資通安全法合規研究與管理實務指引（3版）

推薦序 
1. 資安長與資安推動組織 
1.1 資通安全實地稽核項目第二構面
1.2 資通安全實地稽核項目第一、三構面 
1.3 讓資安長掌握資通系統盤點之重點概念 
1.4 讓資安長掌握業務持續運作之重點概念 
1.5 讓資安長掌握必要資安防護機制之重點概念 
1.6 讓資安長掌握資安人員配置訓練之重點概念 
1.7 全機關導入ISMS 資安長應掌握重點

2. 核心業務及核心系統 
2.1 界定機關核心業務
2.2 從業務角度盤點核心資通系統
2.3 非核心業務及說明 

3. 高階風險評鑑方法改良 
3.1 高階風險評鑑做法建議 
3.2 依資通系統防護基準執行控制措施
3.3 程序書修訂參考

4. 詳細風險評鑑方法改良
4.1 威脅及弱點評估做法改良 
4.2 識別既存控制措施做法改良 
4.3 程序書修訂參考 

5. 資通系統集中化管理
5.1 基本安全保障 
5.2 系統本身安全？ 
5.3 資通系統集中化管理的推動過程
5.4 網路維運中心(NOC)及安全維運中心(SOC) 
5.5 網站共構系統或將網站移置外部較安全平臺

6. 強化資安認知訓練 
6.1 資安通識教育訓練實施方式
6.2 資安通識教育訓練配套措施 
6.3 辦公室張貼資安宣導海報 
6.4 強化新進人員資安宣導 
6.5 資安專業教育訓練實施對象 

7. 委外辦理資通業務 
7.1 資通系統、資通服務 
7.2 委外考量
7.3 選任適當受託者   
7.4 監督受託者資通安全維護情形 
7.5 資訊服務採購案之資安檢核事項
7.6 限制使用危害國家資通安全產品 
7.7 資通安全稽核檢核項目之委外相關構面
7.8 委外承辦人員落實教育訓練
7.9 程序書修訂參考

8. 委外資通系統廠商須知
8.1 對資通系統防護基準有更多認識 
8.2 資通系統防護基準之存取控制 
8.3 資通系統防護基準之事件日誌與可歸責性 
8.4 資通系統防護基準之營運持續計畫
8.5 資通系統防護基準之識別與鑑別 
8.6 資通系統防護基準之系統與服務獲得 
8.7 資通系統防護基準之系統與通訊保護   
8.8 資通系統防護基準之系統與資訊完整性 
8.9 資通安全稽核檢核項目相關構面 
8.10 各類資訊(服務)採購之共通性資安基本要求 

9. 各單位主管的支持 
9.1 督導並要求落實資安文件
9.2 督導並要求落實清查IoT
9.3 督導並要求落實資安措施 
9.4 督導並要求參與資安教育訓練 
9.5 督導並要求遵循採購規範 
9.6 配合稽核 
9.7 資安的價值 

10. 全員日常資安對策 
10.1 資訊安全管理系統之導入 
10.2 全員日常資安重點 
10.3 全員日常資安-落實資安措施 
10.4 全員日常資安-資安事件通報與社交工程 
10.5 全員日常資安-資安通識教育 
10.6 全員日常資安-IoT 適當管控 

11. 利害關係人與通報管理 
11.1 利害關係人地圖 
11.2 利害關係人關注紀錄與回應處置
11.3 資通安全事件通報作業規範之考量 

12. 資安融入內部控制制度 
12.1 內部控制及稽核制度實施辦法 
12.2 上市上櫃公司資通安全管控指引 

13. 資安稽核常見問題說明 
13.1 Part A:一、核心業務及其重要性 
13.2 Part B:二、資通安全政策及推動組織 
13.3 Part C:三、專責人力及經費配置 
13.4 Part D:四、資通系統盤點及風險評估 
13.5 Part E:五、資通系統或服務委外辦理 
13.6 Part F:六、資通安全維護計畫與實施情形
13.7 Part G:七、資通安全防護及控制措施 
13.8 Part H:八、資通系統發展及維護安全 
13.9 Part I:九、資通安全事件通報應變 
13.10 請持續關注查檢重點與依據 

14. 鑑往知來、預做準備 
14.1 基於ISO 27001改版調整委外查核表(Part1) 
14.2 基於ISO 27001改版調整委外查核表(Part2) 
14.3 基於ISO 27001改版調整委外查核表(Part3) 
14.4 基於ISO 27001改版調整委外查核表(Part4) 
14.5 基於ISO 27001改版調整委外查核表(完成) 
14.6 基於資通安全實地稽核表改版做準備   
14.7 資安管理工作的投入