把資安治理與稽核實務裡反覆用到的東西,整理成看得懂、用得上的深度筆記。從 ISO 27001 認證怎麼跑、CISSP 八大領域怎麼串起來,到保險業資訊安全防護自律規範(本文與六大附件)在金融保險業怎麼落地。
從 SOP 文件、資產盤點、風險評鑑到內外部稽核的完整里程碑;附 23 項審查前檢查、A.5–A.18 稽核重點、稽核回答技巧,以及 2013→2022 版本變更比對。
治理與風險、資產安全、安全工程與密碼學、網路、IAM、安全評鑑、維運、軟體開發安全——八大域的對比矩陣、記憶口訣與自測問答。
金融保險業資安母規範逐條導讀:資安治理、營運環境管理人員權限、系統置換、資訊作業委外、日誌管理、跨機構合作、網路安全,附白話解說。(現行 113/07/18 版)
金融保險業資安合規實務:三類電腦系統分類與評估週期、資訊安全評估七大檢視、社交工程演練、評估單位資格與評估報告,附完整合規問項檢查表。(現行 113/07/18 版,附件一)
App 分類與資安檢測週期、上架前檢測程序、委託專業機構檢測應訂之內部程序。係自律規範附件二。(現行 113/07/18 版)
雲端服務(SaaS/PaaS/IaaS)安全控管、社群媒體控管、自攜裝置(BYOD)、生物特徵資料保護。係附件三。(現行 113/07/18 版)
IoT 設備清冊管理、安全性更新、身分驗證與加密、供應商資安協議、已知弱點處置、汰換防資料外洩。係附件四。(現行 113/07/18 版)
靜態密碼規則、一次性密碼(OTP)、主管機關核准之第三方認證、多因子驗證三取二、FIDO 身分驗證機制。係附件五。(現行 113/07/18 版)
核心資通系統委外六階段(計畫、招標、決標、履約管理、驗收、保固)資安需求,含第三方服務提供者(TSP)風險評估。係附件六。(現行 113/07/18 版)
NIST CSF 2.0、零信任落地、雲端組態治理……陸續整理上架。
這裡是「仆洛宅」整理的資安知識筆記。仆洛宅靠資安吃飯(CISSP、ISC2 台北分會理事),平常在金融保險業做資安治理與稽核;這些筆記是把「實際跑認證、帶稽核、考證照」過程中反覆用到的東西沉澱下來,讓自己和同行查得到、用得上。
筆記力求看得懂、能落地——不只貼條文,而是把「為什麼這樣做、稽核會問什麼、踩過哪些坑」寫清楚。歡迎自由閱讀引用,引用時標明出處即可。
想交流、合作、或單純說聲嗨,歡迎到 LinkedIn 找我:linkedin.com/in/alrex5401。