2024年3月9日 星期六

cybersecurity and privacy protection related standards

隨著資安及隱私越來越受公私部門重視,以下列出資通安全 (cybersecurity) 及隱私保護常見的 ISO (International Standardization Organization ,國際標準化組織) 及其他標準供參考。

  • ISO 9000系列品質保證管理標準 
    • 9001品質管理系統(QMS)要求

  • ISO 22300系列安全和復原力標準 
    • 22301事業持續性管理系統(BCMS)要求 
    • 22317事業持續性管理系統指導綱要

  • ISO 27000系列資訊安全管理系統(ISMS)標準
    • 27001資訊安全管理系統要求,附錄A含控制目標、控制措施 
    • 27002資訊安全管理系統作業規範,供選擇、實施、管理控制措施之用 
    • 27003資訊安全管理系統規劃指引,有關必要活動的建議(應該),可能(能力可以),允許(權限可以)作法指引 
    • 27004資訊安全管理系統評測指導網要,供監測、測量、分析、評測之用 
    • 27005資訊安全風險管理指導綱要 
    • 27006稽核驗證機構之要求

    • 27017雲端服務資訊安全管理 
    • 27018雲端服務個資保護作業規範 

    • 27102資安管理的網宇保險指導綱要

    • 27701隱私資訊管理要求及指導綱要,含PII控制者及處理者

  • ISO 29100系列隱私權框架標準 
    • 29134隱私衝擊評估指導綱要 
    • 29151個資保護作業規範

  • ISO 31000風險管理指導綱要

  • CIS,網際網路安全中心 (Center for Internet Security) 
    • Critical Security Controls 重要安全控制措施: 基礎型(6),功能型(10),組織型(4)

  • EU,歐洲議會及委員會
    • GDPR 2016/679 一般資料保護法規 (General Data Protection Regulation)

  • IEC,國際電工委員會 (International Electrotechnical Commission)
    •  62443 工業通信及網路-網路及系統安全系列標準,乃工業控制系統資訊安全,風險控管基準

  • ISAC,資訊分享與分析中心 (Information Sharing and Analysis Center)
    • COBIT 2019,  資訊及相關技術控制目標 (Control OBjectives for Information and related Technology) 標準

  • NIST,美國商業部國家標準暨技術研究院 (National Institute of Standards and Technology) 
    • CyberSecurity Framework 網宇安全框架 
    • SP800-137資安持續監視 
    • SP800-207零信任架構 

  • NICS,行政院數位發展部國家資通安全研究所 (National Institute of Cyber Security)
    • GCB,政府組態基準 (Government Configuration Baseline)
    • VANS,弱點分析及通報系統 (Vulnerability Analysis and Notice System)
    • EDR,端點偵測及應變機制 (Endpoint Detection and Response)
    • ZTA,零信任架構 (Zero Trust Architecture)
    • N-SOC,國家資安聯防監控中心 (National Security Operation Center)
    • N-CERT,國家資通安全通報應變中心 (National Computer Emergency Response Team)

  • ACS,行政院數位發展部資通安全署 (Administration for Cyber Security)
    • 資安政策與法規
    • 關鍵基礎設施資安防護
    • 資安事件通報應變
參考:
1.經濟部產業發展署 產業人才能力鑑定計畫 iPAS 數位課程平台 (industry Professional Assessment System)