Dunk

A.05.1 資訊安全政策

依照營運要求及相關法律與法規，提供管理階層對資訊安全之指示與支持。

A.06.1 內部組織

於組織內管理資訊安全。

A.06.2 外部團體

維持外部團體所存取、處理、管理或與其通信之組織資訊與資訊處理設施的安全。

A.07.1 資產責任

達成及維持組織資產的適切保護。

A.07.2 資訊分類

確保資訊受到適切等級的保護。

A.08.1 聘僱之前

確保員工、承包者及第三方使用者了解其責任，並勝任其所被認定的角色，以降低竊盜、詐欺或設施誤用的風險。

A.08.2 聘僱期間

確保所有員工、承包者及第三方使用者認知資訊安全的威脅與關切事項、其基本責任與強制責任，並有能力在日常工作中支持組織安全政策與降低人為錯誤的風險。

A.08.3 聘僱的終止與變更

確保員工、承包者及第三方使用者以有條理的方式脫離組織或變更聘僱。

A.09.1 安全區域

防止組織場所與資訊遭未經授權的實體存取、損害及干擾。

A.09.2 設備安全

防止資產的遺失、損害、竊盜或破解，並防止組織活動的中斷。

A.10.01 作業之程序與責任

確保正確與安全地操作資訊處理設施。

A.10.02 第三方服務交付管理

實作與維持適切等級之資訊安全及服務交付，並能與第三方服務交付協議一致。

A.10.03 系統規劃與驗收

使系統失效的風險最小化。

A.10.04 防範惡意碼與行動碼

保護軟體與資訊的完整性。

A.10.05 備份

維持資訊及資訊處理設施的完整性與可用性。

A.10.06 網路安全管理

確保對網路內資訊與支援性基礎建設的保護。

A.10.07 媒體的處置

防止資產被未經授權的揭露、修改、移除或破壞、以及營運活動的中斷。

A.10.08 資訊交換

維護組織內及與任何外部個體所交換資訊與軟體的安全。

A.10.09 電子商務服務

確保電子商務服務的安全性及其安全的使用。

A.10.10 監視

偵測未經授權的資訊處理活動。

A.11.1 存取控制的營運要求

控制資訊的存取。

A.11.2 使用者存取管理

確保經授權使用者對資訊系統的存取與防止未經授權的存取。

A.11.3 使用者責任

防止未經授權的使用者存取資訊與資訊處理設施，以及使其遭受破壞或竊盜。

A.11.4 網路存取控制

防止網路服務遭未經授權的存取。

A.11.5 作業系統存取控制

防止作業系統遭未經授權的存取。

A.11.6 應用系統與資訊存取控制

防止應用系統中的資訊遭未經授權的存取。

A.11.7 行動計算與遠距工作

確保使用行動計算與遠距工作設施時之資訊安全。

A.12.1 資訊系統的安全要求

確保安全是整體資訊系統的一部分。

A.12.2 應用系統的正確處理

防止應用系統中資訊的錯誤、遺失、未經授權的修改或誤用。

A.12.3 密碼控制措施

藉由密碼方式以保護資訊的機密性、鑑別性與完整性。

A.12.4 系統檔案的安全

確保系統檔案的安全。

A.12.5 開發與支援過程的安全

維持應用系統軟體與資訊的安全。

A.12.6 技術脆弱性管理

降低因利用已公佈的技術脆弱性所導致的風險。

A.13.1 通報資訊安全事件與弱點

確保與資訊系統相關的資訊安全事件與弱點，被以能夠採取及時矯正措施的方式傳達。

A.13.2 資訊安全事故與改進的管理

確保採用一致與有效的作法於資訊安全事故的管理。

A.14.1 營運持續管理的資訊安全層面

為對抗營運活動中斷，保護重要營運過程不受重大資訊系統失效或災害的影響，並確保及時再續(resumption)

A.15.1 遵循適法性要求

避免違反任何法律、法令、法規或契約義務，以及任何安全要求。

A.15.2 安全政策與標準的遵循性以及技術遵循性

確保系統遵循組織的安全政策與標準。

A.15.3 資訊系統稽核考量

使資訊系統稽核過程的有效性最大化，並使其產生或受到之干擾降至最低。

A.8.2.2資訊安全認知、教育及訓練

5.2.2 訓練、認知及能力

A.10.6.1 網路控制措施

A.11.4 網路存取控制

A.10.7.2 媒體的汰除

A.9.2.6 設備的安全汰除或再使用

A.11.3.3 桌面淨空與螢幕淨空政策

A.7.2.1 分類指導綱要

A.7.2.2 資訊標示與處置

A.12 資訊系統獲取、開發及維護

A.10.2.3 系統驗收

A.12.5.1 變更控制程序

A.10.1.2 變更管理

A.15.1.3 組織紀錄的保護

A.7 資產管理

A.15.2.2 技術遵循性查核

A.12.6 技術脆弱性管理