Embedded Files
行政院公版的「委外廠商查核項目表」可用來評估目前委外廠商的資安狀況。然而,值得注意的是,該表格是基於2013年版本的ISO 27001標準制定的。截至2022年,ISO 27001已經進行了改版(CNS 27001在2023年進行了改版),調整的焦點包括將原本的A5到A18的14個控制領域調整為組織、人員、實體、技術四個主題的控制措施,並將114個控制措施調整為93個。
因應ISO的更新,我們對行政院公版的「委外廠商查核項目表」進行了修訂。這項修訂是基於ISO 27001:2022標準,逐一檢視查核內容條文,按照ISO 27002的四大控制類別(組織、人員、實體、技術)進行新增或調整。這樣的對應有助於引導廠商更深入了解並遵守資訊安全管理系統(ISMS)的要求,同時促使相應的改善措施得以實施。
查核表介紹:
查核表介紹:
呈上述說明,我們將行政院公版的「委外廠商查核項目表」逐一參照ISO 27001:2022標準檢視查核內容條文進行修訂,並將此表命名為「國教體系應用系統之資訊服務業者輔導查核表」。
此表對應到「CNS 27001:2023主文 / CNS 27002:2023 附錄B 」約四成的控制項目,這表示若「國教體系應用系統之資訊服務業者輔導查核表」能夠都做到,表示已經把ISMS最最基本的項目都做好了,接下來就可以再進行更進一步的規劃。
📌對應方式與說明:
📌對應方式與說明:
了解以上的對照說明後,可以往下查看依照「CNS 27001:2023主文 / CNS 27002:2023 附錄B 」的四大控制類別(組織、人員、實體、技術)各主題控制措施的對應:
了解以上的對照說明後,可以往下查看依照「CNS 27001:2023主文 / CNS 27002:2023 附錄B 」的四大控制類別(組織、人員、實體、技術)各主題控制措施的對應:
組織控制措施
組織控制措施
制定資訊安全政策、風險評估和管理、建立資訊安全組織架構等。
在ISO 27001:2022版中組織控制措施涵蓋了37項不同的資訊安全控制要求,這些要求被歸類在5.1到5.37的範圍內,以下的對應包含了其中的14項控制要求。
人員控制措施
人員控制措施
員工資訊安全意識培訓、保密協定簽訂、角色及職責定義等。
在ISO 27001:2022版中人員控制措施涵蓋了8項不同的資訊安全控制要求,這些要求被歸類在6.1到6.8的範圍內,以下的對應包含了其中的2項控制要求。
實體控制措施
實體控制措施
辦公室/機房/重要場域出入管制、設備設施安全管理、資料儲存、環境控制等。
在ISO 27001:2022版中實體控制措施涵蓋了14項不同的資訊安全控制要求,這些要求被歸類在7.1到7.14的範圍內,以下的對應包含了其中的9項控制要求。
技術控制措施
技術控制措施
身份認證、資料加密、備份機制、系統防火牆、防範惡意軟體、安全開發生命週期(SSDLC)等技術面安全控制。
在ISO 27001:2022版中技術控制措施涵蓋了34項不同的資訊安全控制要求,這些要求被歸類在8.1到8.34的範圍內,以下的對應包含了其中的13項控制要求。
📌下載【國教體系應用系統之資訊服務業者輔導查核表】開始使用!
📌下載【國教體系應用系統之資訊服務業者輔導查核表】開始使用!
整個複製到自己的雲端硬碟使用
整個複製到自己的雲端硬碟使用
建立副本
建立副本
將這個Google試算表「國教體系應用系統之資訊服務業者輔導查核表」建立副本到你自己的雲端硬碟
個人帳號下的副本
個人帳號下的副本
建立的副本隨即被開啟,可以從右上角個人圖示確認是建立在你的帳號之下,而檔名最後多了"副本"字樣。
檢核表各欄位說明
檢核表各欄位說明
這份檢核表是根據行政院公布的「委外廠商查核項目表」為基礎制定的。我們進行了逐一檢視查核內容條文,參考了ISO 27001:2022標準,並進行了9項的新增和11項的修改。同時,我們根據「CNS 27001:2023主文 / CNS 27002:2023 附錄B」中的四大控制類別(組織、人員、實體、技術)重新排序了檢核項目。
這份檢核表涵蓋了「CNS 27001:2023主文 / CNS 27002:2023 附錄B」約四成的控制項目。我們期望這份表格能夠成為您進入ISMS並進一步規劃的起點。
Page updated
Report abuse