2018-03-08

由ISO 27799:2016所提供的資安管控機制，基本上參照了ISO/IEC 27002的標準內容，先前的文章已經說明如何清查和醫療資訊有關的各項資產，建立完整的資產清冊並識別可接受使用的方式，以及在使用系統時的資訊存取控制要求，並解析其資安控制措施在實務方面的做法，本文將是此醫療法規系列的最後一篇。

2017-12-21

延續先前介紹ISO 27799:2016之資安控制措施在實務方面做法的系列文章，本期將接著介紹第九章的存取控制、第十一章的實體和環境安全，以及第十二章的運作安全等內容。

2017-10-31

本次將解析ISO 27799:2016之資安控制措施在實務方面的做法，先從第八章的資產管理說起，其中包括三個控制類型和十個控制措施，接著介紹第九章的存取控制，共有四個控制類型及十四個控制措施。

2017-09-28

上篇文章介紹了適用於醫療產業的資安國際標準ISO 27799:2016，提到組織可藉由鑑別所需保護的醫療資訊內容，評估可能存在的威脅與弱點，並且選擇所需的資安控管機制，持續來強化醫療資訊的管理，接下來的文章將解說各項控制領域中，特別針對醫療資訊所需要實施的控制措施。

2017-07-25

隨著物聯網和雲端服務的快速發展，使得許多非資訊相關的產業對於資訊系統和網路的依賴度也愈來愈高，其中又以和人們生活最息息相關的醫療與健康資訊的行業，像是醫院、健檢中心及醫療器材製造廠商等，更應及早重視與人身安全也有關係的資安風險。

2017-05-10

隨著惡意攻擊手法愈來愈多樣化，對於防禦的一方而言，需要持續關注的議題也愈來愈多，在日常維運方面，無論是參考國際標準的要求，或是依據產業的規範或最佳實務，定期的實施自我資安檢查，將是確保組織維持強健體質的良方。

2017-04-07

在資訊時代瞬息萬變的局勢下，組織要如何才能夠永續經營？一旦面臨困難挑戰，發展組織韌性（Organizational Resilience）將會是危機中的逆轉關鍵，所謂的韌性是指組織能夠預測、準備和應對可能突發的營運危機，擁有充份的能力可以因應變化，最後得以持續生存並且繁榮興盛。

2017-02-10

隨著科技的進步，傳統的商業模式和服務，時至今日已經逐漸轉型，透過高度資訊化和方便的網路連結，讓各項交易和服務能夠以更即時的方式來運作。目前，應用雲端運算的強大資源，資訊服務也能夠以更有效率且節約成本的方式，傳遞給不分國界的使用者。

2017-01-13

雲端運算可無限擴展延伸的特性，已吸引了眾多組織的採納和運用，但是從資訊安全的角度來看，無論是大型的跨國企業像是Amazon和Google，或是單一國家或地區的中小型公司，包括雲端服務提供商和客戶雙方，都需要一套適合且有效的方式去管控基於雲端服務的資料和系統安全。

2016-11-02

隨著雲端服務的應用愈來愈普及，要如何評估雲端服務的安全性，這時是否取得了相關的國際認證，就成為重要的參考指標。

2014-12-07

個資保護與隱私維護所牽涉的層面相當廣泛，不僅必須充份理解法律和主管機關的要求，還要建立管理面的保護制度，並且導入技術面的控制措施，再加上持續不斷地追蹤評估與修正。本系列文章將從適合專業資訊人員所需的CIPP/IT實務知識框架開始，依序介紹個資保護與隱私維護的基本原則、國際間的法規要求、特定行業的個資隱私保護，以及相關的安全控制措施。

2014-07-18

隨著雲端服務已廣泛地受到個人和企業所使用，隱私維護與個人資料保護，更是用戶和雲端服務供應商雙方必須要重視的課題。對服務供應商來說，透過自我的安全評估並展現保護個人資料的決心，將有助於提升用戶的信心，也能強化市場的競爭力。

2014-06-12

國際知名的資訊安全管理標準ISO 27001，已經在去年年底正式更新了內容版本，如果你所屬的企業過去已經導入了2005年的標準，時至今日也應該要為符合最新的標準要求而做好準備，以確保資安管理制度能夠持續有效地運作實施。

2014-05-26

愈來愈多的企業允許員工攜帶自有的行動裝置（BYOD）上班，並且使用在日常工作之中，一旦這些行動裝置離開了企業環境，企業要如何管控行動裝置上所儲存的大量商業資料，實施有效的安全管理，同時也要避免侵害員工的隱私？

2014-04-18

網際安全框架主要是提供給美國聯邦機構和地方政府，同時也包括電力、運輸等重要的基礎產業，能夠強化自身的網路安全，以避免受到來自網路的重大威脅，並且結合了業界標準與最佳實務，幫助企業組織能夠有效地管理網際安全風險。

2014-03-06

對雲端服務供應商而言，如果想要展現出高度的資安管理成熟度，唯有藉由第三方獨立公正的稽核，並且進一步取得國際認可的認證，才是最佳的解決方案，除了可以強化本身的市場競爭力，也能夠滿足客戶對於資安的期盼與要求。

2014-02-18

上一期我們說明了在雲端控制矩陣之中，有關發行安全管理和災難回復能力之要求，本期將說明有關雲端安全控制要求的最後一項——安全架構之內容。

2014-01-07

上一期我們說明了在雲端控制矩陣之中，有關法律議題與營運作業時應實施的安全要求，並且要從整體雲端服務的角度來評估可能的風險，本期將說明有關發行安全管理和災難回復能力之要求。

2013-12-25

上一期，我們說明了雲端控制矩陣中，關於資安事故回應處理、網路安全控制，以及行動裝置與原始碼存取之管控，本期將繼續說明在雲端控制矩陣中，有關法律議題與營運作業時應實施的風險管理。

2013-11-29

上一期，我們說明了雲端控制矩陣中，關於資安教育訓練、管理者與使用者安全責任、加密與金鑰管理，以及漏洞修補和防範惡意程式等控制措施，本期將繼續說明在資安管理控制項目中，剩下的各項安全要求。