Embedded Files
2023 年第 2 季
2023 年第 2 季
資訊安全管理系統標準化系列討論會
資訊安全管理系統標準化系列討論會
◼ 時間:中華民國 112 年 06 月 07 日(星期三)
◼ 地點:新北市板橋區民族路 168 號中華電信學院綜合大樓五樓 G701 室
◼ 線上報名
◼ 討論會DM - PDF | DOCX
◼ 議程及報名表 - PDF | DOCX
◼ 討論會講稿
為持續配合行政院國家資通安全會報推動國內各政府機構及公民營事業機構建置資訊安全管理系統(ISMS),以降低我國整體資訊安全風險,強化資訊防衛能力;經濟部標準檢驗局(BSMI),自91年起每季1次辦理「堅實我國資訊安全管理系統稽核作業相關標準系列討論會」。原行政院「堅實我國通資訊基礎建設安全機制計畫」(90年1月17日行政院第2718次院會通過)歷經8年共2期計畫後,於98年1月更名為「國家資通訊安全發展方案(98年至101年),簡稱資安發展方案」持續推動我國資安工作,前述討論會亦繼續辦理(106年僅於第3季辦理1次1天,107年僅於第1季及第3季辦理2次2天,108~111年均僅於第1季辦理1次1天) ;因BSMI組織工作調整,106年起改由「臺灣網路協會」辦理。
九十年代全球文明歷經了重大的轉變,品質、環境和職業安全衛生管理逐漸朝向一致化與標準化,而相關的國際標準也影響了許多國家經濟的發展和組織管理與經營的方式,ISO 9000品質管理和ISO 14000環境管理系列標準的遵循,就是最佳的佐證。2000年12月1日,資訊安全管理系統(ISMS)控制措施之ISO/IEC 17799:2000(E)公布,2002年12月5日相對應之CNS國家標準正式頒布,建立ISMS並擴大推動驗證已成為資訊安全之工作項目的主軸之一。2006年6月16日,標準檢驗局再公布了ISO/IEC 27001:2005(E)之資訊安全管理系統的要求事項等國家標準,也成就了資安管理制度與國際化接軌的開端。
「讓過去與現在爭執不下,將錯失未來」,ISO/IEC JTC1/SC27主席Walter Fumy先生,在世界資訊高峰會之邀請下,於2004年9月24日公布了ISO之深度防禦(Defense in Depth)的資訊安全管理模型觀點;其標準組件ISO 27001標準系列之ISO/IEC 27003已於2010年2月1日正式發行,ISMS標準化的第一階段工作已樹立第1座里程碑。
標準可以累積知識與經驗,標準化則是冀求以系統的、共同的、協調一致的方法來強化標準實作的知識以供傳承。鑑於管理系統日益增多,其標準系列宜加以規範,國際標準組織(International Standardization for Organization,簡稱ISO)自2000年起即分3階段進行管理系統標準(Management System Standards,簡稱MSS)之標準化工作;已正式納入ISO之強制性規範(Procedures specific to ISO),期能在第3階段(2011~2015年)完成各個管理系統要求事項的調合。ISO/IEC 27001標準系列已遵循MSS逐步建立中,並納入個人資料/隱私(Privacy)管理系統(PIMS)安全規範之議題;以個人資料保護法施行細則第17條之規範為例,已公布ISO/IEC 27009、ISO/IEC 29101、ISO/IEC 29191、ISO/IEC 20008與ISO/IEC 20009標準系列,作為其PIMS中「前檯匿名、後檯實名」之實作要求事項的參考。2012年10月,ISO/IEC JTC 1/SC 27在進行為期1年之2階段的研究後,正式公布PIMS之要求事項遵循ISO/IEC 27001,同時開展其標準系列(ISO/IEC 27009、ISO/IEC 27017、ISO/IEC 27018、ISO/IEC 27701、ISO/IEC 29101、ISO/IEC 29134、ISO/IEC 29151以及預備文件(SD 4等)的標準化計畫,已於2017年8月完成第1階段之工作項目;並分成「管理」、「實作」與「技術」3個面向,進行第2階段的標準制訂之計畫。
研究「標準化」的人是需要有「同情」與「推理」兩種能力,所謂「同情」是指「標準」的制定者要有對等之情,那樣體驗的「標準」自然是立體、多元的;「同情」加上「推理」,則「標準」是活的,每一份「標準」的頒布是因或是果,是趨勢或是成績,「標準」的產生絕非偶然而是無數之努力的形成。「標準化」從長遠的角度來看,便可以體察出是有一股流勢,有無法阻擋的推移力量;資訊安全的「標準化」更需要整合自然科學、社會科學與資訊社會之脈絡來解讀以及推理,才能溶入文化與數位台灣混然為一體,MSS與個人資料保護標準化及ISMS&PIMS,以及網宇空間安全的整合性之資訊安全管理系統(Integrated Security Management System,簡稱ISMS)的進程僅為一端。於ISMS標準系列,因涉及各國法規及日益增加之控制措施需求,2013-02-07,國際標準組織(the International Organization for Standardization, ISO)正式立項進行擴增ISO/IEC 27001與ISO/IEC 27002的規範供需用者採用以制定所需標準的ISO/IEC 27009之標準化計畫,並於2016年6月16日發行;2019年8月5日,遵循ISO/IEC 27009框架的Security techniques - Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management – Requirements and guidelines之:ISO/IEC 27701發行。2022年7月28日,資訊安全,網宇安全及隱私防護之資訊安全管理系統:要求事項,Information security, cybersecurity and privacy protection — Information security management systems – Requirements:ISO/IEC 27001已於2022年10月25日發行,開啟ISMS第3階段之標準化的工作項目。
繼2013年9月2日至10月 31日,「行政院國家資通安全會報」正式將「資安健診」的資訊安全技術項目控制措施之實作納入評分,開啟我國ISMS稽核工作的新姿,並納入2013年12月15日「國家資通訊安全發展方案(102年至105年)」的「行動方案」之中;2022年5月1日,全國認證基金會已實施於2022年4月頒佈的《管理系統驗證機構資通安全管理法驗證方案特定要求》,開展我國資訊安全管理系統(Information Security Management Systems, ISMS)實作及其驗證的新頁,下圖為其電信組織遵循ISO/IEC 27009之框架示意説明。
10年歲月,「資安發展方案(110年~113年)」已分別推動「政府機關資安弱點通報機制 (Vulnerability Alert and Notification System, VANS)」及「零信任網路(Zero Trust Network, 簡稱 ZTN)」中,均與ISO/IEC 27001:2022(E)直接相關;根基於此,此次討論會(111年11月30日)在國家安全局及數位發展部資通安全署之指導下,由中華電信股份有限公司、臺灣檢驗科技股份有限公司、台灣經濟新報文化事業股份有限公司以及中華安全科技與管理學會及臺灣網路防護協會共同主辦,以「《管理系統驗證機構資通安全管理法驗證方案特定要求》資訊安全,網宇安全與隱私防護(cybersecurity and privacy protection)之標準化:根基於ISO/IEC 27001:2022(E)及ISO/IEC 27009:2020(E)為標的及其在國家通資訊安全發展方案 (110年至113年)」中「建立資通系統弱點之主動發掘、通報 及修補機制」與「完善政府網際服務網防禦深廣度」之工作項目中的ISMS實作之議題規劃,希望對資通安全管理法以及ISMS的落實提供助益,誠摰的歡迎您參加。
◆ 指導單位:
國家安全局
◆ 主辦單位:
中華電信股份有限公司|臺灣檢驗科技股份有限公司|台灣經濟新報文化事業股份有限公司|中華安全科技與管理學會|臺灣網路防護協會
2022 年第 4 季
2022 年第 4 季
資訊安全管理系統標準化系列討論會
資訊安全管理系統標準化系列討論會
◼ 時間:中華民國 111 年 11 月 30 日(星期三)
◼ 地點:新北市板橋區民族路 168 號中華電信學院綜合大樓五樓 G100 室
◼ 線上報名
◼ 討論會DM - PDF | DOCX
◼ 議程及報名表 - PDF | DOCX
為持續配合行政院國家資通安全會報推動國內各政府機構及公民營事業機構建置資訊安全管理系統(ISMS),以降低我國整體資訊安全風險,強化資訊防衛能力;經濟部標準檢驗局(BSMI),自91年起每季1次辦理「堅實我國資訊安全管理系統稽核作業相關標準系列討論會」。原行政院「堅實我國通資訊基礎建設安全機制計畫」(90年1月17日行政院第2718次院會通過)歷經8年共2期計畫後,於98年1月更名為「國家資通訊安全發展方案(98年至101年),簡稱資安發展方案」持續推動我國資安工作,前述討論會亦繼續辦理(106年僅於第3季辦理1次1天,107年僅於第1季及第3季辦理2次2天,108~111年均僅於第1季辦理1次1天) ;因BSMI組織工作調整,106年起改由「臺灣網路協會」辦理。
九十年代全球文明歷經了重大的轉變,品質、環境和職業安全衛生管理逐漸朝向一致化與標準化,而相關的國際標準也影響了許多國家經濟的發展和組織管理與經營的方式,ISO 9000品質管理和ISO 14000環境管理系列標準的遵循,就是最佳的佐證。2000年12月1日,資訊安全管理系統(ISMS)控制措施之ISO/IEC 17799:2000(E)公布,2002年12月5日相對應之CNS國家標準正式頒布,建立ISMS並擴大推動驗證已成為資訊安全之工作項目的主軸之一。2006年6月16日,標準檢驗局再公布了ISO/IEC 27001:2005(E)之資訊安全管理系統的要求事項等國家標準,也成就了資安管理制度與國際化接軌的開端。
「讓過去與現在爭執不下,將錯失未來」,ISO/IEC JTC1/SC27主席Walter Fumy先生,在世界資訊高峰會之邀請下,於2004年9月24日公布了ISO之深度防禦(Defense in Depth)的資訊安全管理模型觀點;其標準組件ISO 27001標準系列之ISO/IEC 27003已於2010年2月1日正式發行,ISMS標準化的第一階段工作已樹立第1座里程碑。
標準可以累積知識與經驗,標準化則是冀求以系統的、共同的、協調一致的方法來強化標準實作的知識以供傳承。鑑於管理系統日益增多,其標準系列宜加以規範,國際標準組織(International Standardization for Organization,簡稱ISO)自2000年起即分3階段進行管理系統標準(Management System Standards,簡稱MSS)之標準化工作;已正式納入ISO之強制性規範(Procedures specific to ISO),期能在第3階段(2011~2015年)完成各個管理系統要求事項的調合。ISO/IEC 27001標準系列已遵循MSS逐步建立中,並納入個人資料/隱私(Privacy)管理系統(PIMS)安全規範之議題;以個人資料保護法施行細則第17條之規範為例,已公布ISO/IEC 27009、ISO/IEC 29101、ISO/IEC 29191、ISO/IEC 20008與ISO/IEC 20009標準系列,作為其PIMS中「前檯匿名、後檯實名」之實作要求事項的參考。2012年10月,ISO/IEC JTC 1/SC 27在進行為期1年之2階段的研究後,正式公布PIMS之要求事項遵循ISO/IEC 27001,同時開展其標準系列(ISO/IEC 27009、ISO/IEC 27017、ISO/IEC 27018、ISO/IEC 27701、ISO/IEC 29101、ISO/IEC 29134、ISO/IEC 29151以及預備文件(SD 4等)的標準化計畫,已於2017年8月完成第1階段之工作項目;並分成「管理」、「實作」與「技術」3個面向,進行第2階段的標準制訂之計畫。
研究「標準化」的人是需要有「同情」與「推理」兩種能力,所謂「同情」是指「標準」的制定者要有對等之情,那樣體驗的「標準」自然是立體、多元的;「同情」加上「推理」,則「標準」是活的,每一份「標準」的頒布是因或是果,是趨勢或是成績,「標準」的產生絕非偶然而是無數之努力的形成。「標準化」從長遠的角度來看,便可以體察出是有一股流勢,有無法阻擋的推移力量;資訊安全的「標準化」更需要整合自然科學、社會科學與資訊社會之脈絡來解讀以及推理,才能溶入文化與數位台灣混然為一體,MSS與個人資料保護標準化及ISMS&PIMS,以及網宇空間安全的整合性之資訊安全管理系統(Integrated Security Management System,簡稱ISMS)的進程僅為一端。2022年7月28日,資訊安全,網宇安全及隱私防護之資訊安全管理系統:要求事項,Information security, cybersecurity and privacy protection — Information security management systems – Requirements:ISO/IEC FDIS 27001已提交票決,開啟ISMS第3階段之標準化的工作項目。
10年歲月,「資安發展方案(110年~113年)」已分別推動「政府機關資安弱點通報機制 (Vulnerability Alert and Notification System, VANS)」及「零信任網路(Zero Trust Network, 簡稱 ZTN)」中,均與ISO/IEC 27001;2022(E)直接相關;根基於此,此次討論會(111年11月28日)在國家安全局及數位發展部資通安全署之指導下,由中華電信股份有限公司、臺灣檢驗科技股份有限公司、台灣經濟新報股份有限公司以及中華安全科技與管理學會及臺灣網路防護協會共同主辦,以「資訊安全,網宇安全與隱私防護(cybersecurity and privacy protection)與ISMS標準化的進程」為標的及其在國家通資訊安全發展方案 (110年至113年)」中「建立資通系統弱點之主動發掘、通報 及修補機制」與「完善政府網際服務網防禦深廣度」之工作項目中的ISMS實作之議題規劃,希望對資通安全管理法以及ISMS的落實提供助益,誠摰的歡迎您參加。
◆ 指導單位:
國家安全局
◆ 主辦單位:
中華電信股份有限公司|臺灣檢驗科技股份有限公司|台灣經濟新報文化事業股份有限公司|中華安全科技與管理學會|臺灣網路防護協會
《網路世代成長指南》手冊發表及「提高兒少網路免疫力」座談會
《網路世代成長指南》手冊發表及「提高兒少網路免疫力」座談會
台灣網路防護協會為強化兒童及青少年的網路防疫力,提升兒少使用網路的安全性,與國立臺灣大學中國信託慈善基金會兒少暨家庭研究中心共同舉辦《把上網壞習慣一「網」打盡!陪孩子在網路世代成長的指南》手冊發表及「提高兒少網路免疫力」座談會。
以「防範網路成癮」、「避免網路霸凌」為主題,邀請教育、心理輔導與諮商等相關領域專家學者共同研討,協助家長面對孩子使用網路可能會遇到的問題,提高孩子的網路防護觀念。
會後將發送與會者《把上網壞習慣一「網」打盡!陪孩子在網路世代成長的指南》手冊一套。
敬邀國中小學學童家長及老師以及關心兒童及青少年的網路安全的各界人士一同參與。
座談分享:
◼別讓孩子自投羅「網」─親職溝通一把罩
戴羽晨 /
社工師、前台大電競社社長、誠聖律師事務所律師
◼如何運用手冊提升親師效能
吳姿瑩 /
大直中學輔導主任
◼RESET─重啟親子溝通的連結
李玉珍 /
得勝者教育協會主任
◼ 時間:中華民國111年5月15日(星期日)
上午09:00至12:00
◼ 地點:集思台大會議中心 米開朗基羅廳
(台北市大安區羅斯福路四段85號 台大第二學生活動中心B1 近公館捷運站2號出口)
◆ 主辦單位:
國立臺灣大學兒少暨家庭研究中心
臺灣網路防護協會
2022 年第 1 季
2022 年第 1 季
資訊安全管理系統標準化系列討論會
資訊安全管理系統標準化系列討論會
◼ 時間:中華民國 111 年 1 月 19 日(星期三)
◼ 地點:新北市板橋區民族路 168 號中華電信學院綜合大樓五樓 G502 室
為持續配合行政院國家資通安全會報推動國內各政府機構及公民營事業機構建置資訊安全管理系統(ISMS),以降低我國整體資訊安全風險,強化資訊防衛能力;經濟部標準檢驗局(BSMI),自 91 年起每季 1 次辦理「堅實我國資訊安全管理系統稽核作業相關標準系列討論會」。
原行政院「堅實我國通資訊基礎建設安全機制計畫」(90 年 1 月17 日行政院第 2718 次院會通過)歷經 8 年共 2 期計畫後,於 98 年 1 月更名為「國家資通訊安全發展方案(98 年至 101 年),簡稱資安發展方案」持續推動我國資安工作,前述討論會亦繼續辦理(106 年僅於第 3 季辦理 1 次 1 天,107 年僅於第 1 季及第 3 季辦理 2次 2 天,108~110 年均僅於第 1 季辦理 1 次 1 天) ;因 BSMI 組織工作調整,106 年起改由「臺灣網路協會」辦理。
九十年代全球文明歷經了重大的轉變,品質、環境和職業安全衛生管理逐漸朝向一致化與標準化,而相關的國際標準也影響了許多國家經濟的發展和組織管理與經營的方式,ISO 9000 品質管理和 ISO14000 環境管理系列標準的遵循,就是最佳的佐證。2000年 12 月 1 日,資訊安全管理系統(ISMS)控制措施之 ISO/IEC 17799:2000(E)公布,2002年 12 月 5 日相對應之 CNS 國家標準正式頒布,建立 ISMS 並擴大推動驗證已成為資訊安全之工作項目的主軸之一。
2006 年 6 月 16 日,標準檢驗局再公布了 ISO/IEC27001:2005(E)之資訊安全管理系統的要求事項等國家標準,也成就了資安管理制度與國際化接軌的開端。「讓過去與現在爭執不下,將錯失未」,ISO/IEC JTC1/SC27 主席 Walter Fumy 先生,在世界資訊高峰會之邀請下,於 2004 年 9 月 24 日公布了 ISO 之深度防禦(Defense in Depth)的資訊安全管理模型觀點;其標準組件 ISO 27001 標準系列之 ISO/IEC 27003 已於 2010 年 2 月 1 日正式發行,ISMS 標準化的第一階段工作已樹立第 1 座里程碑。
標準可以累積知識與經驗,標準化則是冀求以系統的、共同的、協調一致的方法來強化標準實作的知識以供傳承。鑑於管理系統日益增多,其標準系列宜加以規範,國際標準組織(International Standardization for Organization,簡稱 ISO)自 2000 年起即分 3 階段進行管理系統標準(Management System Standards,簡稱 MSS)之標準化工作;已正式納入 ISO 之強制性規範(Procedures specific to ISO),期能在第 3 階段(2011~2015 年)完成各個管理系統要求事項的調合。ISO/IEC 27001 標準系列已遵循 MSS 逐步建立中,並納入個人資料/隱私(Privacy)管理系統(PIMS)安全規範之議題;以個人資料保護法施行細則第 17 條之規範為例,已公布 ISO/IEC 27009、ISO/IEC 29101、ISO/IEC 29191、ISO/IEC 20008 與 ISO/IEC 20009 標準系列,作為其 PIMS 中「前檯匿名、後檯實名」之實作要
求事項的參考。2012 年 10 月,ISO/IEC JTC 1/SC 27 在進行為期 1 年之 2 階段的研究後,正式公布 PIMS 之要求事項遵循 ISO/IEC 27001,同時開展其標準系列(ISO/IEC 27009、ISO/IEC 27018、ISO/IEC 27017、ISO/IEC 29134、ISO/IEC 29101、ISO/IEC 29151 以及預備文件 SD 4、SD 5 等)的標準化計畫,已於 2017 年 8 月完成第 1 階段之工作項目;並分成「管理」、「實作」與「技術」3 個面向,進行第 2 階段的標準制訂之計畫。
研究「標準化」的人是需要有「同情」與「推理」兩種能力,所謂「同情」是指「標準」的制定者要有對等之情,那樣體驗的「標準」自然是立體、多元的;「同情」加上「推理」,則「標準」是活的,每一份「標準」的頒布是因或是果,是趨勢或是成績,「標準」的產生絕非偶然而是無數之努力的形成。
「標準化」從長遠的角度來看,便可以體察出是有一股流勢,有無法阻擋的推移力量;資訊安全的「標準化」更需要整合自然科學及社會科學之脈絡來解讀以及推理,才能溶入文化與數位台灣混然為一體,MSS 與個人資料保護標準化及 ISMS&PIMS 的整合性安全管理系統(Integrated Security Management System,簡稱 ISMS)之進程僅為一端。2011 年 8 月 20 日,資訊安全,網宇安全及隱私防護之資訊安全控制措施之 DIS 版因無不贊成票已遵循程序直接登錄成為 ISO/IEC FDIS 27002(2021-08-23)Information security, cybersecurity and privacy protection — Information security controls。
2020 年 4 月 6 日 至 2 0 日 , I S O / I E C J T C 1 / S C 4 2( 人 工 智 慧 分 組 )第 五 次 全 會 及 工 作 組 會 議 以 線 上 形 式 召 開 , 其 WG 2 大數據工作組名稱變更為資料工作組,促成 SC 42 與 SC 36 就資料品質活動研究建立聯結,SC 27 亦立項研究人工智慧與安全及隱私之標準化(PWI 6089 Impact of Artificial Intelligence on Security and Privacy (Started in September 2020))中。根基於此,此次討論會(111 年 1 月 19 日)在國家安全局及行政院資通安全處之指導下,由中華電信股份有限公司、臺灣檢驗科技股份有限公司與中華安全科技與管理學會及臺灣網路防護協會共同主辦,以「資訊安全,網宇安全與隱私防護(cybersecurity and privacy protection)與 ISMSPIMS 標準化的進程」為標的及其在國家通資訊安全發展方案 (106 年至 109 年)」中「因應新興科技發展,研訂資安標準規範」之工作項目中的 ISMS/PIMS 實作之議題規劃,希望對資通安全管理法以及ISMS/PIMS 的落實提供助益。
◆ 指導單位:
國家安全局|行政院資通安全處
◆ 主辦單位:
中華電信股份有限公司|臺灣檢驗科技股份有限公司|中華安全科技與管理學會|臺灣網路防護協會
Page updated
Report abuse