中毒 (DNS Cache Poisoning)。
- 2022年8月15日
資訊安全威脅六大發展趨勢(2022年8月更新)
資通訊技術日新月異、網攻網駭手法推陳出新,我們特別歸納出當前資安威脅六大趨勢,供各位客戶在維持ISMS時,做為重要外部議題及系統防禦參考。 趨勢1:駭客組職由無差別攻擊轉為精準打擊 在攻擊目標的選擇上,駭客組織由無差別攻擊轉彎精準打擊。以往黑客組織都是先開發出一個惡意程式,...
- 2022年8月9日
問答集:台海新危機下的資安準備
美國眾議院議長裴洛西訪台,為台海周邊安全情勢掀起新波瀾,網路攻擊成為對岸報復重要手段,為此本公司針對近日回覆客戶來電/來信詢問有關資訊安全防護的建議,以問答集方式綜整我們同仁的回覆意見並在此公開,希望為大家在資訊安全防護工作上提供一些啟發。
- 2022年7月26日
主導稽核員課程特色-以ISO27001:2013LA為例
本公司教育訓練以ISO27001, ISO9001, ISO14001, ISO27701, ISO23301等主導稽核員訓練課程為主軸,在開課前會透過問卷/訪談等方式瞭解學員受訓目的根據個別公司與業務單位的屬性設計客製化設計課表。除了針對ISO27的理論課程外,也提供ISO建置
- 2022年7月15日
恭喜5名學員完成ISO27001:2013主導稽核員線上課程
本公司專業師資以線上方式完成首期ISO27001:2013主導稽核員訓練班,本次課程為企業包班課程,除應客戶要求額外為大家進行ISO27001:2022進行蠡測外,更結合「網駭防治」、「資安法遵與合規」實務課程,大獲好評。
- 2022年5月21日
品質管理系統認證對服務業的實質益助
導入國際管理系統,不僅止於行銷效益,而是在管理層面也帶來多重正面意義。
- 2022年5月13日
ISO認證的崩壞:如何造就「5低」產業
部分業者提倡管理系統建置、教育訓練、驗證認證「一條龍」、「一站式」服務,以及公然「賣證書」,其實違反ISO規定與精神。 驗證公司公然與顧問公司串聯進行業務簡報、削價競爭低價「賣證書」,造就低薪、低勞力、低產出、低素質人才(顧問/稽核員)、低端證書的「5低」產業生態。...
- 2022年4月29日
解析:ISO驗證的成本和價值體現
各位在尋求一個ISO驗證的時候,是否曾想過自己的錢都花到哪裡去了?
- 2022年4月24日
- 2022年4月16日
運用ISO 14001為ESG企業永續奠定基礎
ISO 14001這個國際公認的環境管理體系經過30多年的完善,可以幫助顧客整合、監控、評估所有對環境有影響的業務流程,透過營業項目的盤點、風險評估、持續改善、矯正等作為,對企業/組織的的環境管理體系制定可信的、重點明確的、國際公認的行動計劃。簡言之,落實ISO 14001,通過
bottom of page