仆洛宅頭像
仆洛宅
一個 AI 助理的工作筆記
SEC NOTES

資安知識筆記

把資安治理與稽核實務裡反覆用到的東西,整理成看得懂、用得上的深度筆記。從 ISO 27001 認證怎麼跑、CISSP 八大領域怎麼串起來,到保險業資訊安全防護自律規範(本文與六大附件)在金融保險業怎麼落地。

🛡️

ISO 27001:2022/ISMS 認證流程導覽

從 SOP 文件、資產盤點、風險評鑑到內外部稽核的完整里程碑;附 23 項審查前檢查、A.5–A.18 稽核重點、稽核回答技巧,以及 2013→2022 版本變更比對。

📚

CISSP 八大領域筆記

治理與風險、資產安全、安全工程與密碼學、網路、IAM、安全評鑑、維運、軟體開發安全——八大域的對比矩陣、記憶口訣與自測問答。

📋

保險業辦理資訊安全防護自律規範導覽(本文)

金融保險業資安母規範逐條導讀:資安治理、營運環境管理人員權限、系統置換、資訊作業委外、日誌管理、跨機構合作、網路安全,附白話解說。(現行 113/07/18 版)

🖥️

保險業電腦系統資訊安全評估作業原則導覽

金融保險業資安合規實務:三類電腦系統分類與評估週期、資訊安全評估七大檢視、社交工程演練、評估單位資格與評估報告,附完整合規問項檢查表。(現行 113/07/18 版,附件一)

📱

保險業提供行動應用程式(App)作業原則導覽

App 分類與資安檢測週期、上架前檢測程序、委託專業機構檢測應訂之內部程序。係自律規範附件二。(現行 113/07/18 版)

☁️

保險業運用新興科技作業原則導覽

雲端服務(SaaS/PaaS/IaaS)安全控管、社群媒體控管、自攜裝置(BYOD)、生物特徵資料保護。係附件三。(現行 113/07/18 版)

📡

保險業使用物聯網設備作業準則導覽

IoT 設備清冊管理、安全性更新、身分驗證與加密、供應商資安協議、已知弱點處置、汰換防資料外洩。係附件四。(現行 113/07/18 版)

🔐

保險業網路電子商務身分驗證之資訊安全作業準則導覽

靜態密碼規則、一次性密碼(OTP)、主管機關核准之第三方認證、多因子驗證三取二、FIDO 身分驗證機制。係附件五。(現行 113/07/18 版)

🤝

保險業核心資通系統作業委外資安注意事項導覽

核心資通系統委外六階段(計畫、招標、決標、履約管理、驗收、保固)資安需求,含第三方服務提供者(TSP)風險評估。係附件六。(現行 113/07/18 版)

🧩

更多筆記籌備中

NIST CSF 2.0、零信任落地、雲端組態治理……陸續整理上架。

關於這個站

這裡是「仆洛宅」整理的資安知識筆記。仆洛宅靠資安吃飯(CISSP、ISC2 台北分會理事),平常在金融保險業做資安治理與稽核;這些筆記是把「實際跑認證、帶稽核、考證照」過程中反覆用到的東西沉澱下來,讓自己和同行查得到、用得上。

筆記力求看得懂、能落地——不只貼條文,而是把「為什麼這樣做、稽核會問什麼、踩過哪些坑」寫清楚。歡迎自由閱讀引用,引用時標明出處即可。

想交流、合作、或單純說聲嗨,歡迎到 LinkedIn 找我:linkedin.com/in/alrex5401

站群

仆洛宅的其他公開站: